Greenbone AG

Greenbone erweitert Erkennung für Huawei Linux-Distributionen

Wir freuen uns, bedeutende Verbesserungen des Notus Scanners sowohl in der Greenbone Enterprise als auch in der Community Edition anzukündigen. Als Kernkomponente von OpenVAS führt der Notus-Scanner die Local Security Checks (LSC) durch und unterstützt unsere branchenführenden Erkennungsfunktionen, indem es Softwarepakete und Bibliotheken, in denen sich Schwachstellen befinden, direkt auf den Endpunkten aufspürt. Dieses unverzichtbare Tool ist wesentlich für den Schutz von Software, die in einer Vielzahl beliebter Linux-Distributionen verwendet wird, darunter Debian, Ubuntu, OpenSUSE, Red Hat Enterprise Linux (RHEL) und Fedora, um nur einige zu nennen.

Neue Horizonte mit Huawei

Da wir ständig unseren Service-Umfang erweitern und die Sicherheit verbessern, haben wir die Fähigkeiten des Notus-Scanners auf die von Huawei betreuten Linux-Distributionen ausgedehnt. Das Update erkennt jetzt mit Schwachstellen behaftete Pakete für die Huawei-Produkte Versatile Routing Platform (VRP), EulerOS, EulerOS Virtual, Huawei Cloud EulerOS (HCE) und openEuler. Diese Ergänzungen sollen die Sicherheitsmaßnahmen für alle Organisationen, die Huawei-Technologien einsetzen, verstärken und damit den Schutz durch Greenbone-Produkte erhöhen.

Für die Nutzer unserer Greenbone Enterprise Appliances freuen wir uns, Huawei Cloud EulerOS (HCE) in unseren Schwachstellen-Feed aufzunehmen, damit Unternehmen, die eine Cloud-Infrastruktur nutzen, von unseren erweiterten Erkennungsmöglichkeiten profitieren können.

Mehr Cybersecurity in der Community Edition

Die Greenbone Community Edition verfügt nun über verbesserte Erkennungsmöglichkeiten durch die Integration von EulerOS, EulerOS Virtual und openEuler von Huawei in den Schwachstellen-Feed. Das Update erweitert den Umfang unserer kostenlosen und Open-Source-basierten Sicherheitsfunktionen und stellt sicher, dass die Nutzer der Community Edition eine größere Bandbreite an Softwareprodukten absichern können. Mit der Erweiterung bestätigen wir unser Engagement für die Bereitstellung umfassender Sicherheitslösungen und damit für die Demokratisierung von Cybersecurity allgemein.

Hohe Leistung und Zuverlässigkeit mit Rust

Anfang 2024 haben wir eine neue, leistungsstarke Rust-basierte Version des Notus-Scanners veröffentlicht und damit gezeigt, dass unsere Engine nicht nur eine umfassende Abdeckung bietet, sondern auch effiziente und zuverlässige Scanfunktionen. Die Security-Features von Rust verringern das Risiko von häufigen Fehlern erheblich und verbessern die Stabilität und Leistung unserer Scanprozesse.

Lokale Sicherheitskontrollen sind unerlässlich

Im Gegensatz zu Netzwerk-Schwachstellentests, die die Angriffsfläche eines Hosts im Netzwerk scannen (z. B. aktive Dienste, die über Netzwerkschnittstellen zugänglich sind), untersuchen Local Security Checks die Angriffsfläche des Hosts auf Software-Ebene. Das direkte Scannen der auf dem Host-Gerät installierten Software auf bekannte Schwachstellen gewährleistet eine gründliche Bewertung potenzieller Sicherheitsrisiken.

Zusammenfassung

Wir bei Greenbone freuen uns über die von Huawei gepflegten Linux-Updates und sind zuversichtlich, dass sie unseren Anwendern noch bessere Werkzeuge zum Schutz ihrer digitalen Umgebungen an die Hand geben. Die Erweiterung der Fähigkeiten von Notus Scanner ist mehr als nur eine technische Verbesserung – es ist ein Engagement für die Sicherheit unserer User. Indem wir das Spektrum unserer Scans auf mehr Linux-Distributionen ausweiten, unterstützen wir mehr Produkte und sorgen für eine bessere Cybersicherheit für alle.

Wenn Sie weitere Informationen darüber wünschen, wie Ihr Unternehmen von diesen Updates profitieren kann, oder wenn Sie mehr über unser komplettes Angebot an Sicherheitslösungen erfahren möchten, wenden Sie sich bitte direkt an unser Vertriebsteam, fordern Sie eine 14-tägige kostenlose Testversion unseres Einstiegsprodukts für Unternehmen Greenbone Basic an oder bestellen Sie Greenbone Basic gleich heute. Wir stärken Ihre Verteidigung, damit Sie potenziellen Bedrohungen stets einen Schritt voraus sind!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Dezember 2024 Threat Report: Ein Rekordjahr für IT-Risiken

Im Jahr 2024 verlangte die geopolitische Instabilität, gekennzeichnet durch die Konflikte in der Ukraine und im Nahen Osten, nach einer stärkeren Cybersicherheit sowohl im öffentlichen als auch im privaten Sektor. China nahm die US-Verteidigung, Versorgungsunternehmen, Internetprovider und das Transportwesen ins Visier, während Russland koordinierte Cyberangriffe auf US-amerikanische und europäische Staaten startete, um die öffentliche Meinung zu beeinflussen und Uneinigkeit unter den westlichen Verbündeten über den Ukraine-Krieg zu schaffen. Am Ende von 2024 blicken wir auf eine hektische Cybersicherheitslandschaft am Rande des Abgrunds zurück.

2024 war ein weiteres Rekordjahr für CVE-Veröffentlichungen (Common Vulnerabilities and Exposures). Auch wenn es sich bei vielen Meldungen um sogenannte „AI Slop“-Meldungen [1][2] handelt, gleicht die schiere Menge der veröffentlichten Schwachstellen einen großen Heuhaufen. Da IT-Sicherheitsteams versuchen, die hoch riskanten „Nadeln“ in einem noch größeren „Heuhaufen“ zu finden, steigt die Wahrscheinlichkeit, dass sie übersehen werden. 2024 war auch ein Rekordjahr für Ransomware-Auszahlungen in Bezug auf Volumen und Umfang sowie für Denial-of-Service-Angriffe (DoS).

Zusätzlich fiel auch die „National Vulnerability Database“ des NIST (National Institute of Standards and Technology) aus, von der weltweit viele Organisationen betroffen waren, darunter auch Security-Anbieter. Der CVE-Scanner von Greenbone basiert auf dem CPE-Abgleich (Common Platform Enumeration) und ist von dem Ausfall des NIST NVD betroffen. Der primäre Scan-Motor von Greenbone, OpenVAS Scanner, ist jedoch nicht betroffen. OpenVAS interagiert direkt mit Diensten und Anwendungen, sodass unsere Entwickler anhand der Details aus den ersten CVE-Berichten zuverlässige Schwachstellentests erstellen können.

Im Jahr 2025 wird das Glück den Unternehmen hold sein, die vorbereitet sind. Angreifer nutzen Cyber-Intelligenz vermehrt als Waffe; die durchschnittliche Time-to-Exploit (TTE) beträgt nur noch Tage oder sogar Stunden. Der Aufstieg der KI wird neue Herausforderungen für die Cybersicherheit mit sich bringen. Neben diesen Fortschritten bleiben traditionelle Bedrohungen wie für die Cloud-Sicherheit oder für Software-Lieferketten von entscheidender Bedeutung. Sicherheitsanalysten sagen voraus, dass grundlegende Netzwerkgeräte wie VPN-Gateways, Firewalls und andere Edge-Geräte auch im Jahr 2025 ein begehrtes Ziel sein werden.

In dieser Ausgabe unseres monatlichen Threat Reports befassen wir uns mit den bedrohlichsten Schwachstellen und aktiven Kampagnen zu deren Ausnutzung, die im Dezember 2024 aufgetaucht sind.

Mitel MiCollab: ein blitzartig ausgenutzter Zero-Day

Sobald Schwachstellen veröffentlicht werden, stürzen sich Angreifer mit zunehmender Geschwindigkeit auf sie. Für einige Schwachstellen gibt es innerhalb von Stunden öffentlichen Proof-of-Concept-Exploit-Code (PoC), sodass den Verteidigern nur eine minimale Reaktionszeit bleibt. Anfang Dezember beobachteten die Forscher von GreyNoise die Ausnutzung von Mitel MiCollab am selben Tag, an dem der PoC-Code veröffentlicht wurde. Mitel MiCollab vereint Sprache, Video, Messaging, Präsenz und Konferenzen auf einer Plattform. Die neuen Schwachstellen haben neben der amerikanischen CISA (Cybersecurity and Infrastructure Security Agency) auch beim belgischen National Center for Cybersecurity, dem Australian Signals Directorate (ASD) und dem britischen National Health Service (NHS) Warnungen hervorgerufen. Die Behebung der jüngsten Sicherheitslücken in MiCollab wird als dringend angesehen.

Hier einige Details zu den neuen aktiv ausgenutzten CVEs in Mitel MiCollab:

  • CVE-2024-41713 (CVSS 7.8 Hoch): Die „Path Traversal“-Schwachstelle in der NPM-Komponente (NuPoint Unified Messaging) von Mitel MiCollab ermöglicht den unauthentifizierten Zugriff auf Dateien durch Ausnutzung der „…/“-Technik in HTTP-Anfragen. Dies kann hochsensible Dateien offenlegen.
  • CVE-2024-35286 (CVSS 10 Kritisch): Eine SQL-Injection-Schwachstelle in der NPM-Komponente von Mitel MiCollab, die es einem böswilligen Akteur ermöglicht, einen SQL-Injection-Angriff auszuführen.

Seit Mitte 2022 hat die CISA drei weitere CVEs in Mitel-Produkten aufgespürt, von denen bekannt ist, dass sie für Ransomware-Angriffe genutzt werden. Greenbone kann Endpunkte erkennen, die für diese hochgradig gefährlichen CVEs anfällig sind, und zwar mit aktiven Prüfungen [4][5].

SSL-VPNs von Array Networks von Ransomware ausgenutzt

CVE-2023-28461 (CVSS 9.8 Kritisch) ist eine Schwachstelle für Remote Code Execution (RCE) in den Array AG Series und vxAG SSL VPN Appliances von Array Networks. Die Geräte, vom Hersteller angepriesen als Präventivmaßnahme gegen Ransomware, werden nun aktiv in jüngsten Ransomware-Angriffen ausgenutzt. Array Networks selbst wurde Anfang dieses Jahres von der Dark Angels Ransomware-Bande angegriffen [1][2].

Jüngsten Berichten zufolge hält Array Networks einen beträchtlichen Marktanteil im Bereich Application Delivery Controller (ADC). Laut dem WW Quarterly Ethernet Switch Tracker von IDC ist das Unternehmen mit einem Marktanteil von 34,2 % Marktführer in Indien. Array Networks hat Patches für betroffene Produkte mit ArrayOS AG 9.4.0.481 und früheren Versionen veröffentlicht. Der Greenbone Enterprise Feed enthält einen Erkennungstest für CVE-2023-28461, seit dieser Ende März 2023 bekanntgegeben wurde.

CVE-2024-11667 in Zyxel Firewalls

CVE-2024-11667 (CVSS 9.8 Kritisch) in den Firewall-Appliances von Zyxel wird aktiv in aktuellen Ransomware-Angriffen ausgenutzt. Eine „Directory Traversal“-Schwachstelle in der Web-Management-Schnittstelle könnte es einem Angreifer ermöglichen, Dateien über eine böswillig gestaltete URL herunter- oder hochzuladen. Zyxel Communications ist ein taiwanesisches Unternehmen, das sich auf die Entwicklung und Herstellung von Netzwerkgeräten für Unternehmen, Dienstanbieter und Verbraucher spezialisiert hat. Berichten zufolge liegt der Marktanteil von Zyxel bei etwa 4,2 % in der ITK-Branche mit einer vielfältigen globalen Präsenz, zu der auch große Fortune-500-Unternehmen gehören.

In Fällen wie diesem ist ein „Defense in Depth“-Ansatz für die Cybersicherheit besonders wichtig. Wenn Angreifer ein Netzwerkgerät wie eine Firewall kompromittieren, erhalten sie in der Regel nicht sofort Zugriff auf hochsensible Daten. Der anfängliche Zugriff ermöglicht es den Angreifern jedoch, den Netzwerkverkehr zu überwachen und das Netzwerk des Opfers auf der Suche nach wertvollen Zielen zu durchforsten.

Zyxel empfiehlt, Ihr Gerät auf die neueste Firmware zu aktualisieren, den Fernzugriff vorübergehend zu deaktivieren, wenn Updates nicht sofort angewendet werden können, und die bewährten Verfahren zur Sicherung verteilter Netzwerke anzuwenden. CVE-2024-11667 betrifft die Firmware-Versionen V5.00 bis V5.38 der Zyxel ATP-Serie, die Firmware-Versionen V5.00 bis V5.38 der USG FLEX-Serie, die Firmware-Versionen V5.10 bis V5.38 der USG FLEX 50(W)-Serie und die Firmware-Versionen V5.10 bis V5.38 der USG20(W)-VPN-Serie. Greenbone kann die Sicherheitslücke CVE-2024-11667 bei allen betroffenen Produkten erkennen.

Kritische Schwachstellen in Apache Struts 2

CVE-2024-53677 (CVSS 9.8 Kritisch), ein unbeschränkter Dateiupload [CWE-434], der Apache Struts 2 betrifft, ermöglicht es Angreifern, ausführbare Dateien in Web-Root-Verzeichnisse hochzuladen. Wenn eine Web-Shell hochgeladen wird, kann die Schwachstelle zu unautorisierter Remote Code Execution führen. Apache Struts ist ein Java-basiertes Open-Source-Framework für Webanwendungen, das sowohl im öffentlichen als auch im privaten Sektor, einschließlich Behörden, Finanzinstituten und anderen großen Organisationen, weit verbreitet ist [1]. PoC-Exploit-Code (Proof-of-Concept) ist öffentlich verfügbar, und CVE-2024-53677 wird aktiv ausgenutzt, was das Risiko erhöht.

Die Sicherheitslücke wurde ursprünglich unter der Bezeichnung CVE-2023-50164 geführt und im Dezember 2023 veröffentlicht [2][3]. Ähnlich wie bei einer kürzlich aufgetretenen Schwachstelle in VMware vCenter war der ursprüngliche Patch jedoch unwirksam, was zum erneuten Auftreten der Schwachstelle führte. CVE-2024-53677 betrifft die Komponente FileUploadInterceptor, sodass Anwendungen, die dieses Modul nicht verwenden, nicht betroffen sind. Benutzer sollten ihre Struts2-Instanz auf Version 6.4.0 oder höher aktualisieren und auf den neuen Datei-Upload-Mechanismus umstellen. Weitere neue kritische CVEs in beliebter Open-Source-Software (OSS) von Apache:

Die Apache Software Foundation (ASF) folgt bei ihren Projekten einem strukturierten Prozess, der die private Berichterstattung und die Veröffentlichung von Patches vor der öffentlichen Bekanntgabe fördert, so dass Patches für alle oben genannten CVEs verfügbar sind. Greenbone kann Systeme erkennen, die für CVE-2024-53677 anfällig sind, ebenso wie andere kürzlich bekannt gewordene Schwachstellen in Produkten der ASF Foundation.

Palo Altos Secure DNS wird aktiv für DoS ausgenutzt

CVE-2024-3393 (CVSS 8.7 Hoch) ist eine DoS-Schwachstelle (Denial of Service) in der DNS-Sicherheitsfunktion von PAN-OS. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Firewalls der PA-Serie, VM-Serie, CN-Serie und Prisma Access-Geräte über bösartige Pakete, die auf Datenebene gesendet werden, neu zu starten. Durch wiederholtes Auslösen dieses Zustands können Angreifer die Firewall dazu bringen, in den Wartungsmodus zu wechseln. Die CISA hat die Schwachstelle CVE-2024-3393 als aktiv ausgenutzt identifiziert. Sie ist eine von fünf weiteren aktiv ausgenutzten Schwachstellen in Palo-Alto-Produkten, die allein in den letzten zwei Monaten aufgetreten sind.

Laut den von Palo Alto veröffentlichten Empfehlungen sind nur Geräte mit einer DNS Security License oder Advanced DNS Security License und aktivierter Protokollierung betroffen. Es wäre eine einfache Annahme zu sagen, dass diese Bedingungen bedeuten, dass Top-Tier-Unternehmenskunden betroffen sind. Greenbone kann mit einem Versionserkennungstest Geräte identifizieren, die von CVE-2024-3393 betroffen sind.

Microsoft-Sicherheit im Jahr 2024: Wer hat die Fenster offengelassen?

Auch wenn es unfair wäre, Microsoft für die Bereitstellung anfälliger Software im Jahr 2024 verantwortlich zu machen, hat das Redmonder BigTech die Sicherheitserwartungen sicherlich nicht übertroffen. 2024 wurden insgesamt 1.119 CVEs in Microsoft-Produkten offengelegt; 53 erreichten einen kritischen Schweregrad (CVSS > 9.0), 43 wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, und mindestens vier waren bekannte Vektoren für Ransomware-Angriffe. Obwohl der Vergleich grob ist, gab es im Linux-Kernel mehr (3.148) neue CVEs, aber nur drei wurden als kritisch eingestuft und nur drei wurden in den KEV-Katalog der CISA aufgenommen. Hier sind die Details zu den neuen aktiv ausgenutzten CVEs in Microsoft Windows:

  • CVE-2024-35250 (CVSS 7.8 Hoch): Eine Schwachstelle zur Ausweitung von Privilegien, die es einem Angreifer mit lokalem Zugriff auf ein System ermöglicht, Privilegien auf Systemebene zu erlangen. Die Schwachstelle wurde im April 2024 entdeckt, und im Oktober wurde PoC-Exploit-Code online gestellt.
  • CVE-2024-49138 (CVSS 7.8 Hoch): Eine Heap-basierte „Buffer Overflow“-Schwachstelle [CWE-122] zur Erweiterung von Privilegien; dieses Mal im Treiber des Microsoft Windows Common Log File System (CLFS). Obwohl es keinen öffentlich zugänglichen Exploit gibt, haben Security-Forschende Hinweise darauf, dass diese Sicherheitslücke ausgenutzt werden kann, indem ein bösartiges CLFS-Protokoll erstellt wird, um privilegierte Befehle auf der Ebene der Systemberechtigungen auszuführen.

Die Erkennung und Entschärfung dieser neuen Windows CVEs ist von entscheidender Bedeutung, da sie aktiv angegriffen werden. Beide wurden in Microsofts Dezember-Patch-Release gepatcht. Greenbone kann CVE-2024-35250 und CVE-2024-49138 erkennen sowie alle anderen als CVEs veröffentlichten Sicherheitslücken von Microsoft.

Zusammenfassung

2024 unterstrich die anhaltende Herausforderung in der Cybersicherheit mit rekordverdächtigen Enthüllungen von Schwachstellen, Ransomware-Auszahlungen, DoS-Angriffen und einem alarmierenden Anstieg aktiver Ausnutzung von Schwachstellen. Die schnelle Verwandlung von Schwachstellen in Angriffswaffen unterstreicht die Notwendigkeit einer kontinuierlichen Strategie für das Schwachstellenmanagement und eines Defense-in-Depth-Ansatzes.

Im Dezember gab es neue kritische Schwachstellen in Mitel-, Apache- und Microsoft-Produkten. Weitere Netzwerkprodukte: VPNs von Array Networks und Firewalls von Zyxel werden jetzt von Ransomware-Akteuren ausgenutzt, was noch einmal bestätigt, dass proaktive Maßnahmen zur Erkennung und Patchen von Schwachstellen ergriffen werden müssen. Auf dem Weg ins Jahr 2025 wird Fortuna diejenigen begünstigen, die hierauf vorbereitet sind; Unternehmen müssen wachsam bleiben, um die Risiken in einer zunehmend feindlichen Cyberlandschaft im Zaum zu halten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Jetzt patchen! Cleo-Produkte werden aktiv für Ransomware-Angriffe ausgenutzt

Das Schlimmste, was es aus sicherheitstechnischer Sicht in der IT gibt, ist eine aktiv ausgenutzte RCE-Schwachstelle (Remote Code Execution) mit Systemprivilegien, die keine Benutzerinteraktion erfordert. Sicherheitslücken wie diese können Software betreffen, die in Fortune-500-Unternehmen weit verbreitet ist, und werden damit zu tickenden Zeitbomben. Wenn sich fortschrittliche, hartnäckige Bedrohungsakteure auf eine solche Schwachstelle oder CVE (Common Vulnerabilities and Exposures) stürzen, wird ihre Behebung zur Notfallmaßnahme. In jüngster Zeit erfüllte CVE-2024-50623 (jetzt auch als CVE-2024-55956 verfolgt), die mehr als 4.200 Benutzer der MFT-Software (Managed File Transfer) von Cleo betrifft, all diese Voraussetzungen für eine Katastrophe. Sie wurde zum wichtigen Momentum in Ransomware-Kampagnen, die mehrere Fortune-500-Unternehmen betreffen, welche jetzt im Rampenlicht der Berichterstattung über Cybersicherheit stehen.

Diese Cybersecurity-News gibt einen Überblick über die Ereignisse im Zusammenhang mit CVE-2024-50623 und CVE-2024-55956 sowie die damit verbundenen Ransomware-Kampagnen. Auch wenn Sie kein betroffenes Produkt verwenden, erhalten Sie hier wertvolle Einblicke in den Lebenszyklus von Schwachstellen und die Risiken der Software-Lieferketten von Drittanbietern. 

CVE-2024-50623 und CVE-2024-55956: Chronik der Ereignisse

Der Lebenszyklus von Sicherheitslücken ist komplex. In unserem früheren Artikel über das Schwachstellenmanagement der nächsten Generation finden Sie eine ausführliche Erklärung, wie dieser Prozess abläuft. In diesem Bericht stellen wir den Ablauf der Offenlegung und Behebung von CVE-2024-50623 und anschließend CVE-2024-55956 vor, als ein fehlgeschlagener Patch-Versuch des Softwareanbieters Cleo entdeckt und von Ransomware-Akteuren ausgenutzt wurde. Unser Greenbone Enterprise Feed enthält Erkennungsmodule für beide CVEs [1][2], die es Unternehmen ermöglichen, anfällige Systeme zu identifizieren und Notfallmaßnahmen zu ergreifen. Hier die zeitliche Abfolge der bisherigen Ereignisse:

  • Oktober 2024: CVE-2024-50623 (CVSS 10 Kritisch), das mehrere Cleo-MFT-Produkte betrifft, wurde vom Hersteller veröffentlicht, und eine gepatchte Version 5.8.0.21 wurde freigegeben.
  • November 2024: CVE-2024-50623 wurde zur Gewinnung von Daten genutzt und wirkte sich auf mindestens zehn Organisationen weltweit aus, darunter Blue Yonder, ein von Fortune-500-Unternehmen genutzter Lieferkettenmanagement-Service.
  • Dezember 2024: Sicherheitsforscher von Huntress identifizieren eine aktive Ausnutzung von CVE-2024-50623, mit der das ursprüngliche Patch (Version 5.8.0.21) umgangen werden kann.
  • Dezember 2024: Huntress beobachtet einen deutlichen Anstieg der Ausnutzung. Dies könnte darauf zurückzuführen sein, dass der Exploit-Code im Rahmen eines Malware-as-a-Service-Geschäftsmodells für Internetkriminalität verkauft wird, oder einfach darauf, dass die Angreifer ihre Aufklärungsarbeit abgeschlossen und eine breit angelegte Kampagne mit maximaler Wirkung gestartet haben.
  • Dezember 2024: Dem Softwarehersteller Cleo wird eine aktive Ausnutzung und ein PoC-Exploit-Code (Proof of Concept) gemeldet.
  • Dezember 2024: Der Hersteller Cleo gibt eine Erklärung ab, in der er einräumt, dass seine Produkte trotz Sicherheits-Patches ausnutzbar sind, und gibt zusätzliche Hinweise zur Schadensbegrenzung heraus.
  • Dezember 2024: Wachtowr Labs veröffentlichte einen detaillierten technischen Bericht, der beschreibt, wie CVE-2024-50623 eine RCE über Arbitrary File Write [CWE-434] ermöglicht. Cleo veröffentlicht eine Anleitung zur Schadensbegrenzung und aktualisiert und den Patch auf Version 5.8.0.24.
  • Dezember 2024: Ein neuer Name, CVE-2024-55956 (CVSS 10 Kritisch), wird für die Verfolgung dieser anhaltenden Schwachstelle herausgegeben, und die CISA (Cybersecurity & Infrastructure Security Agency) fügt die Schwachstelle ihrem KEV-Katalog (Known Exploited Vulnerabilities) hinzu, der die Verwendung in Ransomware-Angriffen kennzeichnet.

Cleo-Produkte für Ransomware-Attacken missbraucht

Die von CVE-2024-50623 und CVE-2024-55956 ausgehende Gefahr für das globale Business ist hoch. Diese beiden CVEs betreffen potenziell mehr als 4.200 Kunden von Cleo LexiCom, einem Desktop-basierten Client für die Kommunikation mit großen Handelsnetzen, Cleo VLTrader, einer auf mittlere Unternehmen zugeschnittenen Lösung auf Serverebene, und Cleo Harmony für große Unternehmen.

Die CVEs wurden kürzlich in einer Ransomware-Kampagne als erste Zugangsvektoren verwendet. Der Ransomware-Angriff von Termite zog im November 2024 auch Blue Yonder, eine Tochtergesellschaft von Panasonic, in Mitleidenschaft. Blue Yonder ist eine Plattform für das Lieferkettenmanagement, die von großen Technologie-Unternehmen wie Microsoft, Lenovo und Western Digital sowie von rund 3.000 anderen globalen Unternehmen aus vielen Branchen genutzt wird; Bayer, DHL und 7-Eleven, um nur einige zu nennen. Der Ausfall des von Blue Yonder gehosteten Dienstes führte bei StarBucks zu Unterbrechungen in der Gehaltsabrechnung. Zu den jüngsten erfolgreichen Ransomware-Angriffen hat sich auch die Ransomware-Gruppe Clop bekannt.

In der zweiten Phase einiger Einbrüche in IT-Systeme listeten die Angreifer Active Directory Domänen [DS0026] auf, installierten Web-Shells [T1505.003], um sich festzusetzen [TA0003], und versuchten, Daten aus dem Netzwerk des angegriffenen Systems herauszufiltern [TA0010], nachdem sie den ersten Zugriff via RCE erhalten hatten. Eine ausführliche technische Beschreibung der Architektur der Termite-Ransomware ist verfügbar.

Behandlung von CVE-2024-50623 und CVE-2024-55956

Instanzen von Cleo-Produkten der Version 5.8.0.21 sind immer noch anfällig für Cyberangriffe. Der neueste Patch, Version 5.8.0.24, ist erforderlich, um die Anfälligkeit zu verringern. Alle Benutzer werden dringend gebeten, die Aktualisierungen rasch durchzuführen. Zu den weiteren Schutzmaßnahmen und bewährten Praktiken gehören die Deaktivierung der Autorun-Funktionalität in Cleo-Produkten, das Entfernen des Zugriffs aus dem Internet oder die Verwendung von Firewall-Regeln, um den Zugriff nur auf autorisierte IP-Adressen zu beschränken, sowie das Blockieren der IP-Adressen der in die Angriffe verwickelten Endpunkte.

Zusammenfassung

Cleo Harmony, VLTrader und LexiCom vor Version 5.8.0.24 werden aufgrund von kritischen RCE-Schwachstellen (CVE-2024-50623 und CVE-2024-55956) aktiv ausgenutzt. Diese Schwachstellen waren der Einstiegspunkt für erfolgreiche Ransomware-Angriffe gegen mindestens zehn Organisationen, von denen Fortune-500-Unternehmen betroffen waren. Greenbone bietet eine Erkennung für die betroffenen Produkte an, und die Benutzer werden dringend gebeten, Patches und Strategien zur Schadensbegrenzung anzuwenden, da Angreifer diese Schwachstellen mit Sicherheit weiterhin ausnutzen werden.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone prüft CIS Google Chrome Benchmarks

Webbrowser sind ein primäres Einfallstor für Unternehmen und folglich auch oft das erste Einfallstor für Cyberangriffe. Mithilfe von Malware, die auf Browser abzielt, könnten Angreifer direkten, unbefugten Zugriff auf das Netzwerk und die Daten eines Zielsystems erlangen. Sie könnten aber auch menschliche Opfer mit Social Engineering dazu bringen, sensible Informationen preiszugeben, um ihnen unbefugten Zugriff, etwa auf Kontodaten, zu gewähren. Im Jahr 2024 wiesen die wichtigsten Browser (Chrome, Firefox und Safari) 59 Schwachstellen mit kritischem Schweregrad (CVSS3 ³ 9) und 256 mit hohem Schweregrad (CVSS3 zwischen 7,0 und 8,9) auf. Zehn CVEs (Common Vulnerabilities and Exposures) aus der Dreiergruppe wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity & Infrastructure Security Agency) aufgenommen. Browser-Sicherheit sollte daher für Sicherheitsteams oberste Priorität haben.

Vor diesem Hintergrund sind wir stolz, die Erweiterung unserer Compliance-Funktionen um CIS Google Chrome Benchmark v3.0.0 Level 1 bekannt zu geben. Mit dieser neuesten Funktion können unsere Enterprise-Feed-Abonnenten ihre Google Chrome-Konfigurationen anhand des branchenführenden Compliance-Frameworks des CIS (Center for Internet Security) überprüfen. Die neuen Google Chrome-Benchmark-Tests werden neben unseren anderen CIS-Kontrollen in kritischen Cybersicherheitsbereichen wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1] [2] eingesetzt.

CIS Google Chrome Benchmark für Windows

Der CIS Google Chrome Benchmark v3.0.0 Level 1 ist jetzt im Greenbone Enterprise Feed verfügbar. Er legt eine gehärtete Konfiguration für den Chrome-Browser fest. Werden die Kontrollen für Windows implementiert, müssen auch Windows-Registry-Schlüssel gesetzt sein, um die Sicherheitskonfiguration von Chrome zu definieren. Eine kontinuierliche Überprüfung ist wichtig, denn wenn der Chrome-Browser auf Benutzerebene verändert wird, wird er anfälliger für Datenlecks, Social-Engineering-Angriffe oder andere Angriffsvektoren.

Unser Enterprise Vulnerability Feed nutzt Compliance-Richtlinien, um Tests auf den Endgeräten durchzuführen und jede Anforderung des CIS-Benchmarks durch einen oder mehrere spezielle Schwachstellentests zu überprüfen. Diese Tests werden in Scankonfigurationen gruppiert, die zur Erstellung von Scan-Aufgaben verwendet werden können, die dann auf Zielsystem-Gruppen zugreifen, um deren Sicherheitsstatus zu überprüfen. Greenbone unterstützt Sie bei der Einhaltung interner Risikovorgaben oder behördlicher Richtlinien.

Warum ist Browser-Security so kritisch?

Ein Großteil der wichtigen Informationen, die in einem durchschnittlichen Unternehmen fließen, wird über den Browser übertragen. Durch die Zunahme von Außendienstmitarbeitern und Cloud-basierten Webanwendungen sind Webbrowser die wichtigste Schnittstelle für geschäftliche Aktivitäten geworden. Es überrascht nicht, dass Internet-Browser in den letzten Jahren zu einer Brutstätte für Angriffe geworden sind. Nationale Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3] [4], das amerikanische CISA [5] [6] und das kanadische Zentrum für Cybersicherheit [7] haben allesamt Empfehlungen zum Umgang mit den von Internetbrowsern ausgehenden Risiken veröffentlicht.

Browser können über technische Schwachstellen und Fehlkonfigurationen ausgenutzt werden, die zu Remote Code Execution (RCE), zum Diebstahl sensibler Daten und zur Übernahme von Konten führen können, sind aber auch ein Einfallstor für Social-Engineering-Angriffe. Die Browsersicherheit muss durch die Implementierung eines gehärteten Sicherheitsprofils, dessen kontinuierliche Überprüfung und durch regelmäßige Updates zur Behebung neu entdeckter Schwachstellen gewährleistet werden. Greenbone kann bekannte Schwachstellen für veröffentlichte CVEs in allen wichtigen Browsern aufspüren. Mit unserer neuesten CIS Google Chrome Benchmark-Zertifizierung sind wir nun in der Lage, die Konformität von Browsern mit Industriestandards zu bestätigen.

Wie der CIS Google Chrome Benchmark die Browsersicherheit verbessert

Jeder CIS-Benchmark wird im Rahmen eines Konsensprüfungsprozesses entwickelt, an dem eine globale Gemeinschaft von Fachexperten aus verschiedenen Bereichen wie Beratung, Softwareentwicklung, Audit, Compliance, Sicherheitsforschung, Betrieb, Regierung und Recht beteiligt ist. Dieser gemeinschaftliche Prozess soll sicherstellen, dass die Benchmarks praxisnah und datengestützt sind und reales Fachwissen widerspiegeln. Somit sind die CIS-Benchmarks ein wichtiger Bestandteil eines soliden Cybersicherheitsprogramms.

Im Allgemeinen konzentrieren sich die CIS-Benchmarks auf sichere technische Konfigurationen und sollten zusammen mit grundlegenden Cyberhygiene-Praktiken verwendet werden, wie z. B. der Überwachung und dem zeitnahen Patchen von Schwachstellen in Betriebssystemen, Anwendungen und Bibliotheken.

Der CIS Google Chrome Benchmark definiert Sicherheitskontrollen wie zum Beispiel:

  • Keine Domäne kann die Überprüfung auf gefährliche Ressourcen wie Phishing-Inhalte und Malware umgehen.
  • Strenge Überprüfung der von Websites ausgestellten SSL/TLS-Zertifikate.
  • Verringerung der allgemeinen Angriffsfläche von Chrome, indem sichergestellt wird, dass die neuesten Updates regelmäßig automatisch eingespielt werden.
  • Der Chrome-Browser ist so konfiguriert, dass er das Abfangen von DNS erkennt, was möglicherweise DNS-Hijacking ermöglichen könnte.
  • Chrome und Erweiterungen können nicht mit anderer Software von Drittanbietern interagieren.
  • Websites und Browser-Erweiterungen können keine Verbindungen mit Medien, dem lokalen Dateisystem oder externen Geräten wie Bluetooth, USB oder Media-Casting-Geräten missbrauchen.
  • Es können nur Erweiterungen aus dem Google Chrome Web Store installiert werden.
  • Alle vom Chrome-Hauptprozess abgezweigten Prozesse werden angehalten, sobald die Chrome-Anwendung geschlossen wurde.
  • SafeSites Inhaltsfilterung blockiert Links zu nicht jugendfreien Inhalten in den Suchergebnissen.
  • Verhindern Sie den Import unsicherer Daten, wie z. B. automatisch ausgefüllte Formulardaten, Standard-Homepage oder andere Konfigurationseinstellungen.
  • Sicherstellen, dass kritische Warnungen nicht unterdrückt werden können.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums entwickeln wir unsere CIS Benchmark-Scan-Konfigurationen ständig weiter. Alle entsprechenden Richtlinien sind an den CIS-Härtungsrichtlinien ausgerichtet und von der CIS zertifiziert, um maximale Sicherheit für System-Audits zu gewährleisten. Darüber hinaus haben wir mit dem Greenbone Security Assistant (GSA) eine neue Konformitätsansicht hinzugefügt, die den Prozess für Unternehmen vereinfacht, die Schwachstellen in ihrer Infrastruktur beseitigen wollen, um Sicherheitsverletzungen zu verhindern.

Zusammenfassung

CIS-Kontrollen sind entscheidend für den Schutz von Systemen und Daten, da sie klare, umsetzbare Anleitungen für sichere Konfigurationen bieten. Der CIS Google Chrome Benchmark ist besonders auf Unternehmensebene wichtig, wo Browser viele Arten sensibler Daten beeinflussen. Greenbone erweitert die branchenführenden Fähigkeiten zur Erkennung von Schwachstellen um einen neuen Compliance-Scan: den CIS Google Chrome Benchmark v3.0.0 Level 1. Mit dieser Zertifizierung stärkt Greenbone die Position als zuverlässiger Verbündeter für proaktive Cybersicherheit. Die neuesten Funktionen spiegeln unser Engagement für die Förderung der IT-Sicherheit und den Schutz vor sich entwickelnden Cyber-Bedrohungen wider.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von