Kritische Sicherheitslücke in Ivanti Connect Secure aktiv ausgenutzt

MÜNCHEN (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in Ivanti Connect Secure und verwandten Produkten wird derzeit aktiv ausgenutzt. Diese Schwachstelle, bekannt als CVE-2025-0282, ermöglicht es Angreifern, ohne Authentifizierung Remote-Code auszuführen. Ivanti hat schnell reagiert und einen Patch veröffentlicht, um die betroffenen Systeme zu sichern.

Die jüngste Entdeckung einer kritischen Sicherheitslücke in Ivanti Connect Secure und verwandten Produkten hat die IT-Sicherheitswelt in Alarmbereitschaft versetzt. Die Schwachstelle, die als CVE-2025-0282 bekannt ist, wurde erstmals Mitte Dezember 2024 aktiv ausgenutzt. Diese Lücke ermöglicht es Angreifern, ohne Authentifizierung Remote-Code auf den betroffenen Systemen auszuführen, was ein erhebliches Risiko für Unternehmen darstellt, die diese Software nutzen.

Ivanti hat schnell auf die Bedrohung reagiert und einen Patch veröffentlicht, um die Sicherheitslücke zu schließen. Die betroffenen Versionen umfassen Ivanti Connect Secure vor Version 22.7R2.5, Ivanti Policy Secure vor Version 22.7R1.2 und Ivanti Neurons für ZTA-Gateways vor Version 22.7R2.3. Die Schwachstelle wurde durch einen Buffer Overflow verursacht, der es Angreifern ermöglicht, die Kontrolle über die Systeme zu übernehmen.

Die Bedrohung wurde durch das Integrity Checker Tool (ICT) von Ivanti erkannt, das es dem Unternehmen ermöglichte, schnell zu reagieren und einen Fix zu entwickeln. Neben CVE-2025-0282 wurde auch eine weitere Schwachstelle, CVE-2025-0283, behoben, die es einem lokal authentifizierten Angreifer ermöglicht, seine Privilegien zu eskalieren. Diese Schwachstelle wird jedoch derzeit nicht aktiv ausgenutzt.

Die Sicherheitsfirma Mandiant hat in ihrer Untersuchung festgestellt, dass die Angriffe auf CVE-2025-0282 mit der Verbreitung des SPAWN-Malware-Ökosystems in Verbindung stehen. Diese Malware wurde auf mehreren kompromittierten Geräten in verschiedenen Organisationen entdeckt. Die Angriffe wurden einem China-nahen Bedrohungsakteur zugeschrieben, der als UNC5337 bekannt ist und als Teil von UNC5221 mit mittlerer Sicherheit eingestuft wird.

Die Angreifer nutzten eine Reihe von Schritten, um SELinux zu deaktivieren, die Protokollweiterleitung zu verhindern und das Laufwerk als beschreibbar zu mounten. Anschließend wurden Skripte ausgeführt, um Web-Shells zu platzieren und spezifische Protokolleinträge zu entfernen. Eine der ausgeführten Nutzlasten war ein weiteres Shell-Skript, das ein ELF-Binary startete, das für den Start von PHASEJAM verantwortlich ist, einem Skript-Dropper, der bösartige Änderungen an den Komponenten des Ivanti Connect Secure Appliances vornimmt.

PHASEJAM hat die Fähigkeit, eine Web-Shell in die Dateien getComponent.cgi und restAuth.cgi einzufügen, System-Upgrades zu blockieren und die remotedebug-Ausführbare Datei zu überschreiben, um beliebige Befehle auszuführen. Die Web-Shell kann Shell-Befehle dekodieren und die Ergebnisse der Befehlsausführung an den Angreifer zurücksenden, beliebige Dateien auf dem infizierten Gerät hochladen und Dateiinhalte lesen und übertragen.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2025-0282 in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und fordert Bundesbehörden auf, die Patches bis zum 15. Januar 2025 anzuwenden. Unternehmen wird dringend geraten, ihre Umgebungen auf Anzeichen einer Kompromittierung zu überprüfen und alle Vorfälle oder anomalen Aktivitäten zu melden.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

2.009 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen