Alarmstufe Rot: CISA warnt vor gefährlicher Malware, die über Ivanti Secure VPN-Zugriffe eindringt

Die US-amerikanische IT-Sicherheitsbehörde CISA hat im Januar 2023 eine Sicherheitslücke in der VPN-Zugriffssoftware Ivanti Secure (ICS) öffentlich gemacht, die von Angreifern schnell ausgenutzt wurde. Nach weiterhin aktiven Angriffen entdeckte die CISA Malware auf befallenen Geräten und beschreibt dies in einer Alarm-Mitteilung. Die identifizierte Malware namens Resurge zeigt Ähnlichkeiten mit der Familie Spawn-Chimera, die bereits im Februar durch das japanische CERT gemeldet wurde und ebenfalls über die Ivanti-ICS-Lücke CVE-2025-0282 installiert wurde. Resurge übersteht Reboots und verfügt über Befehle zur dynamischen Anpassung ihres Verhaltens. Es kann Webshells einrichten, Integritätsprüfungen manipulieren und Dateien direkt verändern. Diese Webshells dienen schädlichen Aktivitäten wie dem Ausspähen von Zugangsdaten, der Kontoerstellung, dem Zurücksetzen von Passwörtern und der Erweiterung von Berechtigungen. Besonders gefährlich ist die Integration in das Boot-Disk und das Coreboot-Image von Ivanti ICS, was tiefgreifende Systemkontrolle ermöglicht. Die CISA-Alarms-Mitteilung detailliert Handlungsempfehlungen und erläutert drei zentrale Komponenten von Resurge: eine eingebettete Binärdatei mit Open-Source-Shell-Skript und BusyBox-Applets zum Auswerten von Kernel-Images; ein Open-Source-Shell-Skript zur Herunter- und Ausführung weiterer Schadsoftware; sowie die Fähigkeit, durch CVE-2025-0282 in Ivanti Secure einzudringen und sich im System zu verankern. Die Erkenntnisse unterstreichen das Risiko ungeschützter Schwachstellen und betonen die Notwendigkeit konsequenter Sicherheitsmaßnahmen sowie zeitnaher Patches für kritische Software wie Ivanti Secure (ICS).

Schlagwörter: Ivanti ICS + Resurge + CVE-2025-0282

Wie bewerten Sie den Schreibstil des Artikels?