Der US-Softwareriese Ivanti warnte davor, dass a Tag Null Die Schwachstelle in seinem weit verbreiteten Unternehmens-VPN-Gerät wurde ausgenutzt, um die Netzwerke seiner Firmenkunden zu kompromittieren.
Ivanti sagte am Mittwoch, dass die Schwachstelle als kritisch eingestuft wurde CVE-2025-0282kann ohne Authentifizierung ausgenutzt werden Schadcode aus der Ferne einzuschleusen in den Produkten Connect Secure, Policy Secure und ZTA Gateways von Ivanti. Ivanti sagt, es sei Connect Secure Die Fernzugriffs-VPN-Lösung ist „das am weitesten verbreitete SSL-VPN für Unternehmen jeder Größe und in allen wichtigen Branchen.“
Dabei handelt es sich um die neueste Sicherheitslücke, die in den letzten Jahren zum Angriff auf Ivanti-Produkte ausgenutzt wurde. Letztes Jahr versprach der Technologiehersteller, seine Sicherheitsprozesse zu überprüfen, nachdem Hacker Sicherheitslücken ausgenutzt hatten mehrere von das ist es Produkte Massenangriffe gegen seine Kunden starten.
Das Unternehmen sagte, es sei auf die neueste Sicherheitslücke aufmerksam geworden, nachdem sein Ivanti Integrity Checker (ICT)-Tool bösartige Aktivitäten auf einigen Kundengeräten gemeldet habe.
In ein Ratgeberbeitrag Am Mittwoch bestätigte Ivanti, dass Bedrohungsakteure CVE-2025-0282 aktiv „als Zero-Day“ ausnutzten, was bedeutete, dass das Unternehmen keine Zeit hatte, die Schwachstelle zu schließen, bevor sie entdeckt und ausgenutzt wurde, und dass es sich dessen bewusst war eine „begrenzte Anzahl von Kunden“, deren Ivanti Connect Secure-Geräte gehackt wurden.
Ivanti sagte, dass derzeit ein Patch für Connect Secure verfügbar sei, dass Patches für Policy Secure und ZTA Gateways – von denen keiner als ausnutzbar bestätigt wurde – jedoch erst am 21. Januar veröffentlicht werden.
Das Unternehmen sagte, es habe auch eine zweite Schwachstelle entdeckt, die als verfolgt wird CVE-2025-0283das ist noch nicht erforscht.
Ivanti machte keine Angaben dazu, wie viele seiner Kunden von den Hacks betroffen waren oder wer hinter den Eingriffen steckte. Sprecher von Ivanti antworteten zum Zeitpunkt der Drucklegung nicht auf die Fragen von TechCrunch.
Das Incident-Response-Unternehmen Mandiant, das die Schwachstelle zusammen mit Microsoft-Forschern entdeckte, sagte in einem am Mittwochabend veröffentlichten Blogbeitrag dass seine Forscher bereits Mitte Dezember 2024 Hacker beobachteten, die Connect Secure Day Zero ausnutzten.
In einer E-Mail an TechCrunch sagte Mandiant, dass man den Exploit zwar keinem bestimmten Bedrohungsakteur zuordnen könne, aber eine mit China verbundene Cyberspionagegruppe verdächtige – anhand ihrer Bezeichnungen verfolgt. UNC5337 Und UNC5221. Dabei handelt es sich um die gleichen Aktivitäten der Bedrohungsgruppe hat zwei Zero-Day-Schwachstellen in Connect Secure ausgenutzt im Jahr 2024, um Massen-Hacks gegen Ivanti-Kunden zu starten, sagte Mandiant in seinem Blogbeitrag am Mittwoch.
Ben Harris, CEO des Sicherheitsforschungsunternehmens watchTowr Labs, teilte TechCrunch per E-Mail mit, dass das Unternehmen aufgrund dieser neuesten Ivanti VPN-Schwachstelle „weitreichende Auswirkungen“ verspürt habe und „rund um die Uhr mit Kunden zusammenarbeitet, um sicherzustellen, dass sie informiert sind“.
Harris fügte hinzu, dass diese Sicherheitslücke ein erhebliches Problem darstellt, da die Angriffe „alle Merkmale von (a.)“ aufweisen fortgeschrittene anhaltende Bedrohung) Zero-Day-Einsatz gegen ein geschäftskritisches Gerät“ und forderte alle auf, „dies ernst zu nehmen“, sagte er.
Das teilte das britische National Cyber Security Centre mit in einem Beratungsgespräch dass es „Fälle aktiver Ausbeutung untersucht, die britische Netzwerke betreffen“. Auch die US-amerikanische Cybersicherheitsbehörde CISA Die Sicherheitslücke wurde hinzugefügt in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen.
