[English]Der Anbieter Ivanti musste die letzten Wochen mehrfach vor kritischen Schwachstellen in seinem Endpoint Manager Mobile (EPMM) warnen und Sicherheitsupdates herausgeben. Ausgangspunkt für diese Flut an Sicherheitsmeldungen war, dass Norwegens Regierung über Ivanti-Zero-Day gehackt worden ist. Seit nun schon mehrere Wochen melden Unternehmen weltweit – sehr viele davon auch in Deutschland, Österreich und der Schweiz – Cyberangriffe durch die Ausnutzung diverser Schwachstellen im Ivanti Endpoint Manager Mobile. Palo Alto Networks bzw. dessen Unit 42 hat nun eine Zusammenfassung des Status veröffentlicht.
Anzeige
Ich hatte hier im Blog zeitnah über die auftretenden Sicherheitsmeldungen berichtet (siehe Artikel am Beitragsende). Nun hat mir Palo Alto noch eine Nachlese zu diesen Schwachstellen im Ivanti Endpoint Manager Mobile (August 2023) zukommen lassen. Ich stelle die Information mal hier im Blog für betroffene Administratoren ein, da diese einen guten Gesamtüberblick bieten.
Palo Alto Statusübersicht
Am 24. Juli 2023 veröffentlichte Ivanti Endpoint Manager Mobile (EPMM), früher bekannt als MobileIron Core, Details zu einer Zero-Day-Schwachstelle beim nicht authentifizierten API-Zugriff. CVE-2023-35078 betrifft die Versionen 11.10, 11.9 und 11.8, aber auch bei älteren Versionen besteht das Risiko einer möglichen Ausnutzung.
Seit der ersten Angriffswelle wurden drei weitere Schwachstellen in Ivanti-Produkten entdeckt. Die erste in MobileIron Core (CVE-2023-35082), eine zweite im Ivanti Avalanche-Produkt entdeckte Schwachstelle (CVE-2023-32560) und die dritte im Ivanti Sentry-Produkt (CVE-2023-38035).
Mit Stand vom 23. August deuten die Beobachtungen von Unit 42 auf eine ziemlich konsistente Gesamtzahl der Ivanti MobileIron-Server im Internet im Vergleich zur gleichen Analyse vor drei Wochen hin. Außerdem wird darauf hingewiesen, dass Hunderte von IP-Adressen, die zuvor ältere, anfällige Versionen zeigten, jetzt mit aktualisierten Versionen versehen sind, die die bekannten Schwachstellen abschwächen sollten. Allerdings stellen die Experten auch fest, dass viele Internet-IP-Adressen heute immer noch Ivanti MobileIron und verwandte Dienste bedienen und potenziell anfällige, ganz zu schweigen von nicht unterstützten Versionen melden.
Anzeige
Diese Schwachstelle ermöglicht nicht authentifizierten Benutzern vollen API-Zugriff über bestimmte API-Endpunkte. Laut der CISA-Beratung können böswillige Akteure mit diesem Zugriff personenbezogene Daten (PII) extrahieren und administrative Aktionen wie das Erstellen neuer Konten und das Vornehmen von Konfigurationsänderungen durchführen, ohne dass dazu Anmeldeinformationen erforderlich sind.
Übersicht der Schwachstellen
Mit Stand vom 23. August wurden in den vergangenen drei Wochen drei weitere Schwachstellen in Ivanti-Produkten bekannt gegeben:
- CVE-2023-35082 ermöglicht einem Angreifer einen nicht authentifizierten Remote-API-Zugriff in MobileIron Core 11.2 und älter. Dies ähnelt der ursprünglichen Sicherheitslücke im Set – CVE-2023-35078 –, deckt jedoch einige der älteren Versionen des Produkts ab.
- CVE-2023-32560 ermöglicht es einem Angreifer, die Ivanti Avalanche-Software ohne Authentifizierung aus der Ferne auszunutzen, was zur Ausführung beliebigen Codes auf dem anfälligen System führen könnte.
- CVE-2023-38035 wird derzeit in freier Wildbahn ausgenutzt, um Angreifern über eine Schwachstelle zur Umgehung der API-Authentifizierung im Ivanti Sentry-Produkt den Zugriff auf sensible Konfigurations-APIs des Admin-Portals zu ermöglichen. Die Kollegen von Bleeping Computer haben hier einen Artikel dazu veröffentlicht.
Unit 42 von Palo Alto Networks empfiehlt Benutzern der betroffenen Software ein Upgrade auf die neuesten Versionen, die Korrekturen für die Schwachstelle enthalten. Es ist besonders wichtig, die Topologie Ihres Netzwerks zu überprüfen, um sicherzustellen, dass alle öffentlichen Ivanti Endpoint Manager Mobile-Dienste mit dem neuesten Patch auf dem neuesten Stand sind.
Für diejenigen, die kein Upgrade auf feste Versionen der Software durchführen können, empfehlen die Fachleute außerdem, Vorsichtsmaßnahmen zu ergreifen, um den Zugriff auf anfällige Server zu kontrollieren, und darüber nachzudenken, den Zugriff für die Öffentlichkeit einzuschränken, bis sie gepatcht werden können. Alle aktuellen Details dazu finden sich in diesem Blog-Beitrag.
Ähnliche Artikel:
Norwegens Regierung über Ivanti-Zero-Day gehackt
Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar
Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)
Neue 0-day-Schwachstelle CVE-2023-38035 in Ivanti Sentry
Anzeige