Ivanti entdeckt zwei Sicherheitslücken, darunter eine kritische Schwachstelle.

Ivanti hat Kunden vor einer kritischen Sicherheitslücke gewarnt, die sich auf seine VPN-Geräte auswirkt und aktiv von Cyberkriminellen ausgenutzt wird, um Malware einzuschleusen. In einer Sicherheitswarnung gab Ivanti bekannt, dass kürzlich zwei Schwachstellen entdeckt wurden – CVE-2025-0282 und CVE-2025-0283, die sich beide auf Ivanti Connect Secure VPN-Geräte auswirken. Die erste Schwachstelle scheint die gefährlichere von beiden zu sein. Sie hat eine Schweregradbewertung von 9,0 (kritisch) und wird als nicht authentifizierter buffer overflow beschrieben. „Ein erfolgreicher Angriff könnte zu einer nicht authentifizierten Remote-Codeausführung führen und möglicherweise zu einer nachfolgenden Übernahme eines Opfernnetzwerks führen“, hieß es.

Neue Malware im Einsatz:

Das Unternehmen forderte Kunden auf, das Patch sofort zu installieren, und lieferte weitere Details zu den Bedrohungsakteuren und deren Werkzeugen. In Zusammenarbeit mit Sicherheitsforschern von Mandiant stellte Ivanti fest, dass die erste Schwachstelle als Zero-Day in freier Wildbahn ausgenutzt wurde, höchstwahrscheinlich von mehreren Bedrohungsakteuren. In mindestens einem der kompromittierten VPNs fand Mandiant heraus, dass die Bedrohungsakteure das SPAWN-Ökosystem von Malware einsetzten (einschließlich SPAWNANT-Installer, SPAWNMOLE-Tunneln und SPAWNSNAIL-SSH-Backdoor). Die Gruppe hinter diesem Angriff wurde als UNC5221 identifiziert, die offensichtlich eine China-nexus-Spionagegruppe ist, die seit mindestens Dezember 2023 aktiv ist. UNC5221 wurde in der Vergangenheit mit der Ausnutzung von Zero-Day-Schwachstellen in Ivanti Connect Secure VPN-Geräten in Verbindung gebracht und hat Organisationen in den Bereichen Telekommunikation, Gesundheitswesen und öffentlicher Sektor ins Visier genommen. Die Gruppe konzentriert sich auf Datenextraktion und Spionage. Mandiant hat auch bisher nicht gesehene Malware entdeckt, die jetzt als DRYHOOK und PHASEJAM verfolgt wird. Sie konnten diese Familien keinem bekannten Bedrohungsakteur zuordnen. „Es ist möglich, dass mehrere Akteure für die Erstellung und Bereitstellung dieser verschiedenen Code-Familien (d.h. SPAWN, DRYHOOK und PHASEJAM) verantwortlich sind, aber zum Zeitpunkt der Veröffentlichung dieses Berichts haben wir nicht genügend Daten, um die Anzahl der Bedrohungsakteure genau zu bewerten“, sagte Ivanti in dem Bericht.