Ivanti Pulse Secure Appliances, oder wie ich sie gerne nenne, die „Hacker-Spielpl\u00e4tze des Jahres“, wurden im Jahr 2024 zum Opfer von Schwachstellen. Die liebevoll als CVE-2023-46805 und CVE-2024-21887 bekannten L\u00f6cher wurden ausgenutzt und haben den Sicherheitsforschern eine Menge Spa\u00df beschert. Aber es kommt noch besser, meine Damen und Herren – zwei versteckte Hintert\u00fcren wurden entdeckt! Wie romantisch.<\/p>\n
Diese Hintert\u00fcren, die von den Forschern liebevoll als SparkCockpit und SparkTar bezeichnet wurden, basieren auf der Technologie TLS. Sie erm\u00f6glichten es den Angreifern, die Erkennung durch netzwerkbasierte Sicherheitsl\u00f6sungen zu umgehen. Klingt fast wie ein Zaubertrick, oder? Aber nein, es ist echte Magie der Cybersicherheit!<\/p>\n
NVISO, die Sicherheitsberatungsfirma, entdeckte diese versteckten Hintert\u00fcren bei einem Unternehmen aus einem sensiblen Bereich. Man stelle sich nur vor, was f\u00fcr ein Nervenkitzel es f\u00fcr die Angreifer gewesen sein muss, die TLS-Kommunikation zu den rechtm\u00e4\u00dfigen Ivanti-Serveranwendungen abzufangen. Mit dieser Methode konnten sie die meisten, wenn nicht sogar alle, netzwerkbasierten Sicherheitsl\u00f6sungen umgehen. Applaus, Applaus f\u00fcr diese Meister der T\u00e4uschung!<\/p>\n
Aber NVISO war nicht alleine in diesem Abenteuer. Auch Mandiant, die Cyber-Sherlocks, haben eine Untersuchung durchgef\u00fchrt und \u00e4hnliche Schadsoftware auf Ger\u00e4ten von Fortinet entdeckt. Es scheint, als h\u00e4tten die Hintert\u00fcren eine gro\u00dfe Vorliebe f\u00fcr Ger\u00e4te und Appliances. Vielleicht lieben sie es, in ihren eigenen kleinen Welten zu leben. Wer kann es ihnen verdenken?<\/p>\n
Jetzt kommt der wirklich spannende Teil – die Sicherheitsl\u00fccken wurden zwar behoben, aber die Hintert\u00fcren sind immer noch auf den Ivanti-Ger\u00e4ten vorhanden. Sie halten sich hartn\u00e4ckig und lassen sich nicht so einfach vertreiben. Wie treue Haustiere, die einfach nicht gehen wollen.<\/p>\n
Die Forscher vermuten, dass SparkCockpit die Zero-Day-Schwachstellen ausgenutzt hat, die bereits im Januar entdeckt wurden, w\u00e4hrend SparkTar bereits seit dem dritten Quartal 2023 auf verschiedenen Ger\u00e4ten herumlungert. Beide Hintert\u00fcren erm\u00f6glichen verschiedene Arten von Zugriff auf das Netzwerk des Opfers. Das ist wie ein All-you-can-eat-Buffet f\u00fcr die Angreifer – sie k\u00f6nnen den Datenverkehr optimieren, Dateien hochladen und Befehle ausf\u00fchren. Ein wahres Festmahl f\u00fcr die b\u00f6sen Jungs!<\/p>\n
Da Ivanti Secure dazu da ist, externen Benutzern den Zugriff auf interne Ressourcen zu erm\u00f6glichen, sind Angriffe auf solche Systeme besonders heikel. Die Angreifer k\u00f6nnten je nach Netzwerkkonfiguration uneingeschr\u00e4nkten Zugriff auf das gesamte Netzwerk erlangen. Es ist wie der Traum eines jeden Hackers – die Kontrolle \u00fcber das gesamte K\u00f6nigreich.<\/p>\n
SparkCockpit und SparkTar haben \u00e4hnliche Vorgehensweisen. Sie verwenden gemeine kleine JAR-Plugins, um eine Boot-Resistenz zu erreichen. Und dann passiert das Unglaubliche – ein Traffic Sniffer wird in die Web-Prozesse eingef\u00fcgt und erfasst TLS-Handshakes. Klingt fast romantisch, oder? Wenn der Handshake des Clients bestimmte Eigenschaften aufweist, \u00fcbernimmt der Backdoor Controller die Kontrolle. Andernfalls wird der Traffic \u00fcber den regul\u00e4ren Prozess weitergeleitet. Es ist wie ein Tanz der Cyber-Kriminellen!<\/p>\n
Aber es gibt auch Unterschiede zwischen den beiden Hintert\u00fcren. SparkCockpit ist eher der Draufg\u00e4nger und \u00fcbernimmt die Identifizierung und Kompromittierung der Web-Prozesse, w\u00e4hrend SparkTar diese Aufgabe dem Backdoor Controller \u00fcberl\u00e4sst. Jeder hat seine eigene Art, die Dinge zu erledigen, nicht wahr?<\/p>\n
Und wisst ihr was das Beste ist? SparkCockpit verwendet Zertifikate, um den abgefangenen Handshake abzuschlie\u00dfen, w\u00e4hrend SparkTar einfach vorhandene Zertifikate benutzt. Man k\u00f6nnte fast sagen, dass SparkTar ein echter Sparfuchs ist. Heimlich, aber effektiv.<\/p>\n
Und so geht das Katz-und-Maus-Spiel zwischen den Hintert\u00fcren und den Sicherheitsexperten weiter. Wer wird am Ende die Nase vorn haben? Wer wird der Sieger sein? Das wei\u00df nur die Zeit. Aber eins ist sicher – die Welt der Cybersicherheit bleibt spannend und sorgt immer wieder f\u00fcr \u00dcberraschungen.<\/p>\n
Schlagw\u00f6rter: SparkCockpit + SparkTar + Ivanti<\/p>\n","protected":false},"excerpt":{"rendered":"
Ivanti Pulse Secure Appliances, oder wie ich sie gerne nenne, die „Hacker-Spielpl\u00e4tze des Jahres“, wurden im Jahr 2024 zum Opfer von Schwachstellen. Die liebevoll als CVE-2023-46805 und CVE-2024-21887 bekannten L\u00f6cher wurden ausgenutzt und haben den Sicherheitsforschern eine Menge Spa\u00df beschert. Aber es kommt noch besser, meine Damen und Herren –...<\/p>\n","protected":false},"author":4,"featured_media":5658,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5659","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5659","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5659"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5659\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/5658"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5659"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5659"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5659"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}