Skip to main content
Gestaltung der digitalen Zukunft Europas
News article | Veröffentlichung

Gemeinsame Erklärung zu Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities

Die Europäische Kommission, die ENISA, die EU-Agentur für Cybersicherheit, das CERT-EU, Europol und das Netz der nationalen Computer-Notfallteams der EU (CSIRTs) verfolgen aufmerksam die aktive Ausnutzung von Schwachstellen in den Ivanti Connect Secure and Ivanti Policy Secure Gateway-Produkten und kommerziellen Lösungen für virtuelle private Netze (VPN), die zuvor als Pulse Connect Secure bekannt waren.

Nach der ersten Offenlegung von zwei Schwachstellen Anfang Januar 2024 wurden am 31. Januar 2024 zwei zusätzliche Schwachstellen offengelegt, die sich auf alle unterstützten Versionen der Produkte von Ivanti Connect Secure und Ivanti Policy Secure Gateway auswirken und es den Angreifern ermöglichen, Befehle im System durchzuführen. Bereits Mitte Januar war eine umfassendere Ausnutzung der ursprünglich offengelegten Schwachstellen zu beobachten. 

Da es sich hier um eine sich entwickelnde Situation handelt, empfehlen wir allen Organisationen nachdrücklich, die von den Mitgliedern des CSIRTs-Netzwerks und dem CERT-EU bereitgestellten Leitlinien für die jüngste Bewertung und Beratung regelmäßig zu überprüfen. Für detaillierte Anweisungen zum Abschluss des empfohlenen Werksrücksets können sich die Organisationen auch an die ausführlichen Anweisungen des Verkäufers halten.

Es ist von entscheidender Bedeutung, dass Organisationen angemessen auf die jüngsten Entwicklungen reagieren, um ihre kritischen Geschäftstätigkeiten wieder aufzunehmen.

Die jüngsten Berater, die von den Mitgliedern des CSIRTs-Netzwerks veröffentlicht wurden, finden Sie in ihren einschlägigen offiziellen Kommunikationskanälen. Organisationen können sich auch auf Leitlinien des CERT-EU beziehen, die von der ENISA als beratende Sammlung herangezogen werden.

Die ENISA und alle einschlägigen EU-Akteure werden diese Bedrohung weiterhin überwachen, um zur allgemeinen Lageerfassung auf Unionsebene beizutragen.

EU-Politik

Organisationen sollten sich darüber im Klaren sein, dass das EU-Cyberresilienzgesetz ( CRA) die Hersteller von Hardware- und Softwareprodukten, einschließlich VPN-Lösungen, verpflichten wird, während des gesamten Lebenszyklus solcher Produkte die Grundsätze der eingebauten Sicherheit zu befolgen. Dies schließt die unverzügliche Behebung von Schwachstellen ein. Aufgrund ihrer Kritikalität unterliegen VPN-Lösungen strengen Anforderungen an die Konformitätsbewertung. Sie können auch mehr über die Cybersicherheitsstrategie der EU und die Cybersicherheitspolitik erfahren.

Ressourcen für Minderungsmaßnahmen: