Vielleicht tritt die Welt gerade in eine neue Phase der Cyber-Sicherheit und in ein neues technologisches Paradigma ein. Sogenannte „branchenführende“ Unternehmenssoftware erweist sich immer wieder als anfällig, da wöchentlich neue kritische Schwachstellen aufgedeckt werden und Beweise für eine aktive Ausnutzung vorliegen. Schicke neue Funktionen halten uns auf Trab, aber in Anbetracht des Risikos der sich schnell entwickelnden Technologien ist es wichtig, mit Unternehmen zusammenzuarbeiten, die die Dinge einfach halten, sich auf ihre Kernkompetenzen konzentrieren und es richtig machen.

In der November-Ausgabe des Greenbone Threat Report untersuchen wir einige kürzlich veröffentlichte Berichte des BSI und der CISA, um zu sehen, wie die staatlichen Cybersicherheitsbehörden die aktuelle Bedrohungslage einschätzen, und berichten anschließend über die dringendsten und am häufigsten ausgenutzten Schwachstellen dieses Monats. In Anbetracht des hohen Risikos, das die aktuelle Bedrohungslage im Bereich der Cybersicherheit darstellt, ist es wichtig, den Grundlagen der IT-Sicherheit – und dem Softwaredesign – Priorität einzuräumen, um zu vermeiden, dass der Betrieb auf einem sprichwörtlichen Kartenhaus aufgebaut wird.

BSI veröffentlicht IT-Sicherheitsbericht für 2024

Die Politik in der EU entwickelt sich als Reaktion auf die zunehmenden Cyberrisiken rasch weiter. Cybersicherheit für alle erfordert grenzüberschreitende Zusammenarbeit auf vielen Ebenen. Laut dem zusammenfassenden Bericht von 2024 konzentriert sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Harmonisierung nationaler Spezifikationen mit bewährten Verfahren im Bereich der Cybersicherheit und prüft gleichzeitig die wirtschaftliche und technische Durchführbarkeit neuer Maßnahmen. Die als „Europäisierung der Cybersicherheit“ bezeichnete europäische Normung und die Zusammenarbeit Deutschlands mit den drei europäischen Normungsorganisationen CEN, CENELEC und ETSI fördern einen risikobasierten Ansatz zur Durchsetzung bewährter Sicherheitsverfahren bei kritischen Infrastrukturen und Anbietern praktisch aller digitalen Produkte.

Im Rahmen des Cyber Resilience Act (CRA) wird jeder Mitgliedstaat befugt sein, nicht konforme Produkte vom Markt zu nehmen und Anbieter zu bestrafen, die gegen die Vorschriften verstoßen. „Wichtige Produkte“ (Klasse I) wie Passwortmanager und Router müssen harmonisierten europäischen Normen (hEN) entsprechen. Bezüglich NIS2 hat das BSI im Jahr 2024 bisher 726 Meldungen mit 141 Vorfällen aus kritischen Infrastruktureinrichtungen erhalten. Darunter fallen Sektoren wie Gesundheitswesen, Energie, Wasser, Lebensmittel, IT und Telekommunikation, Finanz- und Versicherungsdienstleistungen und andere mehr.

Das BSI beobachtete auch einen allgemeinen Anstieg neuer Malware-Varianten und einen Anstieg von 256 % bei Malware, die Windows ausnutzt. Die Lektüre des vollständigen Berichts gibt Aufschluss über Trends im Verhalten der Angreifer, wie z. B. die Zunahme von BYOVD-Angriffen (Bring Your Own Vulnerable Driver), mit denen EDR-Sicherheitsprodukte deaktiviert werden können. Hinzu kommen die anhaltenden Bemühungen, Botnetze zu versenken, die zu Massenangriffen in großem Umfang beitragen, und die wachsende Fragmentierung der Cyberkriminalität in Gruppen, die den ersten Zugang vermitteln sowie die zweite Stufe der Ransomware.

Was bedeuten diese Beobachtungen für Greenbone und Schwachstellenmanagement im Allgemeinen? Ein effektives Schwachstellenmanagement und die Prüfung der Einhaltung von Vorschriften sind zwar nur ein Teil des Puzzles der Cybersicherheit im Unternehmen, aber das Schließen bekannter Sicherheitslücken und die regelmäßige Bestätigung starker Sicherheitskonfigurationen ist eine wichtige Kernkompetenz, die alle Unternehmen beherrschen müssen.

CISAs Top-Schwachstellen für 2023 geben Aufschluss

Der Bericht „2023 Top Routinely Exploited Vulnerabilities“ der Cybersecurity & Infrastructure Security Agency (CISA) stellt fest, dass die Zahl der ausgenutzten Zero-Day-Schwachstellen im Vergleich zu 2022 zugenommen hat und dass diese bei Angriffen auf hochrangige Ziele verwendet werden. Neben den Zero-Days listet der Bericht die 47 häufigsten CVEs (Common Vulnerabilities and Exposures) auf, die von Angreifern ausgenutzt werden. Netzwerke (40 %) und Produktivitätssoftware (34 %) bilden die überwiegende Mehrheit der hochgradig gefährdeten CVEs. Auch bei der Art der am häufigsten ausgenutzten Softwarefehler ist ein deutlicher Trend zu erkennen. Der falsche Umgang mit nicht vertrauenswürdigen Eingaben macht 38 % der am häufigsten angegriffenen Softwarefehler aus, während die unsachgemäße Authentifizierung und Autorisierung 34 % ausmachen. Leider sind die Überlegungen zur Absicherung dieser Schwachstellen elementar und werden im Grundkurs für Anwendungsdesign behandelt. Außerdem befinden sich 90 % der am häufigsten ausgenutzten Schwachstellen in proprietären Closed-Source-Produkten, was darauf hindeutet, dass Cyberkriminelle nicht durch Reverse-Engineering-Schranken behindert werden.

Während die EU motiviert ist, die Sicherheit durch gesetzliche Vorschriften zu verbessern, plädiert die CISA weiterhin dafür, dass Softwarehersteller die Grundsätze des „Secure by Design“ während der Entwicklungsphasen anwenden. Sie schlagen auch vor, dass mehr Pay-to-Hack Bug Bounty-Programme Anreize für ethische Sicherheitsforscher schaffen könnten.

Kritische Lücken in Palo Alto-Produkten

Am 8. November 2024 veröffentlichte Palo Alto Networks einen Sicherheitshinweis, der eine Zero-Day-RCE-Schwachstelle (Remote-Code-Execution) im Betriebssystem PAN-OS aufdeckte. Der Hinweis wurde bald aktualisiert, nachdem klar war, dass die Schwachstelle aktiv ausgenutzt wurde. Im Folgenden finden Sie eine Zusammenfassung der neuen Sicherheitslücken in Palo Alto-Produkten, die im November 2024 bekannt wurden.

• CVE-2024-0012 (CVSS 9.8 Hoch): Eine Umgehung der Authentifizierung in PAN-OS ermöglicht den unauthentifizierten Zugriff auf Administratorenrechte. Angreifer können administrative Aktionen durchführen, die Konfiguration manipulieren oder andere authentifizierte Schwachstellen zur Rechteerweiterung wie CVE-2024-9474 ausnutzen.
• CVE-2024-9474 (CVSS 7.2 Hoch): Eine Schwachstelle in der PAN-OS-Software ermöglicht es PAN-OS-Administratoren, Aktionen auf der Firewall mit Root-Rechten auszuführen.
• CVE-2024-9463 (CVSS 7.5 Hoch): Eine Command-Injection-Schwachstelle in Expedition ermöglicht es einem nicht authentifizierten Angreifer, beliebige OS-Befehle als Root auszuführen. Dies gestattet die unbefugte Offenlegung von Benutzernamen, Klartextpasswörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS Firewalls.
• CVE-2024-9465 (CVSS 9.1 Hoch): Eine SQL-Injektion könnte es einem nicht authentifizierten Angreifer ermöglichen, Inhalte der Expedition-Datenbank, wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und Geräte-API-Schlüssel, offenzulegen oder beliebige Dateien auf dem Expedition-System zu erstellen und zu lesen.
• CVE-2024-5910 (CVSS 9.8 Hoch): Eine fehlende Authentifizierung für eine kritische Funktion in Expedition kann dazu führen, dass ein Administratorkonto aus der Ferne übernommen wird und Konfigurationsgeheimnisse, Anmeldeinformationen und andere Daten offengelegt werden.

Greenbone kann alle neuen CVEs erkennen, die in Palo Alto-Geräten im November 2024 veröffentlicht wurden. Idealerweise stellen Sie sicher, dass die Netzwerkverwaltungsschnittstellen nicht über das öffentliche Internet zugänglich sind, und verwenden Sie am besten eine Firewall-Konfiguration, um den Zugriff von nicht autorisierten internen Netzwerk-Endpunkten zu verhindern.

Kritische US-Telekommunikationsinfrastrukturen angegriffen

Die jüngsten Sicherheitsverletzungen bei großen US-Telekommunikationsanbietern sind eine deutliche Warnung für alle Unternehmen, die komplexe IT-Infrastrukturen in großem Umfang betreiben. Die Schuld wird chinesischen Hackergruppen zugeschrieben, die Berichten zufolge den Zugang zum Abhören von Anrufen politischer Beamter in den USA, zu SMS-Nachrichten und zu abgefangenen mobilen Metadaten nutzten. Laut Adam Meyers, Vice President of Intelligence bei CrowdStrike, umgehen die Bedrohungsakteure die Notwendigkeit, in die einzelnen Netzwerke ihrer Ziele einzudringen, indem sie die Telekommunikationsnetze direkt angreifen. Angesichts der großen Zahl kritischer Schwachstellen in Produkten von US-Netzwerkanbietern wie Palo Alto Networks, Oracle, Cisco, Citrix, Ivanti, Broadcom, Microsoft und Fortinet würde eine intensivere Prüfung der Anwendungssicherheit das Risiko für deren Hauptkunden – US-Unternehmen im In- und Ausland und andere große globale Firmen – erheblich verringern.

Liminal Panda, Salt Typhoon, Volt Typhoon und andere sind dafür bekannt, dass sie „Schatten-IT“ angreifen – ältere mobile Protokolle, von denen IT-Administratoren nicht wissen, dass sie noch aktiv sind oder aktiv überwacht werden. Raffinierte, hochqualifizierte APT-Akteure sind äußerst anpassungsfähig und verfügen über die Ressourcen, um Malware für praktisch jede bekannte Schwachstelle zu entwickeln, die ausgenutzt werden kann, sowie aktiv Zero-Day-Exploits zu entwickeln, die noch unbekannt sind.

5 Schwachstellen bei der Eskalation von Privilegien in Ubuntus Needrestart

Eine Schwachstelle in Ubuntus Needrestart-Funktion könnte es einem nicht privilegierten lokalen Angreifer ermöglichen, Shell-Befehle als Root-Benutzer auszuführen. Die neuen CVEs betreffen alle Versionen von Needrestart, die bis 2014 zurückreichen. Needrestart bestimmt, ob Prozesse neu gestartet werden müssen, nachdem systemweite Pakete aktualisiert wurden, um einen vollständigen Neustart zu vermeiden, und wird durch den apt-Package-Manager aufgerufen. Die Schwachstelle wird verursacht, wenn nicht vertrauenswürdige Daten wie Umgebungsvariablen nicht sauber an die Module::ScanDeps-Bibliothek übergeben werden, die als root ausgeführt wird. Diese Umgebungsvariablen auf Benutzerebene können auch die Python- und Ruby-Interpreter während der Ausführung von Needrestart beeinflussen.

Die Schwachstellen können durch ein Update von Needstart auf eine gepatchte Version oder durch Deaktivieren der Interpreter-Scan-Funktion durch Setzen von $nrconf{interpscan} = 0 in der Konfigurationsdatei needrestart.conf entschärft werden. Greenbone enthält eine Erkennung für alle CVEs, die mit der Needrestart-Funktion zusammenhängen [1][2][3].

Hier eine kurze Beschreibung der neu veröffentlichten CVEs:

• CVE-2024-11003 (CVSS 7.8 Hoch): Ungeschützte Daten, die an die Module::ScanDeps-Bibliothek übergeben werden, könnten einem lokalen Angreifer erlauben, beliebige Shell-Befehle auszuführen.
• CVE-2024-10224 (CVSS 5.3): Ungeprüfte Eingaben, die an die Module::ScanDeps-Bibliothek übergeben werden, erlauben die Ausführung beliebiger Shell-Befehle durch das Öffnen einer „problematischen Leitung“ (z.B. durch die Übergabe von „commands|“ als Dateiname) oder durch die Übergabe beliebiger Strings an eval().
• CVE-2024-48990 (CVSS 7.8 Hoch): Ermöglicht lokalen Angreifern die Ausführung von beliebigem Code als Root, indem sie Needrestart über die Umgebungsvariable PYTHONPATH dazu bringen, den Python-Interpreter auszuführen.
• CVE-2024-48991 (CVSS 7.8 Hoch): Ermöglicht lokalen Angreifern, beliebigen Code als Root auszuführen, indem sie eine Wettlaufsituation nutzen und Needrestart auf einen gefälschten Python-Interpreter statt auf den echten Python-Interpreter des Systems verweisen.
• CVE-2024-48992 (CVSS 7.8 Hoch): Ermöglicht lokalen Angreifern die Ausführung von beliebigem Code als Root, indem sie Needrestart über die Umgebungsvariable RUBYLIB dazu bringen, den Ruby-Interpreter auszuführen.

Kritische RCE-Schwachstellen in VMware vCenter: Aller guten Dinge sind drei?

VMware hat mit der Herausforderung zu kämpfen, kritische Sicherheitslücken in den vCenter-Serverprodukten effektiv zu schließen. Broadcom, zu dem VMware gehört, veröffentlichte im September zunächst Patches für zwei wichtige Schwachstellen in vCenter: CVE-2024-38812 (CVSS 9.8 Hoch), die als Heap-Overflow-Schwachstelle in der Implementierung des DCERPC-Protokolls eingestuft wird, und CVE-2024-38813 (CVSS 9.8 Hoch), die eine Ausweitung der Berechtigungen über speziell gestaltete Netzwerkpakete ermöglicht.

Diese ersten Patches waren jedoch unzureichend, sodass im Oktober eine zweite Runde von Patches durchgeführt wurde. Trotz dieser Bemühungen wurde im November bestätigt, dass die CVEs immer noch anfällig waren und in freier Wildbahn ausgenutzt wurden. vCenter ist aufgrund seiner weiten Verbreitung ein Hauptziel für Angreifer, und die Situation verdeutlicht die anhaltenden Sicherheitsprobleme. VMware-Anwender sollten umgehend Patches anwenden. Wenn CVEs wie diese in VMware vCenter mit neuen Informationen aktualisiert werden, überprüft das Greenbone-Team von Sicherheitsanalysten die Änderungen und aktualisiert unsere Schwachstellentests entsprechend.

Helldown Ransomware gegen Zyxel und Kunden

Im November 2024 wurde eine Linux-Variante der Helldown-Ransomware-Nutzlast entdeckt. Es ist bekannt, dass Helldown das IPSec-VPN von Zyxel-Geräten über CVE-2024-42057 (CVSS 8.1 High) für den Erstzugang ausnutzt. Nachdem er Fuß gefasst hat, stiehlt Helldown alle zugänglichen Anmeldedaten und erstellt neue Benutzer und VPN-Tunnel, um die Persistenz zu gewährleisten. Die neue Variante zielt auf virtuelle VMware ESXi-Maschinen ab, um deren Daten zu exfiltrieren und zu verschlüsseln. Diese Technik wird auch von anderen Ransomware-Gruppen wie der Play-Gang verwendet.

Die Ransomware-Gruppe Helldown gilt als aufkommende Bedrohung und hat seit August über 30 Opfer gefordert, darunter auch Zyxel selbst. Der Hersteller hat einen Artikel veröffentlicht, in dem die Angriffe bestätigt und Anweisungen zur Schadensbegrenzung gegeben werden, und der Security-Anbieter Truesec hat bekannte Helldown-TTPs (Tactics Techniques and Procedures) aus seinen Reaktionen veröffentlicht. Greenbone ist in der Lage, alle Schwachstellen zu erkennen, von denen bekannt ist, dass sie mit Helldown-Ransomware-Angriffen in Verbindung stehen, einschließlich CVE-2024-42057 in Zyxel-Produkten [1][2][3] sowie bekannter Software-Schwachstellen, die von anderen Ransomware-Bedrohungsakteuren genutzt werden, um anfänglichen Zugriff zu erlangen, Privilegien zu erweitern und sich seitlich zu hochwertigen Zielen im Netzwerk des Opfers zu bewegen.

Zusammenfassung

Von den Fortschritten in der EU-Politik bis hin zu den Erkenntnissen der CISA über ausgenutzte Schwachstellen: Die Notwendigkeit besserer Softwareentwicklungspraktiken, eines effektiven Schwachstellenmanagements und einer umfassenden Verteidigung ist offensichtlich. Die Ereignisse des Monats November, wie die Zero-Days von Palo Alto, die Needrestart-Schwachstellen von Ubuntu und die anhaltenden Herausforderungen von VMware vCenter, unterstreichen die Bedeutung einer rechtzeitigen Überwachung und des Patchens kritischer Infrastrukturen. Neue Bedrohungen wie Helldown Ransomware verstärken die Notwendigkeit proaktiver Verteidigungsstrategien. Greenbone unterstützt Unternehmen auch weiterhin, indem es kritische Schwachstellen aufspürt, verwertbare Erkenntnisse liefert und sich für einen sicherheitsorientierten Ansatz mit grundlegenden Best Practices für die IT-Sicherheit einsetzt.