Ein chinesischer Bedrohungsakteur missbraucht erneut Ivanti-Remote-Access-Geräte im großen Stil.
Wenn Sie für jede hochkarätige Sicherheitslücke, die letztes Jahr Ivanti-Geräte betraf, einen Nickel bekommen hätten, hätten Sie eine Menge Nickel. Da war die kritische Authentifizierungs-Bypass im Virtual Traffic Manager (vTM), der SQL-Injection-Fehler im Endpoint Manager herunter ,ein Trio beeinflusst seine Cloud Services Appliance (CSA), kritische Probleme mit Standalone Sentry und Neurons für IT Service Management (ITSM), Plus Dutzende mehr.
Alles begann im vergangenen Januar, als zwei schwerwiegende Sicherheitslücken wurden in Ivantis Connect Secure (ICS)- und Policy Secure-Gateways entdeckt. Zum Zeitpunkt der Offenlegung wurden die Schwachstellen bereits von einem mutmaßlichen Bedrohungsakteur mit chinesischem Bezug, UNC5337, ausgenutzt, bei dem es sich vermutlich um eine Entität von UNC5221 handelt.
Nun, ein Jahr und eine Secure-by-Design-Versprechen Später sind die Bedrohungsakteure zurückgekehrt, um Ivanti erneut heimzusuchen, und zwar über eine neue kritische Schwachstelle in ICS Dies betrifft auch Policy Secure und Neurons für Zero Trust Access (ZTA)-Gateways. Ivanti hat außerdem vor einem zweiten, etwas weniger schwerwiegenden Fehler gewarnt, der in Exploits bisher nicht beobachtet wurde.
„Nur weil wir so etwas oft sehen, heißt das nicht unbedingt, dass es einfach ist, so etwas durchzuziehen – es ist eine hochentwickelte Gruppe, die das macht“, weist Arctic Wolfs CISO Adam Marrè zur Verteidigung des gebeutelten IT-Anbieters darauf hin. „Engineering ist nicht einfach, und sicheres Engineering ist noch schwieriger. Auch wenn Sie also vielleicht die Prinzipien von Secure-by-Design befolgen, heißt das nicht, dass nicht jemand daherkommen und sich entweder mit neuen Technologien oder neuen Techniken und genügend Zeit und Ressourcen einhacken kann.“
2 weitere Sicherheitslücken in Ivanti-Geräten
Noch nicht ausgenutzt (soweit Forscher wissen) ist CVE-2025-0283, eine Pufferüberlauf-Möglichkeit in ICS-Versionen vor 22.7R2.5, Policy Secure vor 22.7R1.2 und Neurons für ZTA-Gateways vor 22.7R2.3. Das Problem mit der Schwere 7.0 von 10 im Common Vulnerability Scoring System (CVSS) könnte es einem Angreifer ermöglichen, seine Privilegien auf einem Zielgerät zu erhöhen, erfordert aber zunächst eine Authentifizierung.
CVE-2025-0282 – in CVSS als „kritisch“ 9.0 eingestuft – weist diese Einschränkung nicht auf und ermöglicht die Ausführung von Code als Root ohne erforderliche Authentifizierung. Ivanti gab nur wenige Details zur genauen Ursache des Problems bekannt, aber Forscher von watchTowr konnten Erfolgreiches Reverse Engineering eines Exploits nach dem Vergleich der gepatchten und ungepatchten Versionen von ICS.
Laut Mandiant begann ein Bedrohungsakteur Ausnutzung von CVE-2025-0282 Mitte Dezember, die dieselbe Malware-Familie „Spawn“ einsetzen, die mit UNC5337-Exploits früherer Ivanti-Bugs verknüpft ist. Zu diesen Tools gehören:
-
Das SpawnAnt-Installationsprogramm, das seine Malware-Kollegen ablegt und auch nach System-Upgrades bestehen bleibt
-
SpawnMole, das die Hin- und Her-Kommunikation mit der Infrastruktur des Angreifers erleichtert
-
SpawnSnail, eine passive Secure Shell (SSH)-Hintertür
-
SpawnSloth manipuliert Protokolle, um Beweise für böswillige Aktivitäten zu verbergen
„Die Malware-Familien des Bedrohungsakteurs weisen erhebliche Kenntnisse über das Ivanti Connect Secure-Gerät auf“, sagt Matt Lin, leitender Berater bei Mandiant. Tatsächlich beobachteten die Forscher neben UNC5337 und seinem Ableger auch zwei weitere unabhängige, aber ebenso maßgeschneiderte Malware, die auf infizierten Geräten eingesetzt wurde. Eine davon – DryHook, ein Python-Skript – ist darauf ausgelegt, Benutzeranmeldeinformationen von Zielgeräten zu stehlen.
Das andere, PhaseJam, ist ein Bash-Shell-Skript, das die Remote-Ausführung beliebiger Befehle ermöglicht. Am kreativsten ist jedoch seine Fähigkeit, die Persistenz durch Taschenspielertricks aufrechtzuerhalten. Wenn ein Administrator versucht, sein Gerät zu aktualisieren – ein Vorgang, der PhaseJam außer Gefecht setzen würde –, zeigt ihm die Malware stattdessen einen gefälschten Fortschrittsbalken an, der jeden der 13 Schritte simuliert, die man bei einem legitimen Update erwarten würde. Währenddessen verhindert sie im Hintergrund die Ausführung des legitimen Updates und sorgt so dafür, dass es einen weiteren Tag überlebt.
DryHook und PhaseJam könnten laut Mandiant das Werk von UNC5337 oder einem ganz anderen Bedrohungsakteur gewesen sein.
Zeit für ein Update
Daten der ShadowServer Foundation deuten darauf hin, dass zum Zeitpunkt des Schreibens dieses Artikels über 2,000 ICS-Instanzen anfällig sein könnten, wobei die größte Konzentration in den USA, Frankreich und Spanien zu verzeichnen ist.

Quelle: The Shadowserver Foundation
Ivanti und die Cybersecurity and Infrastructure Security Agency (CISA) haben veröffentlicht Anweisungen zur Milderung von CVE-2025-0282, und betont, dass Netzwerkverteidiger das in Ivanti integrierte Integrity Checker Tool (ICT) ausführen sollten, um Infektionen aufzuspüren und sofort Patches zu implementieren.
„Wir haben einen Patch veröffentlicht, der Schwachstellen im Zusammenhang mit Ivanti Connect Secure behebt“, sagt ein Ivanti-Sprecher gegenüber Dark Reading. „Eine der Schwachstellen wurde in begrenztem Umfang ausgenutzt und wir arbeiten aktiv mit betroffenen Kunden zusammen. Ivantis IKT hat bei der Identifizierung von Kompromittierungen im Zusammenhang mit dieser Schwachstelle erfolgreich gearbeitet. Die Ausnutzung durch Bedrohungsakteure wurde von der IKT noch am selben Tag identifiziert, an dem sie auftrat, sodass Ivanti umgehend reagieren und rasch einen Fix entwickeln konnte. Wir raten Kunden dringend, ihre interne und externe IKT im Rahmen eines robusten und mehrschichtigen Ansatzes zur Cybersicherheit genau zu überwachen, um die Integrität und Sicherheit der gesamten Netzwerkinfrastruktur zu gewährleisten.“
Es ist vielleicht erwähnenswert, dass Policy Secure und ZTA-Gateways im Gegensatz zu ICS ihre Patches erst am 21. Januar erhalten. In seiner Sicherheitsempfehlung erklärte Ivanti, dass ZTA-Gateways „nicht ausgenutzt werden können, wenn sie in der Produktion sind“, und dass Policy Secure so konzipiert ist, dass es nicht Internetverbindung, wodurch das Risiko einer Ausnutzung über CVE-2025-0282 oder ähnliche Schwachstellen verringert wird.
„Es ist wichtig, dass die Administratoren hier die richtigen Dinge tun“, sagt Marrè und merkt an: „Das kann zu Ausfallzeiten führen, die für Organisationen störend sein können, was dazu führen kann, dass sie es aufschieben oder es nicht so gründlich und gut beheben, wie sie sollten.“
Lin fügt hinzu: „Wir haben beobachtet, dass Unternehmen, die in der Vergangenheit umgehend auf diese Bedrohungen reagiert haben, nicht die gleichen negativen Auswirkungen zu spüren bekamen wie Unternehmen, die dies nicht getan haben.“ Er räumt auch ein, „dass im Hintergrund viel Wirbel entsteht, sobald einer dieser Patches angekündigt wird.
„Sicherheitsteams in allen Organisationen müssen sich darum bemühen, nicht nur Patches zu installieren, sondern auch herauszufinden, ob sie anfällig sind, und wenn ja, einzige müssen sie gepatcht werden oder wurden sie bereits gehackt? Und wenn sie gehackt wurden, wird eine weitere Reaktion auf den Vorfall ausgelöst, die in Unternehmen auf der ganzen Welt massive Arbeitsabläufe erzeugt. Es ist wichtig, die Mühen und Erschöpfung, die Verteidiger bei der Beurteilung dieser Szenarien durchmachen, nicht aus den Augen zu verlieren und ihre anfänglichen Reaktionszeiten nicht übermäßig kritisch zu betrachten.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/critical-ivanti-rce-bug