Kina‑tilknyttede hackere udnyttede Ivanti‑sårbarheder
Her er (endnu) et eksempel på hvorfor man skal opdatere sine systemer, når der kommer opdateringer.
I begyndelsen af juli 2025 kunne den franske cybersikkerhedsmyndighed ANSSI bekræfte, at en avanceret kinesisk‑linket hackergruppe – kendt som ICO‑5174/Houken – har udnyttet tre 0-dagssårbarheder i Ivanti Cloud Service Appliance til at kompromittere kritiske infrastruktursystemer i Frankrig. Sagen er omtalt i artikler i Infosecurity Magazine, Cyberscoop og Hackread m.fl..
Angrebsmetode og ofre
ANSSI's rapport viser, at angrebet udspillede sig over måneder – fra september til november 2024 – og ramte systemer i regeringen, forsvarssektoren, medier, telekommunikation, finans og transport. De tre sårbarheder – CVE‑2024‑8190, CVE‑2024‑8963 og CVE‑2024‑9380 – gjorde det muligt for hackergruppen at udføre fjernkodeeksekvering, installere rodkit og navigere dybt ind i netværkene.
Ifølge ANSSI etablerede de sig med et specialudviklet rootkit (herunder sysinitd.ko) og brugte ellers mange open‑source‑værktøjer – ofte skabt af kinesisk‑talende udviklere. Blandt teknikkerne var lateral bevægelse via F5 BIG‑IP og Uteus/Houken intrusionsæt.
Omfang og motiv
Angrebet er vurderet til at være en kombination af cyberspionage og forberedelse på videre operationer: Dels stjæles data, dels installeres kryptominere som sekundær gevinst. ANSSI kalder gruppens handlinger “initial access brokerage”, hvor systemer inficeres for senere videresalg af adgang.
Ifølge Infosecurity Magazine er Houken‑gruppen med stor sandsynlighed knyttet til statens sikkerhedsapparat – nært relateret til UNC5174 – og handler som udførende led i kinesisk APT‑aktivitet.
Andre sikkerhedsmedier har talt om samme hack‑bølge og underbygger billederne af systematisk udnyttelse af Ivanti‑sårbarheder og varierede målgrupper i Frankrig og internationalt.
Ivanti-produkter er flere gange tidligere ramt af alvorlige sårbarheder, som angribere står på spring til at udnytte, og når man sidder på kritisk infrastruktur og bruger Ivanti-produkter, er udnyttelser oplagte følgevirkninger af langsommelige patch-procedurer. Ikke mindst fordi trusselsaktørernes motiver - spionage og profit ved videresalg af adgang – kan blive opfyldt med de nævnte udnyttelser.
Læs mere
- https://cyberscoop.com/france-government-ivanti-zero-days-china/
- https://hackread.com/china-houken-hackers-breach-french-ivanti-zero-days/
- https://www.google.com/url?client=internal-element-cse&cx=013025419539759983845:qhnrzazqj0o&q=https://www.infosecurity-magazine.com/news/chinese-hackers-france-ivanti/&sa=U&ved=2ahUKEwjR6pODhKOOAxVW3gIHHcGpOkoQFnoECAUQAg&usg=AOvVaw3q7CLFrOPniuB7M3dbdo_n&f