Seit geraumer Zeit sind zwei Schwachstellen in Ivanti Connect Secure und Policy Secure (CVE-2024-21887 und CVE-2023-46805) bekannt. Die Lücken stehen unter Beschuss, weshalb Security-Behörden Warnungen ausgesprochen haben. Nun doppelt die amerikanische CISA nach.
Sie weist sämtliche Bundesbehörden an, die Produkte vom Netz zu nehmen. Dazu setzt die CISA eine sportliche Frist: "so schnell wie möglich, spätestens aber um 23.59 Uhr am Freitag, 2. Februar", sollen alle Instanzen vom Netz getrennt sein, wie es von der Behörde heisst. Security-Experten sollen zudem sämtliche Systeme im Auge behalten, die kürzlich mit den Ivanti-Appliances verbunden waren.
In ihrer Anordnung
erklärt die CISA auch, welche Schritte unternommen werden müssen, um ein Produkt wieder in Betrieb zu nehmen. Neben dem Zurücksetzen auf die Werkeinstellung und dem Update auf eine fehlerbereinigte Version, sollen auch Passwörter zurückgesetzt und Zertifikate neu ausgestellt werden.
Die beiden Lücken werden seit Dezember angegriffen. Mittlerweile hat Ivanti Updates für die publiziert, diese liessen allerdings
länger auf sich warten.
Auch das Bacs ist besorgt
"Da diese Schwachstellen aktiv ausgenutzt werden, stellen sie eine Bedrohung für jede Organisation dar, die anfällige Ivanti-Connect-Secure- und Policy-Secure-Systeme dem öffentlichen Internet aussetzt", erklärte uns das Bundesamt für Cybersicherheit Bacs. Das Bundesamt habe rund
90 Unternehmen in der Schweiz hinsichtlich der Bedrohung kontaktiert sowie die Betreiber kritischer Infrastrukturen via eine Informationsplattform gewarnt und Handlungsempfehlungen abgegeben.
Es ist nicht die erste Lücke in Ivanti-Produkten, die für Aufregung sorgt. Vergangenes Jahr wurde eine schwere Zero-Day-Sicherheitslücke im Ivanti Endpoint Manager Mobile (EPMM), früher bekannt als Mobileiron, entdeckt.
Die Lücke wurde von Hackern unter anderem für einen Angriff auf die norwegische Regierung
sowie die Kantonspolizei Bern benutzt. Auf Anfrage erklärt uns die Kapo, dass die VPN-Produkte von Ivanti, die aktuell unter Beschuss stehen, bei ihr nicht eingesetzt werden.