Michael Matzke Der Hersteller Ivanti hat mehrere Schwachstellen in seinen Produkten Ivanti Connect Secure (ehemals Pulse Connect Secure) und Ivanti Policy Secure Gateways entdeckt. Diese können bei Ausnutzung zu einer Reihe von Sicherheitsproblemen führen. Durch die Verkettung dieser beiden Schwachstellen kann ein raffinierter Angriff die Authentifizierung auf Ivanti Connect Secure- und Ivanti Policy Secure-Gateways umgehen, um bösartige Anfragen zu erstellen und beliebige Befehle auszuführen.
+Update+
15.03.2024
Was gibt’s Neues?
Ivanti hat in Zusammenarbeit mit dem IT-Sicherheitsunternehmen Mandiant eine optimierte Version des Integrity Checking Tools (ICT) veröffentlicht.
Die neue Erweiterung des ICT bietet u.a. eine zusätzliche Transparenz für die Appliance der Kunden und alle auf dem System befindlichen Dateien.
Mit der neuen ICT-Version erfordert es keinen zusätzlichen Ivanti-Support mehr, um die Snapshots zu entschlüsseln. Wenn neue und/oder geänderte Dateien gefunden werden, stellt das externe ICT Ivanti-Kunden nun einen unverschlüsselten Snapshot zur eigenen Überprüfung zur Verfügung. Die Forensik-Spezialisten können dann direkt in die Analyse einsteigen.
Ivanti empfiehlt Ihnen, die folgenden Maßnahmen zu ergreifen:
- Für Kunden, die bereits einen erfolgreichen Factory-Reset durchgeführt und ihre Appliance(s) gepatcht haben, besteht die einzige Maßnahme darin, weiterhin die interne und aktualisierte externe ICT zusammen mit der kontinuierlichen Überwachung auszuführen.
- Für Kunden, die virtuelle Appliances verwenden und bisher keinen Factory-Reset durchgeführt haben, empfiehlt Ivanti nun, auf einen Factory-Reset zu verzichten und stattdessen ein neues Build von Ivanti Connect Secure einzusetzen. Hintergrund ist, dass das Zurücksetzen auf die Werkseinstellungen bei virtuellen Appliances nicht immer erfolgreich war, weshalb Ivanti die empfohlenen Anweisungen aktualisiert hat.
Auch hier gilt: Wenn Sie zuvor die Anweisungen von Ivanti befolgt und einen sauberen ICT-Scan durchgeführt haben, müssen Sie keine zusätzlichen Werksrückstellungen durchführen oder ein neues Build (für virtuelle Appliances) bereitstellen.
Bitte lesen Sie zusätzlich die nachfolgend aufgeführten Artikel sorgsam durch:
+Update 15.03.2024+
Ivanti wird diese Dokumente weiterhin aktualisieren, sobald neue Informationen verfügbar sind.
Ausführliche Informationen könne Sie auch im Blog der Firma Mandiant nachlesen: https://www.mandiant.com/resources/blog/investigating-ivanti-exploitation-persistence
Unterstützung benötigt?
Wir empfehlen Ihnen, sich direkt mit dem IT-Partner Ihres Vertrauens in Verbindung zu setzen.