Sicherheit · 2 min read · Jan 25, 2026
TRAILBLAZE & BRUSHFIRE Malware in Ivanti-Apps/Diensten eingesetzt
Der IT-Softwareanbieter Ivanti hat kürzlich Details zu einer mittlerweile behobenen kritischen Sicherheitsanfälligkeit veröffentlicht, die Ivanti Connect Secure (ICS) VPN-Geräte, Pulse Connect Secure, Ivanti Policy Secure und ZTA-Gateways betrifft und aktiv ausgenutzt wird.
Die Sicherheitsanfälligkeit, identifiziert als CVE-2025-22457 (CVSS-Wert von 9.0), ist ein stackbasierter Pufferüberlauf, der es einem entfernten, nicht authentifizierten Angreifer ermöglicht, die Ausführung von Code auf einem betroffenen System zu erreichen, was potenziell zu einer vollständigen Kompromittierung des Systems führen kann. Dieser Fehler wurde jedoch in der Version 22.7R2.6 von Ivanti Connect Secure behoben, die am 11. Februar 2025 veröffentlicht wurde.
„Die Sicherheitsanfälligkeit ist ein Pufferüberlauf mit auf Punkte und Zahlen beschränkten Zeichen, sie wurde bewertet und als nicht ausnutzbar für die Ausführung von Code aus der Ferne eingestuft und erfüllte nicht die Anforderungen für eine Denial-of-Service-Attacke“, sagte Ivanti in einem am Donnerstag veröffentlichten Sicherheitsrat.
Die Sicherheitsanfälligkeit betrifft die folgenden Produkte und Versionen:
| Produktname | Betroffene Version(en) | Behobene Version(en) | Patch-Verfügbarkeit | |||||
| Ivanti Connect Secure | 22.7R2.5 und früher | 22.7R2.6 (veröffentlicht am 11. Februar 2025) | Download-Portal | |||||
| Pulse Connect Secure (EoS) | 9.1R18.9 und früher | 22.7R2.6 | Kontaktieren Sie Ivanti für die Migration | |||||
| Ivanti Policy Secure | 22.7R1.3 und früher | 22.7R1.4 | 21. April | |||||
| ZTA-Gateways | 22.8R2 und früher | 22.8R2.2 | 19. April |
Ivanti erklärte, dass es sich der „begrenzten Anzahl von Kunden“ bewusst ist, die Ivanti Connect Secure (22.7R2.5 und früher) und Pulse Connect Secure 9.1x verwenden, deren Geräte im Dezember 2024 das Ende ihrer Lebensdauer erreicht haben und ausgenutzt wurden. Es fügte hinzu, dass es sich nicht bewusst ist, dass Policy Secure oder ZTA-Gateways seit der Offenlegung in der Wildnis ausgenutzt wurden.
„Kunden sollten ihre externen ICT überwachen und nach Abstürzen von Webservern suchen. Wenn Ihr ICT-Ergebnis Anzeichen einer Kompromittierung zeigt, sollten Sie einen Werksreset des Geräts durchführen und das Gerät dann mit der Version 22.7R2.6 wieder in Betrieb nehmen“, fügte das Unternehmen hinzu.
Nach der Offenlegung durch Ivanti veröffentlichte Mandiant, das zu Google gehört, einen separaten Blogbeitrag mit Details zu weiteren Erkenntnissen der Sicherheitsanfälligkeit CVE-2025-22457 nach der Ausnutzung.
Laut Mandiant wurde die erste bekannte Instanz der Ausnutzung von CVE-2025-22457 Mitte März 2025 beobachtet, die vermutlich von einer mit China verbundenen Spionagegruppe UNC5221 durchgeführt wurde, die seit 2023 eine Geschichte der Ausnutzung von Zero-Day-Sicherheitsanfälligkeiten in Ivantis Produkten hat. UNC5221 hat zuvor drei Zero-Day-Sicherheitsanfälligkeiten ausgenutzt: CVE-2025-0282, CVE-2023-46805 und CVE-2024-21887.
Halten Sie sich sicher
In der Zwischenzeit hat Mandiant die Organisationen dringend aufgefordert, den verfügbaren Patch sofort anzuwenden, indem sie Ivanti Connect Secure (ICS)-Geräte auf Version 22.7R2.6 oder höher aktualisieren, um die Sicherheitsanfälligkeit CVE-2025-22457 zu beheben.
Darüber hinaus empfiehlt es Organisationen, das externe und interne Integritätsprüfungswerkzeug („ICT“) zu verwenden und sich an den Ivanti-Support zu wenden, wenn verdächtige Aktivitäten festgestellt werden.
Erhalte neue Beiträge in deinem Posteingang.
Kein Spam. Jederzeit abmelden.