Anfang 2024 wurden die Pulse Secure Appliances von Ivanti durch die damals gemeldeten Schwachstellen CVE-2023-46805 und CVE-2024-21887 weiträumig ausgenutzt. Zwei Exemplare dieser Backdoors haben Sicherheitsforscher jetzt ausführlich beschrieben. Anzeige Bei einem Unternehmen aus dem kritischen Sektor entdeckten Mitarbeiter der Security-Beratungsfirma NVISO zwei zu diesem Zeitpunkt noch unbekannte verdeckte TLS-basierte Hintertüren, die sie SparkCockpit und SparkTar nannten. Beide Backdoors nutzen das selektive Abfangen der TLS-Kommunikation zu den legitimen Ivanti-Serveranwendungen. Durch diese Technik ist es den Angreifern gelungen, die Erkennung durch die meisten (wenn nicht alle) netzwerkbasierten Sicherheitslösungen zu vermeiden. Unabhängig von NVISO hat auch Mandiant die Malware untersucht. Fortinet hat auf seinen Geräten einen sehr ähnlichen Schädling entdeckt. Pulse-Secure Zero-Days ausgenutzt Die Backdoors bleiben auf den Ivanti-Geräten erhalten, auch wenn die Sicherheitslücken, durch die sie darauf gelangten, inzwischen geschlossen wurden. Die Entdecker vermuten, dass SparkCockpit die im Januar entdeckten Zero-Days bei Ivanti Connect Secure (ehemals Pulse Secure) nutzte, während SparkTar mindestens seit dem dritten Quartal 2023 auf verschiedenen Geräten verwendet wurde. Die beiden Backdoors bieten mehrere Stufen der Persistenz und Zugriffsmöglichkeiten auf das Netzwerk des Opfers, zum Beispiel durch Traffic-Tuning durch die Einrichtung eines SOCKS-Proxys. Beide Backdoors bieten außerdem die Möglichkeit, Dateien hochzuladen und Befehle auszuführen. Es ist der Zweck von Ivanti Connect Secure, externen Nutzern Zugriffe auf interne Ressourcen zu gewähren. Deshalb sind Angriffe auf solche Systeme besonders heikel. Je nach Netzwerk-Konfiguration können sich Angreifer vollen Zugriff auf die Netzwerkebene der kompromittierten Umgebung verschaffen. Die Vorgehensweisen von SparkCockpit und SparkTar ähneln sich: Ein bösartiges JAR-Plugin sorgt für Boot-Resistenz. Beim Start lädt es den Backdoor Controller im ELF-Format.Ein Traffic Sniffer wird in die Web-Prozesse eingeschleust und fängt TLS-Handshakes ab. Wenn der Handshake des Client bestimmte Merkmale aufweist, übernimmt der Backdoor Controller. Wenn nicht, geht der Traffic über den legitimen Prozess.Der Backdoor Controller schließt die abgefangenen Handshakes ab, bevor die Befehle des Angreifers ausgeführt werden. Einige Unterschiede gibt es dennoch. Bei SparkCockpit übernimmt das JAR-Plugin die Aufgabe, Web-Prozesse zu identifizieren und zu kompromittieren, bei bei SparkTar der Backdoor Controller. Unterschiede gibt es auch in der Art, wie die Backdoor die abzufangenden Clients auswählt. Außerdem bringt SparkCockpit die Zertifikate zum Abschluss des abgefangenen Handshakes mit, SparkTar nutzt vorhandene. Die Backdoor SparkTar kapert TLS-Verbindungen, kann Remote Code ausführen, Daten absaugen und übersteht auch Factory Resets (Bild: NVISO) Backdoor kam um zu bleiben SparkTar ist eine sehr fortgeschrittene Software. Sie beherrscht verschiedene Persistenz-Verfahren und unterläuft zum Beispiel das Zurücksetzen auf Werkseinstellungen oder Upgrades. Sie kann Input und Output streamen, SparkCockpit hingegen arbeitet einen Befehl des Angreifers nach dem anderen ab. Außerdem kann SparkTar SOCKS-Proxies installieren, die den Traffic des Angreifers direkt in das Netzwerk der Organisation leiten. Die Sicherheitsforscher von NVISO haben die Details ihrer Analysen in einem 33-seitigen Report dokumentiert. Dort weisen sie auf die Risiken hin, die Netzwerk-Appliances mit Blackbox-Software mit sich bringen. Monitoring und Forensik auf solchen Geräten ist oft nur sehr eingeschränkt möglich. Deshalb sollten zusätzliche Maßnahmen wie Netzwerksegmentierung, Deep Packet Inspection oder Anomalieerkennung eingesetzt werden, um das Netzwerk in der Tiefe zu verteidigen. Um die Forensik zu erleichtern, ohne auf den guten Willen der Hersteller angewiesen zu sein, kann die Virtualisierung von Geräten wie VPN-Gateways hilfreich sein. Um anderen möglicherweise Betroffenen die Erkennung zu erleichtern, hat NVISO YARA- und Suricata-Regeln veröffentlicht, die im Report über die Backdoors enthalten sind. (ulw) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Anfang 2024 wurden die Pulse Secure Appliances von Ivanti durch die damals gemeldeten Schwachstellen CVE-2023-46805 und CVE-2024-21887 weiträumig ausgenutzt. Zwei Exemplare dieser Backdoors haben Sicherheitsforscher jetzt ausführlich beschrieben. Anzeige Bei einem Unternehmen aus dem kritischen Sektor entdeckten Mitarbeiter der Security-Beratungsfirma NVISO zwei zu diesem Zeitpunkt noch unbekannte verdeckte TLS-basierte Hintertüren, die sie SparkCockpit und SparkTar nannten. Beide Backdoors nutzen das selektive Abfangen der TLS-Kommunikation zu den legitimen Ivanti-Serveranwendungen. Durch diese Technik ist es den Angreifern gelungen, die Erkennung durch die meisten (wenn nicht alle) netzwerkbasierten Sicherheitslösungen zu vermeiden. Unabhängig von NVISO hat auch Mandiant die Malware untersucht. Fortinet hat auf seinen Geräten einen sehr ähnlichen Schädling entdeckt. Pulse-Secure Zero-Days ausgenutzt Die Backdoors bleiben auf den Ivanti-Geräten erhalten, auch wenn die Sicherheitslücken, durch die sie darauf gelangten, inzwischen geschlossen wurden. Die Entdecker vermuten, dass SparkCockpit die im Januar entdeckten Zero-Days bei Ivanti Connect Secure (ehemals Pulse Secure) nutzte, während SparkTar mindestens seit dem dritten Quartal 2023 auf verschiedenen Geräten verwendet wurde. Die beiden Backdoors bieten mehrere Stufen der Persistenz und Zugriffsmöglichkeiten auf das Netzwerk des Opfers, zum Beispiel durch Traffic-Tuning durch die Einrichtung eines SOCKS-Proxys. Beide Backdoors bieten außerdem die Möglichkeit, Dateien hochzuladen und Befehle auszuführen. Es ist der Zweck von Ivanti Connect Secure, externen Nutzern Zugriffe auf interne Ressourcen zu gewähren. Deshalb sind Angriffe auf solche Systeme besonders heikel. Je nach Netzwerk-Konfiguration können sich Angreifer vollen Zugriff auf die Netzwerkebene der kompromittierten Umgebung verschaffen. Die Vorgehensweisen von SparkCockpit und SparkTar ähneln sich: Ein bösartiges JAR-Plugin sorgt für Boot-Resistenz. Beim Start lädt es den Backdoor Controller im ELF-Format.Ein Traffic Sniffer wird in die Web-Prozesse eingeschleust und fängt TLS-Handshakes ab. Wenn der Handshake des Client bestimmte Merkmale aufweist, übernimmt der Backdoor Controller. Wenn nicht, geht der Traffic über den legitimen Prozess.Der Backdoor Controller schließt die abgefangenen Handshakes ab, bevor die Befehle des Angreifers ausgeführt werden. Einige Unterschiede gibt es dennoch. Bei SparkCockpit übernimmt das JAR-Plugin die Aufgabe, Web-Prozesse zu identifizieren und zu kompromittieren, bei bei SparkTar der Backdoor Controller. Unterschiede gibt es auch in der Art, wie die Backdoor die abzufangenden Clients auswählt. Außerdem bringt SparkCockpit die Zertifikate zum Abschluss des abgefangenen Handshakes mit, SparkTar nutzt vorhandene. Die Backdoor SparkTar kapert TLS-Verbindungen, kann Remote Code ausführen, Daten absaugen und übersteht auch Factory Resets (Bild: NVISO) Backdoor kam um zu bleiben SparkTar ist eine sehr fortgeschrittene Software. Sie beherrscht verschiedene Persistenz-Verfahren und unterläuft zum Beispiel das Zurücksetzen auf Werkseinstellungen oder Upgrades. Sie kann Input und Output streamen, SparkCockpit hingegen arbeitet einen Befehl des Angreifers nach dem anderen ab. Außerdem kann SparkTar SOCKS-Proxies installieren, die den Traffic des Angreifers direkt in das Netzwerk der Organisation leiten. Die Sicherheitsforscher von NVISO haben die Details ihrer Analysen in einem 33-seitigen Report dokumentiert. Dort weisen sie auf die Risiken hin, die Netzwerk-Appliances mit Blackbox-Software mit sich bringen. Monitoring und Forensik auf solchen Geräten ist oft nur sehr eingeschränkt möglich. Deshalb sollten zusätzliche Maßnahmen wie Netzwerksegmentierung, Deep Packet Inspection oder Anomalieerkennung eingesetzt werden, um das Netzwerk in der Tiefe zu verteidigen. Um die Forensik zu erleichtern, ohne auf den guten Willen der Hersteller angewiesen zu sein, kann die Virtualisierung von Geräten wie VPN-Gateways hilfreich sein. Um anderen möglicherweise Betroffenen die Erkennung zu erleichtern, hat NVISO YARA- und Suricata-Regeln veröffentlicht, die im Report über die Backdoors enthalten sind. (ulw) Zur Startseite