Zero-Day-Schwachstelle bei Ivanti Connect Secure VPN

Zero-Day-Schwachstelle bei Ivanti Connect Secure VPN

Beitrag teilen

Mandiant hat Details zu einer Zero-Day-Schwachstelle (CVE-2025-0282) veröffentlicht, die Ivanti bekannt gegeben und gleichzeitig gepatcht hat und die seine Ivanti Connect Secure VPN („ICS“) Anwendungen betrifft.

Ivanti hat die Schwachstelle anhand von Hinweisen des vom Unternehmen bereitgestellten Integrity Checker Tools („ICT“) und anderer kommerzieller Sicherheitsüberwachungs-Tools identifiziert. Wie Mandiant in seiner Analyse feststellt, ist CVE-2025-0282 bereits im Dezember 2024 von einem mutmaßlichen chinesischen Spionageakteur ausgenutzt worden. Zwar kann Mandiant die Ausnutzung von CVE-2025-0282 derzeit nicht einem bestimmten Bedrohungsakteur zuordnen, doch haben die Sicherheitsexperten dieselbe Malware-Familie (SPAWN) beobachtet, die bereits im April 2024 gemeldet wurde und mit dem Akteur UNC5337 in Verbindung steht, wobei es sich nach Einschätzung von Mandiant um dieselbe Gruppierung wie bei UNC5221 handelt.

Anzeige

Mandiant gibt an, dass es möglich ist, dass mehrere Akteure für die Erstellung und den Einsatz der verschiedenen Malware-Familien verantwortlich sind, die die Experten in ihren laufenden Untersuchungen gesehen haben (SPAWN, DRYHOOK und PHASEJAM), stellt jedoch fest, dass „wir zum Zeitpunkt der Veröffentlichung dieses Berichts nicht über genügend Daten verfügen, um die Anzahl der Bedrohungsakteure, die auf CVE-2025-0282 abzielen, genau zu bestimmen.“ Die erfolgreiche Ausnutzung von CVE-2025-0282 ermöglicht Angreifern:

  • Remote-Code-Ausführung: Kann zur Remotecodeausführung führen, wodurch Angreifer die Kontrolle über betroffene Systeme übernehmen können.
  • Laterale Bewegung: Sobald sie kompromittiert sind, bewegen sich Angreifer lateral innerhalb von Netzwerken, um ihren Zugriff zu erweitern, was zu Auswirkungen über die kompromittierte Appliance hinaus führen kann.
  • Hartnäckige Hintertüren: Angreifer installieren Hintertüren, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten. Einige Backdoors sind in der Lage, über System-Upgrades hinweg zu bestehen. Deshalb rät Ivanti den betroffenen Kunden, einen Factory Reset durchzuführen.

Ausnutzung der Schwachstelle

Nach der erfolgreichen Ausnutzung von CVE-2025-0282 setzt der Bedrohungsakteur die benutzerdefinierte Malware „PHASEJAM“ ein, um sich zunächst in dem System zu etablieren und die Installation von System-Upgrades zu verhindern, was den Versuch eines dauerhaften Zugriffs über System-Upgrades hinweg ermöglicht.

In der Annahme, dass eine fehlgeschlagene Upgrade-Installation die Aufmerksamkeit des Systemadministrators auf sich ziehen würde, zeigt der Bedrohungsakteur stattdessen einen gefälschten Upgrade-Fortschrittsbalken an, um dem Administrator vorzugaukeln, dass das versuchte Upgrade korrekt installiert wurde, blockiert aber stillschweigend den legitimen Upgrade-Prozess.

Neuere Versionen von Ivanti Connect Secure verfügen über ein integriertes Integritätsprüfungs-Tool (ICT), das sich bei der Erkennung von Kompromittierungen im Zusammenhang mit dieser Schwachstelle als wirksam erwiesen hat. Das ICT funktioniert wie eine Kontrollleuchte für die Appliance, die aufleuchten kann, um den Benutzern mitzuteilen, dass etwas nicht in Ordnung ist oder ungewöhnliches Verhalten entdeckt wurde. Es führt in regelmäßigen Abständen eine Diagnose der Appliance durch und überwacht dabei ständig ihre Vitalparameter auf Anomalien oder Abweichungen von ihrem bekannten „gesunden“ Zustand. In einigen Fällen hat der Bedrohungsakteur versucht, das Manifest der „gesunden Dateien“ der ICT zu bearbeiten, um seine bösartigen Dateien einzuschließen und die Erkennung zu umgehen.

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

KI basierte Cybersicherheitstools – eine Vertrauensfrage

Trotz Hype: Knapp 60 Prozent der deutschen Unternehmen sehen potenzielle Mängel in Cybersicherheitstools, die auf generativer KI basieren, als herausragendes ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Trend: Cyberkriminelle arbeiten weltweit zusammen

Cyberkriminelle werden immer agiler und arbeiten weltweit zusammen. Das belegt der neue Forschungsbericht „Bridging Divides, Transcending Borders: The Current State ➡ Weiterlesen

BYOD: 4 Tipps um Sicherheitsrisiken zu minimieren

BYOD (Bring Your Own Device) bedeutet, dass Mitarbeiter in Unternehmen ihre persönlichen Geräte für die Arbeit nutzen dürfen. Daraus können ➡ Weiterlesen

Zero-Day-Schwachstelle bei Ivanti Connect Secure VPN

Mandiant hat Details zu einer Zero-Day-Schwachstelle (CVE-2025-0282) veröffentlicht, die Ivanti bekannt gegeben und gleichzeitig gepatcht hat und die seine Ivanti ➡ Weiterlesen

Schwachstelle in Firewall von Fortinet

Ein Threat-Research-Team hat Anfang Dezember 2024 eine Kampagne mit verdächtigen Aktivitäten auf Fortinet FortiGate Firewall-Geräten beobachtet. Indem sie sich Zugang ➡ Weiterlesen

2025: So verändert sich die IT-Sicherheitslandschaft

Fünf Trends beeinflussen 2025 die IT-Sicherheitslandschaft. Sie wird an Komplexität weiter zunehmen, neue Technologien wie KI oder Quantencomputing bergen sowohl ➡ Weiterlesen

Akira Ransomware weiterhin aktiv

Akira verhielt sich im ersten Halbjahr 2024 eher ruhig. Aber die Kriminellen waren letztes Jahr nicht untätig. Gegen Ende des ➡ Weiterlesen