Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Ivanti Connect Secure: Angreifer attackieren kritische Sicherheitslücke

Ivanti warnt vor aktiven Angriffen auf eine kritische Sicherheitslücke in der VPN-Software Ivanti Connect Secure (ICS). Diese und eine weitere Sicherheitslücke betreffen zudem auch Ivanti Policy Secure und Ivanti ZTA Gateways. Für ICS stehen Aktualisierungen bereit, für die anderen beiden Produkte hat Ivanti Updates lediglich angekündigt.

Anzeige

In einer Sicherheitsmitteilung erörtert Ivanti Details zu den Schwachstellen. Angriffe hat das Unternehmen auf einen Stack-basierten Pufferüberlauf entdeckt, der den bösartigen Akteuren ohne vorherige Anmeldung das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-0282, CVSS 9.0, Risiko "kritisch"). Wie genau die Angriffe aussehen, erörtert Ivanti nicht. Eine zweite Schwachstelle besteht ebenfalls in einem Stack-basierten Pufferüberlauf, der angemeldeten Nutzern die Ausweitung der eigenen Rechte erlaubt (CVE-2025-0283, CVSS 7.0, hoch). Diese Lücke wird laut Ivanti derzeit jedoch nicht missbraucht.

Googles Tochter Mandiant stellt in einem eigenen Blog-Beitrag eine erste Analyse der Angriffe vor. Die Angreifer haben Malware aus dem von Mandiant Spawn genannten Ökosystem nach erfolgreichen Angriffen installiert, aber auch Dryhook und Phasejam genannte Malware-Familien. Die Exploits für die Schwachstelle sind versionsspezifisch für die einzelnen Patch-Levels von ICS. Die Malware stellt dann am Ende Tunnel bereit, Webshells, unterbindet Updates, greift Zugangsdaten ab und kann weiteren Schaden anrichten. Mandiant verortet die Angreifer UNC5337 als Untergruppe von UNC5221 in China, es handelt sich demnach um eine Spionage-Gruppe.

Ivanti spricht davon, von einer begrenzten Anzahl an angegriffenen Kunden zu wissen. Mandiant erklärt, die Angriffe haben Mitte Dezember 2024 angefangen. Die Analysen dauern noch an, die bisherigen Ergebnisse sind noch vorläufig. Mandiant listet am Ende des Beitrags noch Hinweise für Infektionen (Indicators Of Compromise, IOCs) sowie hilfreiche YARA-Regeln auf, mit denen Admins ihre IT untersuchen und sich vor Angriffen warnen lassen können.

Ivanti erklärt, dass Attacken auf die Schwachstelle CVE-2025-0282 mit dem Integrity Checker Tool (ICT) erkannt werden können. Kunden sollen ihre internen und externen ICTs als Teil ihres Sicherheitskonzeptes genau überwachen. Zudem steht aktualisierte Software bereit. Ivanti Connect Secure 22.7R2.5 stopft die Lücke in den verwundbaren Fassungen 22.7R2 bis 22.7R.4 sowie 9.1R18.9 und vorherigen Versionen. Ivanti Policy Secure ist ebenfalls verwundbar, soll jedoch nicht exponiert im Internet zugreifbar stehen. Ein Update kündigt Ivanti dafür zum 21. Januar an. Ivanti ZTA Gateways sind nur verwundbar, wenn sie nicht "in Produktion" sind. Sofern damit jedoch ein Gateway erstellt und nicht an den ZTA-Controller angebunden wird, ist ein Exploit möglich. Auch hierfür soll am 21. Januar ein Softwareflicken bereitstehen.

Nicht nur Ivantis VPN ist Ziel von Angreifern, am Dienstag dieser Woche wurden auch laufende Angriffe auf eine Zero-Day-Schwachstelle in Sonicwalls SonicOS respektive SSL-VPN bekannt. Auch hier müssen IT-Verantwortliche rasch dafür sorgen, bereitstehende Softwareaktualisierungen zu installieren.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Kein Patch für Lücke in WordPress-Plug-in Fancy Pr...
Angestellte klickten dreimal so oft auf Phishing-L...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image