Analyse des jüngsten CISA-Hacks im Zusammenhang mit Ivanti

Ein neuer Tag, ein neuer Cyberangriff. Dieses Mal war eine wichtige US-Regierungsbehörde, die Cybersecurity and Infrastructure Security Agency (CISA), von einem kürzlich durchgeführten Angriff betroffen. Bereits im Februar entdeckten CISA-Beamte, dass zwei ihrer internen Computersysteme von Hackern kompromittiert worden waren, die Fehler in Ivanti-Produkten ausgenutzt hatten. Beide Systeme wurden offline geschaltet, sobald der Angriff entdeckt wurde.  

Bei den beiden infiltrierten Systemen handelt es sich um das Infrastructure Protection (IP) Gateway der CISA, ein integriertes Tool, das es den Partnern des Ministeriums für innere Sicherheit (Department of Homeland Security –DHS) ermöglicht, Informationen über kritische Infrastrukturen in den USA zu erhalten, um Risikobewertungen durchzuführen, sowie um das Chemical Security Assessment Tool (CSAT), ein Portal, das Daten wie die Sicherheitspläne des privaten Sektors für Chemikalien enthält. Den Hackern gelang es, das Integritätsprüfungstool (ICT) von Ivanti zu umgehen und eine Web-Shell gegen CSAT einzusetzen. Die Technologie der von der CISA und anderen Endbenutzern verwendeten Systeme war veraltet und ein Update war fällig gewesen, was Cyberkriminellen die perfekte Gelegenheit geboten hatte, in die Software der Behörde einzudringen.  

CISA teilte dem Kongress mit, dass der Angriff auf das CSAT-Tool möglicherweise mehr als 100.000 Personen betroffen habe, doch offiziellen Angaben zufolge gibt es keine Hinweise darauf, dass es zu Datendiebstahl oder Betriebsstörungen gekommen sei.

Ereignisse, die zu dem Angriff führten 

Seit Anfang Dezember 2023 hat das in Utah ansässige IT-Unternehmen Ivanti eine Reihe von Schwachstellen im Zusammenhang mit seinem Fernzugriff-VPN Connect Secure und seiner Netzwerkzugangskontrolllösung Policy Secure identifiziert. Die CISA gab Warnungen und Anleitungen zu Wiederherstellungsmaßnahmen sowie vom Anbieter empfohlenen Korrekturen/Patches heraus, aber Eindringlinge haben sich in den letzten Monaten immer wieder der Entdeckung entzogen und die Sicherheitslücken ausgenutzt.  

Wer steckt hinter dem Angriff?

Für diesen Angriff auf CISA wurde offiziell kein Bedrohungsakteur identifiziert, allerdings stehen staatlich unterstützte Spionagegruppen mit Verbindungen nach China im Verdacht, für die konsequente Ausnutzung von Schwachstellen in Ivantis Netzwerk- und Endpunktlösungen verantwortlich zu sein. Zu den bekannten Kollektiven, die für das Kompromittieren von mindestens einem der jüngsten Ivanti-Fehler verantwortlich sind, gehört ein Cybersyndikat namens „Magnet Goblin“. Diese Gruppe konzentriert sich in der Regel darauf, eintägige Schwachstellen auszunutzen, um schnelles Kapital daraus schlagen zu können, sobald sie bekannt werden. Dies war der Fall, als Ivanti einen Hinweis zur Schwachstelle CVE-2024-21887 veröffentlichte. Magnet Goblin begann einen Tag nach der Veröffentlichung eines Patches durch das Unternehmen, ungepatchte Systeme anzugreifen.  

Die Realität von Cybervorfällen heute

Der CISA-Angriff ist ein Beispiel dafür, wie komplex und dynamisch die Bedrohungslage für Regierungsbehörden derzeit ist. Die schnelle Erkennung verdächtiger Aktivitäten durch die CISA, gefolgt von proaktiven Schritten zur Abschaltung der beiden kritischen Systeme, unterstreicht ihr Engagement, einen zuverlässigen Schutz zu bieten, insbesondere in Fällen wie diesem, in denen es in den Monaten vor dem Angriff auf CISA zu wiederholten, ausgeklügelten Angriffen auf dieselbe Software kam. 

Das haben wir gelernt: Die Bedeutung der Modernisierung von IT

Eine wichtige Erkenntnis aus dieser Situation ist, dass Altsysteme regelmäßig ausgetauscht werden sollten, um das Risiko zu verringern, dass Software von Drittanbietern Sicherheitslücken enthält. Regierungsbehörden jeder Größe speichern sensible Daten. Wenn Sie also sicherstellen, dass alle Elemente der Cybersicherheitsinfrastruktur sicher und auf dem neuesten Stand sind, können Sie sich vor bekannten Schwachstellen und Fehlern schützen.