Tausende Geräte kompromittiert durch Ivanti-Sicherheitslücken
Die Schwachstellen in Ivantis VPN-Software werden massiv angegriffen. IT-Forscher haben tausende kompromittierte Systeme gefunden.
(Bild: Shutterstock / Skorzewiak)
Nachdem vergangenen Woche Sicherheitslücken in Ivanti Connect Secure und Policy Secure bekannt wurden, die bereits von bösartigen Akteuren missbraucht wurden, haben IT-Sicherheitsforscher nach kompromittierten Systemen gesucht. Sie stießen auf Tausende. IT-Verantwortliche sollten umgehend Gegenmaßnahmen ergreifen, sofern das noch nicht geschehen ist.
Die IT-Sicherheitsforscher von Volexity scannen rund 30.000 bekannte IP-Adressen von Ivanti Connect Secure VPN-Appliances (ICS). Sie haben eine Methode entwickelt, mit der sie den Befall der ICS-Geräte mit der Malware Giftedvisitor feststellen können. Am vergangenen Sonntag haben sie so bereits 1700 mit der Backdoor infizierte Appliances ausgemacht.
Infizierte Ivanti-VPN-Appliances
Die Geräte stehen weltweit verteilt. Diverse Sektoren sind betroffen, einschließlich Militär, Verteidigung, Regierung, Finanzen und Technologie, schreibt Volexity in einer Analyse. Mehrere kriminelle Akteure wurden inzwischen beim Ausnutzen der Sicherheitslücken beobachtet, nachdem initial die APT-Gruppierung UTA0178 aufgefallen war. Die verwundbaren ICS-Geräte wurden dabei meist mit einer Webshell infiziert, die mit individuellen Schlüsseln für jedes Opfer versehen sind – diese weist Ähnlichkeiten mit den zuvor bereits von UTA0178 eingesetzten Fassungen auf.
Die geografische Verteilung der infizierten Geräte sieht insbesondere die USA an erster Stelle, dicht gefolgt von Deutschland, Japan, Südkorea und Taiwan.
(Bild: volexity.com)
Die IT-Forscher betonen, wie wichtig es ist, dass IT-Verantwortliche die temporären Gegenmaßnahmen von Ivanti implementieren. Zudem helfe ein Integritätsprüfwerkzeug von Ivanti, einen Befall der Appliance aufzuspüren. Ab Version 9.1R12 der Gerätesoftware ist diese Prüfsoftware bereits eingebaut. Volexity empfiehlt, sie regelmäßig laufen zu lassen.
Am Mittwoch vergangener Woche wurde bekannt, dass Cyberkriminelle Sicherheitslücken in der Ivanti-VPN-Software missbrauchen, um Systeme zu infiltrieren. Während Updates noch auf sich warten lassen, hat Ivanti jedoch temporäre Gegenmaßnahmen vorgestellt, die Administratorinnen und Administratoren umsetzen sollten.
(dmk)
