Noch eine kurze Warnung mit dem ich zwei lichterloh brennende "Hütten" im IT-Bereich noch schnell abräume. Bei Ivanti Connect Secure gibt es eine Auth-Bypass-Schwachstelle, die bei einigen Systemen ungepatcht ist und inzwischen von Cyberangreifern ausgenutzt wird. Auch in Deutschland stehen Systeme. Und die Administratoren von FortiOS SSL VPN sollten ebenfalls seit einigen Tagen die betreffenden FortiOS-Systeme gepatcht haben. Es gibt einen kritischen Bug CVE-2024-21762 in FortiOS SSL VPN, der für Angriffe ausgenutzt wird.
Anzeige
Cyberangriffe auf Ivanti Connect Secure
Ich hatte letzte Woche ja provokativ Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit getitelt und auf den Aktualisierungsstand bei einem Ivanti-Produkt hingewiesen. Gab die Kritik, dass man das nicht so sehen könne – und auch die Aufforderung der Cybersicherheitsbehörde CISA an alle US-Behörden, Ivanti VPN bis vergangenen Samstag, den 2. Februar 2024, zu deaktivieren, wenn bestimmte Randbedingungen nicht eingehalten werden, wurde relativiert.
Kann ich mit leben, ich berichte nur. Am Artikelende sind meine Beiträge zu Ivanti Connect Secure /VPN verlinkt, die sich mit Schwachstellen und Angriffen beschäftigen. Und mir kam die Tage der Blog-Beitrag Ivanti: Patch new Connect Secure auth bypass bug immediately von Bleeping Computer unter die Augen. Es wird auf eine Warnung von Ivanti verwiesen, die eine neue Authentifizierungsumgehungsschwachstelle, die Connect Secure-, Policy Secure- und ZTA-Gateways betrifft. Ivanti forderte Administratoren auf, ihre Appliances sofort abzusichern.
Die Schwachstelle (CVE-2024-22024) ist auf eine XXE (XML eXternal Entities)-Schwachstelle in der SAML-Komponente der Gateways zurückzuführen, die es Angreifern ermöglicht, in einfachen Angriffen Zugriff auf eingeschränkte Ressourcen auf ungepatchten Appliances zu erhalten, ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich ist.
Anzeige
Muss uns alles nicht interessieren, wir sind gepatcht? Die Nacht ist mir obiger Tweet von ShadowServer untergekommen, der auf diesen Report vom 10. Februar 2024 verweist. Deren Sicherheitsforscher scannen das Internet seit dem 9. Februar 2024 nach verwundbaren Ivanti Connect Secure-Instanzen. Momentan steht der Zähler wohl bei 141 Instanzen, wo Anzeichen einer Infektion mit der DSLog-Backdoor vorliegen. Deutschland ist mit vier Instanzen auch vertreten. Die Kollegen von Bleeping Computer haben gestern im Blog-Beitrag Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoo über diese Backdoor berichtet. Und The Hacker News schreibt heute in diesem Beitrag, dass auf über 670 IT-Systemen diese DSLog-Backdoor gefunden wurde – kann irgendwie noch lustig werden.
In obigem Tweet vom 12. Februar zeigt Shadow Server die Angriffswelle auf die Ivanti Connect Secure Schwachstelle CVE-2024-22024. Die Diskussionen zur Schwachstelle finden sich bei Ivanti.
Angriffe auf FortiOS SSL VPN
Ich hatte hier im Blog ja in der vorigen Woche im Blog-Beitrag Critical FortiOS-Bug (8. Feb. 2024)berichtet, dass Fortinet zum 8. Februar 2024 alle seine FortiOS-Versionen neu released habe. Details gab es keine, aber die Vermutung ist, dass es wieder einen kritischen SSLVPN Bug gibt.
The Hacker News weist in obigem Tweet und diesem Artikel auf eine Warnung der CISA hin, dass der die neue, kritische Sicherheitslücke CVE-2024-21762 in FortiOS SSL VPN für Angriffe ausgenutzt wird. Auch die Kollegen von Bleeping Computer haben das Thema in diesem Artikel und im Beitrag hier aufgegriffen.
Ähnliche Artikel:
Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht
Tausende Geräte per Ivanti VPN-Schwachstellen angegriffen – mind. 19 in Deutschland
Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann Härtungsmaßnahmen gefährden
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit
Niederlande: Militärnetzwerk über FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen
Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)
Probleme mit Fortinet Support-Portal ab 5. Februar 2024?
Anzeige
Forti Workaround für alle die das Update noch nicht installieren können (warum auch immer)
– Disable SSLVPN and use IPSec or ZTNA instead;
– Disable fgfm access on all interfaces; (ergänzung: protocol is designed for FortiGate and FortiManager deployment scenarios)
Wird vom Support so kommuniziert.
Ich würde daher vermuten das es nicht nur ein SSLVPN Bug gibt.
Das dürfte der hier sein:
https://www.fortiguard.com/psirt/FG-IR-24-029
Der effektiveste Workaround ist die Deinstallation dieses dauerhaften Sicherheitsrisikos.
Und welche fehlerfreie Anwendung nehmen wir dann?
Ausnahmslos jeder Mitbewerber weist eine geringere Exploit-Frequenz auf.
Auch wir haben zügig sämtliche FG gepachtet mit dem Effekt, dass alle Geräte nicht mehr über die FortiCloud administierbar sind.Da fragt man sich echt, wofür man tausende von Euronen im Jahr ausgibt und solche Releases bekommt.
Man muss ja ständig sofort alle Maschinen patchen und kann jedesmal nur hoffen, a) dass es nicht zu spät war und b) dass nicht irgendein Bug mit eingebaut wurde
Ich frage mich immer, wo uns das noch hinführen soll? In ein ewiges Katz- und Mausspiel, wobei irgendwann die Katze wohl gewinnen wird, alle Systeme zusammenbrechen und wir in die Steinzeit zurückfallen? Bisschen übertrieben aber was Günter hier täglich raushaut, zieht einem IT-technisch echt oft die Socken aus.
Miese Software in Kombination mit miesem Netzwerkdesign.
Mit einem übernommen VPN Zugang im kompletten Netz unterwegs sein zu können sollte eigentlich jedem als „denke. wir noch mal drüber nach" aufgallen.
Herz was willst du mehr.
Ich muss mal unseren Running Gag in der IT loswerden, passt hier zum Thema: wir haben ein Sixpack Bier, das sogenannte Fortibier bei uns in der IT stehen. Das trinken wir dann, wenn Fortinet 3 Wochen hintereinander keine schwerwiegenden Softwarelücken hat. Haben wir bis jetzt immer wegschütten müssen, weil das Haltbarkeitsdatum abgelaufen ist :-) mal ehrlich: Fortinet als Firewall und Securityanbieter ist doch ne Witzfigur ?