Leipziger Zeitung
Leipziger Zeitung

Freitag, 3. Mai 2024

Sicherheitslücken in Ivanti Connect Secure VPN

Allgemein
Autor: Frank Schubert

Zuletzt aktualisiert 01.05.2024

 0

Die IT-Sicherheitsfirma Mandiant hat zusammen mit Ivanti eine Reihe von Sicherheitslücken in der VPN-Lösung Ivanti Connect Secure untersucht. Die Schwachstellen ermöglichten das Einschleusen von Schadsoftware und dauerhften Zugriff auf Firmennetzwerke. Im Testbericht zeigt sich, dass die betroffenen Produkte dringend abgesichert werden müssen.

Kritische Sicherheitslücken entdeckt

Insgesamt fünf Sicherheitslücken in Ivanti Connect Secure wurden seit Januar 2024 entdeckt. Darunter sind etwa ein Authentifizierungs-Bypass, Befehlsinjektionen und XML External Entity Angriffe.

Laut den Sicherheitsforschern erlaubten diese Lücken das Eindringen in VPN-Appliances und die Installation von Hintertüren. Mehrere chinesische Hackergruppen, darunter UNC5325, sollen die Schwachstellen aktiv ausgenutzt haben.

Massive automatisierte Angriffe beobachtet

Nach der Veröffentlichung der Lücken beobachtete Mandiant massive automatisierte Attacken auf verwundbare Systeme. Die Hacker nutzten die Lücken in Kombination, um Schadcode einzuschleusen und Fernzugriff zu erhalten.

Eine wichtige Rolle spielte dabei die SSRF-Schwachstelle CVE-2024-21893. Sie ermöglichte unauthentifizierten Angreifern, Befehle auf den Systemen auszuführen. Die Hacker ketteten die Lücke mit anderen Schwachstellen zusammen.

Ausgeklügelte Malware zum Überdauern von Patches

Besonders die Gruppe UNC5325 zeigte laut Mandiant ausgeklügelte Techniken, um dauerhaft in die Systeme einzudringen. Sie setzte Malware wie LITTLELAMB.WOOLTEA ein, die Patches, Upgrades und sogar Factory Resets überdauern kann.

So manipulierte die Schadsoftware Sicherungsarchive und Partitionen, um nach Updates und Zurücksetzungen wieder hergestellt zu werden. Allerdings enthielt der Code Fehler, so dass die Persistenz meist scheiterte.

SparkGateway-Plugins für Hintertüren missbraucht

In einigen Fällen missbrauchten die Angreifer laut dem Testbericht auch legitime SparkGateway-Plugins, um Malware nachzuladen. Diese Plugins dienen der Bereitstellung von RDP und SSH im Browser.

Über manipulierte Konfigurationen luden die Hacker eigene JAR-Dateien mit dem Namen „Plugin.jar“. Diese enthielten Hintertüren, die sich tief in die Systemprozesse einklinkten. Die Plugins sorgten so für eine dauerhafte Kompromittierung.

Bushwalk-Webshell für Fernzugriff genutzt

Neben den Plugins setzten die Hacker auch auf die Webshell Bushwalk, die in Perl geschrieben ist. Bushwalk wurde in eine legitime Komponente der VPN-Appliance eingebettet, um Fernzugriff und Datenabfluss zu ermöglichen.

Laut Mandiant zeigte Bushwalk einige trickreiche Techniken, um die Erkennung zu umgehen. So konnte die Webshell zwischen einem aktiven und inaktiven Zustand hin- und herschalten. Im inaktiven Modus entzog sie sich so der Entdeckung.

Fazit: Appliances müssen dringend abgesichert werden

Der Testbericht zeigt eindrücklich, dass die entdeckten Sicherheitslücken in Ivanti Connect Secure ein erhebliches Risiko darstellen. Angreifer konnten damit langfristigen Zugang zu Unternehmensnetzwerken erhalten.

Administratoren von betroffenen Appliances müssen daher umgehend die verfügbaren Patches und Absicherungsmaßnahmen einspielen. Die Malware-Versionen sind zwar oft fehlerhaft, dennoch können die Lücken gravierende Sicherheitsvorfälle nach sich ziehen.

Der Vorfall macht deutlich, dass bei VPN-Lösungen und Netzwerk-Appliances erhöhte Wachsamkeit geboten ist. Regelmäßige Penetrationstests und Monitoring können helfen, kritische Schwachstellen rechtzeitig zu erkennen und Angriffe abzuwehren.

Weitere interessante Inhalte:

  1. F-Secure FREEDOM Test und Erfahrung 2024
  2. Dashlane Test
  3. Wie kann ich sicherstellen dass mein VPN auch wirklich funktioniert?
  4. Jimdo Erfahrungen
Read More
Google kündigt das Ende von Google One VPN an
Allgemein
Google kündigt das Ende von Google One VPN an
2 Wochen ago
0
NordVPN erweitert Servernetzwerk um Bermuda und weitere Standorte
Allgemein
NordVPN erweitert Servernetzwerk um Bermuda und weitere Standorte
1 Monat ago
0
Schütze deine Daten mit SurfSharks Alternative ID vor Datenlecks
Allgemein
Schütze deine Daten mit SurfSharks Alternative ID vor Datenlecks
1 Monat ago
0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

VPN Testsieger 2024
CyberGhost Test 2024: Erfahrungen und Bewertungen
CyberGhost Test 2024: Erfahrungen und Bewertungen
Weitere Empfehlungen
ExpressVPN Test und Erfahrungen 2024
ExpressVPN Test und Erfahrungen 2024
Zum Anbieter
NordVPN Test und Erfahrungen 2024: Top VPN?
NordVPN Test und Erfahrungen 2024: Top VPN?
Zum Anbieter
PrivateVPN Test und Erfahrung 2024
PrivateVPN Test und Erfahrung 2024
Zum Anbieter
Surfshark VPN Test und Erfahrungen 2024
Surfshark VPN Test und Erfahrungen 2024
Zum Anbieter
* Affiliate Hinweis

Hinweis: Dieser Beitrag enthält Affiliate-Links. Wenn ihr über einen dieser Links etwas kauft, erhalten wir eine kleine Provision, ohne dass für euch Mehrkosten entstehen. Wir empfehlen ausschließlich Produkte, von denen wir überzeugt sind.

© 2024 Leipziger Zeitung VPN Vergleich
© 2024 Leipziger Zeitung VPN Vergleich