Update: Neue und alte Schwachstellen geschlossen Zero-Day-Schwachstellen in Ivanti Connect Secure VPN

Anbieter zum Thema

FAST LTA GmbH

Wie die Sicherheitsforschenden von Mandiant berichten, wurde eine Zero-Day-Schwachstelle in der Ivanti-Lösung Connect Secure VPN von mutmaßlichen chinesischen Spionageakteuren ausgenutzt. Die Software wies bereits im Frühjahr 2024 andere Schwachstellen auf.

Ivanti hat eine Zero-Day-Sicherheitslücke in seiner VPN-Lösung Connect Secure entdeckt. CVE-2025-0282 weist einen CVSS von 9.0 auf und ist damit kritisch. Eine weitere, weniger kritische, aber dennoch gefährliche Schwachstelle ist CVE-2025-0283 (CVSS 7.0). Mittlerweile gibt es einen Patch für beide Schwachstellen. Doch wie die Sicherheitsforschenden von Mandiant in einer Analyse feststellten, wurde CVE-2025-0282 im Dezember 2024 von mutmaßlichen chinesischen Akteuren ausgenutzt und für Spionage missbraucht. Die Analysten seien nicht in der Lage, die Ausnutzung einem bestimmten Bedrohungsakteur zuzuordnen. Allerdings hätten sie die Malware-Familie „Spawn“ beobachtet, die schon im April 2024 entdeckt und mit dem Akteur „UNC5337“ in Verbindung stehe.

Top Malware in Deutschland

Die gefährlichsten Schadprogramme für deutsche Unternehmen 2024

Remotecode-Ausführung möglich

Cyberangreifer, die CVE-2025-0282 ausnutzen, sind den Forschenden zufolge in der Lage, Remotecode in den Zielsystemen auszuführen und möglicherweise die Kontrolle über betroffene Systeme zu erlangen. Sobald diese kompromittiert seien, würden sich die Angreifer lateral innerhalb der Netzwerke bewegen, um ihren Zugriff zu erweitern. Die könne Auswirkungen über die kompromittierte Appliance hinaus haben. Des Weiteren sei es ein Ziel der Akteure, Hintertüren zu installieren, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten. Einige Backdoors seien sogar in der Lage, über System-Upgrades hinweg zu bestehen. Deshalb rät Ivanti den betroffenen Kunden, einen Factory Reset durchzuführen.

Viele Sicherheitslücken bei Ivanti

Bereits im April 2024 konnten Angreifer ohne Authentifizierung in VPN-Verbindungen eindringen, die auf Ivanti Connect Secure und Policy Secure Gateways aufbauen. Dabei war bei ungepatchten Systemen auch die Übertragung von Schadcode möglich. Ivanti stellte Patches bereit und veröffentlichte Informationen über die folgenden Sicherheitslücken. Diese betrafen alle Systeme von Ivanti sowie alle unterstützten Versionen der Software, spezifisch die Versionen 9.x und 22.x.

• CVE-2024-21894: Diese Schwachstelle stellt eine Heap-Overflow-Problematik in der IPSec-Komponente dar, die es einem nicht authentifizierten Angreifer ermöglicht, durch speziell gestaltete Anfragen den Dienst zum Absturz zu bringen, was zu einem Denial-of-Service (DoS) führt. Unter bestimmten Bedingungen könnte dies die Ausführung willkürlicher Codes ermöglichen. Der CVSS-Score beträgt 8.2.

• CVE-2024-22052: Eine Nullzeiger-Dereferenzierung in der IPSec-Komponente kann ebenfalls durch nicht authentifizierte speziell gestaltete Anfragen einen Dienstausfall herbeiführen. Dies führt zu einem DoS-Angriff mit einem CVSS-Score von 7.5.

• CVE-2024-22053: Eine weitere Heap-Overflow-Schwachstelle in der IPSec-Komponente ermöglicht es einem Angreifer, den Dienst zum Absturz zu bringen oder unter gewissen Umständen Inhalte aus dem Speicher zu lesen. Der CVSS-Score ist hier ebenfalls 8.2.

• CVE-2024-22023: Eine Schwachstelle in der SAML-Komponente durch XML-Entity-Expansion oder XXE ermöglicht es einem Angreifer, speziell präparierte XML-Anfragen zu senden, die zu Ressourcenüberlastung und einem zeitlich begrenzten DoS führen. Bis zum Zeitpunkt der Offenlegung gibt es keine Berichte über ausgenutzte Kunden durch diese Sicherheitslücken.

Bereits in den vergangenen Monaten berichteten wir vermehrt von Sicherheitslücken bei Ivanti. Auch Mandiant hat ebenfalls vor verschiedenen Exploits bei Ivanti gewarnt.

Die Angriffe wurden durch Speicherfehler und Puffer-Überläufen verursacht. Es konnte dabei zu Leistungsproblemen kommen oder einem Systemabsturz. In einigen Fällen war es auch möglich, dass Cyberangreifer die überlasteten Systeme mit Schadcode kompromittierten.

Updates dringend notwendig

Ivanti veröffentlicht Security Advisory für kritische Sicherheitslücken

(ID:50001264)