CISA veröffentlicht Malware-Analysebericht über RESURGE-Malware im Zusammenhang mit Ivanti Connect Secure

CISA hat einen Bericht über eine neue Malware-Variante namens RESURGE veröffentlicht, die ähnliche Fähigkeiten wie SPAWNCHIMERA aufweist. RESURGE kann Neustarts überstehen, verwendet aber unterschiedliche Befehle, um Web-Shells zu erstellen, Integritätsprüfungen zu manipulieren und Dateien zu verändern. Sie wird mit der Ausnutzung von CVE-2025-0282 in Verbindung gebracht, einem Stack-basierten Pufferüberlauf in Ivanti Connect Secure Appliances. Diese Schwachstelle wurde am 8. Januar 2025 in den Known Exploited Vulnerabilities Catalog von CISA aufgenommen. Die Malware ermöglicht die Verwendung von Web-Shells für das Sammeln von Anmeldedaten, die Erstellung von Konten und die Eskalation von Berechtigungen. CISA fordert Benutzer dringend auf, betroffene Geräte auf die Werkseinstellungen zurückzusetzen, um die höchste Zuverlässigkeit bei der Behebung zu gewährleisten. Benutzer sollten außerdem die Anmeldedaten für privilegierte und nicht-privilegierte Konten zurücksetzen, einschließlich aller Domänenbenutzer und lokaler Konten. Es wird auch empfohlen, Zugriffsrichtlinien zu überprüfen, um Berechtigungen für betroffene Geräte zu widerrufen oder zu reduzieren. Organisationen sollten zugehörige Konten auf Anzeichen unbefugten Zugriffs überwachen. Vorfälle und anomale Aktivitäten sollten dem CISA 24/7 Operations Center gemeldet werden.