Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure "brennt die Hütte"

Sicherheit (Pexels, allgemeine Nutzung)Noch eine kurze Warnung mit dem ich zwei lichterloh brennende "Hütten" im IT-Bereich noch schnell abräume. Bei Ivanti Connect Secure gibt es eine Auth-Bypass-Schwachstelle, die bei einigen Systemen ungepatcht ist und inzwischen von Cyberangreifern ausgenutzt wird. Auch in Deutschland stehen Systeme. Und die Administratoren von FortiOS SSL VPN sollten ebenfalls seit einigen Tagen die betreffenden FortiOS-Systeme gepatcht haben. Es gibt einen kritischen Bug CVE-2024-21762 in FortiOS SSL VPN, der für Angriffe ausgenutzt wird.


Anzeige

Cyberangriffe auf Ivanti Connect Secure

Ich hatte letzte Woche ja provokativ Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit getitelt und auf den Aktualisierungsstand bei einem Ivanti-Produkt hingewiesen. Gab die Kritik, dass man das nicht so sehen könne – und auch die Aufforderung der Cybersicherheitsbehörde CISA an alle US-Behörden, Ivanti VPN bis vergangenen Samstag, den 2. Februar 2024, zu deaktivieren, wenn bestimmte Randbedingungen nicht eingehalten werden, wurde relativiert.

Kann ich mit leben, ich berichte nur. Am Artikelende sind meine Beiträge zu Ivanti Connect Secure /VPN verlinkt, die sich mit Schwachstellen und Angriffen beschäftigen. Und mir kam die Tage der Blog-Beitrag Ivanti: Patch new Connect Secure auth bypass bug immediately von Bleeping Computer unter die Augen. Es wird auf eine Warnung von Ivanti verwiesen, die eine neue Authentifizierungsumgehungsschwachstelle, die Connect Secure-, Policy Secure- und ZTA-Gateways betrifft. Ivanti forderte Administratoren auf, ihre Appliances sofort abzusichern.

Die Schwachstelle (CVE-2024-22024) ist auf eine XXE (XML eXternal Entities)-Schwachstelle in der SAML-Komponente der Gateways zurückzuführen, die es Angreifern ermöglicht, in einfachen Angriffen Zugriff auf eingeschränkte Ressourcen auf ungepatchten Appliances zu erhalten, ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich ist.

Ivanti Connect Secure exposed


Anzeige

Muss uns alles nicht interessieren, wir sind gepatcht? Die Nacht ist mir obiger Tweet von ShadowServer untergekommen, der auf diesen Report vom 10. Februar 2024 verweist. Deren Sicherheitsforscher scannen das Internet seit dem 9. Februar 2024 nach verwundbaren Ivanti Connect Secure-Instanzen. Momentan steht der Zähler wohl bei 141 Instanzen, wo Anzeichen einer Infektion mit der DSLog-Backdoor vorliegen. Deutschland ist mit vier Instanzen auch vertreten. Die Kollegen von Bleeping Computer haben gestern im Blog-Beitrag Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoo über diese Backdoor berichtet. Und The Hacker News schreibt heute in diesem Beitrag, dass auf über 670 IT-Systemen diese DSLog-Backdoor gefunden wurde – kann irgendwie noch lustig werden.

Attacks on Ivanti Connect Secure CVE-2024-22024

In obigem Tweet vom 12. Februar zeigt Shadow Server die Angriffswelle auf die Ivanti Connect Secure Schwachstelle CVE-2024-22024. Die Diskussionen zur Schwachstelle finden sich bei Ivanti.

Angriffe auf FortiOS SSL VPN

Ich hatte hier im Blog ja in der vorigen Woche im Blog-Beitrag Critical FortiOS-Bug (8. Feb. 2024)berichtet, dass Fortinet zum 8. Februar 2024 alle seine FortiOS-Versionen neu released habe. Details gab es keine, aber die Vermutung ist, dass es wieder einen kritischen SSLVPN Bug gibt.

The Hacker News weist in obigem Tweet und diesem Artikel auf eine Warnung der CISA hin, dass der die neue, kritische Sicherheitslücke CVE-2024-21762 in FortiOS SSL VPN für Angriffe ausgenutzt wird. Auch die Kollegen von Bleeping Computer haben das Thema in diesem Artikel und im Beitrag hier aufgegriffen.

Ähnliche Artikel:
Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht
Tausende Geräte per Ivanti VPN-Schwachstellen angegriffen – mind. 19 in Deutschland
Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann Härtungsmaßnahmen gefährden
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit 
Niederlande: Militärnetzwerk über FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen
Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)
Probleme mit Fortinet Support-Portal ab 5. Februar 2024?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure "brennt die Hütte"

  1. Niels sagt:

    Forti Workaround für alle die das Update noch nicht installieren können (warum auch immer)

    – Disable SSLVPN and use IPSec or ZTNA instead;
    – Disable fgfm access on all interfaces; (ergänzung: protocol is designed for FortiGate and FortiManager deployment scenarios)

    Wird vom Support so kommuniziert.
    Ich würde daher vermuten das es nicht nur ein SSLVPN Bug gibt.

  2. Dominik sagt:

    Auch wir haben zügig sämtliche FG gepachtet mit dem Effekt, dass alle Geräte nicht mehr über die FortiCloud administierbar sind.Da fragt man sich echt, wofür man tausende von Euronen im Jahr ausgibt und solche Releases bekommt.
    Man muss ja ständig sofort alle Maschinen patchen und kann jedesmal nur hoffen, a) dass es nicht zu spät war und b) dass nicht irgendein Bug mit eingebaut wurde

    • Daniel sagt:

      Ich frage mich immer, wo uns das noch hinführen soll? In ein ewiges Katz- und Mausspiel, wobei irgendwann die Katze wohl gewinnen wird, alle Systeme zusammenbrechen und wir in die Steinzeit zurückfallen? Bisschen übertrieben aber was Günter hier täglich raushaut, zieht einem IT-technisch echt oft die Socken aus.

  3. rpr sagt:

    Miese Software in Kombination mit miesem Netzwerkdesign.
    Mit einem übernommen VPN Zugang im kompletten Netz unterwegs sein zu können sollte eigentlich jedem als „denke. wir noch mal drüber nach" aufgallen.
    Herz was willst du mehr.

  4. Markus sagt:

    Ich muss mal unseren Running Gag in der IT loswerden, passt hier zum Thema: wir haben ein Sixpack Bier, das sogenannte Fortibier bei uns in der IT stehen. Das trinken wir dann, wenn Fortinet 3 Wochen hintereinander keine schwerwiegenden Softwarelücken hat. Haben wir bis jetzt immer wegschütten müssen, weil das Haltbarkeitsdatum abgelaufen ist :-) mal ehrlich: Fortinet als Firewall und Securityanbieter ist doch ne Witzfigur ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.