Zerodays bei Ivanti aktiv genutzt: Connect Secure und Policy Secure sinds nicht

Ivanti Connect Secure und Ivanti Policy Secure sind es nicht. Angreifer können durch Verknüpfung zweier Zeroday-Lücken die Geräte übernehmen, dort Programme installieren und ausführen, Zugriffskontrollen umgehen, Dateien manipulieren und eingegebene Passwörter sammeln. Diese erlauben dann, weitere Geräte im Firmennetz zu infiltrieren. Das hat Volexity bei einem Kunden schon Anfang Dezember beobachtet und Ivanti informiert. Nach forensischer Analyse gehen die beiden Firmen nun an die Öffentlichkeit.

Patches hat Ivanti noch keine. Das Unternehmen empfiehlt derzeit den Einsatz externer Integritätsprüfung (ICT) als "Milderung". Zwar verfügen die betroffenen Ivanti-Produkte selbst über eine ICT, doch wird auch diese von den Angreifern umgangen. Für noch unterstütze Versionen von Ivanti Connect Secure, Ivanti Policy Secure sowie Ivanti Neurons for Zero Trust Access (ZTA) sind Updates in Arbeit. Die ersten Patches sollen übernächste Woche erscheinen, für manche Produktversionen müssen sich Kunden aber bis Mitte Februar gedulden.

Die aktiv ausgenutzten Sicherheitslücken heißen CVE-2023-46805 (CVSS 8.2) und CVE-2024-21887 (9.1). Erstere erlaubt die Umgehung der Authentifizierung, Letztere das unerlaubte Einschleusen von Befehlen in Webkomponenten. Ivantis ZTA-Lösung ist im üblichen Betriebszustand nicht betroffen, in einem ungewöhnlichen aber schon, weshalb auch dafür Updates auf dem Fahrplan stehen.

Ivanti Connect Secure (ehemals Pulse Connect Secure) ist ein Gateway für virtuelle private Netze (VPN). Ivanti Policy Secure dient der Zugriffskontrolle in Netzwerken (Network Access Control, NAC). Diese soll granular sicherstellen, dass Geräte oder Programme nur Zugriff auf ausgewählte Datenbestände oder andere Geräte erhalten. Das soll verhindern, dass ein kompromittiertes Programm oder Gerät dem Angreifer Zugriff auf alle möglichen Bestände im Firmennetz eröffnet. Wer sowohl VPN als auch NAC kapert und Logindaten sammelt, hat den Jackpot geknackt.

Forenische Analyse

Genau das ist Angreifern bereits gelungen, wie die IT-Sicherheitsexperten von Volexity berichten. Im Dezember entdeckte ein bei einem ungenannten Kunden installiertes Volexity-Produkt ungewöhnlichen Traffic im internen Netz. Volexity konnte das schließlich mit dem Ivanti Connect Secure VPN-Gateway in Verbindung bringen. Dort fanden die Experten alle Logs gelöscht; andere Logs zeigten Spuren verdächtiger Verbindungen nach außen. Forensische Analyse von Speicherdaten führte schließlich zu den beiden Zero-Day-Lücken.

Hinter den Angreifern glaubt Volexity eine staatliche Einrichtung der Volksrepublik China zu erkennen. Das Unternehmen bezeichnet die Täter vorerst schlicht als UTA0178 (unknown threat actor 178). Deren Agenten haben sich spätestens am 3. Dezember 2023 Zugriff verschafft und ganze Arbeit geleistet. Beispielsweise haben sie eine Hintertür in die Datei compcheck.cgi eingebaut, um einerseits die internen Integritätsprüfungen in die Irre zu führen, andererseits auf dem VPN-Gateway Befehle ausführen zu können.

Javascript wurde manipuliert, um Tastatureingaben der VPN-User mitzuschneiden und an einen externen Server zu übertragen. So erbeuteten die Angreifer Zugangsdaten, die dann auch Zugriff auf andere Rechner des Opfers erlaubten, über RDB, SMB und SSH. Die Täter installierten Reserve SOCKS Proxies, SSH Tunnels, und verschiedene Webshells, die Volexity "Glasstoken" nennt. Damit wurden auch Rechner, die eigentlich nur im Intranet zugänglich waren, für das Internet geöffnet.

Die Täter nutzten Memory Dumps, verschafften sich Zugriff zur Backups, darunter auch das Backup eines Domain-Controllers, dessen Active Directory sie einheimsten. In einem Veeam-Backup fanden sie weitere Usernamen und Passwörter. Diverse Ordner und Dateien wurden im tmp-Verzeichnis angelegt, aber wieder entfernt, so dass darüber noch kein vollständiger Überblick gegeben ist. Überhaupt laufen die forensischen Ermittlungen weiter; Volexity stellt Updates des Blogposts bei Vorliegen neuer Erkenntnisse in Aussicht.

Soweit bekannt, haben die Täter keine umfangreichen Daten zerstört oder verschlüsselt, sich aber ausgiebig im Firmennetz umgesehen und es beobachtet. Auch das ist ein Hinweis darauf, dass die Täter keine gewöhnlichen Kriminellen sondern Verbrecher im Staatsauftrag sind.

Was tun

Wie gesagt gibt es noch keine Patches, und Ivanti empfiehlt den Einsatz eines separaten Integritätsprüfers. Er soll erkennen, wenn Dateien auf den Ivanti-Geräten nicht so sind, wie sie sein sollen – ein deutlicher Hinweis auf mögliche Manipulation.

Volexity empfiehlt außerdem, beim Datenverkehr genau hinzuschauen. Überraschender Netzwerk-Traffic, Logs über Geräte im VPN, ungewöhnliche Dateiaufrufe, seltsame Querverbindungen innerhalb des Firmennetzes, curl-Aufrufe externer Webseiten, SSH-Verbindungen zu externen IP-Adressen, bestimmte verschlüsselte Verbindungen zu Servern, die weder für die Bereitstellung von Updates bekannt sind noch Teil des Logins oder der Multifaktor-Authentifizierung sind, RDP-, SMB- und SSH-Aktivität bei internen Systemen sowie Portscans können Indizien für ein Problem sein.

Im Falle des Falles sollten die Ivanti-Systeme nicht einfach neu aufgesetzt werden; vielmehr gilt es, Logs, System-Snapshots und forensische Daten von Arbeitsspeicher und Festplatten zu sichern. Das ermöglicht die Suche nach weiteren Zugriffsverletzungen. Volexity stellt eine Liste bekannter Domains und IP-Adressen, die von den Angreifern genutzt wurden, bereit. Passwörter und damit verbundene geheime Authentifizierungsdaten sind gegebenenfalls als kompromittiert zu betrachten.

(ds)