BSI: Zero-Day Angriffe auf Ivanti Connect Secure

B2B Cyber Security ShortNews

Beitrag teilen

Das BSI warnt: Es gibt kritische Schwachstellen Ivanti-Produkten Connect Secure (ICS), Policy Secure und ZTA Gateway. Dazu hat der Hersteller ein entsprechendes Security-Advisory veröffentlicht. Mit dabei ist eine kritische Schwachstelle mit dem CVSS-Wert 9.0 von 10.

Anfang Januar 2025 veröffentlichte der Hersteller Ivanti ein Advisory zu kritischen Schwachstellen in seinen Produkten Ivanti Connect Secure (ICS), Policy Secure und ZTA Gateway. Besonders schwerwiegend ist die Sicherheitslücke CVE-2025-0282, die es einem nicht-authentifizierten, entfernten Angreifer ermöglicht, beliebigen Code auf den betroffenen Systemen auszuführen. Diese Schwachstelle wird mit einem CVSS-Score von 9.0 als „kritisch“ eingestuft und warnt vor einem stackbasierten Pufferüberlauf (CWE-121).

Anzeige

Betroffene Ivanti-Produkt-Versionen

  • Ivanti Connect Secure: Version 22.7R2 bis einschließlich 22.7R2.4
  • Ivanti Policy Secure: Version 22.7R1 bis einschließlich 22.7R1.2
  • Ivanti Neurons for ZTA Gateways: Version 22.7R2 bis einschließlich 22.7R2.3

Laut Ivanti wurden bereits gezielte Angriffe auf eine begrenzte Anzahl von ICS-Kunden beobachtet. Das IT-Sicherheitsunternehmen Mandiant berichtet von ersten Kompromittierungen seit Mitte Dezember 2024. Zusätzlich wurde die Schwachstelle CVE-2025-0283 mit einem CVSS-Score von 7.0 („hoch“) identifiziert, die von einem lokal authentifizierten Angreifer zur Rechteerweiterung ausgenutzt werden könnte. Bisher gibt es jedoch keine Hinweise auf eine aktive Ausnutzung dieser zweiten Schwachstelle.

Lage-Bewertung des BSI

Auch das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI warnt: VPN-Lösungen wie Ivanti Connect Secure dienen als zentrale Einstiegspunkte in interne Netzwerke und sind daher häufig Ziel von Cyberangriffen. Obwohl bislang nur vereinzelte Angriffe festgestellt wurden, ist aufgrund der Schwere der Schwachstelle CVE-2025-0282 mit einer kurzfristigen und breitflächigen Ausnutzung zu rechnen. Die beobachteten Angriffe weisen auf eine professionelle Tätergruppe hin, die ausgefeilte Techniken zur Verschleierung ihrer Aktivitäten einsetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die aktuelle IT-Bedrohungslage daher als „geschäftskritisch“ (Stufe 3 / Orange) ein.

Das BSI fordert IT-Sicherheitsverantwortliche auf, umgehend folgende Schritte zu unternehmen:

Prüfung auf Kompromittierung

Verantwortliche sollten das von Ivanti bereitgestellte Integrity Checker Tool (ICT) einsetzen, um Anzeichen einer Ausnutzung von CVE-2025-0282 zu identifizieren. Rücksetzung der Appliances: Selbst bei unauffälligen Scanergebnissen empfiehlt Ivanti präventiv ein vollständiges Zurücksetzen der betroffenen Appliances auf die Werkseinstellungen, um potenzielle Hintertüren zu entfernen. Überwachen Sie alle internen und externen Systeme sorgfältig auf Auffälligkeiten, die auf eine Kompromittierung hinweisen könnten.

Aktualisierung von Ivanti Connect Secure auf die abgesicherte Version 22.7R2.5, die die kritische Schwachstelle behebt.

  • Laut Ivanti sind für Ivanti Policy Secure und Ivanti Neurons for ZTA Gateways die Patches ab dem 21. Januar 2025 verfügbar.
Mehr bei BSI.Bund.de

 


Über das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.


 

Passende Artikel zum Thema

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen

Die Hacker-Gruppe FunkSec

Ein Pionier bei Cyber-Sicherheitslösungen wirft einen Blick auf die Ransomware-Gruppe FunkSec aus Algerien. Sie war im Dezember 2024 die aktivste ➡ Weiterlesen