Kritische Schwachstelle in Ivanti-Produkten: Hacker nutzen Zero-Day-Lücke aktiv aus
Ivanti hat Details zu einer kritischen Sicherheitslücke in seiner Connect Secure-Plattform veröffentlicht. Im Zentrum des Problems steht ein stackbasierter Pufferüberlauf, der es Cyberkriminellen erlaubt, beliebigen Code auf dem Zielsystem auszuführen. Das Unternehmen hat inzwischen ein Sicherheitsupdate bereitgestellt, doch Angriffe sind bereits im Gange.
Jetzt sollte es schnell gehen: Sicherheitsteams von Unternehmen, welche die Connect Secure-Plattform von Ivanti einsetzen, sind aufgefordert, den Patch unverzüglich einzuspielen. Die Sicherheitslücke wurde bereits aktiv ausgenutzt, bevor dieses Update zur Verfügung stand – ein klassischer Fall von Zero-Day-Exploitation. Sie wird unter der Kennung CVE-2025-22457 geführt und erreicht einen CVSS-Schweregrad von 9,0.
In einem Ende letzte Woche veröffentlichten Sicherheitshinweis hat Ivanti präzisiert, welche Produkte des Unternehmens im Einzelnen von der schwerwiegenden Schwachstelle betroffen sind:
- Ivanti Connect Secure (Versionen bis einschließlich 22.7R2.5)
→ Behoben in Version 22.7R2.6 (Patch veröffentlicht am 11. Februar 2025) - Pulse Connect Secure (Versionen bis einschließlich 9.1R18.9)
→ Behoben in Version 22.7R2.6
→ Hinweis: Dieses Produkt hat seit dem 31. Dezember 2024 keinen Support mehr – betroffene Geräte sollten auf eine aktuelle Ivanti-Version migriert werden. - Ivanti Policy Secure (Versionen bis einschließlich 22.7R1.3)
→ Behoben in Version 22.7R1.4 (Patch wird ab dem 21. April verfügbar sein) - ZTA Gateways (Versionen bis einschließlich 22.8R2)
→ Behoben in Version 22.8R2.2 (Patch wird ab dem 19. April bereitgestellt)
Ivanti räumt ein, dass es offenbar „eine begrenzte Zahl von Kunden gibt, die bereits aktiv über verwundbare Connect Secure- und aus dem Support gelaufene Pulse Connect Secure-Geräte kompromittiert wurden. Für Policy Secure und ZTA Gateways liegen derzeit keine Hinweise auf aktive Angriffe vor.“
Die Empfehlung des Herstellers: „Kunden sollten ihre extern erreichbaren ICT-Systeme überwachen und auf Webserver-Abstürze achten. Falls Hinweise auf eine Kompromittierung vorliegen, muss das betroffene Gerät auf Werkseinstellungen zurückgesetzt und anschließend mit Version 22.7R2.6 wieder in Betrieb genommen werden.“
Eine Anmerkung ist an dieser Stelle wichtig: Die Version 22.7R2.6 von Ivanti Connect Secure schließt nicht nur die kritische Schwachstelle CVE-2025-22457, sondern auch weitere gravierende Sicherheitslücken – konkret:
- CVE-2024-38657
- CVE-2025-22467
- CVE-2024-10644
Alle Lücken erlauben es authentifizierten Angreifern, beliebige Dateien zu schreiben und beliebigen Code auszuführen – ein massives Einfallstor, wenn etwa ein Angreifer bereits Zugangsdaten durch Phishing erlangt hat.
Mandiant warnt: Hochentwickelte Schadsoftware im Einsatz
Das Sicherheitsunternehmen Mandiant, Teil von Google, hat in einem eigenen Bericht bestätigt, dass die Schwachstelle CVE-2025-22457 bereits Mitte März 2025 aktiv ausgenutzt wird. Dabei kamen bislang gleich mehrere hochentwickelte Schadkomponenten zum Einsatz:
- TRAILBLAZE – ein sogenannter „In-Memory Dropper“, der sich direkt im Arbeitsspeicher einnistet
- BRUSHFIRE – eine passive Hintertür, die direkt in laufende Webprozesse injiziert wird
- Die Malware-Suite SPAWN – ein vielseitiges Werkzeug zur Spionage und Kontrolle
Der Angriff folgt einem mehrstufigen Schema: Ein komplexes Shellskript bringt zunächst TRAILBLAZE zum Laufen. Dieser injiziert BRUSHFIRE direkt in den Speicher eines laufenden Prozesses – ein Trick, der die Erkennung durch klassische Antivirensoftware umgeht.
Das Ziel der Angreifer ist klar: Dauerhaften Zugang zu kompromittierten Geräten schaffen, um Zugangsdaten zu stehlen, sich im Netzwerk weiter auszubreiten und letztlich Daten zu exfiltrieren.
SPAWN-Malware: Ein hochkomplexes Cyberwaffensystem aus China zielt auf Ivanti-Nutzer weltweit
Die SPAWN-Malware-Familie ist mehr als nur ein Schadprogramm – sie ist ein ganzes Cyberwaffen-Ökosystem, das gezielt für Angriffe auf Sicherheitslücken in Ivanti Connect Secure entwickelt wurde. Zu den identifizierten Komponenten gehören:
- SPAWNSLOTH
Ein Tool zur Manipulation von Protokolldateien. Es kann Logging vollständig deaktivieren und die Weiterleitung von Logs an externe Syslog-Server unterbinden – besonders effektiv, wenn die SPAWNSNAIL-Hintertür aktiv ist. - SPAWNSNARE
Ein in C geschriebenes Programm, das das unkomprimierte Linux-Kernel-Image (vmlinux) extrahiert und anschließend mit AES-Verschlüsselung sichert – vermutlich, um es offline zu analysieren oder Schwachstellen gezielt zu untersuchen. - SPAWNWAVE
Eine erweiterte Version von SPAWNANT, die verschiedene Komponenten des SPAWN-Ökosystems vereint. Es gibt Überschneidungen mit anderen Varianten wie SPAWNCHIMERA und RESURGE.
Hinter den Angriffen steckt eine hochentwickelte Hackergruppe mit China-Bezug, bekannt unter dem Codenamen UNC5221. Sie ist nicht neu im Spiel: Bereits in der Vergangenheit nutzte die Gruppe gezielt Zero-Day-Schwachstellen in Ivanti Connect Secure aus. Weitere zugehörige Gruppen-Cluster sind UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 und UNC3886.
Laut US-Regierung zeigen Aktivitäten von UNC5221 Überschneidungen mit bekannten APT-Gruppen wie APT27, Silk Typhoon (Microsoft-Bezeichnung) und UTA0178.
„Wir beobachten UNC5221 seit Längerem als eine Gruppe, die gezielt Edge-Geräte mit Zero-Day-Schwachstellen angreift“, so Dan Perez, technischer Leiter für China bei Google Threat Intelligence. „Die Verbindung zu APT27 ist plausibel, aber aus unserer Sicht noch nicht eindeutig belegt.“
Verdeckte Operationen und N-Day-Angriffe
Neben der Zero-Day-Ausnutzung von CVE-2023-4966 (Citrix NetScaler) setzt UNC5221 auf ein ausgeklügeltes Verschleierungssystem: kompromittierte Cyberoam-Appliances, QNAP-Geräte und ASUS-Router dienen als Zwischenstation, um die tatsächliche Herkunft der Angriffe zu verschleiern – ein Vorgehen, das auch Microsoft kürzlich in einem Bericht zu Silk Typhoon besonders hervorgehoben hat.
Mandiant geht davon aus, dass die Angreifer den im Februar veröffentlichten Sicherheitspatch sorgfältig analysiert haben. Dabei sollen sie herausgefunden haben, wie sich frühere, ungepatchte Versionen der Software weiterhin ausnutzen lassen, um aus der Ferne beliebigen Code auszuführen.
Diese Entwicklung ist besonders bedeutsam: Es ist das erste Mal, dass die Gruppe UNC5221 eindeutig mit der gezielten Ausnutzung einer sogenannten N-Day-Schwachstelle in Verbindung gebracht wird – also einer bereits bekannten und eigentlich geschlossenen Lücke, bei der jedoch ungepatchte Systeme weiterhin verwundbar bleiben.
„Die neuesten Aktivitäten von UNC5221 zeigen eindrucksvoll, dass China-nahe Spionagegruppen weltweit gezielt sogenannte Edge-Geräte ins Visier nehmen“, so Charles Carmakal, Chief Technology Officer bei Mandiant Consulting. „Diese Akteure forschen unermüdlich nach Sicherheitslücken und entwickeln maßgeschneiderte Schadsoftware – vor allem für Unternehmenssysteme, die keine EDR-Lösungen (Endpoint Detection and Response) im Einsatz haben. Die Geschwindigkeit und Qualität chinesischer Cyberoperationen ist auf einem neuen Höchststand.“
Offiziell bestätigt: CVE-2025-22457 wird aktiv ausgenutzt
Am 4. April 2025 hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle CVE-2025-22457 in ihren Katalog bekannter, aktiv ausgenutzter Schwachstellen (KEV) aufgenommen. Damit sind US-Bundesbehörden verpflichtet, die Sicherheitsupdates bis spätestens 11. April 2025 einzuspielen, um laufenden Angriffen entgegenzuwirken.
CISA empfiehlt drastische Maßnahmen:
- Werksreset der Geräte zur Wiederherstellung vollständiger Systemintegrität
- Trennung betroffener Systeme vom Netzwerk, um eine weitere Verbreitung zu verhindern
- Sofortige Passwortrotation nach einem Vorfall
Benjamin Harris, Geschäftsführer des Sicherheitsunternehmens watchTowr, betonte: „Es ist entscheidend, dass Organisationen eigene Risikoanalysen durchführen und sich nicht blind auf externe Bewertungen verlassen. Die Branche muss Schwachstellen unabhängig bewerten, was Exploitierbarkeit und Auswirkungen angeht – nur so sind fundierte Entscheidungen möglich.“
Die Fakten beweisen: Die Schwachstelle CVE-2025-22457 ist nicht nur theoretisch gefährlich – sie wird tatsächlich und gezielt ausgenutzt. Unternehmen jeder Größe sollten jetzt handeln, Systeme patchen, kompromittierte Geräte isolieren und Sicherheitskonzepte kritisch hinterfragen.