Die Five Eyes (FVEY) Intelligence Alliance hat eine neue Cybersicherheitswarnung herausgegeben, in der vor Cyber-Bedrohungsakteuren gewarnt wird, die bekannte Sicherheitslücken in den Ivanti Connect Secure und Ivanti Policy Secure Gateways ausnutzen. Es wurde festgestellt, dass der Integrity Checker Tool (ICT) getäuscht werden kann, um ein falsches Sicherheitsgefühl zu vermitteln. Ivanti hat seit dem 10. Januar 2024 fünf Sicherheitslücken in seinen Produkten offengelegt, von denen vier aktiv von mehreren Bedrohungsakteuren ausgenutzt wurden, um Malware einzusetzen.
Mandiant beschrieb in einer diese Woche veröffentlichten Analyse, wie eine verschlüsselte Version der Malware namens BUSHWALK in einem vom ICT ausgeschlossenen Verzeichnis /data/runtime/cockpit/diskAnalysis platziert wird. Diese Verzeichnisausschlüsse wurden auch von Eclypsium in diesem Monat hervorgehoben und besagen, dass das Tool ein Dutzend Verzeichnisse vom Scannen ausschließt und es einem Angreifer ermöglicht, Hintertüren in einem dieser Pfade zu hinterlassen und den Integritätscheck dennoch zu bestehen.
Die Behörden aus Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den USA forderten Organisationen auf, „das erhebliche Risiko des Zugriffs und der Beharrlichkeit von Bedrohungsakteuren auf Ivanti Connect Secure und Ivanti Policy Secure Gateways in Betracht zu ziehen, wenn sie entscheiden, ob sie diese Geräte in einer Unternehmensumgebung weiter betreiben sollen.“ Ivanti sagte als Reaktion auf die Warnung, dass es keine erfolgreichen Bedrohungsakteure gäbe, die aufgrund von Sicherheitsupdates und Factory-Resets bestehen bleiben. Es wird auch eine neue Version von ICT veröffentlichen, die „zusätzliche Einblicke in das Gerät des Kunden und alle vorhandenen Dateien auf dem System bietet.“