Ivanti Pulse Secure durch veraltetes CentOS wohl angreifbar

Eine Untersuchung des Cyber Security Anbieters Eclypsium hat ergeben, dass Ivanti Pulse Secure wahrscheinlich auf einem 11 Jahre alten CentOS-Betriebssystem basiert. Die im folgenden beschriebenen Sicherheitslücken sind daher wahrscheinlich nur eine Folge des generell niedrigen Sicherheitsniveaus, das aus veralteter Software resultitert. Die mittlerweile massenhafte Ausnutzng von Zero-Day-Sicherheitslücken (CVE-2023-46805 und CVE-2024-21887) durch Threat Actors wie UNC5221 kommt daher nicht überraschend. Denn die gefundenen Schwachstellen erlauben es einem nicht authentifizierten Angreifer, willkürliche Befehle mit erhöhten Privilegien auszuführen. Die Entdeckung unterstreicht die Risiken, die mit der Verwendung veralteter Software verbunden sind, insbesondere in sicherheitskritischen Anwendungen wie VPN-Gateways.

Ivanti hat auf die Entdeckung reagiert, indem es Patches bereitgestellt und Empfehlungen für Netzwerkverteidiger herausgegeben hat, einschließlich Indikatoren für Kompromittierungen (IOCs), YARA-Regeln und einem Härtungsleitfaden. Zusätzlich wurde eine Umgehung der anfänglichen Minderungsmaßnahmen identifiziert, die zur Bereitstellung einer benutzerdefinierten Webshell führte, bekannt als BUSHWALK, die es Angreifern ermöglichte, Sicherheitsmaßnahmen zu umgehen und willkürliche Befehle oder Dateien auf einem Server auszuführen.

Die Situation wird weiter kompliziert durch die Entdeckung einer XML External Entity (XXE) Schwachstelle (CVE-2024-22024) in den SAML-Komponenten von Ivanti Produkten, die nicht authentifizierten Zugriff auf eingeschränkte Ressourcen ermöglicht. Obwohl Ivanti behauptet, es gebe keine Beweise für eine Ausnutzung dieser Schwachstelle, betonen einige in der Sicherheitsgemeinschaft, dass sie bereits ausgenutzt wird.

Im Rahmen der aktuellen Cyberangriffe, die Ivanti Connect Secure VPN und Policy Secure Geräte ausnutzen, wurden speziell entwickelte Malware-Varianten wie BUSHWALK, CHAINLINE, FRAMESTING und eine Variante von LIGHTWIRE von Mandiant identifiziert. Diese Angriffe wurden von der chinesisch-nexus Spionagebedrohungsgruppe UNC5221 und anderen Bedrohungsakteuren durchgeführt. BUSHWALK ist eine in Perl geschriebene Webshell, die in eine legitime Secure Connect-Datei eingebettet ist und verschleierten Perl-Code ausführt, um die anfänglichen Minderungsmaßnahmen von Ivanti zu umgehen. CHAINLINE ist eine in Python geschriebene Webshell, die in ein Ivanti Connect Secure Python-Paket eingebettet ist und willkürliche Befehlsausführungen ermöglicht. FRAMESTING ist ebenfalls eine Python-Webshell, die in ein Ivanti Connect Secure Python-Paket eingebettet ist und willkürliche Befehlsausführungen ermöglicht​​​​.

ZIPLINE ist eine passive Backdoor, die eine exportierte Funktion accept() von der Datei libsecure.so kapert, um Netzwerkverkehr abzufangen. THINSPOOL ist ein Dropper, der in einem Shell-Skript geschrieben ist und die Webshell LIGHTWIRE in eine legitime CS-Datei schreibt, um nach einem Update die Persistenz der Malware zu gewährleisten. LIGHTWIRE ist eine in Perl CGI geschriebene Webshell, die in eine legitime Secure Connect-Datei eingebettet ist, um willkürliche Befehle auszuführen. WARPWIRE ist ein in JavaScript geschriebener Credential Harvester, der in eine legitime Connect Secure-Datei eingebettet ist und Benutzernamen sowie Passwörter abfängt​​.

Die Angriffe nutzten Schwachstellen wie CVE-2023-46805 und CVE-2024-21887 aus, um willkürliche Befehle auf dem Ivanti-Gerät mit erhöhten Privilegien auszuführen. Ivanti hat auf diese Bedrohungen reagiert, indem es Patches bereitgestellt und Empfehlungen für Netzwerkverteidiger herausgegeben hat, einschließlich der Bewertung ihrer Protokolle mithilfe des Integrity Checker Tool (ICT) für eine umfassende Überprüfung der historischen Treffer​​​​.

Related Posts

Hacker stehlen Face-ID Scans für Deep Fake Bank Account Authentifizierung

Cyberkriminelle nutzen Malware, um Face ID-Scans von iOS-Nutzern zu stehlen und so Zugang zu Bankkonten zu erhalten und Geld zu stehlen. Diese Aktivität ist Teil einer Kampagne einer chinesischsprachigen Cyberkriminalitätsgruppe, bekannt als GoldFactory. Die Kampagne begann im Juni 2023 und verwendet trojanisierte Apps, um Nutzer durch biometrische Verifizierungschecks zu täuschen, wodurch die Sicherheit in legitimen Banking-Apps in Vietnam und Thailand umgangen wird. Dies markiert den ersten beobachteten Fall auf iOS, bei dem solche Funktionalitäten kombiniert werden, einschließlich der Sammlung biometrischer Daten und der Abfangung von SMS.

Read More

Kritische Outlook Schwachstelle 2024 jetzt patchen

Am 14.02.2024 wurde von Microsoft eine kritische Sicherheitsschwachstelle in Outlook bekannt gegeben, die es Angreifern auf einfachste Art per hinzufügen eines “!” ermöglicht, Sicherheitsvorkehrungen zu umgehen . Diese Schwachstelle CVE-2024-21413 hat eine hohe Schwere mit einem CVSS v3-Basiswert von 9,8, was darauf hinweist, dass sie Angreifern ermöglicht, Code aus der Ferne auszuführen, ohne dass Benutzerinteraktion erforderlich ist. Die Schwachstelle wird durch die Sicherheitsminderung der Vorschaufensterfunktion in Microsoft Office ausgenutzt. Speziell ermöglicht sie es einem Angreifer, die Geschützte Ansicht von Office zu umgehen, wodurch ein Dokument im Bearbeitungsmodus anstatt im geschützten Modus geöffnet wird.

Read More

Zoom patcht kritische Sicherheitslücken in Windows

Zoom hat am 13. Februar 2024 einen Patch veröffentlicht, mehrere Sicherheitslücken in der Zoom Desktop-Client für Windows, Zoom VDI-Client für Windows und Zoom Meeting SDK für Windows beseitigt. Der kritischste untern den behobenen Lücken ist die unsichere Eingabevalidierung aus (CVE-2024-24691) mit CVSS Score 9.6/10.

Read More