Hackerangriffe auf Zero-Day-Lücke in Ivanti Connect Secure VPN

Die Google-Tochter Mandiant hat eine Zero-Day-Lücke in der VPN-Anwendung Invanti Secure Connect aufgedeckt. Die Schwachstelle wird offenbar bereits seit Dezember 2024 von einem mutmaßlichen chinesischen Spionageakteur ausgenutzt. Ein Patch des Herstellers Ivanti liegt inzwischen vor.

Mandiant weißt darauf hin, dass die Ausnutzung der Schwachstelle mit der Kennung CVE-2025-0282 derzeit nicht einem bestimmten Bedrohungsakteur zugeordnet werden kann. Jedoch komme dieselbe Malware-Familie – Spawn – zum Einsatz, die bereits im April 2024 der Gruppierung zugeordnet worden sei.

Es seien aber auch weitere Malware-Familien wie Dryhook und PhaseJam über die Zero-Day-Lücke eingeschleust worden. Deswegen sei es derzeit nicht möglich, „die Anzahl der Bedrohungsakteure, die auf CVE-2025-0282 abzielen, genau zu bestimmen“, ergänzte Mandiant.

Eine erfolgreiche Ausnutzung der Zero-Day-Lücke kann zu einer Remotecodeausführung führen. Ein Angreifer kann so die Kontrolle über betroffene Systeme übernehmen. „Sobald sie kompromittiert sind, bewegen sich Angreifer lateral innerhalb von Netzwerken, um ihren Zugriff zu erweitern, was zu Auswirkungen über die kompromittierte Appliance hinaus führen kann“, so Mandiant weiter.

Zudem sollen die Angreifer Hintertüren installieren, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten. Einige Backdoors seien in der Lage, über System-Upgrades hinweg zu bestehen. Deshalb rate Ivanti den betroffenen Kunden, ein Factory Reset ihrer Appliances durchzuführen.