Mithilfe von Sicherheitslücken in Ivanti EPMM Chinesische Hacker greifen KRITIS-Unternehmen in Europa an

Zwei jüngst entdeckte Schwachstellen im Endpoint Manager Mobile von Ivanti öffneten Hackern der chine­sischen Gruppe UNC5521 die Türen, um weltweit Orga­nisationen anzugreifen. Darunter auch kritische Infra­strukturen in Europa.

Arda Büyükkaya, Sicherheitsforscher des niederländischen Unternehmens EclecticIQ, das sich auf Threat Intelligence sowie Detection and Response spezialisiert hat, hat zwei bis dato unbekannte Sicherheitslücken im Ivanti Endpoint Manager Mobile an den Hersteller gemeldet: CVE-2025-4428 (CVSS 7.2) und CVE-2025-4427 (CVSS 5.3). Ivanti veröffentlichte die Patches für die Sicherheitslücken, die die EPMM-Versionen vor 12.5.0.0 betreffen, am 13. Mai 2025. Die CISA hat beide Schwachstellen in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen.

Spionage seit 2022

Tschechien ertappt chinesische Hacker auf frischer Tat

Sicherheitslücken in Ivanti Endpoint Manager Mobile aktiv ausgenutzt

Wie Forscher von EclecticIQ berichten, konnten sie eine aktive Ausnutzung der Sicherheitslücken beobachtet, die auf internetfähige EPMM-Bereitstellungen abzielt. Die früheste Ausnutzung habe sich am 15. Mai zugetragen. Zwar spricht Büyükkaya in seiner Analyse von zwei Zero-Day-Schwachstellen und behauptet, Ivanti hätte das entsprechende Security Advisory ebenfalls erst am 15. Mai veröffentlicht. In dem Advisory selbst steht jedoch, dass es bereits am 13. Mai erstellt wurde, weshalb man hier nicht von einem Zero Day Exploit sprechen kann, da die Schwachstellen erst nach ihrer Offenlegung aktiv ausgenutzt wurden.

Update: 10 Millionen Dollar Belohnung

Chinesische Hacker greifen kritische US-Infrastrukturen an

Nichtsdestotrotz sollten Ivanti-Kunden schnellstmöglich eine der gepatchten Versionen, 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1., installieren. Bleiben die Schwachstellen offen, können sie im Falle von CVE-2025-4428 dazu führen, dass authentifizierte Cyberkriminelle mithilfe manipulierter API-Anfragen aus der Ferne Schadecode ausführen können. Bei CVE-2025-4427 handelt es sich um eine Authentifizierungsumgehung in der API-Komponente des EPMM, mit der Angreifer Zugriff auf geschützte Ressourcen erlangen könnten, ohne die richtigen Anmeldedaten dafür zu haben.

CVSS 10.0

Alarmstufe Rot für die Cloud Services Application von Ivanti

Untersuchung deutet auf chinesische Spionagekampagne hin

Ivanti zufolge ist bereits eine „begrenzte Anzahl“ an Kunden bekannt, deren Systeme angegriffen wurden. Zuverlässige Indikatoren, um zu überprüfen, ob man selbst bereits Opfer einer Ausnutzung der Sicherheitslücken ist, kann der Hersteller derzeit nicht liefern, da die Untersuchungen noch laufen. EclecticIQ vermuten nach einer Untersuchung der Taktiken, Techniken und Verfahren (TTPs) allerdings, dass hinter den erfolgten Angriffen mit hoher Wahrscheinlichkeit die Hackergruppe UNC5221 steckt, eine Spionagegruppe, die von China finanziert wird. Den Analysten zufolge wird UNC5221 seit mindestens 2023 mit Zero-Day-Angriffen auf Edge-Netzwerkgeräte in Verbindung gebracht. Die derzeit betroffenen Unternehmen seien solche, die dem KRITIS-Bereich zugeordnet werden, konkret würden die Opfer aus dem Gesundheitswesen, der Telekommunikations, der Luftfahrt, dem Finanzwesen und der Verteidigung in Europa, Nordamerika und der Region Asien-Pazifik kommen.

TTP-Analyse und Empfehlungen

BSI warnt vor russischem Geheimdienst

EclecticIQ sei in der Lage gewesen folgende europäische Organisationen zu identifizieren, die bereits von UNC5221 mithilfe der Ausnutzung der Schwachstellen in Ivanti Endpoint Manager Mobile angegriffen worden seien:

• eine kommunale Verwaltung in einer skandinavischen Hauptstadt

• eine kommunale Behörde im Vereinigten Königreich

• eine in Großbritannien ansässige Gesundheitsstiftung, die Krankenhaus-Services und klinische Dienstleistungen in London anbietet

• eine in Großbritannien ansässige Gesundheitseinrichtung, die am nationalen Gesundheitsdienst beteiligt ist

• ein Bundesforschungsinstitut in Deutschland, das auf Agrar- und Pflanzenwissenschaften spezialisiert ist

• ein deutsches Rechts- und Versicherungsunternehmen, das Schutzprodukte anbietet

• ein großer deutscher Telekommunikationsanbieter und seine Tochtergesellschaften für Managed-IT-Services

• ein deutscher Hersteller, spezialisiert auf industrielle Rotationstechnologie

• ein in Irland ansässiges Leasingunternehmen für die Luft- und Raumfahrt, das globale Airline-Kunden betreut

769 Vorfälle in 2024

Mehr Cybersicherheitsvorfälle gegen kritische Infrastruktur

Die Akteure haben EclecticIQ zufolge den Pfad „/mifs/rs/api/v2/“ der RESTful-API des EPMM verwendet, um Schadecode zu senden. Gerade die mif-Datenbank sei ein Hauptziel für Spionageaktivitäten und Datenexfiltration durch Akteure, die mit China in Verbindung stehen. Über diese Datenbank könnten Angreifer zentrale Betriebsdaten von EPMM auslesen, wie die eindeutige Seriennummer eines Geräts, Telefonnummer und Standort des Endgeräts sowie SIM-Daten. Auch LDAP-Benutzer (Lightweight Directory Access Protocol) sowie Aktualisierungs- und Zugriffstoken für Office 365 seien gefährdet.

Außerdem stellten die Forscher fest, dass die in China gehostete IP-Adresse, die die Akteure für die Ausnutzung der Schwachstellen in EPMM verwendeten, auch für Kampagnen genutzt wurde, die Anfang Mai 2025 Sicherheitslücken in SAP Netweaver ausnutzten. Die Wiederverwendung der Infrastruktur und die einheitlichen Vorgehensweisen beider Fälle würden stark darauf hindeuten, dass UNC5521 dahinter stecke. Zudem sei die Gruppe dafür bekannt, dass sie es auf internetbasierte Unternehmensanwendungen abgesehen hat.

Deutsche Firmen im Visier chinesischer Hacker

267 Milliarden Euro Schaden pro Jahr für die deutsche Wirtschaft

(ID:50435522)