Ivanti- und Fortinet-Lecks: Weiter viele Geräte verwundbar – auch CISA betroffen

Auch über einen Monat nach Bekanntwerden einer kritischen Lücke in FortiOS und FortiProxy sind noch immer über 100.000 angreifbare Geräte online. Das ergab eine aktualisierte Auswertung des "Shadowserver Project". Die Daten des internetweiten Überwachungsprojekts zeigen auf, dass Admins weltweit noch zu zögerlich patchen – so ergab sich seit dem Beginn der Zählung am 6. März nur eine minimale Verbesserung.

Am gestrigen 10. März waren noch immer 145.795 Ivanti-Geräte im Internet mittels CVE-2024-21762 angreifbar, davon 2446 in Deutschland. Am stärksten betroffen sind nach wie vor die Vereinigten Staaten mit über 24.000 verwundbaren Geräten.

Eine Grafik auf der Projektwebseite veranschaulicht die langsame Verbreitung der seit Februar verfügbaren Patches. Das erstaunt, handelt es sich bei dem Fehler im SSL-VPN der Ivanti-Geräte doch um eine kritische, aus der Ferne ausnutzbare Lücke, die Codeschmuggel erlaubt und einen CVSS-Wert von 9,6 erreicht. Zügige Abhilfe zu schaffen – und sei es durch die vorübergehende Abschaltung des SSL-VPN – sollte in der Aufgabenliste pflichtbewusster Netzwerkadministratoren weit oben stehen.

CISA: Angriff auf Ivanti-Geräte

Die US-Cybersicherheitsbehörde CISA hatte derweil im Februar Probleme mit Produkten eines anderen Herstellers: Medienberichten zufolge haben Angreifer zwei Ivanti-VPN-Gateways der Behörde angegriffen, die die Geräte daraufhin unverzüglich vom Netz nahm. Das genaue Ausmaß des Angriffs bleibt jedoch im Dunkeln, da die CISA sich weder auf ihrer Homepage äußerte, noch Rückfragen zum Vorfall beantwortete.

Die CISA hatte im Februar eine Notfalldirektive erlassen, die eine Abschalt-Anordnung für bestimmte verwundbare Ivanti-Produkte enthielt. Anordnungen der CISA sind für US-Bundesbehörden verbindlich.

(cku)