Ivanti Connect Secure: Angreifer attackieren kritische SicherheitslĂĽcke
Ivanti warnt vor aktiven Angriffen auf Ivanti Secure Connect-Systeme. Durch Codeschmuggel können Netzwerke kompromittiert werden.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Ivanti warnt vor aktiven Angriffen auf eine kritische SicherheitslĂĽcke in der VPN-Software Ivanti Connect Secure (ICS). Diese und eine weitere SicherheitslĂĽcke betreffen zudem auch Ivanti Policy Secure und Ivanti ZTA Gateways. FĂĽr ICS stehen Aktualisierungen bereit, fĂĽr die anderen beiden Produkte hat Ivanti Updates lediglich angekĂĽndigt.
In einer Sicherheitsmitteilung erörtert Ivanti Details zu den Schwachstellen. Angriffe hat das Unternehmen auf einen Stack-basierten Pufferüberlauf entdeckt, der den bösartigen Akteuren ohne vorherige Anmeldung das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-0282, CVSS 9.0, Risiko "kritisch"). Wie genau die Angriffe aussehen, erörtert Ivanti nicht. Eine zweite Schwachstelle besteht ebenfalls in einem Stack-basierten Pufferüberlauf, der angemeldeten Nutzern die Ausweitung der eigenen Rechte erlaubt (CVE-2025-0283, CVSS 7.0, hoch). Diese Lücke wird laut Ivanti derzeit jedoch nicht missbraucht.
Angriffsdetails von Mandiant
Googles Tochter Mandiant stellt in einem eigenen Blog-Beitrag eine erste Analyse der Angriffe vor. Die Angreifer haben Malware aus dem von Mandiant Spawn genannten Ă–kosystem nach erfolgreichen Angriffen installiert, aber auch Dryhook und Phasejam genannte Malware-Familien. Die Exploits fĂĽr die Schwachstelle sind versionsspezifisch fĂĽr die einzelnen Patch-Levels von ICS. Die Malware stellt dann am Ende Tunnel bereit, Webshells, unterbindet Updates, greift Zugangsdaten ab und kann weiteren Schaden anrichten. Mandiant verortet die Angreifer UNC5337 als Untergruppe von UNC5221 in China, es handelt sich demnach um eine Spionage-Gruppe.
Ivanti spricht davon, von einer begrenzten Anzahl an angegriffenen Kunden zu wissen. Mandiant erklärt, die Angriffe haben Mitte Dezember 2024 angefangen. Die Analysen dauern noch an, die bisherigen Ergebnisse sind noch vorläufig. Mandiant listet am Ende des Beitrags noch Hinweise für Infektionen (Indicators Of Compromise, IOCs) sowie hilfreiche YARA-Regeln auf, mit denen Admins ihre IT untersuchen und sich vor Angriffen warnen lassen können.
Ivanti erklärt, dass Attacken auf die Schwachstelle CVE-2025-0282 mit dem Integrity Checker Tool (ICT) erkannt werden können. Kunden sollen ihre internen und externen ICTs als Teil ihres Sicherheitskonzeptes genau überwachen. Zudem steht aktualisierte Software bereit. Ivanti Connect Secure 22.7R2.5 stopft die Lücke in den verwundbaren Fassungen 22.7R2 bis 22.7R.4 sowie 9.1R18.9 und vorherigen Versionen. Ivanti Policy Secure ist ebenfalls verwundbar, soll jedoch nicht exponiert im Internet zugreifbar stehen. Ein Update kündigt Ivanti dafür zum 21. Januar an. Ivanti ZTA Gateways sind nur verwundbar, wenn sie nicht "in Produktion" sind. Sofern damit jedoch ein Gateway erstellt und nicht an den ZTA-Controller angebunden wird, ist ein Exploit möglich. Auch hierfür soll am 21. Januar ein Softwareflicken bereitstehen.
Nicht nur Ivantis VPN ist Ziel von Angreifern, am Dienstag dieser Woche wurden auch laufende Angriffe auf eine Zero-Day-Schwachstelle in Sonicwalls SonicOS respektive SSL-VPN bekannt. Auch hier mĂĽssen IT-Verantwortliche rasch dafĂĽr sorgen, bereitstehende Softwareaktualisierungen zu installieren.
(dmk)