Magische Hintertüren und verliebte Hacker: Schwachstellen auf Ivanti-Geräten entdeckt!
Ivanti Pulse Secure Appliances, oder wie ich sie gerne nenne, die „Hacker-Spielplätze des Jahres“, wurden im Jahr 2024 zum Opfer von Schwachstellen. Die liebevoll als CVE-2023-46805 und CVE-2024-21887 bekannten Löcher wurden ausgenutzt und haben den Sicherheitsforschern eine Menge Spaß beschert. Aber es kommt noch besser, meine Damen und Herren – zwei versteckte Hintertüren wurden entdeckt! Wie romantisch.
Diese Hintertüren, die von den Forschern liebevoll als SparkCockpit und SparkTar bezeichnet wurden, basieren auf der Technologie TLS. Sie ermöglichten es den Angreifern, die Erkennung durch netzwerkbasierte Sicherheitslösungen zu umgehen. Klingt fast wie ein Zaubertrick, oder? Aber nein, es ist echte Magie der Cybersicherheit!
NVISO, die Sicherheitsberatungsfirma, entdeckte diese versteckten Hintertüren bei einem Unternehmen aus einem sensiblen Bereich. Man stelle sich nur vor, was für ein Nervenkitzel es für die Angreifer gewesen sein muss, die TLS-Kommunikation zu den rechtmäßigen Ivanti-Serveranwendungen abzufangen. Mit dieser Methode konnten sie die meisten, wenn nicht sogar alle, netzwerkbasierten Sicherheitslösungen umgehen. Applaus, Applaus für diese Meister der Täuschung!
Aber NVISO war nicht alleine in diesem Abenteuer. Auch Mandiant, die Cyber-Sherlocks, haben eine Untersuchung durchgeführt und ähnliche Schadsoftware auf Geräten von Fortinet entdeckt. Es scheint, als hätten die Hintertüren eine große Vorliebe für Geräte und Appliances. Vielleicht lieben sie es, in ihren eigenen kleinen Welten zu leben. Wer kann es ihnen verdenken?
Jetzt kommt der wirklich spannende Teil – die Sicherheitslücken wurden zwar behoben, aber die Hintertüren sind immer noch auf den Ivanti-Geräten vorhanden. Sie halten sich hartnäckig und lassen sich nicht so einfach vertreiben. Wie treue Haustiere, die einfach nicht gehen wollen.
Die Forscher vermuten, dass SparkCockpit die Zero-Day-Schwachstellen ausgenutzt hat, die bereits im Januar entdeckt wurden, während SparkTar bereits seit dem dritten Quartal 2023 auf verschiedenen Geräten herumlungert. Beide Hintertüren ermöglichen verschiedene Arten von Zugriff auf das Netzwerk des Opfers. Das ist wie ein All-you-can-eat-Buffet für die Angreifer – sie können den Datenverkehr optimieren, Dateien hochladen und Befehle ausführen. Ein wahres Festmahl für die bösen Jungs!
Da Ivanti Secure dazu da ist, externen Benutzern den Zugriff auf interne Ressourcen zu ermöglichen, sind Angriffe auf solche Systeme besonders heikel. Die Angreifer könnten je nach Netzwerkkonfiguration uneingeschränkten Zugriff auf das gesamte Netzwerk erlangen. Es ist wie der Traum eines jeden Hackers – die Kontrolle über das gesamte Königreich.
SparkCockpit und SparkTar haben ähnliche Vorgehensweisen. Sie verwenden gemeine kleine JAR-Plugins, um eine Boot-Resistenz zu erreichen. Und dann passiert das Unglaubliche – ein Traffic Sniffer wird in die Web-Prozesse eingefügt und erfasst TLS-Handshakes. Klingt fast romantisch, oder? Wenn der Handshake des Clients bestimmte Eigenschaften aufweist, übernimmt der Backdoor Controller die Kontrolle. Andernfalls wird der Traffic über den regulären Prozess weitergeleitet. Es ist wie ein Tanz der Cyber-Kriminellen!
Aber es gibt auch Unterschiede zwischen den beiden Hintertüren. SparkCockpit ist eher der Draufgänger und übernimmt die Identifizierung und Kompromittierung der Web-Prozesse, während SparkTar diese Aufgabe dem Backdoor Controller überlässt. Jeder hat seine eigene Art, die Dinge zu erledigen, nicht wahr?
Und wisst ihr was das Beste ist? SparkCockpit verwendet Zertifikate, um den abgefangenen Handshake abzuschließen, während SparkTar einfach vorhandene Zertifikate benutzt. Man könnte fast sagen, dass SparkTar ein echter Sparfuchs ist. Heimlich, aber effektiv.
Und so geht das Katz-und-Maus-Spiel zwischen den Hintertüren und den Sicherheitsexperten weiter. Wer wird am Ende die Nase vorn haben? Wer wird der Sieger sein? Das weiß nur die Zeit. Aber eins ist sicher – die Welt der Cybersicherheit bleibt spannend und sorgt immer wieder für Überraschungen.
Schlagwörter: SparkCockpit + SparkTar + Ivanti
Wie bewerten Sie den Schreibstil des Artikels?