Die Entwickler von Ivanti haben einen zuvor als harmlosen Bug eingestuften Fehler in der VPN-Software Connect Secure (ICS) nun als gravierendes Sicherheitsleck identifiziert. Cyberkriminelle scheinen bereits aktiv dieses Leck auszunutzen, was die Anwender in großer Gefahr bringt.

In einer offiziellen Sicherheitsmitteilung bestätigt Ivanti die ernsten Angriffsszenarien, die sich seit der Entertainment zurückverfolgen lassen. Der Fehler betrifft einen nicht näher erläuterten, auf dem Stack basierenden Pufferüberlauf, der Angreifern ermöglicht, ohne Authentifizierung aus dem Internet Schadcode einzuschleusen und auszuführen (CVE-2025-22457, CVSS 9.0, Kritisches Risiko).

Die Angriffe sind größtenteils auf eine Cyberkriminelle Organisation aus China zurückzuführen, laut den Analysen von Mandiant, einer Tochtergesellschaft von Google für IT-Sicherheit. Diese Gruppe, die die Namen "Trailblaze" und "Brushfire" für ihre Malware verwendet, hat in den Ivanti ICS-Systemen dabei einen im Speicher aktiven Dropper sowie eine passive Backdoor installiert. Auch die Verbreitung von Malware aus dem sogenannten "Spawn"-Ökosystem ist festgestellt worden, was auf die APT-Gruppe UNC5221 hindeutet, die ebenfalls mit chinesischen Cyberaktivitäten in Verbindung gebracht wird.

Ivanti hat die ursprüngliche Fehleinschätzung bezüglich dieser Schwachstelle offen zugegeben. "Wir hatten zunächst angenommen, dass die Fehlerkategorie das Risiko der Code-Ausführung aus der Ferne nicht erlaubt", erklärte das Unternehmen. Die IT-Sicherheitsexperten haben jedoch festgestellt, dass die cleveren Methoden der Angreifer durchaus einen Missbrauch ermöglichen können, und es wurde bereits in der Praxis beobachtet.

Die Sicherheitsrichtlinien empfehlen allen Nutzern von Ivanti Connect Secure, sicherzustellen, dass sie die Version 22.7R2.6 verwenden, die das Sicherheitsleck schließt. Betroffen sind die Versionen 22.7R2.5 und frühere, Pulse Connect Secure 9.1R18.9 und ältere sowie Ivanti Policy Secure 22.7R1.3 und davor. Neuere Versionen, die diese Probleme beachten, wie Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.4 und ZTA Gateways 22.8R2.2, sollen bald veröffentlicht werden.

Die US-amerikanische IT-Sicherheitsbehörde CISA hat zudem diese Woche eine Analyse veröffentlicht, die die installierte Malware in Ivanti ICS untersucht. Es wird empfohlen, dass Firmen und Nutzer dringende Sicherheitsprüfungen vornehmen, um ihre Systeme zu schützen, bevor noch mehr Daten und Systeme gefährdet werden. Bleiben Sie wachsam und schützen Sie Ihre sensiblen Informationen! Es ist jetzt an der Zeit, proaktive Maßnahmen zu ergreifen!