Laut Berichten war die US-Verteidigungsindustrie in letzter Zeit Ziel gezielter Cyber-Angriffe. Dabei wurden Schwachstellen in Ivanti Connect Secure VPN-Geräten ausgenutzt, um in Netzwerke einzudringen. Die beobachteten Vorfälle stehen im Zusammenhang mit einer größeren Welle an Kompromittierungen dieser VPN-Produkte.
Angriffe im Fokus der Nationalen Sicherheitsbehörde
Die National Security Agency (NSA) bestätigte die Attacken auf Organisationen der Verteidigungsbranche. Laut NSA-Sprecher Edward Bennett arbeitet das Cybersecurity Collaboration Center daran, die Bedrohung einzudämmen. Die Angriffe ereigneten sich während die Behörde bereits weit verbreitete Ivanti-Kompromittierungen überwachte.
Erst vor Kurzem hatte die Sicherheitsfirma Mandiant über eine massive Hackkampagne der chinesischen Gruppe UNC5325 berichtet. Diese nutzte ebenfalls die Ivanti-Schwachstellen, um in Unternehmen der US-Verteidigungsindustrie sowie anderer Branchen einzudringen.
Neuartige Malware für anhaltendes Eindringen
Laut Mandiant setzte UNC5325 dabei spezielle Malware ein, um langfristig Administratorzugriff auf den kompromittierten Systemen sicherzustellen – auch nach den Behebungsmaßnahmen. Diese hartnäckige Persistenz wurde von der Cybersecurity and Infrastructure Security Agency (CISA) bestätigt, wenngleich Ivanti die Ergebnisse herunterspielt.
„Uns sind keine Fälle bekannt, bei denen Angreifer nach Installation unserer Sicherheitsupdates und Durchführung eines Factory Resets weiterhin Zugriff hatten“, kommentierte Ivanti Sicherheitschef Mike Riemer die CISA-Warnungen.
Hintergrund der VPN-Schwachstellen
Die von den Angreifern genutzten Lücken in Ivanti Connect Secure Produkten ermöglichen unautorisierte Ausführung von Code mit Kernel-Rechten. Betroffen sind zahlreiche Versionen der VPN-Software für die Firmware-Versionen vor 9.X.
Zeitlicher Ablauf und erste Warnungen
Hier ein Überblick über die wichtigsten Ereignisse:
-
- Dezember 2024: Ivanti informiert erstmals über die kritischen Schwachstellen (CVE-2024-27212 und CVE-2024-27218)
-
- Mai 2024: CISA veröffentlicht Warnungen über aktive Ausnutzung durch Cyberkriminelle
- September 2024: Mandiant identifiziert Gruppe UNC5325 hinter großangelegter Kampagne
- Januar 2024: CISA berichtet über Persistenz-Mechanismen von Angreifern
Die ersten öffentlichen Warnungen zu diesen Lücken gab es also Ende 2024. Seitdem häuften sich Berichte über erfolgreiche Angriffe durch verschiedene Cyberkriminelle Gruppen weltweit.
Stufen zur Risikominimierung
Experten raten betroffenen Unternehmen zu einer mehrstufigen Vorgehensweise:
- Umgehende Installation aller Sicherheitsupdates für Ivanti-Produkte
- Durchführung eines „Factory Reset“ auf allen Ivanti-Geräten
- Überwachung der Systeme auf Kompromittierungsanzeichen
- Änderung aller VPN-Anmeldedaten und Schlüssel
- Regelmäßige Sicherheitsaudits kritischer Systeme
Nur so lässt sich die maximale Absicherung gegen Restrisiken gewährleisten, so die Fachleute.
Einschätzungen und Empfehlungen
Sicherheitsanalysten warnen, dass die Folgen der Angriffe auf die US-Verteidigungsindustrie möglicherweise erst langfristig in ihrem vollen Ausmaß erkennbar werden. Firmen aller Branchen müssen derartige VPN-Schwachstellen als hochkritisch einstufen und sofort Gegenmaßnahmen ergreifen.
„Die Cyber-Sicherheit der Lieferketten hat oberste Priorität“, mahnt CISA-Direktor Jen Easterly. „Bereits minimale Sicherheitslücken können von Akteuren für massive Schäden ausgenutzt werden.“
Mittelfristig empfehlen Experten überdies einen Wechsel zu sichereren VPN-Alternativen wie Zero Trust Network Access Lösungen. Diese bieten ein höheres Schutzniveau als herkömmliche VPN-Gateways.
Die jüngsten Cyber-Angriffe auf Rüstungsfirmen in den USA zeigen einmal mehr die hohe Bedrohungslage durch Schwachstellen. Verantwortliche Stellen wie die NSA und CISA raten Unternehmen jeder Größenordnung dringend zu raschen und entschlossenen Maßnahmen.
Um Schäden durch die weitreichenden Ivanti-Lücken zu verhindern, ist eine proaktive Sicherheitsstrategie unabdingbar. Dazu gehören kurzfristig das Einspielen aktueller Patches. Langfristig müssen Alternativen wie Zero Trust in Betracht gezogen werden. Nur wer Cyber-Risiken konsequent minimiert, ist langfristig für die Herausforderungen von morgen gerüstet.