Sicherheitsforscher haben Ivanti RESURGE-Malware entdeckt, die weiterhin auf kompromittierten Connect Secure VPN-Geräten vorhanden ist. Die Bedrohung kann offenbar in betroffenen Systemen verborgen bleiben und ermöglicht es Angreifern, den Zugriff lange nach dem ursprünglichen Eindringen erneut zu aktivieren.
Die Entdeckung sorgt für Besorgnis bei Organisationen, die Ivanti Connect Secure-Geräte zur Verwaltung des Fernzugriffs auf interne Netzwerke einsetzen. Selbst nachdem Sicherheitsupdates installiert wurden, können zuvor kompromittierte Systeme weiterhin versteckte Malware-Komponenten enthalten.
Forscher warnen, dass solche Implantate Angreifern einen langfristigen Zugang zu Unternehmensumgebungen ermöglichen können.
Schwachstelle ermöglichte die ersten Angriffe
Die Angriffskampagne begann mit der Ausnutzung einer kritischen Schwachstelle in Ivanti Connect Secure-Geräten. Die Sicherheitslücke erlaubte es Angreifern, aus der Ferne Code auf anfälligen VPN-Appliances auszuführen.
Da diese Systeme am Rand von Unternehmensnetzwerken betrieben werden, verschaffte eine erfolgreiche Ausnutzung direkten Zugriff auf interne Authentifizierungsdienste und Netzwerkinfrastruktur. Nachdem Angreifer dieses erste Einfallstor erlangt hatten, installierten sie die RESURGE-Malware, um dauerhaft im System präsent zu bleiben.
Edge-Geräte wie VPN-Gateways sind besonders attraktive Ziele, da sie Authentifizierungsverkehr verarbeiten und externe Nutzer mit internen Systemen verbinden.
RESURGE-Malware ermöglicht dauerhaften Zugriff
Die Ivanti RESURGE-Malware fungiert als persistente Hintertür, die Angreifern weiterhin Zugriff auf kompromittierte Geräte gewährt. Nach der Installation können Bedrohungsakteure mehrere administrative Aktionen im System durchführen.
Angreifer können Anmeldedaten sammeln, neue Benutzerkonten erstellen, Passwörter zurücksetzen und ihre Berechtigungen erhöhen. Diese Möglichkeiten erlauben es ihnen, die Kontrolle über das Gerät zu behalten und möglicherweise tiefer in das Netzwerk vorzudringen.
Sicherheitsanalysten weisen darauf hin, dass kompromittierte Edge-Geräte häufig als Ausgangspunkt für weitergehende Angriffe auf interne Infrastruktur genutzt werden.
Verborgene Malware erschwert die Erkennung
Eine der besorgniserregendsten Eigenschaften von RESURGE ist ihre Fähigkeit, in kompromittierten Systemen verborgen zu bleiben. Anstatt kontinuierlich mit externen Servern zu kommunizieren, wartet die Malware auf speziell gestalteten Netzwerkverkehr, bevor sie aktiviert wird.
Dieses Verhalten hilft dem Implantat, der Erkennung durch herkömmliche Überwachungssysteme zu entgehen. Da keine dauerhaft auffällige Aktivität erzeugt wird, können Sicherheitsteams eine Kompromittierung während der routinemäßigen Überwachung übersehen.
Forscher sagen, dass dieses Verhalten es Angreifern ermöglicht, Monate nach dem ursprünglichen Angriff zu zuvor kompromittierten Geräten zurückzukehren.
Behörden warnen vor anhaltendem Risiko
Cybersicherheitsbehörden haben aktualisierte Empfehlungen veröffentlicht und warnen Organisationen, dass zuvor kompromittierte Ivanti-Geräte weiterhin versteckte Implantate enthalten könnten. Selbst Systeme, die Sicherheitsupdates erhalten haben, können betroffen sein, wenn Angreifer die Malware vor der Installation der Patches platziert haben.
Sicherheitsexperten empfehlen daher umfassendere Integritätsprüfungen der betroffenen Geräte. In einigen Fällen kann es notwendig sein, Systeme aus vertrauenswürdigen Systemabbildern neu aufzubauen, um sicherzustellen, dass keine persistente Malware verbleibt.
Organisationen sollten außerdem Zugriffsprotokolle überprüfen und Authentifizierungsaktivitäten auf ungewöhnliches Verhalten überwachen, das auf weiterhin bestehenden Angreiferzugriff hinweisen könnte.
Fazit
Die Entdeckung der Ivanti RESURGE-Malware zeigt die langfristigen Risiken von Angriffen auf Netzwerk-Edge-Geräte. Durch die Ausnutzung einer kritischen Schwachstelle und die Installation versteckter Implantate können Angreifer ihren Zugriff lange nach dem ursprünglichen Eindringen aufrechterhalten.
Organisationen, die Ivanti Connect Secure-Appliances verwenden, sollten gründliche Sicherheitsprüfungen durchführen und sicherstellen, dass ihre Systeme vollständig bereinigt wurden. Ohne eine tiefgehende Untersuchung könnte verborgene Malware es Angreifern ermöglichen, Monate nach der ursprünglichen Kompromittierung erneut Zugriff auf Unternehmensnetzwerke zu erhalten.
0 Kommentare zu „Ivanti-RESURGE-Malware auf Connect-Secure-Geräten entdeckt“