MÜNCHEN (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in Ivanti Connect Secure und verwandten Produkten wird derzeit aktiv ausgenutzt. Diese Schwachstelle, bekannt als CVE-2025-0282, ermöglicht es Angreifern, ohne Authentifizierung Remote-Code auszuführen. Ivanti hat schnell reagiert und einen Patch veröffentlicht, um die betroffenen Systeme zu sichern.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die jüngste Entdeckung einer kritischen Sicherheitslücke in Ivanti Connect Secure und verwandten Produkten hat die IT-Sicherheitswelt in Alarmbereitschaft versetzt. Die Schwachstelle, die als CVE-2025-0282 bekannt ist, wurde erstmals Mitte Dezember 2024 aktiv ausgenutzt. Diese Lücke ermöglicht es Angreifern, ohne Authentifizierung Remote-Code auf den betroffenen Systemen auszuführen, was ein erhebliches Risiko für Unternehmen darstellt, die diese Software nutzen.
Ivanti hat schnell auf die Bedrohung reagiert und einen Patch veröffentlicht, um die Sicherheitslücke zu schließen. Die betroffenen Versionen umfassen Ivanti Connect Secure vor Version 22.7R2.5, Ivanti Policy Secure vor Version 22.7R1.2 und Ivanti Neurons für ZTA-Gateways vor Version 22.7R2.3. Die Schwachstelle wurde durch einen Buffer Overflow verursacht, der es Angreifern ermöglicht, die Kontrolle über die Systeme zu übernehmen.
Die Bedrohung wurde durch das Integrity Checker Tool (ICT) von Ivanti erkannt, das es dem Unternehmen ermöglichte, schnell zu reagieren und einen Fix zu entwickeln. Neben CVE-2025-0282 wurde auch eine weitere Schwachstelle, CVE-2025-0283, behoben, die es einem lokal authentifizierten Angreifer ermöglicht, seine Privilegien zu eskalieren. Diese Schwachstelle wird jedoch derzeit nicht aktiv ausgenutzt.
Die Sicherheitsfirma Mandiant hat in ihrer Untersuchung festgestellt, dass die Angriffe auf CVE-2025-0282 mit der Verbreitung des SPAWN-Malware-Ökosystems in Verbindung stehen. Diese Malware wurde auf mehreren kompromittierten Geräten in verschiedenen Organisationen entdeckt. Die Angriffe wurden einem China-nahen Bedrohungsakteur zugeschrieben, der als UNC5337 bekannt ist und als Teil von UNC5221 mit mittlerer Sicherheit eingestuft wird.
Die Angreifer nutzten eine Reihe von Schritten, um SELinux zu deaktivieren, die Protokollweiterleitung zu verhindern und das Laufwerk als beschreibbar zu mounten. Anschließend wurden Skripte ausgeführt, um Web-Shells zu platzieren und spezifische Protokolleinträge zu entfernen. Eine der ausgeführten Nutzlasten war ein weiteres Shell-Skript, das ein ELF-Binary startete, das für den Start von PHASEJAM verantwortlich ist, einem Skript-Dropper, der bösartige Änderungen an den Komponenten des Ivanti Connect Secure Appliances vornimmt.
PHASEJAM hat die Fähigkeit, eine Web-Shell in die Dateien getComponent.cgi und restAuth.cgi einzufügen, System-Upgrades zu blockieren und die remotedebug-Ausführbare Datei zu überschreiben, um beliebige Befehle auszuführen. Die Web-Shell kann Shell-Befehle dekodieren und die Ergebnisse der Befehlsausführung an den Angreifer zurücksenden, beliebige Dateien auf dem infizierten Gerät hochladen und Dateiinhalte lesen und übertragen.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2025-0282 in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und fordert Bundesbehörden auf, die Patches bis zum 15. Januar 2025 anzuwenden. Unternehmen wird dringend geraten, ihre Umgebungen auf Anzeichen einer Kompromittierung zu überprüfen und alle Vorfälle oder anomalen Aktivitäten zu melden.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Kritische Sicherheitslücke in Ivanti Connect Secure aktiv ausgenutzt".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Kritische Sicherheitslücke in Ivanti Connect Secure aktiv ausgenutzt" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Kritische Sicherheitslücke in Ivanti Connect Secure aktiv ausgenutzt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.