Am 16. Januar veröffentlichten wir einen Sicherheitshinweis zu kritischen Sicherheitslücken in Ivanti VPN-Produkten, die durch mutmaßlich staatlich gesteuerte, chinesische Akteure aktiv ausgenutzt werden.
Am 31. Januar veröffentliche der Hersteller Ivanti einen Patch für zwei neu entdeckte Zero-Day-Schwachstellen in deren VPN-Produkten. Hierbei handelt es sich um die Schwachstellen CVE-2024-21888 sowie CVE-2024-21893, die mit einem CVSS-Score von 8.2 bzw. 8.8 ebenfalls als hoch eingestuft werden. Die Schwachstellen erlauben Angreifern privilegierte Zugriffsrechte sowie den Zugriff auf geschützte Ressourcen ohne vorherige Authentifizierung.
Der Sicherheitsdienstleister Mandiant veröffentliche hierzu ebenfalls einen Blog-Beitrag mit detaillierten Informationen zum Vorgehen der Angreifer sowie entsprechenden IoC und Maßnahmen zur Mitigation. Bei den aktuellen Analysen wurde zudem neue Malware festgestellt, die wahrscheinlich durch mehrere Angreifergruppierungen genutzt wird.
Nach unseren Recherchen sind in Baden-Württemberg eine zweistellige Zahl von Geräten potentiell von den aktuellen Sicherheitslücken betroffen. Deutschlandweit beläuft sich die Zahl auf ca. 1.500 Geräte.
Für die im Januar veröffentlichen Schwachstellen wurden bereits öffentliche Exploits festgestellt, die wahrscheinlich von einer Vielzahl von Akteuren ausgenutzt werden. Wir raten daher potentiell Betroffenen dringend, die bereitgestellten Patches des Herstellers einzuspielen und die eigenen Systeme anhand der IoC auf mögliche Infektionen hin zu prüfen.