Ivanti Cloud Service Appliance unter Feuer
Ivanti schlägt Alarm: Eine frisch geschlossene Sicherheitslücke in der Cloud Service Appliance (CSA) wird bereits aktiv von Angreifern genutzt. Die kritische Schwachstelle, CVE-2024-8190 mit einem CVSS-Wert von 7,2, ermöglicht es Cyberkriminellen, unter bestimmten Bedingungen Schadcode aus der Ferne auszuführen.
Ivanti hat in einer Warnung mitgeteilt, dass eine Schwachstelle in den Versionen 4.6 Patch 518 und älter der Cloud Services Appliance (CSA) von Angreifern aktiv ausgenutzt wird. Konkret handelt es sich um eine Sicherheitslücke zur Befehlsinjektion in Betriebssystemen, die es einem Angreifer ermöglicht, Schadcode aus der Ferne auszuführen. Diese Angriffe sind jedoch nur möglich, wenn der Angreifer bereits authentifiziert ist und über Administratorrechte verfügt.
Details zur Schwachstelle
Die Schwachstelle betrifft die Version CSA 4.6, die inzwischen den End-of-Life-Status erreicht hat. Das bedeutet, dass sie nicht mehr regulär von Ivanti unterstützt wird. Dennoch hat Ivanti das Problem in Patch 519 für CSA 4.6 behoben – betonte allerdings, dass dies nun definitiv der letzte Patch für diese veraltete Version war. Künftig erhalten nur noch die neueren Versionen Unterstützung, weshalb betroffene Nutzer für Support nun auf CSA 5.0 umsteigen müssen. CSA 5.0 ist die einzige Version, die offiziell unterstützt wird und die fragliche Sicherheitslücke nicht enthält. Installationen, die bereits auf CSA 5.0 laufen, benötigen keine weiteren Maßnahmen.
Aktuelle Bedrohungslage
Inzwischen aktualisierte Ivanti seine Warnmeldung und bestätigte, dass die Schwachstelle bereits aktiv ausgenutzt wird. Bisher sei aber nur eine begrenzte Anzahl von Kunden betroffen. Weitere Details zu den Angriffen oder Informationen über die Identität der Bedrohungsakteure, welche die Schwachstelle ausnutzen, wurden nicht bekanntgegeben.
Allerdings ist bekannt, dass mehrere andere Sicherheitslücken in Ivanti-Produkten bereits in der Vergangenheit von chinesischen Cyber-Spionagegruppen als Zero-Day-Schwachstellen ausgenutzt wurden. Diese Gruppen nutzen Sicherheitslücken, noch bevor sie öffentlich bekannt sind oder ein Patch verfügbar ist, um gezielte Angriffe durchzuführen.
Die Bedrohung durch diese Schwachstelle hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, die Sicherheitslücke in ihren Katalog „Known Exploited Vulnerabilities“ (KEV) aufzunehmen. Dieser Katalog listet Schwachstellen auf, die aktiv von Angreifern ausgenutzt werden. Infolgedessen sind alle Bundesbehörden in den USA dazu verpflichtet, die erforderlichen Sicherheitsupdates bis zum 4. Oktober 2024 zu installieren, um ihre Systeme zu schützen.
Weitere Entdeckungen
Zusätzlich zur Schwachstelle in der CSA hat das Cybersicherheitsunternehmen Horizon3.ai eine detaillierte technische Analyse einer weiteren kritischen Schwachstelle veröffentlicht. Diese Schwachstelle, CVE-2024-29847 mit einem CVSS-Wert von 10,0, betrifft den Endpoint Manager (EPM) von Ivanti und ermöglicht ebenfalls die Ausführung von Schadcode aus der Ferne. Diese Schwachstelle wird als besonders gefährlich eingestuft, da sie potenziell komplette Systemkontrolle durch Angreifer ermöglicht.