Juni 2024 Threat Tracking: Cybersecurity am Rand

Vor diesem Jahr waren noch nie 3.000 CVEs (Common Vulnerabilities and Exposures) in einem einzigen Monat veröffentlicht worden. Das Jahr 2024 war eine Reihe von rekordverdächtigen Monaten für die Veröffentlichung von Sicherheitslücken; im Mai 2024 wurden über 5.000 CVEs veröffentlicht. Auch wenn der Juni eine Verschnaufpause vom Sturm bot, fragen sich einige, ob die Bereitstellung eines sicheren Softwareprodukts einfach unmöglich ist. Selbst Anbieter mit dem größten Kapital und Marktanteil – Apple, Google, Microsoft – und Anbieter von Netzwerk- und Sicherheitsanwendungen für Unternehmen – Cisco, Citrix, Fortinet, Ivanti, Juniper, PaloAlto – haben alle dauerhaft unsichere Produkte auf den Markt gebracht. Welche unüberwindbaren Hürden könnten einer stärkeren Anwendungssicherheit im Wege stehen? Sind sichere Softwareprodukte wirklich ein Ding der Unmöglichkeit?

Eine mögliche Wahrheit ist: Als Erster mit neuen Funktionen auf den Markt zu kommen, wird als entscheidend für die Erlangung eines Wettbewerbsvorteils angesehen, wodurch der Sicherheit die Priorität genommen wird. Andere Vorschläge sind eher konspirativ. Der Cyber Resilience Act [1][2], der Ende 2027 in Kraft treten soll, könnte mehr Verantwortlichkeit schaffen, ist aber noch weit entfernt. Cyber-Verteidiger müssen wachsam bleiben, bewährte Verfahren zur Cybersicherheit anwenden, Sicherheitslücken proaktiv aufspüren und sie rechtzeitig beheben. Das ist leicht gesagt, aber in der Tat eine ungeheure Leistung.

In der Juni-Ausgabe des Greebone Threat Tracking werden wir uns mit einem aktuellen Trend befassen: der zunehmenden Ausnutzung von Edge-Netzwerkgeräten.

Edge-Geräte: heiße Ziele für Cyberangriffe

Cyber-Bedrohungsakteure nutzen zunehmend Schwachstellen in Diensten und Geräten am Netzwerk-Rand aus. Der Netzwerkperimeter ist die Grenze, die das interne Netzwerk eines Unternehmens von externen Netzen wie dem Internet trennt und in der Regel wichtige Sicherheitsinfrastrukturen wie VPNs, Firewalls und Edge-Computing-Dienste beherbergt. Diese Ansammlung von Diensten am Netzwerk-Rand wird oft als demilitarisierte Zone (DMZ) bezeichnet. Perimeter-Dienste dienen als idealer Einstiegspunkt in ein Netzwerk und sind daher ein wertvolles Ziel für Cyberangriffe.

In den Threat Tracker-Beiträgen von Greenbone wurden bereits zahlreiche Edge-Akteure behandelt, darunter Citrix Netscaler (CitrixBleed), Cisco XE, Fortinets FortiOS, Ivanti ConnectSecure, PaloAlto PAN-OS und Juniper Junos. Schauen wir uns die neuen Bedrohungen an, die im vergangenen Monat Juni 2024 aufgetaucht sind.

Chinesische APT-Kampagne greift FortiGate-Systeme an

CVE-2022-42475 (CVSS 9.8 Kritisch), eine schwerwiegende Schwachstelle für Remote Code Execution, die FortiGate Network Security Appliances betrifft, wurde vom niederländischen Militärischen Nachrichten- und Sicherheitsdienst (MIVD) in eine neue Cyberspionagekampagne einbezogen, die sich gegen westliche Regierungen, internationale Organisationen und die Verteidigungsindustrie richtet. Der MIVD gab Einzelheiten bekannt, darunter die Zuordnung zu einer staatlichen chinesischen Hackergruppe. Bei den Angriffen wurde eine neue Variante einer fortschrittlichen Stealth-Malware namens CoatHanger installiert, die speziell für FortiOS entwickelt wurde und auch nach Neustarts und Firmware-Updates noch aktiv ist. Nach Angaben der CISA wurde CVE-2022-42475 bereits in einer Kampagne von Ende 2023 von staatlichen Bedrohungsakteuren verwendet. Bei der jüngsten Kampagne wurden mehr als 20.000 FortiGate VPN-Instanzen infiziert.

Eine offensichtliche Erkenntnis hier ist, dass eine Unze Prävention mehr wert ist als ein Pfund Heilung. Bei diesen ersten Angriffen wurde eine über ein Jahr alte Schwachstelle ausgenutzt, die somit vermeidbar gewesen wäre. Bewährte Verfahren zur Cybersicherheit schreiben vor, dass Unternehmen regelmäßige Schwachstellen-Scans durchführen und Maßnahmen ergreifen sollten, um entdeckte Bedrohungen zu entschärfen. Der Greenbone Enterprise-Feed enthält eine Erkennung für CVE-2022-42475.

P2Pinfect infiziert ungepatchte Redis-Server

P2Pinfect, ein Peer-to-Peer (P2P)-Wurm, der auf Redis-Server abzielt, wurde kürzlich so modifiziert, dass er Ransomware und Cryptowährungs-Miner einsetzt, wie von Cado Security beobachtet. P2Pinfect wurde erstmals im Juli 2023 entdeckt und ist eine ausgeklügelte Rust-basierte Malware mit Wurm-Fähigkeiten. Das bedeutet, dass sich die jüngsten Angriffe, die CVE-2022-0543 (CVSS 10 Kritisch) gegen ungepatchte Redis-Server ausnutzen, automatisch auf andere anfällige Server ausbreiten können.

Da CVE-2022-0543 im Februar 2022 veröffentlicht wurde, sollten Unternehmen, die ein konformes Schwachstellenmanagement betreiben, bereits gegen die jüngsten P2Pinfect-Ransomware-Angriffe gefeit sein. Innerhalb weniger Tage nach der Veröffentlichung von CVE-2022-0543 hat Greenbone mehrere Schwachstellen-Tests (VTs) [1][2][3][4][5] für den Community Edition-Feed veröffentlicht, die verwundbare Redis-Instanzen identifizieren. Dies bedeutet, dass alle Greenbone-Benutzer weltweit gewarnt werden und sich schützen können, wenn diese Schwachstelle in ihrer Infrastruktur existiert.

Check Point Quantum Security Gateways werden aktiv ausgenutzt

Das kanadische Zentrum für Cybersicherheit hat eine Warnung herausgegeben, da eine aktive Ausnutzung von CVE-2024-24919 (CVSS 8.6 Hoch) beobachtet wurde, die auch in den CISA-Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen wurde. Beide Einrichtungen haben alle betroffenen Organisationen aufgefordert, ihre Systeme unverzüglich zu patchen. Die Schwachstelle ermöglicht es einem Angreifer, auf Informationen auf öffentlich zugänglichen Check Point Gateways mit aktiviertem IPSec VPN, Remote Access VPN oder Mobile Access zuzugreifen und kann auch laterale Bewegungen über nicht autorisierte Domain-Admin-Rechte im Netzwerk des Opfers ermöglichen.

Dieses Problem betrifft mehrere Produktlinien von Check Point, einschließlich CloudGuard Network, Quantum Scalable Chassis, Quantum Security Gateways und Quantum Spark Appliances. Check Point hat Anweisungen für die Anwendung eines Hotfixes veröffentlicht, um CVE-2024-24919 zu entschärfen. „Hotfixes“ sind Software-Updates, die außerhalb des geplanten Update-Zyklus des Herstellers herausgegeben werden, um ein dringendes Problem zu beheben.

CVE-2024-24919 wurde erst am 30. Mai 2024 veröffentlicht, wurde aber sehr schnell Teil einer Angriffskampagne, was den Trend zu einer immer kürzeren Time To Exploit (TTE) verdeutlicht. Greenbone fügte aktive Checks und passive Banner Detection Vulnerability Tests (VTs) hinzu, um CVE-2024-24919 innerhalb weniger Tage nach seiner Veröffentlichung zu identifizieren, so dass Verteidiger schnell proaktive Sicherheitsmaßnahmen ergreifen konnten.

Kritische Patches für Juniper

In einem heißen Monat für Juniper Networks veröffentlichte das Unternehmen ein Sicherheitsbulletin (JSA82681), das mehrere Schwachstellen in den optionalen Anwendungen von Juniper Secure Analytics behebt, und es wurde ein weiterer kritischer Fehler aufgedeckt: CVE-2024-2973. Zusätzlich zu diesen Problemen wurde der Session Smart Router (SSR) von Juniper geoutet, weil er bekannte Standard-Anmeldeinformationen [CWE-1392] für seine SSH-Anmeldung hat. CVE-2024-2973 (CVSS 10 Kritisch) ist eine Schwachstelle zur Umgehung der Authentifizierung in Session Smart Router (SSR), Session Smart Conductor und WAN Assurance Router-Produkten, die in redundanten Hochverfügbarkeitskonfigurationen ausgeführt werden und es einem Angreifer ermöglichen, die vollständige Kontrolle über ein betroffenes Gerät zu übernehmen.

Der Greenbone Enterprise Schwachstellen-Testfeed erkennt CVE-2024-2973, und Juniper stellt in seinem Sicherheitshinweis (JSA83126) Informationen zur Abhilfe bereit. Schließlich enthält Greenbone eine aktive Prüfung zur Erkennung einer unsicheren Konfiguration des Session Smart Router (SSR), indem untersucht wird, ob eine Anmeldung über SSH mit bekannten Standard-Anmeldeinformationen möglich ist.

Progress Telerik Report Server aktiv ausgenutzt

Letzten Monat haben wir darüber berichtet, wie ein Greenbone-Sicherheitsforscher die Sicherheitslücke CVE-2024-4837, die den Telerik Report Server von Progress Software betrifft, identifiziert hat und an deren Aufdeckung beteiligt war. Diesen Monat wurde eine weitere Schwachstelle in demselben Produkt in den Katalog der aktiv ausgenutzten Schwachstellen der CISA aufgenommen. Bei der ebenfalls im Mai 2024 veröffentlichten CVE-2024-4358 (CVSS 9.8 Kritisch) handelt es sich um eine Authentication Bypass by Spoofing-Schwachstelle [CWE-290], die es einem Angreifer ermöglicht, sich unerlaubten Zugriff zu verschaffen. Weitere Informationen, einschließlich Anweisungen zur vorübergehenden Umgehung der Schwachstelle, finden Sie im offiziellen Sicherheitshinweis des Herstellers.

Ebenfalls im Juni 2024 geriet Progress Software mit MOVEit Transfer, einem Tool zur Übertragung von Unternehmensdateien, mit einer neuen kritischen Sicherheitslücke (CVE-2024-5806, CVSS 9.1 Kritisch) wieder in die Kritik. MOVEit war für die größten Datenschutzverletzungen im Jahr 2023 verantwortlich, von denen über 2.000 Unternehmen betroffen waren.

Greenbone hat einen aktiven Check und Versionstests zur Erkennung von Schwachstellen (VTs) veröffentlicht, um CVE-2024-24919 innerhalb weniger Tage nach ihrer Veröffentlichung zu erkennen, und einen VT zur Erkennung von CVE-2024-5806 innerhalb weniger Stunden, sodass Verteidiger schnell Abhilfe schaffen können.

Zusammenfassung

Selbst Tech-Giganten tun sich schwer, Software ohne Schwachstellen zu liefern, was unterstreicht, wie wichtig die Wachsamkeit bei der Sicherung der IT-Infrastruktur von Unternehmen ist. Bedrohungen erfordern ständige Transparenz und schnelles Handeln. Die globale Landschaft ist voll von Angriffen auf Netzwerkdienste und -geräte, da große und kleine, raffinierte und opportunistische Angreifer versuchen, im Netzwerk eines Unternehmens Fuß zu fassen.