Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)
Was ist Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)?
Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)Zwei verkettete Zero-Day-Luecken in Ivanti Connect Secure VPN-Appliances, die Ende 2023 und Anfang 2024 von mutmasslich chinesischen Spionageakteuren ausgenutzt wurden.
Im Januar 2024 veroeffentlichten Ivanti und Mandiant zwei Zero-Days in Ivanti Connect Secure und Policy Secure: CVE-2023-46805, eine Authentifizierungsumgehung im Web-Komponenten, und CVE-2024-21887, eine Command-Injection in Administrationsbereichen. Verkettet ermoeglichen sie unauthentisierte Remote-Code-Ausfuehrung auf der Appliance. Mandiant fuehrte die initiale Ausnutzung auf UNC5221 zurueck, einen mutmasslich chinesischen Spionagecluster, der Webshells und Credential-Stealer einsetzte. CISA und weitere Behoerden ordneten per Notfall-Direktive die Trennung betroffener Geraete an. Abhilfe umfasste gestaffelte Patches, Integrity Checker Tool, Werksreset kompromittierter Geraete und Rotation aller zugehoerigen Anmeldedaten und Zertifikate.
● Beispiele
- 01
UNC5221 installiert die BUSHWALK-Webshell auf einer verwundbaren Ivanti-VPN und schwenkt ins interne Netz.
- 02
Eine US-Bundesbehoerde trennt nach der CISA-Direktive ihre Ivanti-Appliances und baut sie von sauberen Medien neu auf.
● Häufige Fragen
Was ist Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)?
Zwei verkettete Zero-Day-Luecken in Ivanti Connect Secure VPN-Appliances, die Ende 2023 und Anfang 2024 von mutmasslich chinesischen Spionageakteuren ausgenutzt wurden. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)?
Zwei verkettete Zero-Day-Luecken in Ivanti Connect Secure VPN-Appliances, die Ende 2023 und Anfang 2024 von mutmasslich chinesischen Spionageakteuren ausgenutzt wurden.
Wie funktioniert Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)?
Im Januar 2024 veroeffentlichten Ivanti und Mandiant zwei Zero-Days in Ivanti Connect Secure und Policy Secure: CVE-2023-46805, eine Authentifizierungsumgehung im Web-Komponenten, und CVE-2024-21887, eine Command-Injection in Administrationsbereichen. Verkettet ermoeglichen sie unauthentisierte Remote-Code-Ausfuehrung auf der Appliance. Mandiant fuehrte die initiale Ausnutzung auf UNC5221 zurueck, einen mutmasslich chinesischen Spionagecluster, der Webshells und Credential-Stealer einsetzte. CISA und weitere Behoerden ordneten per Notfall-Direktive die Trennung betroffener Geraete an. Abhilfe umfasste gestaffelte Patches, Integrity Checker Tool, Werksreset kompromittierter Geraete und Rotation aller zugehoerigen Anmeldedaten und Zertifikate.
Wie schützt man sich gegen Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)?
Schutzmaßnahmen gegen Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Ivanti Connect Secure Zero-Days (CVE-2023-46805, CVE-2024-21887)?
Übliche alternative Bezeichnungen: Ivanti Connect Secure RCE, CVE-2024-21887-Kette.
● Verwandte Begriffe
- attacks№ 202
Command Injection
Angriff, bei dem Benutzereingaben ungefiltert an eine Betriebssystem-Shell übergeben werden und die Anwendung dadurch vom Angreifer gelieferte Befehle ausführt.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.