Ivanti warnt vor neuer Auth Bypass-Schwachstelle
Ivanti hat seine Kunden vor einer weiteren hochgradigen Sicherheitslücke in seinen Connect Secure-, Policy Secure- und ZTA-Gateway-Geräten gewarnt. Angreifer könnten durch ihre Ausnutzung möglicherweise die Authentifizierung umgehen. Die Schwachstelle wird unter der Bezeichnung CVE-2024-22024 geführt und wird im CVSS-Scoring-System mit 8,3 von 10 Punkten bewertet.
In einem aktuellen Hinweis warnt das Unternehmen vor einer XML External Entity (XXE) Schwachstelle in der SAML-Komponente von Ivanti Connect Secure (Versionen 9.x, 22.x), Ivanti Policy Secure (Versionen 9.x, 22.x) und ZTA-Gateways. Diese Schwachstelle erlaubt es einem Angreifer, auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen.
Die Sicherheitslücke wurde während einer internen Überprüfung entdeckt, die im Rahmen einer fortlaufenden Untersuchung von mehreren Sicherheitsproblemen in den Produkten durchgeführt wurde, die seit Jahresbeginn bekannt geworden sind. Zu den betroffenen Schwachstellen gehören CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 und CVE-2024-21893.
CVE-2024-22024 betrifft die folgenden Versionen der Produkte:
- Ivanti Connect Secure (Versionen 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 und 22.5R1.1)
- Ivanti Policy Secure (Version 22.5R1.1)
- ZTA (Version 22.6R1.3)
Patches für diese Sicherheitslücke sind in den folgenden Versionen verfügbar:
- Connect Secure Versionen 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 und 22.6R2.2
- Policy Secure Versionen 9.1R17.3, 9.1R18.4 und 22.5R1.2
- ZTA Versionen 22.5R1.6, 22.6R1.5 und 22.6R1.7
Obwohl Ivanti keine Hinweise auf aktive Ausnutzung der Schwachstelle hat, ist es aufgrund der breiten Missbrauchsgefahr bei den Schwachstellen CVE-2023-46805, CVE-2024-21887 und CVE-2024-21893 dringend erforderlich, dass Benutzer schnellstmöglich die neuesten Fixes anwenden.
Die Cybersicherheitsfirma watchTowr hat erklärt, dass sie Ivanti Anfang Februar 2024 über CVE-2024-22024 informiert hat. Das Problem resultiert pikanterweise aus einem fehlerhaften Patch, mit dem eine andere Schwachstelle – CVE-2024-21893 – behoben wurde. Dementsprechend wurde die aktuelle Schwachstelle erst mit der neuesten Version der Software eingeführt.
„XXE kann eine Reihe von Problemen nach sich ziehen: DOS, lokales Dateilesen und SSRF (Server-Side Request Forgery – also etwa Serverseitige Anforderungsfälschung; d. Red.)“, heißt es vom Unternehmen. „Die konkrete Auswirkung des SSRF hängt natürlich davon ab, welche Protokolle für die Nutzung verfügbar sind.“