Der Sicherheitssoftware-Hersteller Ivanti hat eine schwerwiegende Sicherheitslücke in seinem Produkt Connect Secure geschlossen, die seit März 2025 aktiv von chinesischen Cyberkriminellen ausgenutzt wurde. Die als CVE-2025-22457 klassifizierte Schwachstelle ermöglichte Angreifern die unauthorized Remote Code Execution (RCE) ohne jegliche Benutzerinteraktion.
Technische Details zur Sicherheitslücke
Die identifizierte Schwachstelle basiert auf einem Stack-Buffer-Overflow mit eingeschränktem Zeichensatz und betrifft mehrere Ivanti-Produkte: Pulse Connect Secure 9.1x, Ivanti Connect Secure bis Version 22.7R2.5, Policy Secure sowie Neurons für ZTA-Gateways. Besonders kritisch ist die Tatsache, dass für die Ausnutzung der Schwachstelle weder eine Authentifizierung noch eine Benutzerinteraktion erforderlich war.
Schadcode-Analyse und Angriffsmuster
Sicherheitsforscher von Mandiant und der Google Threat Intelligence Group (GTIG) haben die Angriffe der chinesischen Hackergruppe UNC5221 zugeordnet. Nach erfolgreicher Exploitation wurden zwei neuartige Malware-Varianten eingeschleust: der Memory-Only-Dropper TRAILBLAZE und der passive Backdoor BRUSHFIRE. Zusätzlich wurde die bereits bekannte Malware SPAWN eingesetzt.
Umfassende Sicherheitsmaßnahmen
Ivanti hat am 11. Februar 2025 das Sicherheitsupdate 22.7R2.6 veröffentlicht, das die Schwachstelle vollständig behebt. Systemadministratoren wird dringend empfohlen:
– Sofortige Installation des Updates auf Version 22.7R2.6
– Regelmäßige Systemüberprüfungen mit dem Integrity Checker Tool (ICT)
– Bei Kompromittierungsverdacht: Komplettes Zurücksetzen der Geräte auf Werkseinstellungen
Historischer Kontext der Angriffe
Die Hackergruppe UNC5221 ist seit 2023 für ihre Spezialisierung auf Zero-Day-Exploits bei Netzwerk-Edge-Geräten bekannt. Bereits Anfang 2025 nutzte dieselbe Gruppe eine andere Schwachstelle (CVE-2025-0282) in Ivanti-Produkten zur Verbreitung der Malware-Varianten Dryhook und Phasejam.
Dieser Vorfall unterstreicht die zentrale Bedeutung eines proaktiven Patch-Managements und kontinuierlichen Sicherheitsmonitorings in Unternehmensnetzwerken. Organisationen wird dringend geraten, ihre Ivanti-Installationen umgehend zu aktualisieren und umfassende Sicherheitsaudits durchzuführen, um potenzielle Kompromittierungen zu erkennen und die Systemsicherheit nachhaltig zu gewährleisten.
