Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Umfangreich ausgestattete Schadsoftware nutzt Ivanti-Schwachstelle aus

Die US-Behörde CISA hat auf eine bislang unbekannte Schadsoftware mit dem Namen RESURGE aufmerksam gemacht. Sie wurde gezielt eingesetzt, um eine kritische Schwachstelle in Ivanti Connect Secure (ICS) Appliances auszunutzen – eine Lücke, die zwar inzwischen geschlossen wurde, aber offenbar bereits aktiv von Angreifern missbraucht wurde.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 3 Min.

„RESURGE enthält Funktionen der Schadsoftware SPAWNCHIMERA, etwa die Fähigkeit, auch nach einem Neustart aktiv zu bleiben“, so die die amerikanische Behörde für Cybersicherheit und Infrastrukturschutz (Cybersecurity and Infrastructure Security Agency, CISA). „Gleichzeitig nutzt RESURGE eigene Befehle, die sein Verhalten verändern.“ Die Datei verfügt über verschiedene gefährliche Eigenschaften – unter anderem die eines Rootkits, eines Droppers, einer Backdoor, eines Bootkits, sowie die Fähigkeit, als Proxy und Tunnel zu agieren.

Die Schadsoftware nutzt eine Schwachstelle mit der Kennung CVE-2025-0282 aus. Dabei handelt es sich um einen Fehler in der Speicherverwaltung mehrerer Ivanti-Produkte. Ein gezielt herbeigeführter Pufferüberlauf im Stack kann dazu führen, dass Angreifer aus der Ferne Schadcode einschleusen und ausführen können.

Welche Geräte wie angegriffen wurden

Die Schwachstelle betrifft folgende Produkte und Versionen:

  • Ivanti Connect Secure vor Version 22.7R2.5
  • Ivanti Policy Secure vor Version 22.7R1.2
  • Ivanti Neurons for ZTA Gateways vor Version 22.7R2.3

Nach Angaben des Google-Unternehmens Mandiant wurde die Schwachstelle CVE-2025-0282 gezielt ausgenutzt, um ein Schadsoftware-Ökosystem mit dem Namen SPAWN einzuschleusen. Dieses besteht aus mehreren Komponenten, darunter SPAWNANT, SPAWNMOLE und SPAWNSNAIL. Der Einsatz des SPAWN-Ökosystems wird einer chinesischen Spionagegruppe mit der Bezeichnung UNC5337 zugeschrieben.

Im vergangenen Monat meldete JPCERT/CC, dass die Sicherheitslücke dazu verwendet wurde, eine neue Version der Schadsoftware SPAWN einzuschleusen – bekannt als SPAWNCHIMERA. Diese überarbeitete Variante fasst alle zuvor einzeln eingesetzten Module (wie SPAWNANT, SPAWNMOLE und SPAWNSNAIL) in einer einzigen, umfassenden Schadsoftware zusammen. Zusätzlich wurde der Code so erweitert, dass die einzelnen Komponenten über UNIX-Domain-Sockets miteinander kommunizieren können – also über spezielle Schnittstellen zur lokalen Prozesskommunikation.

Besonders auffällig ist eine eingebaute Schutzmaßnahme gegen Konkurrenz: Die Schadsoftware patcht die Schwachstelle CVE-2025-0282 nach der eigenen Ausnutzung selbstständig, um zu verhindern, dass andere Angreifer dieselbe Lücke für ihre Angriffe nutzen können.

Was RESURGE seinen Vorläufern voraus hat

Nach Angaben der CISA ist RESURGE („libdsupgrade.so“) eine erweiterte Version von SPAWNCHIMERA, die drei neue Funktionen mitbringt:

  • Sie kann sich selbst in die Datei „ld.so.preload“ eintragen, um dauerhaft aktiv zu bleiben, eine Webshell einrichten, Systemprüfungen umgehen und Dateien verändern.
  • Die Webshell kann genutzt werden, um Zugangsdaten abzugreifen, Benutzerkonten anzulegen, Passwörter zurückzusetzen und sich höhere Rechte im System zu verschaffen.
  • Außerdem kann sie sich auf dem laufenden Bootlaufwerk von Ivanti festsetzen und sogar das Coreboot-System manipulieren.

CISA entdeckte zudem zwei weitere Schadprogramme auf einem ICS-Gerät (Industrial Control System) einer nicht näher genannten Einrichtung aus dem Bereich der kritischen Infrastruktur:

  • Eine Variante von SPAWNSLOTH („liblogblock.so“), die in RESURGE integriert ist und gezielt die Protokolldateien des Ivanti-Geräts verändert.
  • Eine speziell entwickelte 64-Bit-Linux-Datei namens „dsmain“, die ein Open-Source-Shell-Skript sowie Teile des Tools BusyBox enthält. Dieses Skript ermöglicht es Angreifern, ein unkomprimiertes Kernel-Image (vmlinux) aus einem manipulierten Kernel zu extrahieren – ein Schritt, der bei der Analyse oder weiteren Manipulation des Systems hilfreich ist.

Gleiche Schwachstelle – andere Angreifer

Bemerkenswert ist, dass die Schwachstelle CVE-2025-0282 auch als Zero-Day-Lücke von einer weiteren, mit China in Verbindung stehenden Bedrohungsgruppe ausgenutzt wurde, die von Microsoft unter dem Namen Silk Typhoon (ehemals Hafnium) geführt wird – wie das Unternehmen Anfang des Monats bekanntgab.

Die aktuellen Erkenntnisse zeigen, dass die Angreifer ihre Methoden kontinuierlich weiterentwickeln und verfeinern. Daher ist es für Organisationen unerlässlich, ihre Ivanti-Systeme schnellstmöglich auf die neueste Version zu aktualisieren.

Als zusätzliche Schutzmaßnahmen wird empfohlen:

  • Zugangsdaten sowohl privilegierter als auch nicht privilegierter Konten zurückzusetzen
  • Passwörter für alle Domänenbenutzer und lokalen Konten zu ändern
  • Zugriffsrichtlinien zu überprüfen und betroffenen Geräten vorübergehend die Rechte zu entziehen
  • Zugangsdaten oder Zugriffsschlüssel relevanter Konten zurückzusetzen
  • Benutzerkonten auf ungewöhnliche Aktivitäten hin zu überwachen

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.