Zero-Day-Schwachstelle bei Ivanti Connect Secure VPN

Zero-Day-Schwachstelle bei Ivanti Connect Secure VPN

Beitrag teilen

Mandiant hat Details zu einer Zero-Day-Schwachstelle (CVE-2025-0282) veröffentlicht, die Ivanti bekannt gegeben und gleichzeitig gepatcht hat und die seine Ivanti Connect Secure VPN („ICS“) Anwendungen betrifft.

Ivanti hat die Schwachstelle anhand von Hinweisen des vom Unternehmen bereitgestellten Integrity Checker Tools („ICT“) und anderer kommerzieller Sicherheitsüberwachungs-Tools identifiziert. Wie Mandiant in seiner Analyse feststellt, ist CVE-2025-0282 bereits im Dezember 2024 von einem mutmaßlichen chinesischen Spionageakteur ausgenutzt worden. Zwar kann Mandiant die Ausnutzung von CVE-2025-0282 derzeit nicht einem bestimmten Bedrohungsakteur zuordnen, doch haben die Sicherheitsexperten dieselbe Malware-Familie (SPAWN) beobachtet, die bereits im April 2024 gemeldet wurde und mit dem Akteur UNC5337 in Verbindung steht, wobei es sich nach Einschätzung von Mandiant um dieselbe Gruppierung wie bei UNC5221 handelt.

Anzeige

Mandiant gibt an, dass es möglich ist, dass mehrere Akteure für die Erstellung und den Einsatz der verschiedenen Malware-Familien verantwortlich sind, die die Experten in ihren laufenden Untersuchungen gesehen haben (SPAWN, DRYHOOK und PHASEJAM), stellt jedoch fest, dass „wir zum Zeitpunkt der Veröffentlichung dieses Berichts nicht über genügend Daten verfügen, um die Anzahl der Bedrohungsakteure, die auf CVE-2025-0282 abzielen, genau zu bestimmen.“ Die erfolgreiche Ausnutzung von CVE-2025-0282 ermöglicht Angreifern:

  • Remote-Code-Ausführung: Kann zur Remotecodeausführung führen, wodurch Angreifer die Kontrolle über betroffene Systeme übernehmen können.
  • Laterale Bewegung: Sobald sie kompromittiert sind, bewegen sich Angreifer lateral innerhalb von Netzwerken, um ihren Zugriff zu erweitern, was zu Auswirkungen über die kompromittierte Appliance hinaus führen kann.
  • Hartnäckige Hintertüren: Angreifer installieren Hintertüren, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten. Einige Backdoors sind in der Lage, über System-Upgrades hinweg zu bestehen. Deshalb rät Ivanti den betroffenen Kunden, einen Factory Reset durchzuführen.

Ausnutzung der Schwachstelle

Nach der erfolgreichen Ausnutzung von CVE-2025-0282 setzt der Bedrohungsakteur die benutzerdefinierte Malware „PHASEJAM“ ein, um sich zunächst in dem System zu etablieren und die Installation von System-Upgrades zu verhindern, was den Versuch eines dauerhaften Zugriffs über System-Upgrades hinweg ermöglicht.

In der Annahme, dass eine fehlgeschlagene Upgrade-Installation die Aufmerksamkeit des Systemadministrators auf sich ziehen würde, zeigt der Bedrohungsakteur stattdessen einen gefälschten Upgrade-Fortschrittsbalken an, um dem Administrator vorzugaukeln, dass das versuchte Upgrade korrekt installiert wurde, blockiert aber stillschweigend den legitimen Upgrade-Prozess.

Neuere Versionen von Ivanti Connect Secure verfügen über ein integriertes Integritätsprüfungs-Tool (ICT), das sich bei der Erkennung von Kompromittierungen im Zusammenhang mit dieser Schwachstelle als wirksam erwiesen hat. Das ICT funktioniert wie eine Kontrollleuchte für die Appliance, die aufleuchten kann, um den Benutzern mitzuteilen, dass etwas nicht in Ordnung ist oder ungewöhnliches Verhalten entdeckt wurde. Es führt in regelmäßigen Abständen eine Diagnose der Appliance durch und überwacht dabei ständig ihre Vitalparameter auf Anomalien oder Abweichungen von ihrem bekannten „gesunden“ Zustand. In einigen Fällen hat der Bedrohungsakteur versucht, das Manifest der „gesunden Dateien“ der ICT zu bearbeiten, um seine bösartigen Dateien einzuschließen und die Erkennung zu umgehen.

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Cyber-Security: Herausforderungen werden 2025 komplexer

2025 wird eine Zeit der Prüfung für deutsche Unternehmen. Sie müssen immer größeren Cyber-Security Anforderungen gerecht werden. Denn verschärfte Regularien ➡ Weiterlesen

Geopolitische DDoS-Attacken auf die Schweiz

Geopolitisch motivierte DDoS-Attacken sind ein steter Begleiter unseres Alltags geworden. Es vergeht kein Tag, wo wir nicht von den erfolgreichen ➡ Weiterlesen

Wie Bedrohungsakteure Gemini für Angriffe nutzen

Die Google Threat Intelligence Group (GTIG) hat einen neuen Bericht „Adversarial Misuse of Generative AI“ veröffentlicht, in dem die Sicherheitsexperten ➡ Weiterlesen

Identitätskonvergenz, private GPTs und KI-Angriffe

2024 wurde die IT von zahlreichen Innovationen etwa bei KI und bei großen Sprachmodellen geprägt. Auch neue Angriffsvektoren wie das ➡ Weiterlesen

Report: Weltweiter Ransomware-Anstieg – Deutschland verbessert 

Weltweit steigt die Zahl der Ransomware-Attacken, in Deutschland jedoch sank sie aufgrund stärkerer Regulierungen und Gegenmaßnahmen. Dennoch bleibt Deutschland im ➡ Weiterlesen

Entwicklungen von KI in der Cybersecurity

Kürzlich veröffentlichte Google Cloud seinen Cybersecurity Forecast für das Jahr 2025. Der Bericht enthält zukunftsweisende Erkenntnisse mehrerer führender Sicherheitsverantwortlicher von ➡ Weiterlesen

NIS2-Umsetzung in Deutschland vorerst gescheitert

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten ➡ Weiterlesen

Report 2024: Phishing und genAI nehmen zu

Der Cloud & Threat Report 2024 zeigt, dass Mitarbeiter dreimal häufiger auf Phishing-Links geklickt haben als 2023. Er deckt wachsende ➡ Weiterlesen