Am Mittwoch 10.01.24 17:48 veröffentlichte Ivanti die Information bezüglich der Schwachstellen CVE-2024-21887 und CVE-2023-46805 in ihrem Produkt Connect Secure VPN (früher Pulse Connect VPN) [1].

Dies kam für uns zwar nicht ganz, aber doch überraschend, da wir zwar über das europäische CSIRT Netzwerk erfahren hatten, dass mit etwas zu rechnen ist, aber erst mit Donnerstag 11.01.24.
Es könnte damit in Verbindung stehen, dass der bekannte Sicherheitsforscher Kevin Beaumont auf Mastodon bereits Mittwoch 10.01.24 17:18 über Schwachstellen in diesem Produkt postete [2] . Diese Verhaltensweise ist, wenn auch interessant, nicht unbedingt optimal, weil sie eine koordinierte Schwachstellen-Kommunikation eher erschwert und im schlimmsten Fall dazu führt, dass Schadakteure ihre Spuren verwischen bevor Beweise gesammelt werden konnten.
Dies ist besonders relevant, wenn die Schwachstellen, wie in diesem Fall, bereits vor Veröffentlichung, also als 0-day, für die Kompromittierung von Geräten benutzt wurden.
Laut Berichten von Veloxity [3] und Mandiant [4] war dies seit etwa Dezember 2023 für ausgewählte Ziele bereits der Fall.

Nach der Veröffentlichung begann nun der normale Prozess für CERTs weltweit, ebenso natürlich für CERT.at ... die Verbreitung der Information über die Schwachstellen vorzubreiten beziehungsweise zu finalisieren. Die CERTs veröffentlichten und sendeten ihre Warnung aus. Unsere Warnung, die laufend aktualisiert wird, wurde Donnerstag 11.01.24 gegen Mittag ins Netz gestellt, über den freien RSS-Feed für Abonnenten zugänglich gemacht und ausgesandt [5]. Gleichzeitig wurden Besitzer im Österreichischen IP-Raum identifizierter Geräte über uns bekannte Kontakte direkt per E-Mail benachrichtigt. Letzteres kann herausfordernd sein, da bei vielen IPs ausschließlich die Kontakte der verantwortlichen Internet Service Provider (ISP) hinterlegt sind und hier die ISPs gefordert sind, die Information entsprechend weiterzuleiten, was außerhalb unseres direkten Einflussbreichs liegt. Die Zusammenarbeit mit ISPs ist sehr gut, aber man kann natürlich immer etwas verbessern.

Nachdem ab Freitag 12.01.24 immer mehr Details zur Art und Weise der Kompromittierungen und zu den Schwachstellen bekannt wurden, konnten spezifischer Geräte ausgemacht werden, die betroffen sind oder noch nicht abgesichert wurden. CERT.at hat die Besitzer beziehungsweise bekannten Kontakte laufend über unsere automatisierte Lösung IntelMQ kontaktiert.
Eine Schattenseite von immer detailreicheren Informationen bezüglich Schwachstellen, ist die folgende Entwicklung von öffentlich verfügbaren Exploits, also Ausnutzungsmöglichkeiten. Im konkreten Fall wurde am Montag 15.01.24 ein Modul für eine bekannte Penetrationtesting-Lösung Metasploit veröffentlicht [6]. Dies erlaubte nun eine breite Ausnutzung der Schwachstellen.

Nach weiterer Beobachtung der Lage beschlossen wir am Freitag 19.01.24 erneut an Betreiber von Geräten die ab Montag 15.01.24 ihre Geräte noch nicht abgesichert hatten, direkt Informationen über die Gefährdungslage auszusenden und Besitzer kompromittierter Geräte telefonisch zu kontaktieren.

Mit Montag 22.01.24 haben wir nachgefasst und die Besitzer noch verbleibender verwundbarer Systeme direkt telefonisch kontaktiert. Dies ist natürlich mit Recherche-Aufwand verbunden und führt oft nicht direkt zu relevanten Ansprechpersonen.

Der weiterführende Informationsverteilungs-Prozess könnte erheblich erleichtert werden, wenn Organisationen und Unternehmen vermehrt auf RFC 9116 setzen würden und die damit verbundene security.txt [7] mit relevanten Kontaktinformationen, wie die bereits lange benutzte robots.txt, auf ihren Internet-Seiten pflegen. Die in der security.txt enthaltenen Kontaktdaten würden den manuellen Rechercheaufwand für die telefonische und anderweitige direkte Kontaktaufnahmen stark verkürzen und bei breiter Anwendung potentiell eine Automatisierung erlauben.

Wir beobachten die Lage weiter genau und sind in intensivem Austausch mit dem europäischen CSIRT Netzwerk und unseren internationalen Partnern.

Sie hören von uns. ;)

Timeline:

Di. 09.01. Erste Infos das etwas kommt werden bekannt
Mi. 10.01. Ivanti veröffentlicht Advisory einen Tag früher als geplant [11.01.] (abends) (Mastodon Leak Kevin Beaumont)
Mi. 10.01. Volexity veröffentlicht Blog mit Webshell Details
Mi. 10.01. CISA fügt Schwachstellen zu KEV hinzu
Do. 11.01. CERT.at veröffentlicht diesbezüglich ein Warning (mittags)
Do. 11.01. 15:40 CERT.at Oneshot ausgesendet (Geräte identifiziert [potentiell verwundbare]) (86 IPs)
Fr. 12.01. Mandiant veröffentlicht Blog mit Webshell Details
Mo. 15.01. Metasploit-Modul wird veröffentlicht (breitere Ausnutzuing [Coinminer, CredentialStealer])
Mo. 15.01. Externe Partner scannen nach noch verwundbaren Systemen (18 IPs)
Di. 16.01. Externe Partner scannen nach kompromittierten Systemen (Webshells) (0 IPs)
Di. 16.01. Volexity veröffentlich Blog zu breiter Ausnutzung der Schwachstellen
Di. 16.01. CERT.at Automatisierte Aussendung über IntelMQ an weiterhin verwundbare Systeme (14 IPs)
Do. 18.01. Kompromittierung durch externen Partner detektiert (1 IP)
Do. 18.01. Eskalation der Schwachstellen im europäischen CSIRT Netzwerk
Do. 18.01. Unbekannte Webshell (WIREFIRE-Variante) durch CSIRT Netzwerk an externe Partner gemeldet
Fr. 19.01. CERT.at eskaliert Schwachstellen
Fr. 19.01. WIREFIRE-Variante wird durch externe Partner gescannt
Fr. 19.01. Anfrage anderer externer Partner auf weitere Kompromittierung in Österreich (16.01. 1 IP) - bereits mitigiert
Fr. 19.01. Direkte telefonische Kontaktaufnahme mit Besitzer weiterhin kompromittiertem System
Fr. 19.01. 15:38 Oneshot (potentiell kompromittiert, noch verwundbar ab 15.01.)
Fr. 19.01. CERT.at Update Warning
Fr. 19.01. CERT.at Automatisierte Aussendung über IntelMQ an neue verwundbare Systeme (1 IP)
Mo. 22.01. CSIRT Netzwerk Meeting bezüglich Schwachstellen
Mo. 22.01. CERT.at beginnt telefonisch Besitzer von Geräten auf IPs, die ab 15.01. und noch verwundbar waren, zu kontaktieren.
Mo. 22.01. QUOINTELLIGENCE veröffentlich Blog-Post zu WIREFIRE-Variante
Mo. 22.01. CERT.at Automatisierte Aussendung über IntelMQ an neue verwundbare Systeme (2 IP)
Di. 23.01. Weitere Beobachtung Informations-Kanäle
Di. 23.01. CERT.at Automatisierte Aussendung über IntelMQ an neue verwundbare Systeme (1 IP)
Mi. 24.01. Keine kompromittierten Geräte in Scans von externen Partner mehr in Österreich
Mi. 24.01. CERT.at Warning erneut wegen negativem Einfluss eines automatischen Konfiguration-Push auf Mitigation aktualisiert
Do. 25.01. CERT.at finalisiert Blog-Beitrag zu diesem Thema.
Do. 25.01. Verwundbare Geräte im österreichischen IP-Raum noch vorhanden. (8 IPs)

[1] https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
[2] https://cyberplace.social/@GossiTheDog/111732557100241084
[3] https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
[4] https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
[5] https://cert.at/de/warnungen/2024/1/kritische-sicherheitslucken-in-ivanti-connect-secure-und-ivanti-policy-secure-aktiv-ausgenutzt
[6] https://github.com/rapid7/metasploit-framework/pull/18708/commits/4060e069ed73927066b8a242e02d794f19251e9c
[7] https://securitytxt.org/