Ivanti hat ausgegeben eine Warnung bezüglich einer Zero-Day-Sicherheitslücke, verfolgt als CVE-2025-0282in seinen weit verbreiteten VPN-Appliances, die ausgenutzt wurden, um Kundennetzwerke zu kompromittieren. Die Schwachstelle kann ohne Authentifizierung ausgenutzt werden, sodass Angreifer aus der Ferne Schadcode in die Produkte Connect Secure, Policy Secure und ZTA Gateways von Ivanti einschleusen können.
Ivanti warnt vor Zero-Day-Sicherheitslücken in VPN-Appliances
Der am Mittwoch bekannt gegebene kritische Fehler betrifft Ivanti Connect Secure, das als „das am weitesten verbreitete SSL-VPN von Unternehmen jeder Größe und in allen wichtigen Branchen“ gilt. Das Unternehmen wurde auf die Sicherheitslücke aufmerksam, als sein Integrity Checker Tool (ICT) schädliche Aktivitäten auf Kundengeräten entdeckte. Ivanti räumt ein, dass ihm eine „begrenzte Anzahl von Kunden“ bekannt war, deren Geräte kompromittiert wurden.
Während für Connect Secure ein Patch verfügbar ist, werden Patches für Policy Secure und ZTA Gateways, deren Ausnutzbarkeit nicht bestätigt wurde, erst am 21. Januar erwartet. Ivanti hat außerdem eine zweite Schwachstelle identifiziert: CVE-2025-0283die noch nicht ausgenutzt wurde.
Nicht ignorieren: Das Cybersicherheitsupdate von Adobe könnte Ihre Daten retten
Mandiant, ein Incident-Response-Unternehmen, gemeldet Mandiant hat die Ausnutzung von CVE-2025-0282 bereits Mitte Dezember 2024 beobachtet. Obwohl Mandiant die Schwachstellen nicht eindeutig einem bestimmten Bedrohungsakteur zugeordnet hat, vermutet das Unternehmen eine Beteiligung einer mit China verbundenen Cyberspionagegruppe namens UNC5337 Und UNC5221. Diese Gruppe hat zuvor Schwachstellen von Ivanti ausgenutzt, um Massen-Hacks gegen Kunden durchzuführen.
Entsprechend TechCrunchBen Harris, CEO von watchTowr Labs, wies auf die weitreichenden Auswirkungen des neuesten Ivanti VPN-Fehlers hin und wies darauf hin, dass Angriffe typische Merkmale einer fortgeschrittenen dauerhaften Bedrohung aufweisen. Das britische National Cyber Security Centre untersucht ebenfalls aktive Ausnutzungsfälle, die Netzwerke im Vereinigten Königreich betreffen. Unterdessen hat die US-amerikanische Cybersicherheitsbehörde CISA die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.
Link zu chinesischen Cyberspionen
Mandiant brachte die Ausnutzung von CVE-2025-0282 mit chinesischen Cyber-Akteuren in Verbindung und verwies auf den Einsatz einer zuvor entdeckten Malware-Familie namens Spawn. Dieses Toolkit umfasst verschiedene bösartige Tools wie einen Installer, einen Tunneler und eine SSH-Hintertür, die alle mit Spionageaktivitäten im Zusammenhang mit UNC5337 in Verbindung stehen.
Zusätzlich zu Spawn identifizierte Mandiant zwei neue Malware-Familien namens DryHook und PhaseJam, die derzeit keiner bekannten Bedrohungsgruppe zugeordnet sind. Die Ausnutzungskette besteht darin, dass Angreifer Anfragen zur Identifizierung von Appliance-Softwareversionen senden und dann CVE-2025-0282 ausnutzen, um sich Zugriff zu verschaffen, Sicherheitsmaßnahmen zu deaktivieren und zusätzliche Malware bereitzustellen.
Nach der Kompromittierung nutzten die Angreifer den PhaseJam-Dropper, um Web-Shells auf den angeschlossenen Geräten zu erstellen. PhaseJam modifiziert auch Upgrade-Skripte, um tatsächliche Updates zu blockieren. Zusammen mit den neuen Malware-Familien wird auch das Spawn-Toolkit bereitgestellt, das über System-Upgrades hinweg bestehen bleiben soll.
Das Hauptziel der Angreifer scheint darin zu bestehen, vertrauliche Informationen im Zusammenhang mit VPN-Sitzungen, API-Schlüsseln und Anmeldeinformationen zu stehlen, indem Datenbanken auf den betroffenen Geräten archiviert und diese Daten zur Exfiltration bereitgestellt werden. DryHook wurde verwendet, um Benutzeranmeldeinformationen während Authentifizierungsprozessen zu erfassen.
Sicherheitsexperten empfehlen Systemadministratoren, einen Werksreset und ein Upgrade auf Ivanti Connect Secure Version 22.7R2.5 durchzuführen. Dieser Hinweis ist von entscheidender Bedeutung, da bereits über 3.600 ICS-Appliances online verfügbar waren, als die erste Sicherheitslücke bekannt wurde, obwohl die Zahl seitdem auf etwa 2.800 gesunken ist, was auf ein weiterhin erhebliches Risiko hinweist.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
