Beobachtungen
Am Donnerstag, den 3. April 2025, gab Ivanti
eine kritische Sicherheitslücke bekannt (CVE-2025-22457), die Ivanti Connect Secure („ICS“) VPN-Geräte Version
22.7R2.5 und älter betrifft. Es handelt sich dabei um eine Buffer-Overflow-Schwachstelle, die bei Ausnutzung die Ausführung von
Remote Code ermöglicht. Laut Mandiant und Ivanti wird die Schwachstelle von Angreifern bereits seit Mitte März 2025 ausgenutzt.
Ivanti rät daher allen Kunden, die betroffenen Systeme upzudaten.
Hintergrund und Methoden
Mandiant konnte feststellen, dass nach der erfolgreichen Ausnutzung der Schwachstelle zwei neuartige Malware-Programme eingesetzt werden:
Trailblaze und Brushfire. Bei Brushfire handelt es sich um eine Backdoor, die durch Trailblaze installiert wird. Darüber hinaus kommt
auch Spawn zum Einsatz. Bei Spawn handelt es sich um ein ganzes Toolset verschiedener Schadprogramme, welches häufig von UNC5221
eingesetzt wird.
Attribution
Die Google Threat Intelligence Group (GTIG) attribuiert die Ausnutzung von CVE-2025-22457 und die anschließende Verwendung der
Spawn-Malwarefamilie mit dem Cyberakteur UNC5221. Bei UNC5221 handelt es sich mutmaßlich um eine Angreifergruppierung mit Bezügen
zu China.
Empfehlungen
Wir berichteten bereits in der Vergangenheit über die Ausnutzung von Schwachstellen in Ivanti-Produkten durch ausländische
Angreifergruppierungen. Vor diesem Hintergrund empfehlen wir allen Organisationen, die Ivanti Connect Secure einsetzen, auf die Version
22.7R2.6 oder aktueller upzudaten. Darüber hinaus wird der Einsatz des Integrity Checker Tools (ITC) empfohlen. Sollten hierdurch verdächtige
Aktivitäten festgestellt werden, bitten wir um Kontaktaufnahme. GTIG stellt neben einem ausführlichen Bericht auch Indicators of
Compromise (IOC) zur Verfügung.