Die IT-Sicherheitsfirma Mandiant hat zusammen mit Ivanti eine Reihe von Sicherheitslücken in der VPN-Lösung Ivanti Connect Secure untersucht. Die Schwachstellen ermöglichten das Einschleusen von Schadsoftware und dauerhften Zugriff auf Firmennetzwerke. Im Testbericht zeigt sich, dass die betroffenen Produkte dringend abgesichert werden müssen.
Kritische Sicherheitslücken entdeckt
Insgesamt fünf Sicherheitslücken in Ivanti Connect Secure wurden seit Januar 2024 entdeckt. Darunter sind etwa ein Authentifizierungs-Bypass, Befehlsinjektionen und XML External Entity Angriffe.
Laut den Sicherheitsforschern erlaubten diese Lücken das Eindringen in VPN-Appliances und die Installation von Hintertüren. Mehrere chinesische Hackergruppen, darunter UNC5325, sollen die Schwachstellen aktiv ausgenutzt haben.
Massive automatisierte Angriffe beobachtet
Nach der Veröffentlichung der Lücken beobachtete Mandiant massive automatisierte Attacken auf verwundbare Systeme. Die Hacker nutzten die Lücken in Kombination, um Schadcode einzuschleusen und Fernzugriff zu erhalten.
Eine wichtige Rolle spielte dabei die SSRF-Schwachstelle CVE-2024-21893. Sie ermöglichte unauthentifizierten Angreifern, Befehle auf den Systemen auszuführen. Die Hacker ketteten die Lücke mit anderen Schwachstellen zusammen.
Ausgeklügelte Malware zum Überdauern von Patches
Besonders die Gruppe UNC5325 zeigte laut Mandiant ausgeklügelte Techniken, um dauerhaft in die Systeme einzudringen. Sie setzte Malware wie LITTLELAMB.WOOLTEA ein, die Patches, Upgrades und sogar Factory Resets überdauern kann.
So manipulierte die Schadsoftware Sicherungsarchive und Partitionen, um nach Updates und Zurücksetzungen wieder hergestellt zu werden. Allerdings enthielt der Code Fehler, so dass die Persistenz meist scheiterte.
SparkGateway-Plugins für Hintertüren missbraucht
In einigen Fällen missbrauchten die Angreifer laut dem Testbericht auch legitime SparkGateway-Plugins, um Malware nachzuladen. Diese Plugins dienen der Bereitstellung von RDP und SSH im Browser.
Über manipulierte Konfigurationen luden die Hacker eigene JAR-Dateien mit dem Namen „Plugin.jar“. Diese enthielten Hintertüren, die sich tief in die Systemprozesse einklinkten. Die Plugins sorgten so für eine dauerhafte Kompromittierung.
Bushwalk-Webshell für Fernzugriff genutzt
Neben den Plugins setzten die Hacker auch auf die Webshell Bushwalk, die in Perl geschrieben ist. Bushwalk wurde in eine legitime Komponente der VPN-Appliance eingebettet, um Fernzugriff und Datenabfluss zu ermöglichen.
Laut Mandiant zeigte Bushwalk einige trickreiche Techniken, um die Erkennung zu umgehen. So konnte die Webshell zwischen einem aktiven und inaktiven Zustand hin- und herschalten. Im inaktiven Modus entzog sie sich so der Entdeckung.
Fazit: Appliances müssen dringend abgesichert werden
Der Testbericht zeigt eindrücklich, dass die entdeckten Sicherheitslücken in Ivanti Connect Secure ein erhebliches Risiko darstellen. Angreifer konnten damit langfristigen Zugang zu Unternehmensnetzwerken erhalten.
Administratoren von betroffenen Appliances müssen daher umgehend die verfügbaren Patches und Absicherungsmaßnahmen einspielen. Die Malware-Versionen sind zwar oft fehlerhaft, dennoch können die Lücken gravierende Sicherheitsvorfälle nach sich ziehen.
Der Vorfall macht deutlich, dass bei VPN-Lösungen und Netzwerk-Appliances erhöhte Wachsamkeit geboten ist. Regelmäßige Penetrationstests und Monitoring können helfen, kritische Schwachstellen rechtzeitig zu erkennen und Angriffe abzuwehren.