Schwachstellen
Palo Alto Networks warnt vor mehreren Sicherheitslücken in Ivanti Endpoint Manager Mobile
Zero-Day-Schwachstelle ermöglicht nicht authentifiziertem API-Zugriff
Unit 42, das Forschungsteam von Palo Alto Networks, warnt in seinem jüngsten Threat Brief vor mehreren Sicherheitslücken in Ivanti Endpoint Manager Mobile (EPMM). Am 24. Juli 2023 veröffentlichte Ivanti EPMM, früher bekannt als MobileIron Core, Details zu einer Zero-Day-Schwachstelle mit nicht authentifiziertem API-Zugriff. CVE-2023-35078 betrifft die Versionen 11.10, 11.9 und 11.8 von Ivanti EPMM, aber auch ältere Versionen sind von einer möglichen Ausnutzung bedroht. Im aktuellen Bericht präsentiert Unit 42 die neuesten Erkenntnisse zu dieser Bedrohung.
Mit Stand vom 24. Juli hat die Cortex Xpanse-Datenanalyse für das Angriffsflächenmanagement ergeben, dass in insgesamt 85 Ländern über 5.500 IEMM-Server in verschiedenen Versionen im Internet öffentlich zugänglich sind. Die regionalen Statistiken dieses Scans zeigen, dass über 80 Prozent dieser Server in westlichen Ländern stehen und sich auf mehrere Bereiche und Branchen erstrecken. Hierzu zählen Regierungsbehörden, das Gesundheitswesen, Anwaltskanzleien, Universitäten, Finanzinstitute, Wohltätigkeitsorganisationen und der Einzelhandel.
Die meisten Angriffe in Deutschland festgestellt
In Deutschland und den USA waren es zu diesem Zeitpunkt jeweils über 1.000 Server. Die mit Abstand meisten Angriffe haben die Bedrohungsforscher in Deutschland festgestellt, gefolgt von den USA und Großbritannien. Angesichts der Anzahl der potenziell gefährdeten Server im Internet, auf denen diese Software läuft, ist es sehr wahrscheinlich, dass viele Institutionen oder Unternehmen in verschiedenen Ländern zum Angriffsziel werden könnten oder bereits geworden sind. Open-Source-Berichte deuten darauf hin, dass erste Angriffe höchstwahrscheinlich stattfanden, bevor Ivanti von der Sicherheitslücke wusste.
Diese Schwachstelle ermöglicht nicht authentifizierten Benutzern den vollständigen API-Zugriff über bestimmte API-Endpunkte. Laut CISA Advisory können Angreifer dabei ohne Zugangsdaten personenbezogene Daten extrahieren und administrative Aktionen durchführen, wie das Anlegen neuer Konten und das Vornehmen von Konfigurationsänderungen. Angesichts der globalen Reichweite dieses Vorfalls und der Tatsache, dass die Sicherheitslücke bereits in freier Wildbahn ausgenutzt wurde, sollten Unternehmen die Schwachstellen in ihrem Netzwerk untersuchen und so schnell wie möglich mit den von Ivanti bereitgestellten Produkt-Upgrades beheben.
Weitere Sicherheitslücke in Ivanti EPMM entdeckt
Seit der Entdeckung der kritischen Sicherheitslücke CVE-2023-35078 folgte die Meldung einer weiteren Sicherheitslücke mit einer hohen CVSS-Einstufung in Ivanti Endpoint Manager Mobile. Bei CVE-2023-35081 handelt es sich um eine Remote-File-Write-Schwachstelle, bei der ein authentifizierter Administrator Dateien auf den kompromittierten Server schreiben muss, die zusätzliche Nutzdaten enthalten können, um weiteren Zugriff zu ermöglichen.
Die jüngste Nachricht über eine weitere Schwachstelle in der Ivanti EPMM-Anwendung kam kurz nach der Veröffentlichung der ursprünglichen Schwachstelle. Ähnliches war bereits bei der MOVEit-Schwachstelle in den letzten Monaten zu beobachten. So wird die Aufmerksamkeit von Sicherheitsforschern, Angreifern und Softwareanbietern aus unterschiedlichen Motivationen auf zusätzliche Schwachstellen gelenkt, sobald eine bedeutende Schwachstelle in einer Software identifiziert wurde.
Empfehlungen von Unit 42
Unit 42 empfiehlt den Nutzern der betroffenen Software ein Upgrade auf die neuesten Versionen, die Korrekturen für diese Sicherheitslücken enthalten. Es ist besonders wichtig, dass Administratoren ihre Netzwerktopologie überprüfen, um sicherzustellen, dass alle öffentlich zugänglichen Ivanti EPMM-Dienste mit dem neuesten Patch aktualisiert sind. Ist eine Aktualisierung auf die korrigierten Versionen der Software nicht möglich, empfiehlt Unit 42 außerdem, Vorsichtsmaßnahmen zu ergreifen, um den Zugang zu den anfälligen Servern zu kontrollieren und den öffentlichen Zugang einzuschränken, bis sie gepatcht werden können.