CISA und Experten warnen vor hartnäckigen Backdoors auf Ivanti-Geräten

Die Hiobsbotschaften für den US-Hersteller Ivanti reißen nicht ab. Im Januar bekannt gewordene Sicherheitslücken in seinen Produkten "Connect Secure" und "Policy Secure" ermöglichen Angreifern, sich tief in übernommenen Systemen einzunisten. Die US-Cybersicherheitsbehörde CISA warnt nun, dass selbst Ivantis eigene Werkzeuge die Hintertüren nicht zuverlässig aufspüren können.

Wie die Behörde in Kooperation mit anderen nationalen Sicherheitsinstitutionen festgestellt hat, verfehlte das von Ivanti bereitgestellte "Integrity Checker Tool", also das Werkzeug zur Integritätsprüfung möglicherweise kompromittierter Installationen, in früheren Versionen sein Ziel durch geschickte Ausweichmanöver der Backdoor. Die CISA-Experten gehen daher davon aus, dass die Angreifer ihre Hintertüren nicht nur über Reboots und Updates, sondern sogar eine Rücksetzung auf Werkseinstellung hinwegretten können.

Zu einem ähnlichen Schluss kommt eine Untersuchung der Google-Tochter Mandiant. Die hat sich verschiedene Backdoor-Bestandteile mit den illustren Namen "Littlelamb.wooltea", "Bushwalk" und "Pithook" genauer angeschaut und eine ganze Reihe trickreicher Tarnmaßnahmen festgestellt. So läßt sich die Bushwalk-Hintertür mittels gefälschter HTTP-User-Agents ("App1eWebKit" und "AppIeWebKit" mit großem "i") ein- und ausschalten, versteckt sich vor dem Integritätsprüfer in einem von jenem exkludierten Verzeichnis und nutzt Betriebssystem-eigene Werkzeuge, um sich selbst zu ver- und entschlüsseln. Zudem kann "Bushwalk" sich totstellen, um Erkennung zu vermeiden.

Kleines Lamm nistet sich wo(h|l)lig ein

Die Schadsoftware "Littlelamb.wooltea" hingegen überlebt Reboots und Systemupdates, indem sie sich an ein lokales Update der Systemdaten anfügt, das die Appliance als Teil der Updateprozedur einspielt, um Konfigurations- und Laufzeitdaten zurückzuholen. Selbst an Factory-Resets, also das Rücksetzen einer Ivanti-Appliance auf Werkseinstellungen, haben die Autoren der Malware gedacht. Ihre Methode funktioniert jedoch – zum Glück für betroffene Admins – nur bei bestimmten Geräten.

Die Mandiant-Analysten kommen zu dem Schluss, dass die Angreifer über detaillierte Kenntnisse der Ivanti-Firmware verfügen und verorten diese in China. Sie vermuten, dass die Gruppe mit dem Bezeichner UNC5325 mit anderen chinesischen Spionagegruppen zusammenarbeitet und vor allem die Verteidigungsindustrie und den Technologie- und Telekommunikationssektor im Visier hat.

Während Mandiant eine aktualisierte Version seines Leitfadens zur Reparatur von "Connect Secure"-Appliances anbietet, hat der Hersteller immerhin sein Erkennungswerkzeug auf den neuesten Stand gebracht. Die CISA rät ihren Schützlingen hingegen zu einem ganzheitlichen Vorgehen: Man solle Geräte nach wie vor als kompromittiert betrachten und VPN-Zugänge und -Schlüssel gegebenenfalls neu einrichten.

Die Cyber-Sicherheitsbehörde warnt nicht zum ersten Mal vor Ivanti-Sicherheitslücken. Vor knapp einem Monat hatte die Bundesbehörde alle ihr unterstellten Instutionen angewiesen, Ivanti-Appliances vom Netz zu nehmen.

(cku)