In der Cybersecurity-Landschaft zeichnet sich eine besorgniserregende Entwicklung ab: Zwei kritische Sicherheitslücken in Produkten des renommierten Softwareherstellers Ivanti sorgen für Aufsehen. Besonders alarmierend ist die Veröffentlichung eines Proof-of-Concept (PoC) Exploits für die Schwachstelle CVE-2024-29847 im Ivanti Endpoint Manager sowie die Meldung aktiver Angriffe auf eine weitere Schwachstelle in der Ivanti Cloud Services Appliance (CSA).
CVE-2024-29847: Eine gefährliche Deserialisierungslücke
Die Schwachstelle CVE-2024-29847 betrifft Versionen des Ivanti Endpoint Manager bis einschließlich 2022 SU6 und EPM 2024. Sie wurde am 10. September 2024 durch ein Sicherheitsupdate behoben. Der Kern des Problems liegt in einer unsicheren Deserialisierung im ausführbaren Programm AgentPortal.exe, genauer gesagt in der OnStart-Methode des Dienstes und der Verwendung des veralteten Microsoft .NET Remoting-Frameworks für die Kommunikation zwischen entfernten Objekten.
Der Sicherheitsforscher Sina Kheirkhah, der die Schwachstelle entdeckte und über die Zero Day Initiative meldete, erklärt den Angriffsvektor: „Der Dienst registriert einen TCP-Kanal mit dynamisch zugewiesenen Ports ohne angemessenen Schutz. Dies ermöglicht es einem entfernten Angreifer, bösartige Objekte einzuschleusen und letztendlich Dateioperationen auf dem Server durchzuführen, einschließlich des Schreibens von Webshells, die beliebigen Code ausführen können.“
Umgehung von Sicherheitsmechanismen
Kheirkhah weist darauf hin, dass ein Low-Type-Filter die Möglichkeiten der Objektdeserialisierung einschränken kann. Allerdings lässt sich dieser Schutzmechanismus mit einer von James Forshaw beschriebenen Technik umgehen, was die Schwachstelle besonders gefährlich macht.
CVE-2024-8190: Aktive Angriffe auf Cloud Services Appliance
Parallel dazu warnte Ivanti vor aktiven Angriffen auf eine weitere kürzlich entdeckte Schwachstelle (CVE-2024-8190) in ihrem Produkt Cloud Services Appliance. Diese Sicherheitslücke ermöglicht es authentifizierten Angreifern mit Administratorrechten, durch Befehlseinschleusung beliebigen Code auf anfälligen Geräten auszuführen, die CSA 4.6 oder frühere Versionen verwenden.
Obwohl Ivanti einen Patch (CSA 4.6 Patch 519) veröffentlicht hat, empfiehlt das Unternehmen seinen Kunden dringend, von der nicht mehr unterstützten Version CSA 4.6.x auf die aktuellere und noch unterstützte Version CSA 5.0 zu migrieren. Zusätzlich wird betont, dass die Verwendung von Dual-Homed CSA-Konfigurationen mit ETH-0 als internes Netzwerk das Risiko einer erfolgreichen Ausnutzung dieser Schwachstelle erheblich reduziert.
Die Häufung kritischer Sicherheitslücken in Ivanti-Produkten unterstreicht die Notwendigkeit für Unternehmen, ihre Cybersicherheitsmaßnahmen kontinuierlich zu überprüfen und zu aktualisieren. Es ist von entscheidender Bedeutung, dass Organisationen zeitnah Sicherheitsupdates einspielen, ihre Netzwerkkonfigurationen überprüfen und proaktive Schutzmaßnahmen implementieren. Nur so können sie sich vor den zunehmend raffinierten Cyberangriffen schützen, die solche Schwachstellen ausnutzen. Die Cybersicherheitsgemeinschaft wird die Entwicklung dieser Situation aufmerksam verfolgen und weitere Empfehlungen zur Risikominimierung bereitstellen.