Am 10. Januar wurde bekannt, dass eine mutmaßlich staatlich gesteuerte, chinesische Angreifergruppierung aktuell zwei Zero-Day-Schwachstellen in der VPN-Lösung Ivanti Connect Secure (ICS) und Policy Secure ausnutzt. Dies geht aus einem Report des Cybersicherheitsunternehmens Volexity hervor. Die Schwachstellen werden mindestens seit Anfang Dezember 2023 ausgenutzt. Ein aktueller Bericht vom 15. Januar zeigt nunmehr eine erfolgreiche Infektion von mindestens 1.700 Geräten weltweit, darunter auch solche in Deutschland.
Die CISA hat ebenfalls am 10. Januar eine entsprechende Warnung veröffentlicht. Die Angreifer nutzen eine Kombination folgender Schwachstellen aus, die es ermöglichen, willkürliche Befehle auf den betroffenen Systemen auszuführen:
• CVE-2023-46805 – Authentication-Bypass
• CVE-2024-21887 – Command Injection
Nach Recherchen der Cyberabwehr des LfV BW sind Invanti Produkte bei einer mittleren dreistelligen Zahl von Entitäten alleine aus Baden-Württemberg im Einsatz. Entsprechende Patches sind aktuell noch nicht verfügbar und werden frühestens ab dem 22. Januar 2024 erwartet.
Der Hersteller Ivanti hat am 10. Januar einen vorläufigen Workaround zur Behebung der Sicherheitslücken bereitgestellt. Die Cyberabwehr des LfV BW rät Benutzern und Administratoren der entsprechenden Softwareprodukte dringend, den bereitgestellten Workaround umzusetzen.
Darüber hinaus ist es eher wahrscheinlich, dass Systeme bereits durch Angreifer unter Ausnutzung der genannten Schwachstellen infiltriert wurden. Die Cyberabwehr rät daher Administratoren zusätzlich zur Überprüfung ihrer Systeme. Der Sicherheitsdienstleister Mandiant stellt hierzu ebenfalls eine Liste mit IoCs bereit.