\nDer US-amerikanische Software-Riese Ivanti hat davor gewarnt, dass eine Zero-Day-Schwachstelle in seinem weit verbreiteten Unternehmens-VPN-Gerät ausgenutzt wurde, um die Netzwerke seiner Unternehmenskunden zu kompromittieren.
\n\nIvanti gab am Mittwoch bekannt, dass die als CVE-2025-0282 verfolgte kritische Schwachstelle ausgenutzt werden kann, um ohne Authentifizierung bösartigen Code auf den Produkten Ivantis Connect Secure, Policy Secure und ZTA Gateways fernzuzugreifen. Ivanti sagt, dass seine Lösung für den Remote-Zugriff VPN Connect Secure die "weitestverbreitete SSL-VPN von Organisationen jeder Größe in jeder Branche" ist.
\n\nDies ist die neueste ausgenutzte Sicherheitslücke, die in den letzten Jahren Ivantis Produkte angegriffen hat. Im vergangenen Jahr versprach der Technologiehersteller, seine Sicherheitsprozesse zu überarbeiten, nachdem Hacker Schwachstellen in mehreren seiner Produkte angriffen, um Massenhacks gegen seine Kunden zu starten.
\n\nDas Unternehmen gab bekannt, dass es von der neuesten Schwachstelle erfahren hat, nachdem sein Ivanti Integrity Checker Tool (ICT) bösartige Aktivitäten auf einigen Kundengeräten gemeldet hatte.
\n\nIn einem am Mittwoch veröffentlichten Beratungsposten bestätigte Ivanti, dass Bedrohungsakteure CVE-2025-0282 "als Zero-Day" aktiv ausnutzten, was bedeutet, dass das Unternehmen keine Zeit hatte, die Schwachstelle zu beheben, bevor sie entdeckt und ausgenutzt wurde, und dass es sich einer "begrenzten Anzahl von Kunden" bewusst war, deren Ivanti Connect Secure-Geräte gehackt wurden.
\n\nIvanti sagte, dass ein Patch für Connect Secure derzeit verfügbar ist, aber Patches für Policy Secure und ZTA Gateways - von denen keiner bestätigt wurde, dass sie ausgenutzt wurden - erst am 21. Januar veröffentlicht werden.
\n\nDas Unternehmen gab außerdem eine zweite Schwachstelle bekannt, die als CVE-2025-0283 verfolgt wird und noch nicht ausgenutzt wurde.
\n\nIvanti hat nicht gesagt, wie viele seiner Kunden von den Hacks betroffen sind oder wer hinter den Einbrüchen steckt. Sprecher von Ivanti haben bis zum Redaktionsschluss nicht auf die Fragen von TechCrunch geantwortet.
\n\nDie Incident Response-Firma Mandiant, die die Schwachstelle zusammen mit Forschern von Microsoft entdeckt hat, sagte in einem am späten Mittwoch veröffentlichten Blogbeitrag, dass ihre Forscher beobachtet haben, wie Hacker die Zero-Day-Schwachstelle in Connect Secure bereits Mitte Dezember 2024 ausnutzten.
\n\nIn einer E-Mail an TechCrunch erklärte Mandiant, dass es zwar die Ausnutzung nicht einem bestimmten Bedrohungsakteur zuordnen kann, aber vermutet, dass eine mit China verbundene Cyber-Spionagegruppe - verfolgt von den Bezeichnungen UNC5337 und UNC5221 - dahinter steckt. Dies ist dieselbe Gruppe von Bedrohungsaktivitäten, die 2024 zwei Zero-Day-Schwachstellen in Connect Secure ausnutzten, um Massenhacks gegen Ivantis Kunden durchzuführen, erklärte Mandiant in seinem Blogbeitrag am Mittwoch.
\n\nBen Harris, CEO des Sicherheitsforschungsunternehmens watchTowr Labs, sagte in einer E-Mail an TechCrunch, dass das Unternehmen aufgrund dieser neuesten Sicherheitslücke im Ivanti VPN "weitreichende Auswirkungen" verzeichnet hat und den ganzen Tag mit Kunden zusammengearbeitet hat, um sicherzustellen, dass sie informiert sind.
\n\nHarris fügte hinzu, dass diese Schwachstelle von erheblicher Sorge ist, da die Angriffe "alle Merkmale des Einsatzes von [einer Advanced Persistent Threat] eines Zero-Days gegen ein geschäftskritisches Gerät" aufweisen und forderte alle auf, dies ernst zu nehmen, sagte er.
\n\nDas National Cyber Security Centre des Vereinigten Königreichs sagte in einer Bekanntmachung, dass es "Untersuchungen zu aktiven Ausnutzungsfällen betrifft, die britische Netzwerke betreffen". Die US-amerikanische Cybersecurity-Behörde CISA fügte die Schwachstelle auch ihrem Katalog bekannter ausgenutzter Schwachstellen hinzu.
