April 2024 Threat Tracking: Sicherheitslücken auf Rekordniveau

Der April 2024 war ein weiterer rekordverdächtiger Monat für die Veröffentlichung von CVEs. Im Threat-Tracking-Bericht dieses Monats untersuchen wir mehrere neue, aktiv ausgenutzte Schwachstellen und beleuchten den Cyberangriff auf den US-Forschungsriesen MITRE. Der Bericht deckt auch auf, wie sich End-of-Life-Produkte (EOL) nachteilig auf die Cybersicherheitslage eines Unternehmens auswirken können und wie man die damit verbundenen Risiken bewältigt.

MITRE: Schwachstellen durch Ivanti

Die MITRE Corporation ist eine 1958 gegründete gemeinnützige Organisation, die mehrere staatlich finanzierte Forschungs- und Entwicklungszentren zur Unterstützung der US-Verteidigung, der Cybersicherheit, des Gesundheitswesens, der Luftfahrt und anderer Bereiche betreibt. MITRE unterhält auch mehrere zentrale Cybersicherheits-Frameworks wie MITRE ATT&CK, D3FEND sowie Schwachstellen-Ressourcen wie die Datenbanken Common Vulnerabilities and Exposures (CVE), Common Weakness and Enumeration (CWE) und Common Attack Path Enumeration (CAPEC).

Ein kürzlich erfolgter Cyberangriff auf MITRE zeigt, dass selbst die versiertesten Organisationen nicht gegen gezielte Angriffe von Advanced Persistent Threats (APTs) gefeit sind. Der anfängliche Zugang zu einem der Forschungsnetzwerke von MITRE wurde über zwei Sicherheitslücken im Ivanti Connect Secure VPN-Dienst erlangt: CVE-2023-46805 (CVSS 8.2) und CVE-2024-21887 (CVSS 9.1). Wir haben bereits eine ausführliche Beschreibung dieser Schwachstellen veröffentlicht, die beide durch die Schwachstellentests von Greenbone aufgedeckt werden können. Nach dem anfänglichen Zugriff konnten Angreifer mit gestohlenen Sitzungs-Tokens [T1563] auf die angrenzende VMware-Infrastruktur [TA0109] ausweichen, um die Multi-Faktor-Authentifizierung zu umgehen und auf Admin-Konten zuzugreifen.

Wenn es MITRE passieren kann, kann es jeder Organisation passieren, aber das Patchen von Schwachstellen, von denen bekannt ist, dass sie aktiv ausgenutzt werden, ist eine Schlüsselaktivität, auf die alle Organisationen großen Wert legen müssen.

„Operation MidnightEclipse“ PaloAlto Zero Day

Am 10. April 2024 meldeten Forscher des Cybersicherheitsunternehmens Volexity, dass einer bisher unentdeckten Zero-Day-Schwachstelle in der GlobalProtect-Funktion von PaloAlto PAN-OS ausgenutzt wurde. Die jetzt als CVE-2024-3400 (CVSS 10) geführte Schwachstelle, die eine unautorisierte Remote Code Execution (RCE) mit Root-Rechten ermöglicht, wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen. Der Greenbone Enterprise Vulnerability Feed enthält Tests zur Erkennung von CVE-2024-3400, die es Unternehmen ermöglichen, betroffene Anlagen zu identifizieren und Abhilfemaßnahmen zu planen.

Unit42 von PaloAlto verfolgt nachfolgende Angriffe unter dem Namen Operation MidnightEclipse und hat zusammen mit der Shadowserver Foundation und GreyNoise einfache Sondierungen und eine vollständige Ausnutzung mit anschließender Datenexfiltration und Installation von Remote-C2-Tools beobachtet. Außerdem wurden von Dritten mehrere Proof-of-Concept-Exploits (PoC) veröffentlicht [1][2], die die Bedrohung durch Angriffe von wenig oder gar nicht qualifizierten Cyberkriminellen verstärken.

CVE-2024-3400 betrifft PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1 Firewalls, die mit GlobalProtect gateway oder GlobalProtect portal konfiguriert sind. Hotfix-Patches für PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 sind derzeit verfügbar, um betroffene Geräte ohne Neustart zu reparieren. Eine umfassende Anleitung zur Behebung des Problems ist in der Palo Alto Knowledge Base verfügbar.

D-Link: Eingebaute Anmeldeinformationen in Alt-Produkten

In NAS-Geräten des Herstellers D-Link wurden zwei kritische Schwachstellen entdeckt, die als CVE-2024-3272 (CVSS 9.8) und CVE-2024-3273 (CVSS 9.8) bezeichnet werden. Zu den betroffenen Geräten gehören DNS-320L, DNS-325, DNS-327L und DNS-340L, die alle das Ende ihres Produktlebenszyklus erreicht haben. Laut D-Link werden keine Patches bereitgestellt. Weltweit sind schätzungsweise 92.000 Geräte davon betroffen. Beide CVEs werden aktiv ausgenutzt, und ein Proof of Concept (PoC) Exploit für CVE-2024-3273 ist online verfügbar.

Die anfälligen Geräte enthalten alle ein Standard-Administrationskonto, für das kein Kennwort erforderlich ist. Angreifer können aus der Ferne Befehle ausführen, indem sie eine speziell gestaltete HTTP-GET-Anfrage an den URI /cgi-bin/nas_sharing.cgi auf der NAS-Webschnittstelle senden. Beide Schwachstellen zusammen stellen ein ernstes Risiko dar, da sie eine Remote Code Execution (RCE) ohne Authentifizierung auf dem Zielgerät ermöglichen [T1584]. Dies ermöglicht Angreifern den Zugriff auf potenziell sensible Daten [TA0010], die auf dem kompromittierten NAS-Gerät selbst gespeichert sind, aber auch ein Standbein im Netzwerk des Opfers, um ein seitliches Eindringen [TA0008] in andere Systeme dort zu versuchen oder Angriffe als Teil eines Botnets global zu starten [T1584.005].

Sicherung von digitalen Alt-Produkten

Digitale Produkte am Ende ihres Lebenszyklus (End of Life; EOL) erfordern besondere Sicherheitsüberlegungen, da sie aufgrund der eingestellten Unterstützung durch den Hersteller einem höheren Risiko ausgesetzt sind ausgenutzt zu werden. Hier sind einige Verteidigungsmaßnahmen zum Schutz von digitalen EOL-Produkten:

1. Risikobewertung: Führen Sie regelmäßige Risikobewertungen durch, um die potenziellen Auswirkungen von Altgeräten auf Ihr Unternehmen zu ermitteln, vor allem in Anbetracht der Tatsache, dass neu aufgedeckte Schwachstellen möglicherweise noch nicht vom Hersteller behoben wurden.
2. Schwachstellen- und Patch-Management: Auch wenn EOL-Produkte von ihren Herstellern offiziell nicht mehr unterstützt werden, werden in einigen Notfällen noch Patches herausgegeben. Schwachstellen-Scans und Patch-Management helfen bei der Identifizierung neuer Schwachstellen und ermöglichen es den Verteidigern, den Hersteller um Ratschläge zu Abhilfemöglichkeiten zu bitten.
3. Isolierung und Segmentierung: Isolieren Sie, wenn möglich, EOL-Produkte vom restlichen Netzwerk, um ihre Gefährdung durch potenzielle Bedrohungen zu begrenzen. Die Segmentierung dieser Geräte kann dazu beitragen, Sicherheitslücken einzudämmen und zu verhindern, dass sie sich auf andere Systeme auswirken.
4. Härten Sie Konfiguration und Richtlinien: In manchen Fällen sind zusätzliche Richtlinien oder Sicherheitsmaßnahmen, wie z. B. die vollständige Sperrung des Internetzugangs, angebracht, um das Risiko weiter zu mindern.
5. Update auf unterstützte Produkte: Aktualisieren Sie die IT-Infrastruktur, um EOL-Produkte durch unterstützte Alternativen zu ersetzen. Die Umstellung auf neuere Technologien kann die Sicherheitslage verbessern und die Abhängigkeit von veralteten Systemen verringern.
6. Überwachung und Erkennung: Implementieren Sie zusätzliche Überwachungs- und Erkennungsmechanismen, um verdächtige Aktivitäten, Exploit-Versuche oder Versuche des unbefugten Zugriffs auf EOL-Produkte zu erkennen. Eine kontinuierliche Überwachung kann dazu beitragen, bösartige Aktivitäten sofort zu erkennen und angemessene Reaktionen zu ermöglichen.

CVE-2024-4040: Schwachstelle in CrushFTP VFS

Die CISA hat alle US-Bundesbehörden angewiesen, Systeme zu patchen, die den CrushFTP-Dienst nutzen, da diese Schwachstelle von politisch motivierten Hackern aktiv ausgenutzt wird. Die als CVE-2024-4040 (CVSS 9.8) bezeichnete Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, auf sensible Daten außerhalb des Virtual File System (VFS) von CrushFTP zuzugreifen und das System vollständig zu übernehmen. Die Schwachstelle beruht auf einem Fehler bei der korrekten Autorisierung von Befehlen, die über die CrushFTP-API [CWE-1336] ausgegeben werden.

CrushFTP ist eine proprietäre Dateiübertragungssoftware, die für die sichere Übertragung und gemeinsame Nutzung von Dateien entwickelt wurde. Sie unterstützt eine Vielzahl von Protokollen, darunter FTP, SFTP, FTPS, HTTP, HTTPS und WebDAV. Die Schwachstelle liegt im Java Web-Interface API von CrushFTP für die Verwaltung und Überwachung des CrushFTP-Servers.

Laut CrushFTP gibt es keine Möglichkeit, eine kompromittierte Instanz durch die Inspektion der Anwendungsprotokolle zu identifizieren. Es hat sich herausgestellt, dass CVE-2024-4040 einfach auszunutzen ist und öffentlich zugängliche Exploits verfügbar sind, was das Risiko stark erhöht. Der Enterprise-Feed von Greenbone enthält einen Schwachstellentest zur Identifizierung des HTTP-Headers, der von anfälligen Versionen von CrushFTP gesendet wird.

Es gibt schätzungsweise 6.000 öffentlich zugängliche Instanzen von CrushFTP allein in den USA und über 7.000 öffentliche Instanzen weltweit. CVE-2024-4040 betrifft alle Versionen der Anwendung vor 10.7.1 und 11.1.0 auf allen Plattformen. Kunden sollten dringend auf eine gepatchte Version aktualisieren.

Zusammenfassung

April 2024 war rekordverdächtig in Bezug auf die Veröffentlichung von CVEs und neuen Cybersecurity-Herausforderungen, einschließlich mehrerer einschlägiger Vorfälle. Das Secure Connect VPN von Ivanti wurde genutzt, um unbefugten Zugriff auf die Entwicklungsinfrastruktur von MITRE zu erlangen, was zu internen Netzwerkangriffen führte. Verschiedene Bedrohungsakteure wurden dabei beobachtet, wie sie eine Zero-Day-Schwachstelle in PAN-OS von Palo Alto ausnutzten, die jetzt unter der Bezeichnung CVE-2024-3400 geführt wird, und zwei neue kritische Schwachstellen in auslaufenden NAS-Geräten von D-Link verdeutlichen die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen, wenn ältere Produkte in Betrieb bleiben müssen. Außerdem wurde eine kritische Schwachstelle im CrushFTP-Server gefunden und schnell in die CISA KEV aufgenommen, die US-Regierungsbehörden zu dringenden Patches zwingt.