Mandiant Research: Neue Zero-Day-Sicherheitslücke in Ivanti Connect Secure VPN

(Auszug aus der Pressemitteilung)

Mandiant hat neue Details zu einer Zero-Day-Schwachstelle (CVE-2025-0282) veröffentlicht, die Ivanti bekannt gegeben und gleichzeitig gepatcht hat und die seine Ivanti Connect Secure VPN („ICS“) Anwendungen betrifft.

Anzeige

Ivanti hat die Schwachstelle anhand von Hinweisen des vom Unternehmen bereitgestellten Integrity Checker Tools („ICT”) und anderer kommerzieller Sicherheitsüberwachungs-Tools identifiziert. Wie Mandiant in seiner Analyse feststellt, ist CVE-2025-0282 bereits im Dezember 2024 von einem mutmaßlichen chinesischen Spionageakteur ausgenutzt worden.

Zwar kann Mandiant die Ausnutzung von CVE-2025-0282 derzeit nicht einem bestimmten Bedrohungsakteur zuordnen, doch haben die Sicherheitsexperten dieselbe Malware-Familie (SPAWN) beobachtet, die bereits im April 2024 gemeldet wurde und mit dem Akteur UNC5337 in Verbindung steht, wobei es sich nach Einschätzung von Mandiant um dieselbe Gruppierung wie bei UNC5221 handelt.

Mandiant gibt an, dass es möglich ist, dass mehrere Akteure für die Erstellung und den Einsatz der verschiedenen Malware-Familien verantwortlich sind, die die Experten in ihren laufenden Untersuchungen gesehen haben (SPAWN, DRYHOOK und PHASEJAM), stellt jedoch fest, dass „wir zum Zeitpunkt der Veröffentlichung dieses Berichts nicht über genügend Daten verfügen, um die Anzahl der Bedrohungsakteure, die auf CVE-2025-0282 abzielen, genau zu bestimmen.“

Die erfolgreiche Ausnutzung von CVE-2025-0282 ermöglicht Angreifern:

  • Remote-Code-Ausführung: Kann zur Remotecodeausführung führen, wodurch Angreifer die Kontrolle über betroffene Systeme übernehmen können.
  • Laterale Bewegung: Sobald sie kompromittiert sind, bewegen sich Angreifer lateral innerhalb von Netzwerken, um ihren Zugriff zu erweitern, was zu Auswirkungen über die kompromittierte Appliance hinaus führen kann.
  • Hartnäckige Hintertüren: Angreifer installieren Hintertüren, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten. Einige Backdoors sind in der Lage, über System-Upgrades hinweg zu bestehen. Deshalb rät Ivanti den betroffenen Kunden, einen Factory Reset durchzuführen.

Zwei interessante Taktiken sind erwähnenswert (Hinweis: Mandiant verfügt derzeit nicht über genügend Daten, um festzustellen, welcher Bedrohungsakteur sie durchführt):

  1. Nach der erfolgreichen Ausnutzung von CVE-2025-0282 setzt der Bedrohungsakteur die benutzerdefinierte Malware „PHASEJAM“ ein, um sich zunächst in dem System zu etablieren und die Installation von System-Upgrades zu verhindern, was den Versuch eines dauerhaften Zugriffs über System-Upgrades hinweg ermöglicht.

    In der Annahme, dass eine fehlgeschlagene Upgrade-Installation die Aufmerksamkeit des Systemadministrators auf sich ziehen würde, zeigt der Bedrohungsakteur stattdessen einen gefälschten Upgrade-Fortschrittsbalken an, um dem Administrator vorzugaukeln, dass das versuchte Upgrade korrekt installiert wurde, blockiert aber stillschweigend den legitimen Upgrade-Prozess.

  2. Neuere Versionen von Ivanti Connect Secure verfügen über ein integriertes Integritätsprüfungs-Tool (ICT), das sich bei der Erkennung von Kompromittierungen im Zusammenhang mit dieser Schwachstelle als wirksam erwiesen hat. Das ICT funktioniert wie eine Kontrollleuchte für die Appliance, die aufleuchten kann, um den Benutzern mitzuteilen, dass etwas nicht in Ordnung ist oder ungewöhnliches Verhalten entdeckt wurde. Es führt in regelmäßigen Abständen eine Diagnose der Appliance durch und überwacht dabei ständig ihre Vitalparameter auf Anomalien oder Abweichungen von ihrem bekannten „gesunden“ Zustand.

    In einigen Fällen hat der Bedrohungsakteur versucht, das Manifest der „gesunden Dateien“ der ICT zu bearbeiten, um seine bösartigen Dateien einzuschließen und die Erkennung zu umgehen.