Globale Auswirkungen (zum Zeitpunkt der Verbreitung)
- 23.240 öffentlich zugängliche Connect Secure-Hosts weltweit
- 100 dieser Hosts verfügen über ICS/SCADA-Funktionen
- 120+ dieser Hosts verfügen über Datenbankfunktionen
Die am stärksten betroffenen Länder:
1. USA
2. Japan
3. Deutschland
4. GROSSBRITANNIEN
5. Frankreich
Zusammenfassung
Censys ist bekannt, dass Ivanti am 2. April 2024 die folgenden vier Sicherheitslücken veröffentlicht hat, die "alle unterstützten Versionen" seiner Connect Secure- und zugehörigen Policy Secure-Produkte betreffen:
CVE-2024-21894 (Heap-Überlauf)
CVE-2024-22052 (Null-Zeiger-Dereferenz)
CVE-2024-22053 (Heap-Überlauf)
CVE-2024-22023 (XML-Entitätserweiterung oder XXE).
Asset-Beschreibungen
Connect Secure ist eine "VPN-Lösung für Remote- und mobile Benutzer, die von jedem webfähigen Gerät aus auf Unternehmensressourcen zugreifen."
Policy Secure "(IPS) ist eine Network Access Control (NAC)-Lösung, die den Netzwerkzugang nur für autorisierte und gesicherte Benutzer und Geräte ermöglicht."
Aufprall
Die kombinierten oder sogar separaten Auswirkungen der Ausnutzung der folgenden Schwachstellen durch Angreifer würden wahrscheinlich die sicheren Fernzugriffsfunktionen eines Kundenunternehmens über Connect Secure stören und Probleme für Mitarbeiter verursachen, die über das Produkt Policy Secure auf Unternehmensdienste zugreifen. Das Ausmaß der Auswirkungen solcher Angriffe würde davon abhängen, wie stark sich eine Organisation bei anderen Anlagen und Vorgängen in ihrem Unternehmen auf diese beiden Produkte verlässt.
Die Heap-Overflow-Schwachstelle von CVE-2024-21894 ermöglicht es einem nicht authentifizierten Angreifer, Anfragen zu senden, um die Assets zum Absturz zu bringen und dadurch einen DoS-Angriff auszulösen, der auch zur Ausführung von beliebigem Code führen kann.
Die Null-Zeiger-Dereferenz-Schwachstelle von CVE-2024-22052 ermöglicht es einem nicht authentifizierten Angreifer, den gleichen DoS-Angriff zu versuchen.
Die Heap-Overflow-Schwachstelle von CVE-2024-22053 ermöglicht es einem nicht authentifizierten Angreifer, den gleichen DoS-Angriff zu versuchen oder unter bestimmten Bedingungen Inhalte aus dem Speicher zu lesen.
Die Schwachstelle in der XML-Entitätserweiterung von CVE-2024-22023 ermöglicht es einem nicht authentifizierten Angreifer, eine vorübergehende Erschöpfung der Ressourcen herbeizuführen, was zu einem zeitlich begrenzten DoS führt.
Betroffene Vermögenswerte
Laut Ivanti betrifft dieses Problem alle unterstützten Versionen von Connect Secure und Policy Secure Gateways - "Version 9.x und 22.x."
CensysDasRapid Response Team war in der Lage, Ivanti Connect Secure-Assetszu identifizieren. Da es sich bei den Ivanti Policy Secure-Assets um Assets handelt, die mit Connect Secure-Assets hinter den Netzwerkperimetern arbeiten, empfiehlt Censys , intern nach diesen Assets zu suchen. Nachfolgend finden Sie Abfragen, die Connect Secure-Anlagen, die öffentlich zugänglich sind, von den oben genannten Schwachstellen betroffen sind und kürzlich von unseren Scans beobachtet wurden, genau aufdecken.
Censys ASM-Risikobezeichnung für potenziell gefährdete Geräte
"Anfällige Ivanti Connect Secure-Anwendung [CVE-2024-21894, CVE-2024-22052, CVE-2024-22053, CVE-2024-22023]"
Censys ASM-Kunden sehen, dass dieses Risiko auf betroffene Geräte in ihren Arbeitsbereichen angewendet wird. Diejenigen, die sich für Rapid Response Automated Risk Alerting angemeldet haben, werden bezüglich der betroffenen Anlagen direkt kontaktiert.
Censys ASM-Abfrage für exponierte Assets.
Diese Abfrage wird für Kunden freigegeben, die die Versionierung für benutzerdefinierte Vorgänge verfeinern oder ändern möchten.
Censys Search Abfrage
services.software: (Hersteller: "Ivanti" und Produkt: "Connect Secure")
Empfehlungen für die Behebung
von Ivanti: "Für alle unterstützten Produktversionen ist ab sofort ein Patch über das Standard-Download-Portal verfügbar.Wir empfehlen unseren Kunden dringend, sofort zu handeln, um sicherzustellen, dass sie vollständig geschützt sind.
Patch-Versionen:
Ivanti Connect Secure: 22.1R6.2, 22.2R4.2, 22.3R1.2, 22.4R1.2, 22.4R2.4, 22.5R1.3, 22.5R2.4, 22.6R2.3, 9.1R14.6, 9.1R15.4, 9.1R16.4, 9.1R17.4 und 9.1R18.5.
Ivanti Policy Secure: 22.4R1.2, 22.5R1.3, 22.6R1.2, 9.1R16.4, 9.1R17.4 und 9.1R18.5."
Wenn Sie Hilfe bei der eindeutigen Identifizierung dieser Vermögenswerte benötigen, lassen Sie es uns bitte wissen.
