Sicherheitsforscher haben gezielte Angriffe aufgedeckt, bei denen eine Schwachstelle in Lanscope als Zero-Day ausgenutzt wurde. Dadurch konnten China-nahe Hacker Netzwerke kompromittieren und maßgeschneiderte Backdoors installieren. Die Kampagne richtete sich gegen Organisationen, die Motex Lanscope Endpoint Manager einsetzen, und zeigt die anhaltenden Risiken ungepatchter Unternehmenssoftware. Die Schwachstelle ermöglichte Administratorzugriff ohne Authentifizierung und damit eine vollständige Systemübernahme.
Übersicht der Schwachstelle
Die Schwachstelle betrifft ältere Versionen von Lanscope Endpoint Manager. Sie erlaubt Remote-Code-Ausführung über manipulierte Anfragen, die die Authentifizierung vollständig umgehen. Wird die Schwachstelle ausgenutzt, erhält der Angreifer SYSTEM-Rechte. Dadurch gewinnt er volle Kontrolle über das Gerät, kann sich seitlich im Netzwerk bewegen und interne Systeme einsehen.
Der Anbieter veröffentlichte kurz nach Bekanntwerden der Angriffe einen Patch. Untersuchungen zeigen jedoch, dass die Angreifer bereits mehrere Tage vor Veröffentlichung der Sicherheitsaktualisierung aktiv waren. Das verdeutlicht, wie schnell Bedrohungsakteure bei kritischen Schwachstellen handeln.
Die Angreifergruppe
Analysen führen die Kampagne auf die chinesische staatlich unterstützte Gruppe Tick, auch bekannt als Bronze Butler, zurück. Diese Gruppe zielt traditionell auf Unternehmen in Ostasien und weltweit und konzentriert sich auf langfristige Spionage, Persistenz und unauffällige Operationen.
In diesem Fall nutzten die Angreifer die Lanscope-Schwachstelle, um Gokcpdoor zu installieren, eine speziell entwickelte Backdoor. Sie ermöglichte verdeckte Kommunikation und Fernsteuerung. Neuere Varianten verfügen über verbesserte Multiplex-Funktionen und nutzen andere Kommunikationsprotokolle als frühere Versionen. Zudem nutzten die Angreifer Sideloading in Kombination mit legitimen ausführbaren Dateien, um Erkennung zu vermeiden.
Vorgehensweise der Angreifer
Die Angriffskette entsprach einem bekannten Muster: Schwachstelle ausnutzen, Loader ablegen, Backdoor aktivieren und Command-and-Control-Kommunikation aufbauen. Nach erfolgreichem Zugriff konnten die Angreifer verdeckte Zugangspunkte schaffen, Netzwerkaktivität überwachen und sensible Daten exfiltrieren.
Da sich die Backdoor als legitime Prozesse tarnt, bleibt sie oft unentdeckt, sofern keine gezielte Bedrohungsjagd stattfindet. Sicherheitsanalysten beobachteten versteckte Command-Kanäle, getarnte geplante Tasks und Datenverkehr über Ports mit hohem Missbrauchsrisiko.
Empfohlene Maßnahmen
Organisationen mit Lanscope-Systemen sollten sofort handeln. Empfohlene Schritte:
- Sofort den neuesten Patch installieren
- Alle Lanscope-Instanzen im Netzwerk erfassen
- Nach unbekannten geplanten Tasks oder neuen Admin-Konten suchen
- Auf verdächtige Binärdateien und Sideloading-Module prüfen
- Logs auf ungewöhnlichen ausgehenden Datenverkehr analysieren
- Externen Zugriff auf Verwaltungsoberflächen einschränken
- Management-Systeme von öffentlich zugänglichen Netzwerken trennen
Ein Neustart nach dem Patchen kann im Speicher versteckte Malware entfernen, funktioniert jedoch nur, wenn die Schwachstelle geschlossen ist.
Fazit
Die Lanscope-Schwachstelle zeigt, wie schnell hochentwickelte Angreifer handeln, sobald sie eine wertvolle Schwachstelle entdecken. Mit vollständigem Zugriff ohne Authentifizierung stellte die Lücke ein erhebliches Risiko für Unternehmen dar, die ältere Softwareversionen nutzten. Schnelle Patches, Log-Analyse und Netzwerksegmentierung sind entscheidend, um anhaltende Kompromittierungen zu verhindern und verdeckten Zugriff zu unterbinden.
0 Kommentare zu „Lanscope-Schwachstelle als Zero-Day in gezielten Angriffen ausgenutzt“