Hinweis vom 14. Februar: Kritische Sicherheitslücken in Ivanti Connect Secure, Policy Secure und CSA [CVE-2025-22467 & 3 weitere]

Datum der Offenlegung (Quelle): Februar 11, 2025

Am 11. Februar 2025 wurden mehrere Sicherheitslücken in Ivanti Connect Secure, Ivanti Policy Secure und Ivanti Cloud Services Appliance (CSA) entdeckt. Ivanti hat insgesamt zehn Sicherheitslücken bekannt gegeben, acht davon in seinem Februar-Sicherheitshinweis und zwei in ihrem CSA-Sicherheitshinweis. Von den zehn neu identifizierten Schwachstellen erhielten vier CVSS-Scores von 9.1 oder höher (kritischer Schweregrad).

Aufschlüsselung der kritischen Schwachstellen: 

• CVE-2025-22467 ist eine stapelbasierte Überlaufschwachstelle, die Ivanti Connect Secure vor Version 22.7R2.6 betrifft und einen CVSS-Score von 9.9 hat. Bei erfolgreicher Ausnutzung kann ein entfernter, authentifizierter Angreifer Remotecodeausführung (RCE) erreichen. 
• CVE-2024-38657 und CVE-2024-10644 sind kritische Sicherheitslücken, die Ivanti Connect Secure (vor Version 22.7R2.4) und Policy Secure (vor Version 22.7R1.3) betreffen und beide einen CVSS-Score von 9.1 erhalten haben.
  • CVE-2024-38657 kann einem entfernten authentifizierten Angreifer mit administrativen Rechten erlauben, beliebige Dateien zu schreiben, wenn dies ausgenutzt wird.
  • CVE-2024-10644 kann es einem entfernten authentifizierten Angreifer mit administrativen Rechten ermöglichen, einen RCE zu erreichen, wenn dieser ausgenutzt wird. 
• CVE-2024-47908 ist eine kritische Sicherheitslücke, die die Admin-Webkonsole der Ivanti Cloud Services Appliance (CSA) vor Version 5.0.5 betrifft und einen CVSS-Score von 9.1 hat. Bei erfolgreicher Ausnutzung kann ein entfernter, authentifizierter Angreifer mit administrativen Rechten Remotecodeausführung (RCE) erreichen.
  

Interessant ist, dass für alle diese Sicherheitslücken eine Authentifizierung erforderlich ist und alle bis auf eine administrative Rechte erfordern. Dies stellt eine erhebliche Hürde für die erfolgreiche Ausnutzung dieser Schwachstellen dar, verglichen mit Schwachstellen, die eine unauthentifizierte Ausnutzung ermöglichen. Trotzdem wurden alle diese Schwachstellen von Ivanti mit einem kritischen Schweregrad bewertet. 

Der Hersteller hat erklärt, dass ihm nicht bekannt ist, dass eine dieser Schwachstellen aktiv ausgenutzt wird, obwohl die Schwachstellen von Ivanti in der Vergangenheit immer wieder Ziel von Angriffen waren. 

Mit Stand vom 12. Februar 2025 gibt es 16 Ivanti-Schwachstellen, darunter sieben davon sieben im vergangenen Jahr, die im CISA-Katalog "Known Exploited Vulnerabilities" (Bekannte ausgenutzte Sicherheitslücken) aufgeführt sind und eines oder mehrere der folgenden Produkte betreffen:

• Ivanti Pulse Secure (umbenannt in Ivanti Connect Secure im Jahr 2020)
• Ivanti Connect Sicher 
• Ivanti-Politik Sicher 
• Ivanti Cloud-Dienste-Anwendung 

In Anbetracht des Schweregrads dieser Schwachstellen und der Tatsache, dass Ivanti in der Vergangenheit als Zielscheibe diente, sollten Unternehmen die in den Herstellerhinweisen beschriebenen Patches und Abhilfemaßnahmen schnellstmöglich anwenden. 

Feld	Einzelheiten
CVE-ID	CVE-2025-22467 - CVSS 9.9 (kritisch) - zugewiesen von Ivanti CVE-2024-10644 - CVSS 9.1 (kritisch) - zugewiesen von Ivanti CVE-2024-38657 - CVSS 9.1 (kritisch) - zugewiesen von Ivanti CVE-2024-47908 - CVSS 9.1 (kritisch) - zugewiesen von Ivanti
Schwachstelle Beschreibung	CVE-2025-22467 - a Stapel-basierter Pufferüberlauf Sicherheitslücke, die es einem entfernten, authentifizierten Angreifer ermöglicht, die RCE. CVE-2024-10644 - a Code-Injektion Sicherheitslücke, die es einem entfernten, authentifizierten Angreifer mit Admin-Rechten ermöglicht, die RCE. CVE-2024-38657 - externe Kontrolle eines Dateinamense in Ivanti Connect Secure, die es einem authentifizierten Angreifer mit administrativen Rechten ermöglicht beliebige Dateien schreiben. CVE-2024-47908 - eine OS-Befehlsinjektion Schwachstelle in der Admin-Webkonsole von Ivanti CSA, die es einem entfernten, authentifizierten Angreifer mit Administratorrechten ermöglicht, eine RCE.
Datum der Offenlegung	Diese Schwachstellen wurden von Ivanti am 11. Februar 2025 in ihrem Februar-Sicherheitshinweis und in einem Sicherheitshinweis für Ivanti CSA.
Betroffene Vermögenswerte	CVE-2025-22467 betrifft Ivanti Connect Secure. CVE-2024-38657 und CVE-2024-10644 betreffen Ivanti Connect Secure und Policy Secure. CVE-2024-47908 betrifft die Admin-Web-Konsole von Ivanti CSA.
Anfällige Software-Versionen	Ivanti Connect Secure vor Version 22.7R2.6 (CVE-2025-22467). Ivanti Connect Secure vor der Version 22.7R2.4 und Policy Secure vor der Version 22.7R1.3 (CVE-2024-38657 & CVE-2024-10644). Ivanti CSA vor Version 5.0.5. (CVE-2024-47908)
PoC verfügbar?	Zum Zeitpunkt der Erstellung dieses Berichts waren keine öffentlichen Exploits für diese Sicherheitslücken verfügbar.
Verwertungsstatus	Wir haben keine dieser Schwachstellen auf der CISA-Liste der bekannten Sicherheitslücken entdeckt, und Ivanti gab an, dass ihnen keine aktive Ausnutzung bekannt ist.
Patch-Status	Diese Sicherheitslücken wurden von Ivanti behoben und gepatcht. Siehe deren Februar-Sicherheitshinweis und CSA-Sicherheitshinweis für weitere Anweisungen.

Censys Blickwinkel

Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 33,232 exponierte Ivanti Connect Secure und Ivanti CSA Instanzen online. Ein großer Teil davon (28%) sind in den Vereinigten Staaten angesiedelt. Beachten Sie, dass nicht alle beobachteten Instanzen zwangsläufig verwundbar sind, da wir nicht immer spezifische Versionen zur Verfügung haben.

We did, however, see 14,574 instances of Ivanti Connect Secure exposing a version that may indicate vulnerability to CVE-2025-22467 (versions < 22.7R2.6) and CVE-2024-38657/CVE-2024-10644 (versions < 22.7R2.4). See the table below for the versions we saw most frequently exposed. 

Version	Host-Zahl
9.1.18	10106
9.1.14	919
22.3.17	711
8.3.7	497
9.1.11	249
9.1.15	194
22.2.16	142
8.1.15	126
9.1.12	120
9.1.13	118

Es gibt eine große Anzahl von Versionen, die mit 9.X und 8.XVersionen von Ivanti Connect Secure (früher bekannt als Pulse Connect Secure), die das Ende ihrer Entwicklungs- und Supportzeit erreicht haben. Ivanti hat seinen Kunden dringend empfohlen, diese Instanzen auf Ivanti Connect Secure 22.7 zu aktualisieren, um von den neuen Sicherheitsupdates und Funktionen zu profitieren.

Karte der exponierten Ivanti Connect Secure und CSA Instanzen

Censys Search Abfrage:

services.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not labels: {honeypot, tarpit}

Censys abfragen:

(host.services.software: (vendor:"Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not host.labels.value: {"HONEYPOT", "TARPIT"}) or (web.software: (vendor:"Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not web.labels.value: {"HONEYPOT", "TARPIT"})

Censys ASM-Abfrage:

(host.services.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) or web_entity.instances.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"})) and not host.labels: {honeypot, tarpit}

Censys ASM Risikoabfrage [CVE-2024-10644 & CVE-2024-38657]:

risks.name = "Vulnerable Ivanti Connect Secure Application [CVE-2024-10644 & CVE-2024-38657]"

Censys ASM Risikoabfrage [CVE-2025-22467]:

risks.name = "Vulnerable Ivanti Connect Secure Application [CVE-2025-22467]"

Referenzen

• Februar-Sicherheitshinweis Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC) (mehrere CVEs)
• Sicherheitshinweis Ivanti Cloud Services Application (CSA) (CVE-2024-47908, CVE-2024-11771)
• CVE-2025-22467 NVD-Hinweis
• CVE-2024-10644 NVD-Hinweis
• CVE-2024-47908 NVD-Hinweis