Beobachtungen
Am 8. Januar veröffentlichte Ivanti zwei Schwachstellen in deren Secure VPN Geräten. Hierbei handelt es sich um die Schwachstellen CVE-2025-0282 sowie CVE-2025-0283. Der IT-Sicherheitsdienstleister Mandiant veröffentlichte in diesem Zuge Analysen, die eine aktive Ausnutzung der Schwachstelle CVE-2025-0282 bereits seit Mitte Dezember 2024 aufzeigen.
Hintergrund und Methoden
Im Rahmen der bisher beobachteten Angriffe wurden mehrere Schadprogramme der SPAWN-Familie festgestellt. Die genaue Vorgehensweise der Angreifer variiert hierbei. Die Angreifer löschen unter anderem gezielt Kernel Messages, Programmlogs und ausgeführte Kommandos, um ihre Spuren zu verwischen. Zudem nutzen die Angreifer Techniken, um die eingesetzte Malware auch nach einem Systemupgrade persistent zu machen. Im weiteren Verlauf werden zu Reconnaissance Zwecken nmap-Scans und LDAP-Queries durchgeführt, um weitere Ziele im internen Netzwerk der Opfer zu identifizieren. Letztlich werden auch Vorbereitungen zur Exfiltration des Gerätecaches sowie von auf dem Gerät vorhanden Credentials durchgeführt.
Mandiant stellt eine ausführliche Analyse der eingesetzten TTPs zur Verfügung.
Attribution
Aufgrund der Aktualität der Angriffe ist eine abschließende Attribuierung zu einem bestimmten Akteur derzeit
noch nicht möglich. Das gezielte Ausnutzen einer Zero-Day Schwachstelle sowie die technische Raffinesse der Angriffe sprechen jedoch
für staatliche Akteure. Mandiant stellt aufgrund der eingesetzten Malware sowie der Angriffsfläche Verbindungen zum Akteur
UNC5337 her, der dem chinesischen Staat zugeschrieben wird. Im vergangenen Jahr veröffentlichten wir zwei Sicherheitshinweise,
in denen wir ebenfalls über Schwachstellen in Sicherheitsprodukten des Herstellers Ivanti berichteten. Damals wurden diese
Sicherheitslücken ebenfalls von mutmaßlich staatlich gesteuerten, chinesischen Cyberakteuren aktiv ausgenutzt.
Empfehlungen
Das BSI empfiehlt in einem aktuellen Sicherheitshinweis gezielte Maßnahmen zur Überprüfung auf eine Kompromittierung sowie zur Mitigation eines möglichen Angriffes. Der Hersteller Ivanti hat am 8. Januar einen Workaround zur Behebung der Sicherheitslücken bereitgestellt. Wir raten Nutzern und Administratoren der entsprechenden Softwareprodukte dringend, den bereitgestellten Workaround umzusetzen, weißen jedoch darauf hin, dass es Angreifern in der Vergangenheit gelungen ist, diesen zu umgehen. Darüber hinaus ist es eher wahrscheinlich, dass Systeme bereits durch Angreifer unter Ausnutzung der genannten Schwachstellen infiltriert wurden und diese vor Einspielen eines Patches im Netzwerk persistiert haben. Wir raten daher Administratoren zusätzlich zur Überprüfung ihrer Systeme. Der Sicherheitsdienstleister Mandiant stellt hierzu ebenfalls eine Liste mit IOCs und YARA Rules bereit.