CISA warnt: Kritische Ivanti vTM-Schwachstelle wird aktiv ausgenutzt
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine kritische Schwachstelle im Ivanti Virtual Traffic Manager (vTM) in ihren Katalog bekannter und aktiv ausgenutzter Sicherheitslücken (Known Exploited Vulnerabilities, KEV) aufgenommen.
Die Schwachstelle mit der Bezeichnung CVE-2024-7593, die einen CVSS-Schweregrad von 9.8 (von maximal 10) aufweist, kann von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden. Dadurch ist es möglich, die Authentifizierung im Admin-Panel zu umgehen und bösartige administrative Benutzerkonten zu erstellen, die volle Kontrolle über das System erhalten.
CISA beschreibt die Schwachstelle als besonders gefährlich, da sie Angreifern ermöglicht, sich ohne gültige Zugangsdaten Zugriff auf hochsensible administrative Funktionen zu verschaffen. Dies bedeutet, dass Angreifer in der Lage sind, das System zu kompromittieren, ohne eine direkte Interaktion mit den Administratoren zu benötigen. Solche Angriffe können gravierende Auswirkungen auf die betroffenen Netzwerke und Systeme haben, insbesondere bei staatlichen und Unternehmensnetzwerken.
Ivanti hat das Problem bereits im August 2024 mit den vTM-Versionen 22.2R1, 22.3R3, 22.5R2, 22.6R2 und 22.7R2 behoben. Trotz dieser Korrekturen gibt es jedoch Berichte über die aktive Ausnutzung dieser Schwachstelle, was darauf hinweist, dass viele Systeme noch nicht aktualisiert wurden oder immer noch anfällig sind.
CISA machte keine genauen Angaben darüber, wie die Schwachstelle in realen Angriffen ausgenutzt wird, oder welche Akteure dahinterstecken könnten. Es wurde jedoch von Ivanti bekanntgegeben, dass ein Proof-of-Concept (PoC) bereits öffentlich verfügbar ist, was die Wahrscheinlichkeit von Missbrauch durch böswillige Akteure erhöht.
Bundesbehörden, die zur zivilen Exekutive (Federal Civilian Executive Branch, FCEB) gehören, sind nun verpflichtet, die Sicherheitslücke bis zum 15. Oktober 2024 zu beheben, um sicherzustellen, dass ihre Netzwerke und Systeme vor möglichen Angriffen geschützt sind. Dieses Datum ist Teil der von CISA vorgegebenen Frist, um Sicherheitslücken zeitnah zu schließen und weitere Vorfälle zu verhindern.
In den letzten Monaten gab es mehrere Fälle, in denen Schwachstellen in Ivanti-Geräten aktiv ausgenutzt wurden. Dazu gehören die Sicherheitslücken CVE-2024-8190 und CVE-2024-8963, die ebenfalls Angriffe auf Systeme ermöglichten. Trotz der durchgeführten Patches bestätigte Ivanti, dass eine „begrenzte Anzahl von Kunden“ von beiden Schwachstellen betroffen war, was die Ernsthaftigkeit der Situation unterstreicht.
Daten des Sicherheitsforschungsunternehmens Censys zeigen, dass am 23. September 2024 weltweit noch 2.017 Ivanti Cloud Service Appliance (CSA) Instanzen online waren, die meisten davon in den Vereinigten Staaten. Es ist derzeit nicht bekannt, wie viele davon tatsächlich anfällig sind, aber es ist davon auszugehen, dass es nach wie vor viele potenziell anfällige Systeme gibt.
Diese jüngste Sicherheitslücke ist Teil einer wachsenden Reihe von Bedrohungen, die auf IT-Infrastrukturen abzielen, und zeigt, wie wichtig es ist, dass Organisationen ihre Systeme regelmäßig aktualisieren und überwachen, um derartige Schwachstellen zu beheben und weitere Angriffe zu verhindern.
Weitere Artikel zum Thema: