Aktualisiert mit Informationen zur Empfehlung vom 29. Februar von CISA, die technische Erkenntnisse aus dem CISA-Labor enthält, die weder in der freien Wildbahn beobachtet wurden noch als in einer Live-Kundenumgebung möglich erachtet werden. CISA und die anderen Regierungsbehörden empfehlen Verteidigern, das am 27. Februar aktualisierte externe Integrity Checker Tool (ICT) von Ivanti auszuführen.

Im Rahmen unserer umfassenden Untersuchung des jüngsten Angriffs auf unsere Kunden haben Ivanti und Mandiant heute Erkenntnisse über sich entwickelnde Taktiken, Techniken und Verfahren (TTPs) von Bedrohungsakteuren veröffentlicht. Diese Erkenntnisse wurden bei der laufenden Analyse der zuvor offengelegten Schwachstellen identifiziert, die Ivanti Connect Secure, Policy Secure und ZTA Gateways betreffen, und umfassen potenzielle Persistenztechniken, die wir überwachen, obwohl sie bislang nicht erfolgreich in der freien Wildbahn eingesetzt wurden.

Wichtig: Dies ist keine neue CVE, und wir und unsere Sicherheits- und Regierungspartner sind nicht über Fälle erfolgreicher Bedrohungsakteur-Persistenz nach der Implementierung von Sicherheitsupdates und Werksresets informiert. Angesichts der aggressiven Natur des Angriffs veröffentlichen wir jedoch relevante Informationen an Kunden, damit diese Maßnahmen zur Überwachung und zum weiteren Schutz gegen diese hochentwickelte Bedrohung ergreifen können.

Ivanti veröffentlicht eine neue Erweiterung des externen Integrity Checker Tool (ICT), die zusätzliche Transparenz über das Appliance eines Kunden und alle auf dem System vorhandenen Dateien bietet. Das erweiterte externe ICT erfordert keine Unterstützung mehr zur Entschlüsselung von Kunden-Snapshots. Wenn neue und/oder modifizierte Dateien gefunden werden, stellt das externe ICT den Kunden nun einen unverschlüsselten Snapshot zur eigenen Überprüfung zur Verfügung. Die Anleitung zum Anzeigen der Snapshot-Inhalte finden Sie in diesem Knowledge Base-Artikel (Anmeldung erforderlich), und Referenzen zur Interpretation von Snapshots finden Sie in diesem Artikel. Zur Erinnerung: Das ICT ist eine Momentaufnahme der auf dem Gerät vorhandenen Dateien. Es kann Änderungen in diesen Binärdateien erkennen, um Kompromittierungsindikatoren hervorzuheben. Es ist eine zusätzliche Sicherheitsebene für unsere Kunden und soll immer in Verbindung mit kontinuierlichen Überwachungstools verwendet werden.

Ivanti hat auch seine Empfehlungen für virtuelle Appliances im Knowledge Base-Artikel aktualisiert. Diese neuen Anweisungen gelten nur für Kunden, die virtuelle Appliances verwenden und zuvor keinen erfolgreichen Werksreset durchgeführt, keinen neuen Build bereitgestellt und ihr Appliance nicht gepatcht haben.

Ivanti empfiehlt Kunden, folgende Maßnahmen zu ergreifen:

  • Für Kunden, die bereits einen erfolgreichen Werksreset durchgeführt und ihr(e) Appliance(s) gepatcht haben, besteht die einzige Maßnahme darin, das interne und aktualisierte externe ICT weiterhin auszuführen, zusammen mit kontinuierlicher Überwachung, die aktualisiert werden sollte, um diese sich entwickelnden Techniken zu berücksichtigen.
  • Für Kunden, die virtuelle Appliances verwenden und keinen Werksreset durchgeführt, keinen neuen Build bereitgestellt und ihr Appliance nicht gepatcht haben, empfiehlt Ivanti nun, einen neuen Build von Ivanti Connect Secure bereitzustellen, anstatt einen Werksreset durchzuführen. Der Grund dafür ist, dass Werksresets virtueller Appliances nicht durchgängig erfolgreich waren, weshalb wir die empfohlenen Anweisungen aktualisiert haben.
  • Wenn Sie zuvor den Anweisungen von Ivanti gefolgt sind und einen sauberen ICT-Scan hatten, müssen Sie keine zusätzlichen Werksresets durchführen oder einen neuen Build bereitstellen (für virtuelle Appliances).

Kunden können auf die aktuellsten Behebungsinformationen in diesem Blog und im Knowledge Base-Artikel, FAQ-Blog und Recovery Knowledge Base-Artikel zugreifen. Wir werden diese Dokumente weiterhin aktiv aktualisieren, sobald neue Informationen verfügbar sind.

Wenn ein Kunde beim Beheben der zuvor offengelegten Schwachstellen auf Probleme stößt, steht unser Support-Team weiterhin zur Verfügung.

Ivanti-Kunden sollten den von Mandiant veröffentlichten Blog lesen, der zusätzliche TTPs und Beobachtungen zum erfolglosen Versuch beschreibt, Persistenz durch Werksreset zu erreichen.

Update: CISA und andere Regierungsbehörden haben am 29. Februar eine gemeinsame Empfehlung veröffentlicht, die frühere Forschung zusammenfasst, einschließlich der am 27. Februar von Ivanti und Mandiant veröffentlichten Erkenntnisse und einer potenziellen Persistenztechnik, die im technischen Labor von CISA entwickelt wurde. Es ist wichtig zu beachten, dass diese laborbasierte Erkenntnis weder von CISA, Ivanti noch Mandiant in der freien Wildbahn beobachtet wurde, und basierend auf den präsentierten Beweisen und weiteren Analysen unseres Teams sind wir der Ansicht, dass ein Bedrohungsakteur, der dies remote versuchen würde, die Verbindung zu Ivanti Connect Secure verlieren und keine Persistenz in einer Live-Kundenumgebung erlangen würde. Darüber hinaus wären Kunden, die gepatcht und einen erfolgreichen Werksreset (Hardware) durchgeführt oder einen neuen Build (virtuell) bereitgestellt haben, nicht durch die im CISA-Bericht beschriebene Aktivität gefährdet.

Ivanti, Mandiant und CISA empfehlen die Verwendung des aktualisierten externen ICT, um bekannte Angriffsvektoren zu erkennen und zusätzliche Dateien oder geänderte Dateien zu identifizieren. Wie Ivanti betont hat, ist dies ein nützliches und informatives Sicherheitstool in Ihrem Arsenal zur Ergänzung anderer Sicherheits- und Überwachungstools. Unsere Empfehlung bleibt, dass Sie das aktualisierte ICT in Verbindung mit kontinuierlicher Überwachung verwenden sollten.

Wir überprüfen weiterhin intensiv Risiken und sich entwickelnde Bedrohungsakteur-Techniken. Wenn neue Erkenntnisse gemacht werden, werden wir schnell arbeiten, um Informationen im besten Interesse unserer Kunden bereitzustellen und Fixes zu veröffentlichen oder unser ICT zu verbessern, wenn dies angebracht ist. Wir bleiben zu diesem Zweck aktiv mit unseren Sicherheits- und Regierungspartnern im Austausch.

Wir nehmen die Sicherheit unserer Kunden sehr ernst und sind bestrebt, erweiterte Sicherheitsprozesse und -protokolle anzuwenden, damit unsere Produkte angesichts der zunehmend aggressiven Bedrohungen, denen unsere Kunden und ihre Branchen ausgesetzt sind, sicher bleiben.

Wichtige FAQs

Gibt es nach den Empfehlungen vom 27. Februar und 29. Februar Maßnahmen, die Kunden ergreifen müssen?

Für Kunden, die bereits einen erfolgreichen Werksreset (Hardware) durchgeführt oder einen neuen Build (virtuell) bereitgestellt und ihr(e) Appliance(s) gepatcht haben, besteht die einzige Maßnahme darin, weiterhin den Anweisungen von Ivanti und Mandiant zu folgen, das interne und aktualisierte externe ICT auszuführen, zusammen mit kontinuierlicher Überwachung, die aktualisiert werden sollte, um diese sich entwickelnden Techniken zu berücksichtigen.

Ivanti und unsere Sicherheitspartner sind nicht über Fälle erfolgreicher Bedrohungsakteur-Persistenz nach der Implementierung der Sicherheitsupdates und Werksresets (Hardware)/neuen Builds (virtuell), die von Ivanti empfohlen wurden, informiert.

Kunden, die noch nicht gepatcht haben, sollten unverzüglich den im Knowledge Base-Artikel bereitgestellten Anweisungen folgen.

Wenn Sie zuvor den Anweisungen von Ivanti gefolgt sind und weiterhin einen sauberen ICT-Scan haben, müssen Sie keine zusätzlichen Werksresets durchführen oder einen neuen Build bereitstellen (für virtuelle Appliances).

Ist das Integrity Checker Tool ein effektives Tool für Kunden?

Ja, Ivanti, Mandiant und CISA empfehlen die Verwendung des aktualisierten externen ICT, das hilft, bekannte Angriffsvektoren zu erkennen sowie geänderte Dateien und zusätzliche Dateien zu identifizieren, und das in Verbindung mit kontinuierlicher Überwachung verwendet werden sollte. Das ICT ist effektiv bei der Feststellung, ob basierend auf bekannten Angriffsvektoren etwas Bösartiges zurückgelassen wurde.

Wie Ivanti betont hat, ist das ICT ein wichtiges und informatives Sicherheitstool in Ihrem Arsenal, das neben anderen Tools eingesetzt werden sollte. Kontinuierliche Überwachung bleibt wichtig zur Erkennung potenzieller Bedrohungen, da das ICT bewusst als Momentaufnahme des aktuellen Zustands des Appliance konzipiert ist und nicht zwangsläufig Bedrohungsakteur-Aktivitäten erkennen kann, wenn das Appliance in einen sauberen Zustand zurückversetzt wurde. Andere Sicherheitstools sollten verwendet werden, um Änderungen zwischen Scans sowie Malware und andere Indicators of Compromise (IoCs) zu überwachen.

Das ICT wurde entwickelt, um sich speziell auf bekannte Bedrohungsaktivitäten zu konzentrieren, die von Bedrohungsakteuren in der freien Wildbahn eingesetzt werden. Dies maximiert aussagekräftige Ergebnisse für Kunden und minimiert falsch-positive Ergebnisse und wurde von Mandiant in ihrem Blog als effektives Tool validiert. Andere Standard-Sicherheitsüberwachungstools sind darauf ausgelegt, andere Aktivitäten zu erkennen.

Gibt es eine neue Schwachstelle oder Kompromittierung, die zuvor nicht offengelegt wurde?

Nein, es gibt keine neue CVE. Ivanti und unsere Sicherheits- und Regierungspartner sind nicht über Fälle erfolgreicher Bedrohungsakteur-Persistenz nach der Implementierung von Sicherheitsupdates und Werksresets informiert.

Die von Ivanti, Mandiant und CISA beschriebene neue Aktivität bezieht sich auf begrenzte beobachtete Versuche, Persistenz durch Werksreset aufrechtzuerhalten, die erfolglos waren, und eine potenzielle laborbasierte Technik, die von CISA entwickelt wurde und von der sie glauben, dass sie versucht werden könnte, Persistenz zu erreichen. Keine von diesen wurde erfolgreich in der freien Wildbahn eingesetzt.

Es ist wichtig zu beachten, dass wir basierend auf den präsentierten Beweisen und weiteren Analysen unseres Teams der Ansicht sind, dass die Technik, die CISA in ihrem technischen Labor identifiziert hat, es einem Bedrohungsakteur nicht ermöglichen würde, erfolgreich unentdeckte Persistenz in einer Live-Kundenumgebung zu erreichen.

Warum kam Ivanti zu dem Schluss, dass die im technischen Labor von CISA identifizierte Technik keine erfolgreiche Persistenz in einer Live-Kundenumgebung ermöglichen könnte?

Ivanti und seine externen Sicherheitsexperten haben die technischen Erkenntnisse von CISA bewertet und festgestellt, dass bei einer Bereitstellung in einer realen ungepatchten Kundenumgebung die Verbindung zu Ivanti Connect Secure verloren gehen würde, sodass dies nicht remote durchgeführt werden könnte. Wir sind daher der Ansicht, dass dieses Persistenzrisiko bei einer tatsächlichen Kundenbereitstellung nicht gültig ist.

Wenn Persistenz erfolglos war, warum haben Ivanti und Mandiant diese Informationen veröffentlicht?

Wir haben am 27. Februar relevante Informationen über sich entwickelnde Bedrohungsakteur-Techniken veröffentlicht, die wir überwachen, damit Verteidiger Maßnahmen ergreifen können, um sich weiter gegen einen hochentwickelten und aggressiven Angriff zu schützen. Kunden können diese Informationen in ihre eigene kontinuierliche Überwachung einbeziehen, obwohl diese Techniken bislang nicht erfolgreich in der freien Wildbahn eingesetzt wurden.

Wir sind bestrebt, Informationen und Tools bereitzustellen, um sicherzustellen, dass unsere Kunden geschützt sind, und bleiben zu diesem Zweck auch mit unseren Sicherheits- und Regierungspartnern im Austausch.

Empfiehlt CISA, dass Ivanti-Kunden ihre Maschinen vom Netz nehmen?

CISA hat Organisationen niemals angewiesen, Ivanti-Systeme dauerhaft aus der Produktion zu nehmen. Die ursprüngliche Direktive von CISA an Bundesbehörden wurde von Medien falsch interpretiert, die nur über den ersten Schritt der Anweisungen berichteten. CISA hat Updates ihrer Direktive vorgenommen, um dies zu korrigieren, und dann am 9. Februar erneut aktualisiert, um absolut klar zu machen, dass Sie das Produkt nach dem Patchen wieder einschalten können.

Die Empfehlung von CISA vom 29. Februar fasst frühere Forschung zusammen, sowie eine laborbasierte Technik, von der sie glauben, dass sie verwendet werden könnte, um Persistenz zu versuchen, und rät Kunden, sich der Risiken bewusst zu sein. Es ist wichtig zu beachten, dass wir nicht glauben, dass die im CISA-Bericht beschriebene Aktivität remote durchgeführt werden könnte.

Warum hat das Ivanti Connect Secure-Produkt ältere Open-Source-Paketversionen darin?

Die Hardware für die 9.x-Version des Produkts verfügt nicht über genügend CPU, um einen neueren Linux-Kernel auszuführen, und daher erfordern die Kernel-Beschränkungen die Verwendung der älteren Open-Source-Pakete. Das Produkt ist nicht anfällig für diese älteren Open-Source-Pakete, da wir Sicherheitsfixes zurückportiert haben. Im Fall des CISA-Berichts ist die Versionsnummer keine echte Angabe des Binärpakets oder ob es anfällig ist, da das Zurückportieren der Sicherheitsfixes die Versionsnummer des Binärpakets nicht ändert.

Alle unterstützten Versionen von Ivanti Connect Secure sind von The National Information Assurance Partnership (NIAP) zertifiziert und sind dies seit etwa 20 Jahren. Eine Validierung, dass die Produkte Sicherheitsanforderungen für die Beschaffung von U.S.-Sicherheitssystemen für die nationale Sicherheit erfüllen.

Die neuere 22.x-Version von Ivanti Connect Secure basiert auf einem neuen Linux-Kernel, der eine leistungsstärkere CPU erfordert, und als solche haben wir eine neue Plattform, die ISA, eingeführt, die keine älteren Versionen von Open-Source-Paketen enthält und zusätzliche Sicherheitsverbesserungen ermöglicht.

Wir haben im Juli 2022 offiziell eine End-of-Life-Benachrichtigung für das 9.x-Hardware- und Softwareprodukt veröffentlicht. Wir arbeiten aktiv mit unseren Kunden zusammen, um ihre Appliances auf 22.x zu aktualisieren oder mit Ivanti Neurons for Zero Trust Access in die Cloud zu migrieren.

Alle in Ivanti-Produkten vorhandenen Codes, einschließlich des älteren Open-Source-Codes von 9.x, sind in unseren Attributions und SBOMs klar dargelegt, die in der Produktdokumentation auf ivanti.com verfügbar sind.

Sie können Antworten auf alle am häufigsten gestellten Fragen hier lesen.