Böswillige Hacker haben damit begonnen, zwei kritische Zero-Day-Schwachstellen in der weit verbreiteten Unternehmens-VPN-Appliance von Ivanti massenhaft auszunutzen.
Das geht aus dem Cybersicherheitsunternehmen Volexity hervor, das letzte Woche erstmals berichtete, dass staatlich unterstützte Hacker in China die beiden ungepatchten Schwachstellen in Ivanti Connect Secure ausnutzen – verfolgt als CVE-2023-46805 und CVE-2024-21887 – um in Kundennetzwerke einzudringen und Informationen zu stehlen. Damals sagte Ivanti, man wisse, dass „weniger als 10 Kunden“ von den „Zero-Day“-Schwachstellen betroffen seien, was als solche beschrieben wurde, da Ivanti keine Zeit hatte, die Schwachstellen zu beheben, bevor sie ausgenutzt wurden.
In ein aktualisierter Blogbeitrag, der am Montag veröffentlicht wurdeLaut Volexity liegen nun Beweise für Massenausbeutung vor.
Laut Volexity wurden bisher weltweit mehr als 1.700 Ivanti Connect Secure-Appliances ausgenutzt, von denen Organisationen wie die Luft- und Raumfahrt-, Banken-, Verteidigungs-, Regierungs- und Telekommunikationsbranche betroffen waren.
„Die Opfer sind über die ganze Welt verteilt und variieren stark in ihrer Größe, von kleinen Unternehmen bis hin zu einigen der größten Organisationen der Welt, darunter mehrere Fortune-500-Unternehmen in mehreren Branchen“, sagte Volexity. Die Forscher des Sicherheitsunternehmens fügten hinzu, dass Ivanti VPN-Appliances „wahllos angegriffen“ wurden und Unternehmen auf der ganzen Welt zum Opfer fielen.
Volexity stellt jedoch fest, dass die Zahl der kompromittierten Organisationen wahrscheinlich weitaus höher ist. Gemeinnütziger Sicherheitsbedrohungs-Tracker Shadowserver Foundation verfügt über Daten, die mehr als 17.000 im Internet sichtbare Ivanti VPN-Appliances weltweit zeigen, darunter mehr als 5.000 Appliances in den Vereinigten Staaten.
Ivanti bestätigte dies in seiner aktualisierten Stellungnahme am Dienstag dass seine eigenen Erkenntnisse „im Einklang“ mit den neuen Beobachtungen von Volexity stehen und dass die Massen-Hacks offenbar am 11. Januar begonnen haben, einen Tag nachdem Ivanti die Schwachstellen offengelegt hatte. In einer Erklärung der PR-Agentur MikeWorldWide erklärte Ivanti gegenüber Tech, dass es „einen starken Anstieg der Aktivitäten von Bedrohungsakteuren und der Scans durch Sicherheitsforscher“ gegeben habe.
Als wir am Dienstag eintrafen, sagte Volexity-Sprecherin Kristel Faris gegenüber Tech, dass das Sicherheitsunternehmen mit Ivanti in Kontakt stehe, das „so schnell wie möglich auf einen Anstieg der Supportanfragen reagiert“.
Trotz der Massenausnutzung hat Ivanti noch keine Patches veröffentlicht. Ivanti sagte, es plane, Fixes „gestaffelt“ ab der Woche vom 22. Januar zu veröffentlichen. Administratoren wird empfohlen, die von Ivanti bereitgestellten Abhilfemaßnahmen anzuwenden auf allen betroffenen VPN-Geräten in ihrem Netzwerk. Ivanti empfiehlt Administratoren, Passwörter und API-Schlüssel zurückzusetzen sowie alle auf den betroffenen Appliances gespeicherten Zertifikate zu widerrufen und erneut auszustellen.
Noch keine Ransomware
Volexity führte die Ausnutzung der beiden Zero-Days von Ivanti zunächst einer von China unterstützten Hackergruppe zu, die es als UTA0178 verfolgt. Volexity gab an, bereits am 3. Dezember Hinweise auf Ausbeutung gehabt zu haben.
Mandiant, das ist Außerdem wird die Ausnutzung der Ivanti-Schwachstellen verfolgtsagte, es habe die Ausbeutung nicht mit einer zuvor bekannten Hackergruppe in Verbindung gebracht, sagte aber, dass seine Ergebnisse – kombiniert mit denen von Volexity – Mandiant dazu veranlassen, die Hacks einer „spionagemotivierten APT-Kampagne“ zuzuschreiben, was auf eine von der Regierung unterstützte Beteiligung schließen lässt.
Volexität sagte diese Woche dass es gesehen hat, dass weitere Hackergruppen – insbesondere eine Gruppe, die es UTA0188 nennt – die Schwachstellen ausnutzen, um anfällige Geräte zu kompromittieren, lehnte es jedoch ab, auf Anfrage von Tech weitere Details über die Gruppe – oder ihre Motive – preiszugeben.
Volexity teilte Tech mit, dass es zum jetzigen Zeitpunkt keine Beweise dafür gesehen habe, dass Ransomware an den Massen-Hacks beteiligt sei. „Wir rechnen jedoch voll und ganz damit, dass dies passieren wird, wenn der Proof-of-Concept-Code veröffentlicht wird“, fügte Faris hinzu.
Sicherheitsforscher haben bereits auf die Existenz eines Proof-of-Concept-Codes hingewiesen in der Lage, die Zero-Days von Ivanti auszunutzen.