Darum sind die Schwachstellen in den Ivanti-Produkten so gefährlich
Im Sommer 2023 sind gleich mehrere Schwachstellen in Produkten des Unternehmens Ivanti bekanntgeworden, die auf Hunderten Servern laufen. Durch die Sicherheitslücken könnten Cyberkriminelle nicht nur Daten abgreifen, sondern auch Konfigurationsänderungen durchführen.
Im August hat die Kantonspolizei Bern bestätigt, dass eine bislang unbekannte Täterschaft Namen, Vornamen und Handynummern ihrer Mitarbeitenden abgreifen konnte - lesen Sie hier mehr dazu. Das Problem war die Geräteverwaltungssoftware Endpoint Manager Mobile (EPMM) – auch bekannt als Mobileiron. Die Lösung gehört zum US-amerikanischen Anbieter Ivanti, der nun gleich mehrere Schwachstellen in seinen Produkten einräumen muss. Wie die zu Palo Alto Networks gehörende Unit 42 zusammenfasst, kamen inzwischen weitere Schwachstellen dazu, darunter eine im Ivanti-Produkt Avalanche und eine in Sentry.
Das Schadenspotenzial dieser Sicherheitslücken scheint riesig. Man habe an die 5500 öffentlich zugängliche Server entdeckt, auf denen verschiedene Versionen der betroffenen Ivanti-Produkte installiert waren, heisst es bei Palo Alto Networks. Hunderte Server seien inzwischen aktualisiert und damit die Schwachstellen behoben worden, dennoch seien nach wie vor viele "potenziell anfällige, ganz zu schweigen von nicht unterstützten Versionen" online.
Die Sicherheitslücken in Mobileiron und Co. Ermöglichen nicht autorisierten Nutzern vollen API-Zugriff über bestimmte API-Endpunkte, wie Palo Alto weiter schreibt. Böswillige Akteure könnten mit diesem Zugriff etwa personenbezogene Daten abgreifen. Sie können aber auch administrative Aktionen wie das Erstellen neuer Konten und das Vornehmen von Konfigurationsänderungen durchführen, ohne dass dazu Anmeldeinformationen erforderlich sind.
Die Schwachstelle in Avalanche ermöglicht es zudem. Beliebigen Code auf dem anfälligen System auszuführen.
Was zu tun ist
Palo Alto Networks empfiehlt Benutzern der betroffenen Software ein Upgrade auf die neuesten Versionen, die Korrekturen für die Schwachstelle enthalten. Es sei besonders wichtig, die Topologie des Netzwerks zu überprüfen, um sicherzustellen, dass alle öffentlichen Ivanti Endpoint Manager Mobile-Dienste mit dem neuesten Patch auf dem neuesten Stand sind, ergänzt der Cybersecurity-Anbieter.
Für diejenigen, die kein Upgrade auf feste Versionen der Software durchführen können, empfehlen die Fachleute ausserdem, Vorsichtsmassnahmen zu ergreifen, um den Zugriff auf anfällige Server zu kontrollieren, und darüber nachzudenken, den Zugriff für die Öffentlichkeit einzuschränken, bis sie gepatcht werden können.
Noch ist nicht viel dazu bekannt, welche und wie viele Organisationen tatsächlich über diese Schwachstellen angegriffen wurden. Abgesehen von der Kantonspolizei Bern wurde auch die norwegische Verwaltung attackiert. Laut Medienberichten konnten die Cyberkriminellen binnen mehrerer Monate Personendaten von 12 Behörden abgreifen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
U-Blox bringt IoT ins Geschäft mit Rasenmährobotern
Mit Awareness Trainings zu mehr IT-Sicherheitsbewusstsein
Update: Google verschiebt Privacy-Sandbox auf 2025
2000-Seelen-Dorf wird zum Innovationsstandort
Schwachstelle ermöglicht Fremdzugriff bei Logins auf Android-TVs
Valtech übernimmt Kin + Carta
Qplix beruft ersten Schweiz-Chef
Update: Kapo Zürich hat russische Software zu Testzwecken genutzt
Wenn die Tribute von Panem ein Disney-Film wären
