Eine Untersuchung des Cyber Security Anbieters Eclypsium hat ergeben, dass Ivanti Pulse Secure wahrscheinlich auf einem 11 Jahre alten CentOS-Betriebssystem basiert. Die im folgenden beschriebenen Sicherheitslücken sind daher wahrscheinlich nur eine Folge des generell niedrigen Sicherheitsniveaus, das aus veralteter Software resultitert. Die mittlerweile massenhafte Ausnutzng von Zero-Day-Sicherheitslücken (CVE-2023-46805 und CVE-2024-21887) durch Threat Actors wie UNC5221 kommt daher nicht überraschend. Denn die gefundenen Schwachstellen erlauben es einem nicht authentifizierten Angreifer, willkürliche Befehle mit erhöhten Privilegien auszuführen. Die Entdeckung unterstreicht die Risiken, die mit der Verwendung veralteter Software verbunden sind, insbesondere in sicherheitskritischen Anwendungen wie VPN-Gateways.
Ivanti hat auf die Entdeckung reagiert, indem es Patches bereitgestellt und Empfehlungen für Netzwerkverteidiger herausgegeben hat, einschließlich Indikatoren für Kompromittierungen (IOCs), YARA-Regeln und einem Härtungsleitfaden. Zusätzlich wurde eine Umgehung der anfänglichen Minderungsmaßnahmen identifiziert, die zur Bereitstellung einer benutzerdefinierten Webshell führte, bekannt als BUSHWALK, die es Angreifern ermöglichte, Sicherheitsmaßnahmen zu umgehen und willkürliche Befehle oder Dateien auf einem Server auszuführen.
Die Situation wird weiter kompliziert durch die Entdeckung einer XML External Entity (XXE) Schwachstelle (CVE-2024-22024) in den SAML-Komponenten von Ivanti Produkten, die nicht authentifizierten Zugriff auf eingeschränkte Ressourcen ermöglicht. Obwohl Ivanti behauptet, es gebe keine Beweise für eine Ausnutzung dieser Schwachstelle, betonen einige in der Sicherheitsgemeinschaft, dass sie bereits ausgenutzt wird.
Im Rahmen der aktuellen Cyberangriffe, die Ivanti Connect Secure VPN und Policy Secure Geräte ausnutzen, wurden speziell entwickelte Malware-Varianten wie BUSHWALK, CHAINLINE, FRAMESTING und eine Variante von LIGHTWIRE von Mandiant identifiziert. Diese Angriffe wurden von der chinesisch-nexus Spionagebedrohungsgruppe UNC5221 und anderen Bedrohungsakteuren durchgeführt. BUSHWALK ist eine in Perl geschriebene Webshell, die in eine legitime Secure Connect-Datei eingebettet ist und verschleierten Perl-Code ausführt, um die anfänglichen Minderungsmaßnahmen von Ivanti zu umgehen. CHAINLINE ist eine in Python geschriebene Webshell, die in ein Ivanti Connect Secure Python-Paket eingebettet ist und willkürliche Befehlsausführungen ermöglicht. FRAMESTING ist ebenfalls eine Python-Webshell, die in ein Ivanti Connect Secure Python-Paket eingebettet ist und willkürliche Befehlsausführungen ermöglicht.
ZIPLINE ist eine passive Backdoor, die eine exportierte Funktion accept()
von der Datei libsecure.so kapert, um Netzwerkverkehr abzufangen. THINSPOOL ist ein Dropper, der in einem Shell-Skript geschrieben ist und die Webshell LIGHTWIRE in eine legitime CS-Datei schreibt, um nach einem Update die Persistenz der Malware zu gewährleisten. LIGHTWIRE ist eine in Perl CGI geschriebene Webshell, die in eine legitime Secure Connect-Datei eingebettet ist, um willkürliche Befehle auszuführen. WARPWIRE ist ein in JavaScript geschriebener Credential Harvester, der in eine legitime Connect Secure-Datei eingebettet ist und Benutzernamen sowie Passwörter abfängt.
Die Angriffe nutzten Schwachstellen wie CVE-2023-46805 und CVE-2024-21887 aus, um willkürliche Befehle auf dem Ivanti-Gerät mit erhöhten Privilegien auszuführen. Ivanti hat auf diese Bedrohungen reagiert, indem es Patches bereitgestellt und Empfehlungen für Netzwerkverteidiger herausgegeben hat, einschließlich der Bewertung ihrer Protokolle mithilfe des Integrity Checker Tool (ICT) für eine umfassende Überprüfung der historischen Treffer.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: