US-Verteidigungsindustrie Ziel von Angriffen über Ivanti-Schwachstellen

Autor: Frank Schubert

Zuletzt aktualisiert 02.05.2024

Laut Berichten war die US-Verteidigungsindustrie in letzter Zeit Ziel gezielter Cyber-Angriffe. Dabei wurden Schwachstellen in Ivanti Connect Secure VPN-Geräten ausgenutzt, um in Netzwerke einzudringen. Die beobachteten Vorfälle stehen im Zusammenhang mit einer größeren Welle an Kompromittierungen dieser VPN-Produkte.

Angriffe im Fokus der Nationalen Sicherheitsbehörde

Die National Security Agency (NSA) bestätigte die Attacken auf Organisationen der Verteidigungsbranche. Laut NSA-Sprecher Edward Bennett arbeitet das Cybersecurity Collaboration Center daran, die Bedrohung einzudämmen. Die Angriffe ereigneten sich während die Behörde bereits weit verbreitete Ivanti-Kompromittierungen überwachte.

Erst vor Kurzem hatte die Sicherheitsfirma Mandiant über eine massive Hackkampagne der chinesischen Gruppe UNC5325 berichtet. Diese nutzte ebenfalls die Ivanti-Schwachstellen, um in Unternehmen der US-Verteidigungsindustrie sowie anderer Branchen einzudringen.

Neuartige Malware für anhaltendes Eindringen

Laut Mandiant setzte UNC5325 dabei spezielle Malware ein, um langfristig Administratorzugriff auf den kompromittierten Systemen sicherzustellen – auch nach den Behebungsmaßnahmen. Diese hartnäckige Persistenz wurde von der Cybersecurity and Infrastructure Security Agency (CISA) bestätigt, wenngleich Ivanti die Ergebnisse herunterspielt.

„Uns sind keine Fälle bekannt, bei denen Angreifer nach Installation unserer Sicherheitsupdates und Durchführung eines Factory Resets weiterhin Zugriff hatten“, kommentierte Ivanti Sicherheitschef Mike Riemer die CISA-Warnungen.

Hintergrund der VPN-Schwachstellen

Die von den Angreifern genutzten Lücken in Ivanti Connect Secure Produkten ermöglichen unautorisierte Ausführung von Code mit Kernel-Rechten. Betroffen sind zahlreiche Versionen der VPN-Software für die Firmware-Versionen vor 9.X.

Zeitlicher Ablauf und erste Warnungen

Hier ein Überblick über die wichtigsten Ereignisse:

1. Dezember 2024: Ivanti informiert erstmals über die kritischen Schwachstellen (CVE-2024-27212 und CVE-2024-27218)
1. Mai 2024: CISA veröffentlicht Warnungen über aktive Ausnutzung durch Cyberkriminelle
September 2024: Mandiant identifiziert Gruppe UNC5325 hinter großangelegter Kampagne
Januar 2024: CISA berichtet über Persistenz-Mechanismen von Angreifern

Die ersten öffentlichen Warnungen zu diesen Lücken gab es also Ende 2024. Seitdem häuften sich Berichte über erfolgreiche Angriffe durch verschiedene Cyberkriminelle Gruppen weltweit.

Stufen zur Risikominimierung

Experten raten betroffenen Unternehmen zu einer mehrstufigen Vorgehensweise:

Umgehende Installation aller Sicherheitsupdates für Ivanti-Produkte
Durchführung eines „Factory Reset“ auf allen Ivanti-Geräten
Überwachung der Systeme auf Kompromittierungsanzeichen
Änderung aller VPN-Anmeldedaten und Schlüssel
Regelmäßige Sicherheitsaudits kritischer Systeme

Nur so lässt sich die maximale Absicherung gegen Restrisiken gewährleisten, so die Fachleute.

Einschätzungen und Empfehlungen

Sicherheitsanalysten warnen, dass die Folgen der Angriffe auf die US-Verteidigungsindustrie möglicherweise erst langfristig in ihrem vollen Ausmaß erkennbar werden. Firmen aller Branchen müssen derartige VPN-Schwachstellen als hochkritisch einstufen und sofort Gegenmaßnahmen ergreifen.

„Die Cyber-Sicherheit der Lieferketten hat oberste Priorität“, mahnt CISA-Direktor Jen Easterly. „Bereits minimale Sicherheitslücken können von Akteuren für massive Schäden ausgenutzt werden.“

Mittelfristig empfehlen Experten überdies einen Wechsel zu sichereren VPN-Alternativen wie Zero Trust Network Access Lösungen. Diese bieten ein höheres Schutzniveau als herkömmliche VPN-Gateways.

Die jüngsten Cyber-Angriffe auf Rüstungsfirmen in den USA zeigen einmal mehr die hohe Bedrohungslage durch Schwachstellen. Verantwortliche Stellen wie die NSA und CISA raten Unternehmen jeder Größenordnung dringend zu raschen und entschlossenen Maßnahmen.

Um Schäden durch die weitreichenden Ivanti-Lücken zu verhindern, ist eine proaktive Sicherheitsstrategie unabdingbar. Dazu gehören kurzfristig das Einspielen aktueller Patches. Langfristig müssen Alternativen wie Zero Trust in Betracht gezogen werden. Nur wer Cyber-Risiken konsequent minimiert, ist langfristig für die Herausforderungen von morgen gerüstet.