Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: Kritische Sicherheitslücke in Ivanti Connect Secure ausgenutzt

- Warnmeldung

Der Verfassungsschutz des Landes Baden-Württemberg (LfV BW) und das Bundesamt für Sicherheit in der Informationstechnik warnen vor der Ausnutzung einer kritischen Schwachstelle in Ivanti Connect Secure durch die Gruppierung UNC5221. Das Unternehmen Ivanti stellt Updates zur Verfügung.
Landesamt für Verfassungsschutz BW

© LfV Baden-Württemberg

Die Warnmeldung wurde am 8. April 2025 aufgrund weiterführender Informationen aktualisiert. 

Eingesetzte Malware lässt auf UNC5221 schließen

Das Unternehmen Ivanti veröffentlichte am 3. April 2025 eine Sicherheitsmeldung zur kritischen Schwachstelle CVE-2025-22457 in folgenden Programmen:

  • Pulse Connect Secure Version 9.1x und früher
  • Ivanti Connect Secure Version 22.7R2.5 und früher
  • Ivanti Policy Secure Version 22.7R1.3 und früher
  • Neurons for ZTA Gateways 22.8R2 und früher

CVE-2025-22457 hat einen CVSS-Score von 9.0/10 und ermöglicht Angreifenden Remote Code Execution (RCE).

Laut LfV BW und BSI, die sich auf Berichte des Cybersicherheitsunternehmens Mandiant und von Ivanti beziehen, werde die Sicherheitslücke seit Mitte März 2025 aktiv ausgenutzt. Betroffen hiervon sind die oben genannten Versionen von Ivanti Connect Secure und Pulse Connect Secure. Hinter den Ausnutzungen stecke der Google Threat Intelligence Group (GTIG) zufolge die Gruppierung UNC5221. Die Gruppe setze laut Mandiant die Schadprogramme Trailblaze und Brushfire ein, die typisch für UNC5221 seien.

Ivanti stellt für Ivanti Connect Secure, Ivanti Policy Secure und Neurons for ZTA Gateways abgesicherte Versionen bereit. Pulse Connect Secure erhält seit Ende 2024 keine offiziellen Patches mehr. Nutzende sollten sich daher an Ivanti wenden.

Empfehlungen von Ivanti und BSI

  • Installieren Sie umgehend die Version 22.7R2.6 von Ivanti Connect Secure.
  • Installieren Sie umgehend die Version 22.7R1.4 von Ivanti Policy Secure.
  • Installieren Sie umgehend die Version 22.8R2.2 von Neurons for ZTA Gateways.
  • Wenn Sie Pulse Connect Secure einsetzen, wenden Sie sich an den Kunden-Support von Ivanti.
  • Stellen Sie sicher, dass Policy-Secure-Geräte nicht aus dem Internet erreichbar sind.
  • Prüfen Sie bis zur Installation der Updates regelmäßig Log-Dateien und andere Monitoring-Maßnahmen, um verdächtige Aktionen zu erkennen.
  • Nutzen Sie die veröffentlichten Kompromittierungsindikatoren (IoC: Indicator of Compromise), um eine eventuelle Kompromittierung festzustellen.

Weitere Informationen