Technischer Support
Dokumentation
Anmeldung
Kontakt
Das zu Google gehörende Unternehmen Mandiant hat eine neue Malware aufgedeckt, die Schwachstellen in Ivanti Connect Secure VPN- und Policy Secure-Geräten ausnutzt. Diese Malware wurde von mehreren Bedrohungsgruppen, darunter die China-Nexus-Spionagegruppe UNC5221, zur Durchführung von Post-Exploitation-Aktivitäten genutzt. Zu den neuen Malware-Varianten, die von diesen Bedrohungsakteuren eingesetzt werden, gehören die benutzerdefinierten Web-Shells namens BUSHWALK, CHAINLINE, FRAMESTING und eine Variante von LIGHTWIRE.
CHAINLINE zum Beispiel ist eine Python-basierte Web-Shell, die in Ivanti Connect Secure Python-Pakete eingebettet ist und die Ausführung beliebiger Befehle ermöglicht.
BUSHWALK, geschrieben in Perl, umgeht die Schutzmaßnahmen von Ivanti und gibt Angreifern die Möglichkeit, Dateien auf Servern zu lesen oder zu schreiben.
FRAMESTING funktioniert wie eine Python-Web-Shell, die in ein Ivanti Connect Secure Python-Paket integriert ist und die Ausführung beliebiger Befehle ermöglicht. Sie befindet sich in dem angegebenen Pfad: "/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py".
LIGHTWIRE, das in Perl CGI geschrieben ist, ermöglicht einen dauerhaften Fernzugriff auf kompromittierte Geräte.
Die Analyse von Mandiant hat die Ausnutzung von Ivanti-Schwachstellen aufgedeckt: CVE-2023-46805 und CVE-2024-21887, die es Bedrohungsakteuren ermöglichen, beliebige Befehle mit erhöhten Rechten auszuführen. Diese Schwachstellen werden seit Dezember 2023 aktiv als Zero-Days ausgenutzt, was zu kompromittierten Systemen führte, die vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet wurden.
Zur weiteren Verschärfung der Situation hat Mandiant festgestellt, dass Open-Source-Dienstprogramme wie Impacket, CrackMapExec, iodine und Enum4linux verwendet werden, um die Aktivitäten nach dem Angriff zu unterstützen, einschließlich der Netzwerkerkundung und Datenexfiltration.
Ivanti hat weitere Sicherheitslücken bekannt gegeben, darunter CVE-2024-21888 und CVE-2024-21893, und hat Patches zur Behebung dieser Schwachstellen veröffentlicht. UNC5221 stellt jedoch weiterhin eine erhebliche Bedrohung dar und zielt auf verschiedene Branchen von strategischem Interesse für China ab.
Schlussfolgerung
Um das Risiko, das von diesen Ivanti-Schwachstellen ausgeht, zu mindern, hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA ) einen Leitfaden herausgegeben, in dem die betroffenen Behörden aufgefordert werden, Ivanti-Geräte sofort von ihren Netzwerken zu trennen und umgehend Patches anzuwenden. Darüber hinaus wird den Behörden empfohlen, Passwörter zurückzusetzen und Zugriffstoken zu widerrufen, um weitere Kompromisse zu verhindern.
Zusammenfassend lässt sich sagen, dass die Entdeckung dieser Schwachstellen die Bedeutung proaktiver Cybersicherheitsmaßnahmen unterstreicht und die anhaltenden Herausforderungen durch hochentwickelte Bedrohungsakteure verdeutlicht. Wachsamkeit, rechtzeitiges Patchen und die Einhaltung bewährter Verfahren im Bereich der Cybersicherheit sind entscheidend für den Schutz vor sich entwickelnden Cyberbedrohungen.
Zu den Quellen für diesen Artikel gehört ein Artikel von TheHackerNews.
