Die kürzlich aufgedeckten Sicherheitslücken in Netzwerkprodukten des Herstellers Ivanti haben für diesen ernste Konsequenzen. In einer jetzt veröffentlichten „Emergency Directive“ (etwa: „Notfall-Anordnung“) weist die US-amerikanische Cybersicherheitsbehörde CISA alle Bundesbehörden an, Produkte vom Typ „Ivanti Connect Secure“ oder „Ivanti Policy Secure“ unverzüglich vom Netz zu nehmen. Sie reagiert damit auf massenhafte Angriffe gegen die schadhaften Geräte. Zudem müssen Sicherheitsexperten alle Systeme genau im Auge behalten, die kürzlich mit den Ivanti-Appliances verbunden waren und „weiter auf die Jagd nach Bedrohungen gehen“, so die CISA weiter. Sie gibt ebenfalls genaue Anweisungen, unter welchen Bedingungen Geräte des US-Herstellers wieder ans Netz dürfen: Neben dem Zurücksetzen auf die Werkseinstellungen steht ein Update auf eine von fünf fehlerbereinigten Versionen auf dem Laufzettel für Ivanti-Admins. Auch Passwörter, API-Keys und Zertifikate müssen zurückgezogen und neu ausgestellt werden. Die von CISA gesetzte Frist ist durchaus sportlich und illustriert, wie ernst die Sicherheitsbehörden die Bedrohung nehmen. Bis 23:59 Uhr am Freitag, dem 2. Februar 2024, müssen die Bundesbehörden den Maßnahmenkatalog umgesetzt haben und das bis spätestens Montagnacht bei der CISA melden. Behörden, welche die betroffenen Ivanti-Produkte verwenden, müssen zudem Passwörter, Kerberos-Tickets und registrierte Geräte in ihren Active-Directory-Domänen ungültig machen. Die CISA ist als oberste Cybersicherheitsbehörde in den USA weisungsbefugt für alle Behörden auf Bundesebene („federal agency“). Sie hatte bereits in der vierten Januarwoche Handlungsanweisungen zum Umgang mit den neuesten Ivanti-Sicherheitslücken herausgegeben und diese nun weiter verschärft. Ivanti steht seit Jahren unter Beschuss. Nachdem bereits im Jahr 2021 mutmaßlich chinesische Angreifer Sicherheitslücken in den Produkten des US-Herstellers ausnutzten, um in Regierungsnetze einzubrechen, sind in diesem Jahr neue schwere Lücken aufgetaucht. Tausende Geräte mit der fehlerhaften VPN-Lösung sind bereits übernommen worden, wie Sicherheitsforscher herausgefunden haben. Ivanti tut sich schwer mit Updates, erst Mitte Februar sollen die Fehler vollständig beseitigt sein.
