Schlagwortarchiv für: cybersecurity

Greenbone AG

Greenbone Rückblick 2024: Ein spannendes Jahr mit starkem Wachstum

Auch im 16. Jahr seines Bestehens hat der Osnabrücker Experte und Marktführer im Open Source Vulnerability Management kräftig zugelegt: sowohl an Mitarbeitern, Kunden, Partnern und nicht zuletzt in diesem Blog.

Greenbone wächst weiter: In den letzten beiden Jahren konnten wir unsere Belegschaft fast verdoppeln, auf jetzt 143 Mitarbeiter, die meisten davon arbeiten remote. Natürlich brachte dieses Wachstum viel neuen, positiven Input mit sich, auch in diesem Blog, aber auch neue Strukturen – und Partys. Einen großen Schritt in der Weiterentwicklung unserer Führungskultur stellten dabei das neue People-Lead-Konzept, die „Development Talks“ mit „Cross Feedback“ und die Happiness-Erhebungen dar. Das gewachsene, weltweit verteilte Team traf sich auf diversen Veranstaltungen und besuchte zahlreiche Events zusammen. Greenbone wird weiterwachsen und ist ein moderner und beliebter Arbeitgeber. Haben Sie sich schon beworben?

Greenbone Threat Report

Es ist also kein Wunder, dass auch dieser Blog vom Wachstum profitiert und ein erfolgreiches neues Format eingeführt hat: Jeden Monat präsentiert Greenbone hier den Threat Report einen monatlichen Deep Dive in die Neuigkeiten und Schrecken des Schwachstellenmanagements, der Schadensbegrenzung und neuer Bedrohungen, die unserer Kunden (und alle, die sich für Sicherheit interessieren) auf dem Radar haben sollten. Die Serie begann im März 2024 und hat bisher zehn detaillierte Blogbeiträge hervorgebracht. Das letzte Update liegt hier.

Vom Aussterben bedroht: Ivanti, Fortinet, Exchange, Confluence…

Darüber hinaus konnten wir über mehrere kritische Schwachstellen berichten. Von Juniper und Ivanti bis Fortinet, von Problemen in Microsoft Exchange und Sharepoint bis zu Atlassians Wissensmanagement Confluence lieferten unsere Experten hilfreiche Einblicke für unsere Kunden.

Natürlich haben wir in unserem Blog über CrowdStrike berichtet und darüber, wie ein Sicherheitsanbieter in nur 62 Minuten zu einer massiven Bedrohung werden konnte. Wir informierten über die nicht enden wollenden Gefahren durch chinesische Hacker, DOS-Angriffe, automatisierte Massenangriffe und schwerwiegende SSH-Key-Probleme und brachten ausführliche Analysen und Beiträge, zum Beispiel zu den Kosten von Cyberangriffen.

Wachsende Herausforderungen: Cyberbedrohungen und neue Gesetze

In fünf Blogbeiträgen haben wir die Bedrohungslage und die spezifischen Sicherheitsrisiken in Branchen erläutert, die 2024 von Sicherheitslücken besonders stark betroffen waren: Der Mittelstand  investiert mehr in Sicherheit, Schulen in Helsinki wurden angegriffen, und natürlich sind die Netze der öffentlichen Verwaltung besonders bedroht, ebenso wie praktisch alles im Gesundheitswesen, sagt das BSI (Bundesamt für Sicherheit in der Informationstechnik). Vor allem die beiden letztgenannten Branchen, nicht nur unter unseren Kunden, werden auch von den vielen Beiträgen profitiert haben, die wir zu Regulierungen veröffentlicht haben, etwa zu CSAF (Common Security Advisory Framework) und, mit vielen Updates, zum langsamen und (in Deutschland) unterbrochenen Fortschritt von NIS2 (Network and Information Security).

Ganzjahresthema NIS2

Die NIS-Richtlinie in ihrer zweiten Auflage war und ist ein Thema, das Greenbone und unsere Kunden immer wieder beschäftigt hat. Seit die Europäische Union die zweite „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ NIS beschlossen hat, haben viele Mitgliedsstaaten Regelungen erlassen, die klarstellen, wie Unternehmen die Richtlinie umsetzen müssen. Nur in Deutschland hat das etwas länger gedauert und ist – bedingt durch den Sturz der Regierung Ende des Jahres – noch nicht abgeschlossen. Nichtsdestotrotz sind alle Informationen und Pläne verfügbar, es gibt sogar einen Test des BSI, mit dem Sie überprüfen können, ob Ihre Netzwerke betroffen sind und sofortige Maßnahmen erforderlich sind.

Greenbone in Grün: ISO 14001

Einen großen Erfolg konnte Greenbone 2024 mit der ISO 14001, einer Zertifizierung für Nachhaltigkeit erzielen. Unser CMO Elmar Geese teilte seine Gedanken über die Zukunft der Clouds und das Aufbrechen ihres Hype-Zyklus. Außerdem nahm er an einem Panel zum Thema Künstliche Intelligenz teil, was die Greenbone-Produkte neuerdings auch integrieren, ebenso wie die BSI-Grundschutz- und CIS-Richtlinien zum Schutz Ihrer Office-Software.

Neue Produkte: Major Release 24.10, Greenbone Basic, Feed-Updates

Aber 2024 bescherte auch viele Aktualisierungen und Neuigkeiten zu den Produkten: Das Schwachstellenmanagement von Greenbone erhielt mehrere Verbesserungen und Updates, mit einem neuen Video, das Schwachstellenmanagement in 11 Minuten erklärt. Im Juli erhielt unsere neue Scan-Engine Notus Unterstützung für Amazons Red-Hat-Linux-Variante, die Amazon Web Services dominiert. Später im Jahr 2024 kündigte Greenbone sowohl eine neue Major Version der Enterprise Appliance (24.10) als auch ein völlig neues Produkt an, das sich an kleine und mittlere Unternehmen richtet und „Greenbone Basic“ heißt. Bereit zum Ausprobieren?

Vielleicht möchten Sie aber auch lesen, wie Greenbone die Konkurrenz der Schwachstellen-Scanner in unserem Benchmark anführt oder herausfinden, was Ihre Key Performance Indicators für die Messung der Leistung Ihres Schwachstellen-Management-Produktes sind?

Kongresse und Events: Unsere Highlights des Jahres

Wenn Sie uns treffen wollen, finden Sie eine wachsende Anzahl von Gelegenheiten… weltweit, wie auch in unserem Blog gezeigt: Wir berichteten fast live von der anderen Seite des Globus, wo Greenbone auf der Singapore International Cyber Week vertreten war. Diese Konferenz war nicht nur eine der wichtigsten IT-Sicherheitsveranstaltungen in Asien, sondern auch eine in einer langen Liste von Geschäfts-Messen, an denen Greenbone teilnahm: Die Public IT Security (PITS) in Berlin, die it-sa in Nürnberg oder die Potsdamer Konferenz für Nationale Sicherheit, um nur einige zu nennen.

Vielen Dank und frohe Festtage!

Natürlich war auch unser 16. Jahr ein gutes Jahr, „ein sehr gutes Jahr“, und so möchten wir die Gelegenheit nutzen, um uns noch einmal bei allen Kunden, Partnern und der Community zu bedanken, denn ohne Ihre Hilfe wäre das alles nicht möglich gewesen.

Vielen Dank, frohe Festtage und ein gutes neues Jahr!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Oktober 2024 Threat Report: Ransomware auf dem Vormarsch – Zeit zu reagieren

Der Oktober war der europäische Aktionsmonat für Cybersecurity (ECSM) und der internationale Monat für  „Cybersecurity Awareness“, unter dem Motto „Secure Our World“. Die Einführung von Best Practices für die Online-Sicherheit von Privatpersonen, Unternehmen und kritische Infrastrukturen ist dieses Jahr von entscheidender Bedeutung. Wir freuen uns, zusätzlich zu unserem Angebot für Schwachstellenmanagement in Unternehmen weitere IT-Sicherheitstools über unsere Community Edition, das Community Portal und das lebhafte Community Forum zugänglich zu machen, wo wir Entwicklungen und Funktionen diskutieren und uns gegenseitig unterstützen.

Unsere Kernbotschaft an die Entscheidungsträger für Cybersicherheit: Patchen oder nicht patchen, ist nicht die Frage. Es geht darum, wie man Schwachstellen und Fehlkonfigurationen erkennt, bevor ein Angreifer sie ausnutzen kann. Proaktives Handeln ist gefragt. Sobald Schwachstellen identifiziert sind, müssen sie priorisiert und behoben werden. Warnungen vor einer aktiven Ausnutzung von Sicherheitslücken können zwar helfen, die Prioritäten richtig zu setzen, aber wenn es um wichtige Systeme geht, müssen auch Handlungen folgen. Mit Hilfe von Leistungsindikatoren können Sicherheitsteams und Entscheidungsträger den Fortschritt quantitativ verfolgen und Bereiche mit Verbesserungsbedarf aufzeigen.

Im Threat Tracking-Blogbeitrag dieses Monats geben wir einen Überblick über die diesjährige Ransomware-Landschaft, einschließlich der Ursachen von Ransomware-Angriffen, und stellen einige der wichtigsten Cyber-Bedrohungen vom Oktober 2024 vor.

Internationale Bemühungen zur Bekämpfung von Ransomware

Die internationale „Initiative zur Bekämpfung von Ransomware“ (Counter Ransomware Initiative; CRI), die sich aus 68 Ländern und Organisationen – ohne Russland und China – zusammensetzt, traf sich in Washington, D.C., um die Widerstandsfähigkeit gegen Ransomware weltweit zu bündeln. Die CRI zielt darauf ab, die weltweiten Ransomware-Zahlungen zu reduzieren, den Rahmen für die Meldung von Vorfällen zu verbessern, Partnerschaften mit der Cyber-Versicherungsbranche zu stärken, um die Auswirkungen von Ransomware-Vorfällen zu verringern, und die Widerstandsfähigkeit durch die Festlegung von Standards und bewährten Verfahren zur Verhinderung von und Wiederherstellung nach Ransomware-Angriffen zu verbessern.

Der Digital Defense Report 2024 von Microsoft hat ermittelt, dass die Zahl der Angriffe im Jahr 2024 zwar gestiegen ist, aber weniger davon die Verschlüsselungsphase erreichen. Das Ergebnis ist, dass insgesamt weniger Opfer Lösegeld zahlen. Die Untersuchungen von Coveware, Kaseya und dem Blockchain-Überwachungsunternehmen Chainanalysis bestätigen ebenfalls niedrigere Auszahlungsraten. Dennoch verzeichnen Ransomware-Banden Rekordgewinne: In der ersten Hälfte des Jahres 2024 wurden mehr als 459 Millionen US-Dollar erpresst. In diesem Jahr wurde mit einer Auszahlung in Höhe von 75 Mio. USD ein neuer Höchststand erreicht, wobei ein Trend zur „Großwildjagd“ zu beobachten ist, die eher auf große als auf kleine und mittlere Unternehmen (KMU) abzielt.

Hauptursache für Ransomware

Wie kommen erfolgreiche Ransomware-Angriffe überhaupt zustande? Hier helfen Ursachenanalysen: Laut einer weltweiten Statista-Umfrage sind ausgenutzte Software-Schwachstellen die Hauptursache für erfolgreiche Ransomware-Angriffe, die in 32 % der erfolgreichen Angriffe eine Rolle spielen. In derselben Umfrage wurde die Kompromittierung von Zugangsdaten als zweithäufigste Ursache genannt, während bösartige E-Mails (Malspam und Phishing-Angriffe) an dritter Stelle stehen. Security-Experten von Symantec stellen fest, dass die Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen Anwendungen zum primären Einstiegsvektor bei Ransomware-Angriffen geworden ist. Auch KnowBe4, ein Anbieter von Sicherheitsinformationen, stuft Social Engineering und ungepatchte Software als Hauptursachen für Ransomware ein.

Diese Ergebnisse bringen uns zurück zu unserer anfänglichen Botschaft und unterstreichen die Bedeutung der branchenführenden Kernkompetenz von Greenbone: die Unterstützung von Verteidigern bei der Identifizierung von Schwachstellen, die in ihrer IT-Infrastruktur lauern, damit sie ausnutzbare Sicherheitslücken beheben und schließen können.

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Ende Oktober 2024 warnte Fortinet Kunden vor einer RCE-Schwachstelle kritischen Ausmaßes in FortiManager, dem Flaggschiff-Produkt für das Management von Netzwerksicherheit. Die als „FortiJump“ bezeichnete und als CVE-2024-47575 (CVSS 9.8) geführte Schwachstelle wird als „Fehlende Authentifizierung für kritische Funktion“ [CWE-306] im fgfm-Daemon von FortiManager eingestuft. Googles Mandiant hat rückwirkend Protokolle durchsucht und bestätigt, dass diese Schwachstelle seit Juni 2024 aktiv ausgenutzt wird, und beschreibt die Situation als ein Szenario massenhafter Ausnutzung.

Eine weitere aktiv ausgenutzte Schwachstelle in Fortinet-Produkten, CVE-2024-23113 (CVSS 9.8), wurde im Oktober ebenfalls in den KEV-Katalog der CISA aufgenommen. Diesmal ist der Übeltäter ein extern gesteuerter Format-String in FortiOS, der es einem Angreifer ermöglichen könnte, über speziell gestaltete Pakete nicht autorisierte Befehle auszuführen.

Greenbone kann Geräte erkennen, die für FortiJump anfällig sind, FortiOS-Geräte, die für CVE-2024-23113 [1][2][3] anfällig sind, sowie über 600 weitere Schwachstellen in Fortinet-Produkten.

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Das FBI, die CISA, die NSA und andere US-amerikanische und internationale Sicherheitsbehörden haben eine gemeinsame Warnung vor einer vom Iran unterstützten Kampagne herausgegeben, die sich gegen kritische Infrastruktur-Netze richtet, insbesondere in den Bereichen Gesundheitswesen, Regierung, IT, Technik und Energie. Assoziierte Bedrohungsgruppen werden mit Ransomware-Angriffen in Verbindung gebracht, die sich in erster Linie über öffentlich zugängliche Dienste [T1190] wie VPNs Zugang verschaffen. Zu den weiteren Techniken, die in der Kampagne eingesetzt werden, gehören Brute-Force-Angriffe [T1110], Passwort-Spraying [T1110.003] und MFA Fatigue Attacken.

Die Kampagne steht im Zusammenhang mit der Ausnutzung der folgenden CVEs:

  • CVE-2024-24919 (CVSS 8.6), eine Offenlegung von Informationen in Check Point Security Gateway VPNs
  • CVE-2024-21887 (CVSS 9.1), ein Fehler bei der Befehlseingabe in Ivanti Connect Secure und Ivanti Policy Secure
  • CVE-2024-3400 (CVSS 10), ein Fehler bei der Befehlseingabe in Palo Alto Networks PAN-OS
  • CVE-2022-1388 (CVSS 9.8), eine Schwachstelle, die die Umgehung der Authentifizierung in F5 BIG-IP ermöglicht, und CVE-2020-5902 (CVSS 9.8), eine Sicherheitslücke zur Remote Code Execution (RCE) in der Benutzeroberfläche von F5 BIG-IP Traffic Management
  • CVE-2020-1472 (CVSS 5.5), eine Schwachstelle, die zur Ausweitung von Berechtigungen in Microsoft Netlogon Remote Protocol führen kann
  • CVE-2023-3519 (CVSS 9.8), eine Schwachstelle zur unautorisierten RCE und CVE-2019-19781 (CVSS 9.8), eine Sicherheitslücke, die die Umgehung von Verzeichnissen in Citrix Application Delivery Controller und Gateway erlaubt
  • CVE-2019-11510 (CVSS 10), ein nicht autorisiertes Lesen von Dateien und CVE-2019-11539 (CVSS 7.2), ein Fehler zur Remote-Ausführung von Befehlen, beide in Pulse Secure Pulse Connect Secure

Greenbone kann alle CVEs erkennen, die im Zusammenhang mit der Kampagne stehen, und gibt Verteidigern mit einem Überblick die Möglichkeit, das Risiko zu mindern. Darüber hinaus ist die Verhinderung von Brute-Force- und Passwort-Spraying-Angriffen ein elementarer Bestandteil der Cybersicherheit, auch wenn sie nicht als CVE erfasst wird. Zwar bieten viele Authentifizierungsdienste von Haus aus keinen Brute-Force-Schutz, doch können zusätzliche Sicherheitsprodukte so konfiguriert werden, dass nach wiederholten Anmeldefehlern eine Sperrzeit verhängt wird. Greenbone kann die Einhaltung der CIS-Sicherheitskontrollen für Microsoft RDP bescheinigen, einschließlich derjenigen, die Brute-Force- und Password-Spraying-Angriffe bei der Anmeldung verhindern.

Schließlich müssen laut Anhang I, Teil I (2)(d) der EU Cyber Resilience Act (CRA) Produkte mit digitalen Elementen „den Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen gewährleisten“, einschließlich Systemen für Authentifizierung, Identitäts- und Zugriffsmanagement, und sollten auch alle Fälle von unbefugtem Zugriff melden. Dies bedeutet, dass die EU in Zukunft von allen Produkten einen eingebauten Brute-Force-Schutz verlangen wird, anstatt sich auf „Rate Limiting“-Tools von Drittanbietern wie fail2ban für Linux zu verlassen.

Unverschlüsselte Cookies in F5 BIG-IP LTM

Die CISA hat beobachtet, dass Cyber-Bedrohungsakteure unverschlüsselte dauerhafte Cookies auf F5 BIG-IP Local Traffic Manager (LTM) Systemen ausnutzen. Sobald die Cookies gestohlen wurden, werden sie verwendet, um andere interne Netzwerkgeräte zu identifizieren, was wiederum eine passive Erkennung von Schwachstellen innerhalb eines Netzwerks ermöglichen kann. Ähnlich wie die meisten Webanwendungen gibt BIG-IP ein HTTP-Cookie zwischen dem Client und dem Server weiter, um User Sessions zu verfolgen. Das Cookie hat standardmäßig den Namen BIGipServer<pool_name> und sein Wert enthält die verschlüsselte IP-Adresse und den Port des Zielservers.

F5 BIG-IP ist eine Suite zur Verwaltung des Netzwerkverkehrs, und LTM ist das Kernmodul, das für Load Balancing und die Verteilung des Datenverkehrs auf die Server sorgt. Die CISA rät Unternehmen, dafür zu sorgen, dass persistente Cookies verschlüsselt werden. F5 bietet eine Anleitung zur Einrichtung der Cookie-Verschlüsselung und mit BIG-IP iHealth ein Diagnosetool, um unverschlüsselte dauerhafte Profile von Cookies zu erkennen.

Obgleich eine aktive Ausnutzung die Bedrohung für Unternehmen erhöht, die diese Schwachstelle nicht behoben haben, ist die Sicherheitslücke seit Anfang 2018 bekannt. Greenbone bietet seit Januar 2018 eine Erkennung für diese Schwachstelle an, sodass Benutzer die Sicherheitslücke, die durch unverschlüsselte Cookies in F5 BIG-IP LTM entsteht, seit ihrer Offenlegung erkennen und schließen können.

Hochgefährliche Schwachstellen in Palo Alto Expedition

In Expedition, einem Migrationstool von Palo Alto, das den Übergang von Security-Konfigurationen von Drittanbietern zu PAN-OS von Palo Alto vereinfachen soll, wurden mehrere neue hochgefährliche Schwachstellen entdeckt. Obwohl noch nicht in aktiven Kampagnen beobachtet, wurden zwei der insgesamt neun CVEs, die Palo Alto im Oktober zugewiesen wurden, mit EPSS-Scores höher als 98 % aller anderen bewertet.  EPSS (Exploit Prediction Scoring System) ist ein Vorhersagemodell, das mithilfe von Machine Learning die Wahrscheinlichkeit schätzt, dass ein CVE innerhalb von 30 Tagen nach der Vorhersage in freier Wildbahn ausgenutzt wird.

Hier eine kurze technische Beschreibung der einzelnen CVEs:

  • CVE-2024-9463 (CVSS 7.5, EPSS 91.34%): Eine OS-Schwachstelle bei der Befehlseingabe in Palo Altos Expedition erlaubt es einem nicht authentifizierten Angreifer, beliebige OS-Befehle als Root-Dateien in Expedition auszuführen, was zur Offenlegung von Benutzernamen, Klartext-Passwörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS Firewalls führt.
  • CVE-2024-9465 (CVSS 9.1, EPSS 73.86%): Eine SQL-Injection-Schwachstelle in Palo Altos Expedition ermöglicht es einem nicht authentifizierten Angreifer, sensible Datenbankinhalte wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und Geräte-API-Schlüssel auszuspähen. Sobald diese Informationen erlangt wurden, können Angreifer beliebige Dateien auf den betroffenen Systemen erstellen und lesen.

Vier kritische CVEs in Mozilla Firefox

Wie bereits in unserem Threat-Tracking-Blog erwähnt, ist die Browsersicherheit von entscheidender Bedeutung für die Verhinderung von Erstzugriffen, insbesondere bei Arbeitsplatzgeräten. Im Oktober 2024 wurden sieben neue kritische und 19 weitere weniger kritische Sicherheitslücken in Mozilla Firefox < 131.0 und Thunderbird < 131.0.1 bekanntgegeben. Eine davon, CVE-2024-9680, wurde bereits gegen Nutzer des Tor-Netzwerks aktiv ausgenutzt und wurde in den Katalog der bekannten Schwachstellen der CISA aufgenommen. Greenbone enthält Schwachstellentests, um alle betroffenen Mozilla-Produkte zu identifizieren.

Hier die sieben neu veröffentlichten Schwachstellen:

  • CVE-2024-9680 (CVSS 9.8): Angreifer gelangten zu einer unautorisierten RCE, indem sie eine Use-After-Free-Schwachstelle in Animation Timelines ausnutzten. CVE-2024-9680 wird in freier Wildbahn ausgenutzt.
  • CVE-2024-10468 (CVSS 9.8): Mögliche Laufbedingungen in IndexedDB können Speicher beschädigen, was zu einem potenziell ausnutzbaren Absturz führt.
  • CVE-2024-9392 (CVSS 9.8): Ein kompromittierter Inhaltsvorgang ermöglicht das willkürliche Laden von Cross-Origin-Seiten.
  • CVE-2024-10467, CVE-2024-9401 und CVE-2024-9402 (CVSS 9.8): In Firefox vorhandene Speicherfehler zeigten Anzeichen von Speicherbeschädigung. Sicherheitsexperten vermuten, dass einige dieser Fehler mit genügend Aufwand zur Ausführung von beliebigem Code ausgenutzt werden könnten.
  • CVE-2024-10004 (CVSS 9.1): Das Öffnen eines externen Links zu einer HTTP-Website, wenn Firefox iOS zuvor geschlossen war und einen HTTPS-Tab geöffnet hatte, konnte dazu führen, dass das Vorhängeschloss-Symbol fälschlicherweise HTTPS anzeigte.

Zusammenfassung

Unser monatlicher Threat Tracking-Blog befasst sich mit den wichtigsten Cybersecurity-Trends und hochriskanten Bedrohungen. Zu den wichtigsten Erkenntnissen für Oktober 2024 gehören die verstärkten Bemühungen zur Bekämpfung von Ransomware auf internationaler Ebene und die Rolle, die ein proaktives Schwachstellenmanagement bei der Verhinderung erfolgreicher Ransomware-Angriffe spielt. Zu den weiteren Höhepunkten gehören aktiv ausgenutzte Schwachstellen von Fortinet und Palo Alto sowie Updates zu einer vom Iran unterstützten Cyberangriffskampagne, die auf öffentliche Dienste kritischer Infrastrukturunternehmen abzielt. Darüber hinaus unterstreichen die unverschlüsselte Cookie-Schwachstelle von F5 BIG-IP LTM, die zur Reconnaissance ausgenutzt wird, und vier neue Mozilla Firefox-Schwachstellen, von denen eine aktiv als Waffe eingesetzt wird, wie notwendig es ist, wachsam zu bleiben.

Greenbone erleichtert die Identifizierung und Behebung dieser und weiterer Schwachstellen und hilft Unternehmen, ihre Widerstandsfähigkeit gegenüber wachsenden Cyber-Bedrohungen zu verbessern. Schnelle Erkennung und rechtzeitiges Patchen sind für die Risikominimierung entscheidend.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Cyberbedrohung im großen Stil: Die massenhafte Ausnutzung von Schwachstellen

Sobald ein Unternehmen einen gewissen Wert hat, kann man darauf wetten, dass bösartige Akteure darüber nachdenken, wie sie die Schwachstellen in der IT des Unternehmens ausnutzen können, um finanziellen Gewinn zu erzielen. Ransomware-Angriffe sind dabei die größte Bedrohung. Sie machen die Daten ihres Opfers unbrauchbar und erpressen es zur Entschlüsselung. Je stärker Unternehmen gefährdet sind, desto genauer müssen sie wissen, wo ihr Risiko liegt, und ihre kritischen Anlagen besonders gut schützen. Alle Unternehmen mit IT-Infrastruktur, auch kleine Firmen, profitieren jedoch von einer Bewertung ihrer Angriffsfläche und der Beseitigung von Schwachstellen.

Angriffe durch die massenhafte Ausnutzung von Schwachstellen („Mass Exploitations“) funktionieren in Form automatisierter Kampagnen, bei denen das öffentliche Internet kontinuierlich auf der Suche nach leichten Opfern durchsucht wird. Diese Kampagnen werden von Bots durchgeführt, die Cyberangriffe qua Automatisierung in großem Maßstab dirigieren. CloudFlare behauptet, dass nur 7 % des Internetverkehrs auf bösartige Bots entfallen, während anderen Berichten zufolge bösartige Bots bis zu 32 % der gesamten Internetaktivitäten ausmachen. Nach dem Eindringen missbrauchen die Angreifer die kompromittierten Ressourcen für bösartige Aktivitäten.

Was geschieht mit den kompromittierten Vermögenswerten?

Sobald ein Angreifer die Kontrolle über die IT-Infrastruktur eines Opfers erlangt hat, schätzt er den Wert seiner neuen Beute ein und entscheidet, wie er daraus am besten Kapital schlagen kann. Das Dark Web ist ein Untergrund-Ökosystem von Cybercrime-Services mit einer eigenen Wirtschaft von Angebot und Nachfrage für illegale Handlungen. Innerhalb dieses Ökosystems verkaufen Initial Access Broker (IAB) unbefugten Zugang an RaaS-Gruppen (Ransomware as a Service), die sich auf die Ausführung von Ransomware spezialisiert haben, d. h. auf die Verschlüsselung der Dateien eines Opfers und dessen Erpressung. Mass Exploitation ist eine Möglichkeit für diese IABs, Fuß zu fassen.

Kompromittierte Anlagen mit geringerem Erpressungswert können Teil des „Zombie-Botnets“ des IAB werden, das das Internet kontinuierlich nach anfälligen Systemen durchsucht, die es zu kompromittieren gilt. Andernfalls können gekaperte Systeme zum Versenden von Malspam- und Phishing-E-Mails verwendet werden, mit Krypto-Mining-Malware infiziert werden oder als unauffälliger Host für eine C2-Infrastruktur (Command and Control) dienen, die gezieltere Angriffskampagnen unterstützt.

Wie die automatisierte Ausnutzung funktioniert

Verteidiger können Mass Exploitations durch die Brille der „Taktiken, Techniken und Verfahren“ (Tactics, Techniques and Procedures; TTP) des MITRE ATT&CK-Frameworks untersuchen, um das Verhalten von Angreifern besser zu verstehen. Wenn Sie mit MITRE ATT&CK nicht vertraut sind, ist jetzt ein guter Zeitpunkt, um die MITRE ATT&CK Enterprise Matrix zu lesen: Sie dient als Referenzpunkt für die Vorgehensweise von Angreifern.

Die automatisierten Attacken zielen auf eine große Anzahl von Systemen. Mit hochentwickelten Tools sind sie in der Lage, viele IP-Adressen zu scannen und automatisch Cyberangriffe auszuführen, wenn Schwachstellen gefunden werden. Sie nutzen Schwachstellen in Software aus, die üblicherweise dem öffentlichen Internet ausgesetzt ist, insbesondere solche, die zum Hosten von Websites und für den Fernzugriff auf Webserver verwendet wird.

Schritt für Schritt zum automatisierten Angriff:

  • Auskundschaftung [TA0043]: Angreifer sammeln Quellen für Schwachstelleninformationen wie NIST NVD, wo CVEs mit Schweregraden und Berichten, die technische Details enthalten, veröffentlicht werden. Sie nutzen dabei auch Quellen für Exploit-Code wie Exploit-db, GitHub oder andere Quellen wie Dark-Web-Marktplätze. Alternativ dazu können Angreifer auch ihre eigenen bösartigen Exploits entwickeln.
  • Bewaffnung [TA0042]: Angreifer bauen Cyberwaffen, die Schwachstellen automatisch erkennen und ausnutzen [T1190], ohne dass ein Mensch eingreifen muss.
  • Aktives Scannen [T1595]: Angreifer führen aktive Scans des öffentlichen Internets in großem Umfang durch, um Abhördienste und deren Versionen zu entdecken [T1595.002]. Dieser Prozess ähnelt der Art und Weise, wie Cyber-Verteidiger Schwachstellen-Scans ihrer eigenen Infrastruktur durchführen – mit dem Unterschied, dass Angreifer, anstatt erkannte Schwachstellen zu beheben, Strategien planen, um sie auszunutzen.
  • Einsatz und Ausnutzung von Angriffen: Sobald eine aktive Schwachstelle gefunden wurde, versuchen automatisierte Tools, diese auszunutzen, um das System des Opfers aus der Ferne zu kontrollieren [TA0011] oder einen Denial of Service (DoS) zu verursachen [T1499]. Dabei kann eine Vielzahl von Software-Schwachstellen ausgenutzt werden, beispielsweise Standard-Kontoanmeldeinformationen [CWE-1392], SQL-Injection [CWE-89], Buffer Overflows [CWE-119], nicht autorisierte Dateiuploads [CWE-434] oder anderweitig ausgehebelte Zugriffskontrollen [CWE-284].
  • Bewertung und Maßnahmen zur Erreichung der Ziele [TA0040]: Nach der Kompromittierung entscheidet der Angreifer, wie er das Opfer am besten zu seinem eigenen Vorteil beeinflussen kann. Angreifer können beschließen, weitere Erkundungen durchzuführen und versuchen, „seitlich“ auf andere angeschlossene Systeme im Netzwerk vorzudringen [TA0008], Daten des Opfers zu stehlen [TA0010], Ransomware einzusetzen [T1486] oder den ursprünglichen Zugang an andere Cyber-Kriminelle mit speziellen Fähigkeiten zu verkaufen [T1650].

Schutzmaßnahmen gegen automatisierte Angriffe

Die Abwehr von „Mass Exploitation“-Angriffen erfordert einen proaktiven Ansatz, der potenzielle Schwachstellen beseitigt, bevor sie ausgenutzt werden können. Unternehmen sollten grundlegende Best Practices für die IT-Sicherheit anwenden, einschließlich regelmäßiger Bewertungen, kontinuierlicher Überwachung und rechtzeitiger Behebung erkannter Schwachstellen.

Hier sind einige wichtige Sicherheitsmaßnahmen zum Schutz vor den automatisierten Angriffen:

  • Erstellen Sie ein IT-Bestandsinventar: Die Erstellung eines umfassenden Inventars aller Hardware-, Software- und Netzwerkgeräte in Ihrem Unternehmen stellt sicher, dass keine Systeme bei der Risiko- und Schwachstellenbewertung und beim Patch-Management übersehen werden.
  • Bewerten Sie Ihre Risiken: Legen Sie die Prioritäten für die Vermögenswerte nach ihrer Bedeutung für den Geschäftsbetrieb fest und bestimmen Sie, worauf sich die Präventionsmaßnahmen konzentrieren sollen. Regelmäßige Risikobewertungen tragen dazu bei, dass die kritischsten Bedrohungen angegangen werden, um die Wahrscheinlichkeit einer schwerwiegenden Verletzung zu verringern.
  • Regelmäßige Überprüfung aller Anlagen und Behebung festgestellter Schwachstellen: Führen Sie regelmäßige Schwachstellen-Scans für alle IT-Ressourcen durch, insbesondere für diejenigen, die dem öffentlichen Internet ausgesetzt sind und ein hohes Risiko darstellen. Wenden Sie Patches oder alternative Abhilfemaßnahmen sofort an, um eine Ausnutzung zu verhindern. Verfolgen und messen Sie die Fortschritte beim Schwachstellenmanagement in quantifizierter Form.
  • Entfernen Sie ungenutzte Dienste und Anwendungen: Ungenutzte Software stellt eine zusätzliche Angriffsfläche dar, die Angreifern die Möglichkeit bietet, Schwachstellen auszunutzen. Indem Sie die Zahl aktiver Dienste und installierter Anwendungen verkleinern, schränken Sie potenzielle Einstiegspunkte für Angreifer ein.
  • Ausbildung und Schulung: Schulung ist wichtig, um das Bewusstsein für IT-Sicherheit in der Unternehmenskultur zu fördern. Eine Sensibilisierung trägt auch wesentlich dazu bei, Malspam- und Phishing-Angriffe auf ein Unternehmen zu verhindern.
  • Verwenden Sie Anti-Malware-Lösungen: Malware wird oft durch automatisierte Spam- und Phishing-Kampagnen in großem Umfang verbreitet. Stellen Sie sicher, dass alle Systeme mit aktueller Antiviren-Software ausgestattet sind, und implementieren Sie Spam-Filter, um bösartige Dateien zu erkennen und zu isolieren.
  • Richtlinien für starke Authentifizierung: Credential Stuffing-Angriffe sind oft automatisierte Bestandteile von Massen-Exploits. Wenn Sie bewährte Kennwortpraktiken wie die Verwendung starker, zufällig generierter Kennwörter einhalten und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden, verringern Sie das Risiko durch gestohlene Kennwörter. Die Einführung von Richtlinien zur Passwortrotation, die Multi-Faktor-Authentifizierung (MFA) und die Verwendung von Passwortmanagern erhöhen ebenfalls die Passwortsicherheit.
  • Verwenden Sie Firewalls und IPS: Firewalls und Intrusion Prevention Systeme (IPS) können bösartigen Datenverkehr mit Hilfe von Regeln oder Mustern blockieren. Konfigurieren Sie Regelsätze so streng wie möglich, um unnötigen eingehenden Datenverkehr vom Scannen sensibler Dienste abzuhalten. Überprüfen und aktualisieren Sie Firewall- und IPS-Konfigurationen regelmäßig, um aktuellen Bedrohungen Rechnung zu tragen.

Zusammenfassung

In automatisierten Kampagnen werden Schwachstellen massenhaft ausgenutzt. Dabei werden Botnetze eingesetzt, um das öffentliche Internet nach anfälligen Systemen zu durchsuchen. Die Angriffe zielen auf ein breites Spektrum von Opfern und nutzen bekannte Schwachstellen in Software aus, die üblicherweise im Internet steht. Sobald die Systeme kompromittiert sind, verwenden Angreifer sie für verschiedene böswillige Zwecke, zum Beispiel um Ransomware einzuschleusen, den Zugang an andere kriminelle Gruppen zu verkaufen oder Botnetze weiter auszubauen. Mass Exploitations sind eine große Bedrohung, da sie es Angreifern ermöglichen, mit minimalem Aufwand in großem Maßstab zu operieren.

Um sich gegen die automatisierten Angriffe zu schützen, müssen Unternehmen proaktive Sicherheitsmaßnahmen wie regelmäßige Schwachstellen-Scans, rechtzeitige Patch-Verwaltung, strenge Zugangskontrollen und Netzwerküberwachung durchführen. Darüber hinaus kann eine angemessene Sicherheitsschulung des Personals dazu beitragen, das Risiko zu verringern, den automatisierten Kampagnen zum Opfer zu fallen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

September 2024 Threat Tracking: Geschwindigkeit vor Sicherheit?

Ein Bericht des Weltwirtschaftsforums von 2023, in dem 151 Führungskräfte von Unternehmen weltweit befragt wurden, ergab, dass 93 % der Cyber-Führungskräfte und 86 % der Unternehmensleiter glauben, dass in den nächsten zwei Jahren eine Cyber-Katastrophe wahrscheinlich ist. Dennoch stellen viele Softwareanbieter die schnelle Entwicklung und Produktinnovation über die Sicherheit. In diesem Monat erklärte CISA-Direktorin Jen Easterly, dass Softwareanbieter „Probleme schaffen, die Bösewichten Tür und Tor öffnen“ und dass „wir kein Cybersicherheitsproblem haben, sondern ein Softwarequalitätsproblem“. Nachgelagert profitieren die Kunden von innovativen Softwarelösungen, sind aber auch den Risiken von schlecht geschriebenen Softwareanwendungen ausgesetzt: finanziell motivierte Ransomware-Angriffe, Wiper-Malware, Spionage durch Nationalstaaten und Datendiebstahl, kostspielige Ausfallzeiten, Rufschädigung und sogar Insolvenz.

So scharfsinnig die Position der Direktorin auch sein mag, so sehr verdeckt sie doch die wahre Cyber-Risikolandschaft. So hat Bruce Schneier bereits 1999 festgestellt, dass die Komplexität der IT die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Fehlkonfigurationen führen [1][2][3]. Greenbone identifiziert sowohl bekannte Software-Schwachstellen als auch Fehlkonfigurationen mit branchenführenden Schwachstellentests und Konformitätstests, die CIS-Kontrollen und andere Standards wie die BSI-Basiskontrollen für Microsoft Office bestätigen.

Letztendlich tragen Unternehmen eine Verantwortung gegenüber ihren Interessengruppen, den Kunden und der Öffentlichkeit. Auf diese Verantwortung müssen sie sich konzentrieren und sich mit grundlegenden IT-Sicherheitsmaßnahmen wie einem Schwachstellenmanagement schützen. Im „September 2024 Threat Tracking“ geben wir einen Überblick über die schwerwiegendsten neuen Entwicklungen in der Cybersicherheitslandschaft, die sowohl für kleine Unternehmen als auch für große Organisationen eine Bedrohung darstellen.

SonicOS in Akira-Ransomware-Kampagnen

CVE-2024-40766 (CVSS 10 Kritisch), eine Sicherheitslücke, die sich auf SonicWalls Flaggschiff-Betriebssystem SonicOS auswirkt, wurde als ein bekannter Vektor für Kampagnen identifiziert, die Akira-Ransomware verbreiten. Akira, ursprünglich in C++ geschrieben, ist seit Anfang 2023 aktiv. Eine zweite, auf Rust basierende Version wurde in der zweiten Hälfte des Jahres 2023 zur dominierenden Variante. Es wird angenommen, dass die Hauptgruppe hinter Akira aus der aufgelösten Conti-Ransomware-Bande stammt. Akira wird jetzt als Ransomware-as-a-Service (RaaS) betrieben, die eine doppelte Erpressungstaktik gegen Ziele in Deutschland und in der EU, Nordamerika und Australien einsetzt. Bis Januar 2024 hatte Akira über 250 Unternehmen und kritische Infrastrukturen kompromittiert und über 42 Millionen US-Dollar erpresst.

Die Taktik von Akira besteht darin, bekannte Schwachstellen für den Erstzugang auszunutzen, beispielsweise:

Greenbone führt Tests durch, um SonicWall-Geräte zu identifizieren, die für CVE-2024-40766 [1][2] und alle anderen Schwachstellen anfällig sind, die von der Akira-Ransomware-Bande für den Erstzugang ausgenutzt werden.

Wichtiger Patch für Veeam Backup und Wiederherstellung

Ransomware ist die größte Cyber-Bedrohung, insbesondere im Gesundheitswesen. Das US-Gesundheitsministerium (HHS) berichtet, dass in den letzten fünf Jahren große Sicherheitsverletzungen um 256 % und Ransomware-Vorfälle um 264 % zugenommen haben. Unternehmen haben darauf mit proaktiven Cybersicherheitsmaßnahmen reagiert, um den Erstzugriff zu verhindern, sowie mit wirksameren Reaktionen auf Vorfälle einschließlich robusteren Lösungen für Backup and Recovery. Backup-Systeme sind daher ein Hauptziel für Ransomware-Betreiber.

Veeam ist ein weltweit führender Anbieter von Backup-Lösungen für Unternehmen und bewirbt seine Produkte als wirksamen Schutz gegen Ransomware-Angriffe. CVE-2024-40711 (CVSS 10 Kritisch), eine kürzlich bekannt gewordene Schwachstelle in Veeam Backup and Recovery, ist besonders gefährlich, da sie es Hackern ermöglichen könnte, die letzte Schutzlinie gegen Ransomware anzugreifen: Backups. Die Schwachstelle wurde von Florian Hauser von CODE WHITE GmbH, einem deutschen Forschungsunternehmen für Cybersicherheit, entdeckt und gemeldet. Die unbefugte Remote Code Execution (RCE) über CVE-2024-40711 wurde von Sicherheitsforschern innerhalb von 24 Stunden nach der Veröffentlichung verifiziert, und ein Proof-of-Concept-Code ist nun öffentlich online verfügbar, was das Risiko noch erhöht.

Veeam Backup & Replication Version 12.1.2.172 und alle früheren v12-Builds sind anfällig, und Kunden müssen die betroffenen Instanzen dringend patchen. Greenbone kann CVE-2024-40711 in Veeam Backup and Restoration erkennen, sodass IT-Sicherheitsteams den Ransomware-Banden damit einen Schritt voraus sind.

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

RADIUS ist ein leistungsfähiges und flexibles Authentifizierungs-, Autorisierungs- und Abrechnungsprotokoll (AAA), das in Unternehmensumgebungen verwendet wird, um die vom Benutzer eingegebenen Anmeldeinformationen mit einem zentralen Authentifizierungsdienst wie Active Directory (AD), LDAP oder VPN-Diensten abzugleichen. CVE-2024-3596, genannt Blast-RADIUS, ist ein neu veröffentlichter Angriff auf die UDP-Implementierung von RADIUS, der von einer speziellen Website, einem Forschungspapier und Angriffsdetails begleitet wird. Proof-of-Concept-Code ist auch aus einer zweiten Quelle verfügbar.

Blast-RADIUS ist ein AiTM-Angriff (Adversary in the Middle), der eine Schwachstelle in MD5 ausnutzt, die ursprünglich im Jahr 2004 entdeckt und 2009 verbessert wurde. Forschende haben die Zeit, die zum Vortäuschen von MD5-Kollisionen benötigt wird, exponentiell reduziert und ihre verbesserte Version von Hashclash veröffentlicht. Der Angriff ermöglicht es einem aktiven AiTM, der sich zwischen einem RADIUS-Client und einem RADIUS-Server befindet, den Client dazu zu bringen, eine gefälschte Access-Accept-Antwort zu akzeptieren, obwohl der RADIUS-Server eine Access-Reject-Antwort ausgibt. Dies wird erreicht, indem eine MD5-Kollision zwischen der erwarteten Access-Reject- und einer gefälschten Access-Accept-Antwort berechnet wird, die es einem Angreifer ermöglicht, Login-Anfragen zu genehmigen.

Greenbone kann eine Vielzahl anfälliger RADIUS-Implementierungen in Unternehmensnetzwerken schützen, wie F5 BIG-IP [1], Fortinet FortiAuthenticator [2] und FortiOS [3], Palo Alto PAN-OS [4], Aruba CX Switches [5] und ClearPass Policy Manager [6]. Auf Betriebssystemebene schützt Greenbone dabei unter anderem Oracle Linux [7][8], SUSE [9][10][11], OpenSUSE [12][13], Red Had [14][15], Fedora [16][17], Amazon [18], Alma [19][20] und Rocky Linux [21][22].

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

CVE-2024-27348 (CVSS 9.8 Kritisch) ist eine RCE-Sicherheitslücke im Open-Source Apache HugeGraph-Server, die alle Versionen 1.0 vor 1.3.0 in Java8 und Java11 betrifft. HugeGraph-Server bietet eine API-Schnittstelle zum Speichern, Abfragen und Analysieren komplexer Beziehungen zwischen Datenpunkten und wird häufig zur Analyse von Daten aus sozialen Netzwerken, bei Empfehlungsdiensten und zur Betrugserkennung verwendet.

CVE-2024-27348 ermöglicht es Angreifern, die Sandbox-Beschränkungen innerhalb der Gremlin-Abfragesprache zu umgehen, indem sie eine unzureichende Java-Reflection-Filterung verwendet. Ein Angreifer kann die Schwachstelle ausnutzen, indem er bösartige Gremlin-Skripte erstellt und sie über die API an den HugeGraph/gremlin-Endpunkt sendet, um beliebige Befehle auszuführen. Die Schwachstelle kann über einen entfernten, benachbarten oder lokalen Zugriff auf die API ausgenutzt werden und Privilegien erweitern.

In Hacking-Kampagnen wird sie aktiv ausgenutzt. Proof-of-Concept-Exploit-Code [1][2][3] und eine eingehende technische Analyse sind öffentlich verfügbar, sodass Cyberkriminelle einen Vorsprung bei der Entwicklung von Angriffen haben. Greenbone bietet eine aktive Prüfung und einen Versionserkennungstest, um verwundbare Instanzen von Apache HugeGraph-Server zu identifizieren. Den Benutzern wird empfohlen, auf die neueste Version zu aktualisieren.

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

In unserem Blog haben wir dieses Jahr mehrfach über Sicherheitslücken in Ivanti-Produkten berichtet [1][2][3]. September 2024 war ein weiterer heißer Monat für Schwachstellen in Ivanti-Produkten. Ivanti hat endlich die Sicherheitslücke CVE-2024-29847 (CVSS 9.8 Kritisch) gepatcht, eine RCE-Schwachstelle, die Ivanti Endpoint Manager (EPM) betrifft und erstmals im Mai 2024 gemeldet wurde. Proof-of-Concept-Exploit-Code und eine technische Beschreibung sind nun öffentlich verfügbar, was die Bedrohung erhöht. Obwohl es noch keine Hinweise auf eine aktive Ausnutzung gibt, sollte diese Sicherheitslücke mit hoher Priorität behandelt und dringend gepatcht werden.

Im September 2024 identifizierte die CISA jedoch auch vier neue Schwachstellen in Ivanti-Produkten, die aktiv ausgenutzt werden. Greenbone ist in der Lage, alle diese neuen Ergänzungen zu CISA KEV und frühere Schwachstellen in Ivanti-Produkten zu erkennen. Hier die Details:

  • CVE-2024-29824 (CVSS 9.6 Kritisch): Eine SQL-Injection-Schwachstelle [CWE-89] in der Core-Server-Komponente von Ivanti Endpoint Manager (EPM) 2022 SU5 und früher. Die Ausnutzung erlaubt einem nicht authentifizierten Angreifer mit Netzwerkzugang die Ausführung von beliebigem Code. Der Exploit-Code ist öffentlich auf GitHub verfügbar. Die Sicherheitslücke wurde erstmals im Mai 2024 bekannt gegeben.
  • CVE-2024-7593 (CVSS 9.8 Kritisch): Eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus [CWE-303] in Ivanti Virtual Traffic Manager (vTM) Version 22 mit Ausnahme der Versionen 22.2R1 oder 22.7R2 kann es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und auf das Admin-Panel zuzugreifen. CVE-2024-7593 wurde erst im August 2024 bekannt gegeben, dennoch ist bereits Exploit-Code verfügbar.
  • CVE-2024-8963 (CVSS 9.1 Kritisch): Ein Path Traversal [CWE-22] in Ivanti Cloud Services Appliance (CSA) Version 4.6 und früher ermöglicht einem entfernten, nicht authentifizierten Angreifer den Zugriff auf eingeschränkte Funktionen. Die Schwachstelle wurde am 19. September 2024 bekannt gegeben und in die CISA KEV aufgenommen. Ein Fix wurde von Ivanti bereits am 10. September herausgegeben, sodass Benutzer die Schwachstelle beheben können. Die von Ivanti empfohlene Abhilfemaßnahme ist jedoch ein Upgrade auf CSA 5.0. Die CSA-Version 4.6 hat ihr End-of-Life (EOL) für Sicherheitsupdates erst letzten Monat im August 2024 erreicht, aber gemäß seiner EOL-Richtlinie wird Ivanti noch ein Jahr lang Sicherheits-Patches herausgeben. In Verbindung mit der unten beschriebenen Sicherheitslücke CVE-2024-8190 kann die Administrator-Authentifizierung umgangen werden, sodass eine beliebige RCE auf CSA-Geräten möglich ist.
  • CVE-2024-8190 (CVSS 7.5 Hoch): Eine Schwachstelle zur OS Command Injection [CWE-78] in Ivanti Cloud Services Appliance (CSA) kann remote einem authentifizierten Angreifer RCE ermöglichen. Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen. Die empfohlene Abhilfemaßnahme ist ein Upgrade auf CSA 5.0, um weiterhin unterstützt zu werden. Proof-of-Concept-Exploit-Code ist für CVE-2024-8190 öffentlich verfügbar.

Zusammenfassung

Im Threat-Tracking-Blog dieses Monats haben wir wichtige Entwicklungen im Bereich der Cybersicherheit hervorgehoben, darunter kritische Schwachstellen wie CVE-2024-40766, die von der Ransomware Akira ausgenutzt werden, CVE-2024-40711, die sich auf Veeam Backup auswirkt, und der kürzlich bekannt gewordene BlastRADIUS-Angriff, der sich auf Enterprise AAA auswirken könnte. Proaktive Cybersecurity-Aktivitäten wie regelmäßiges Vulnerability Management und Compliance-Prüfungen tragen dazu bei, die Risiken von Ransomware, Wiper-Malware und Spionagekampagnen zu mindern, und ermöglichen es den Verteidigern, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Wie CSAF 2.0 automatisiertes Schwachstellenmanagement vorantreibt

IT-Sicherheitsteams müssen nicht unbedingt wissen, was CSAF ist, aber andererseits kann die Kenntnis dessen, was „unter der Haube“ einer Schwachstellenmanagement-Plattform passiert, einen Kontext dafür liefern, wie sich das Schwachstellenmanagement der nächsten Generation entwickelt und welche Vorteile ein automatisiertes Schwachstellenmanagement hat. In diesem Artikel geben wir eine Einführung in CSAF 2.0, was es ist und wie es das Schwachstellenmanagement in Unternehmen verbessern soll.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Was ist CSAF?

Das Common Security Advisory Framework (CSAF) 2.0 ist ein standardisiertes, maschinenlesbares Format für Hinweise auf Sicherheitslücken. CSAF 2.0 ermöglicht es der vorgelagerten Cybersecurity Intelligence Community, einschließlich Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern, Informationen über Schwachstellen bereitzustellen. Nachgelagert ermöglicht CSAF den Nutzern von Schwachstelleninformationen, Sicherheitshinweise von einer dezentralen Gruppe von Anbietern zu sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcenaufwand zu automatisieren.

Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats stellt CSAF eine Entwicklung hin zu einem automatisierten Schwachstellenmanagement der nächsten Generation dar, das die Belastung der IT-Sicherheitsteams, die mit einer ständig wachsenden Zahl von CVE-Enthüllungen konfrontiert sind, verringern und die risikobasierte Entscheidungsfindung angesichts eines Ad-hoc-Ansatzes beim Austausch von Schwachstelleninformationen verbessern kann.

CSAF 2.0 ist der Nachfolger des Common Vulnerability Reporting Framework (CVRF) v1.2 und erweitert die Möglichkeiten seines Vorgängers, um mehr Flexibilität zu bieten.

Hier sind die wichtigsten Erkenntnisse:

  • CSAF ist ein internationaler offener Standard für maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen, der die Markup-Sprache JSON verwendet.
  • Die CSAF-Aggregation ist ein dezentralisiertes Modell zur Verteilung von Schwachstelleninformationen.
  • CSAF 2.0 wurde entwickelt, um ein automatisiertes Schwachstellenmanagement der nächsten Generation in Unternehmen zu ermöglichen.

Der traditionelle Prozess des Schwachstellenmanagements

Der traditionelle Prozess der Schwachstellenverwaltung ist für große Unternehmen mit komplexen IT-Umgebungen ein schwieriger Prozess. Die Anzahl der CVEs, die in jedem Patch-Zyklus veröffentlicht werden, steigt in einem unkontrollierbaren Tempo [1][2]. Bei einem herkömmlichen Schwachstellenmanagementprozess sammeln IT-Sicherheitsteams Schwachstelleninformationen manuell über Internetrecherchen. Auf diese Weise ist der Prozess mit einem hohen manuellen Aufwand für das Sammeln, Analysieren und Organisieren von Informationen aus einer Vielzahl von Quellen und Ad-hoc-Dokumenten Formaten verbunden.

Zu diesen Quellen gehören in der Regel:

  • Datenbanken zur Verfolgung von Schwachstellen wie NIST NVD
  • Sicherheitshinweise der Produktanbieter
  • Nationale und internationale CERT-Beratungen
  • Bewertungen der CVE-Nummerierungsbehörde (CNA)
  • Unabhängige Sicherheitsforschung
  • Plattformen für Sicherheitsinformationen
  • Code-Datenbanken ausnutzen

Das letztendliche Ziel, eine fundierte Risikobewertung durchzuführen, kann während dieses Prozesses auf verschiedene Weise vereitelt werden. Empfehlungen, selbst die des Produktanbieters, sind oft unvollständig und werden in einer Vielzahl nicht standardisierter Formate geliefert. Dieser Mangel an Kohärenz erschwert eine datengestützte Entscheidungsfindung und erhöht die Fehlerwahrscheinlichkeit.

Lassen Sie uns kurz die bestehende Informationspipeline für Schwachstellen sowohl aus der Sicht der Ersteller als auch der Verbraucher betrachten:

Der Prozess der Offenlegung von Schwachstellen

Die in der National Vulnerability Database (NVD) des NIST (National Institute of Standards and Technology) veröffentlichten CVE-Datensätze (Common Vulnerability and Exposure) stellen das weltweit zentralste globale Repository für Schwachstelleninformationen dar. Im Folgenden finden Sie einen Überblick darüber, wie der Prozess der Offenlegung von Schwachstellen funktioniert:

  1. Produktanbieter werden durch ihre eigenen Sicherheitstests oder durch unabhängige Sicherheitsforscher auf eine Sicherheitslücke aufmerksam und setzen damit eine interne Richtlinie zur Offenlegung von Sicherheitslücken in Gang. In anderen Fällen können unabhängige Sicherheitsforscher direkt mit einer CVE Numbering Authority (CNA) zusammenarbeiten, um die Schwachstelle ohne vorherige Rücksprache mit dem Produktanbieter zu veröffentlichen.
  2. Schwachstellen-Aggregatoren wie NIST NVD und nationale CERTs erstellen eindeutige Tracking-IDs (z. B. eine CVE-ID) und fügen die gemeldete Schwachstelle einer zentralen Datenbank hinzu, in der Produktanwender und Schwachstellenmanagement-Plattformen wie Greenbone die Fortschritte verfolgen können.
  3. Verschiedene Interessengruppen wie der Produkthersteller, NIST NVD und unabhängige Forscher veröffentlichen Hinweise, die Informationen zu Abhilfemaßnahmen, voraussichtliche Termine für offizielle Patches, eine Liste der betroffenen Produkte, CVSS-Auswirkungsbewertungen und Schweregrade, Common Platform Enumeration (CPE) oder Common Weakness Enumeration (CWE) enthalten können, aber nicht müssen.
  4. Andere Anbieter von Informationen über Cyber-Bedrohungen, wie z. B. Known Exploited Vulnerabilities (KEV) von CISA und Exploit Prediction Scoring System (EPSS) von First.org, liefern zusätzlichen Risikokontext.

Der Prozess des Schwachstellenmanagements

Die Produktanwender sind für die Aufnahme von Schwachstelleninformationen und deren Anwendung verantwortlich, um das Risiko einer Ausnutzung zu mindern. Hier ein Überblick über den traditionellen Prozess des Schwachstellenmanagements in Unternehmen:

  1. Produktanwender müssen CVE-Datenbanken manuell durchsuchen und die Sicherheitshinweise überwachen, die ihre Software- und Hardware-Assets betreffen, oder eine Schwachstellenmanagement-Plattform wie Greenbone nutzen, die automatisch die verfügbaren Ad-hoc-Bedrohungshinweise zusammenfasst.
  2. Die Produktnutzer müssen die verfügbaren Informationen mit ihrem IT-Bestand abgleichen. Dies beinhaltet in der Regel die Pflege eines Bestandsverzeichnisses und die Durchführung eines manuellen Abgleichs oder die Verwendung eines Produkts zum Scannen von Schwachstellen, um den Prozess der Erstellung eines Bestandsverzeichnisses und der Durchführung von Schwachstellentests zu automatisieren.
  3. Die IT-Sicherheitsteams ordnen die entdeckten Schwachstellen nach dem kontextbezogenen Risiko für kritische IT-Systeme, Geschäftsabläufe und in einigen Fällen für die öffentliche Sicherheit.
  4. Die Ausbesserungen werden entsprechend der endgültigen Risikobewertung und den verfügbaren Ressourcen zugewiesen.

Was ist falsch am traditionellen Schwachstellenmanagement?

Herkömmliche oder manuelle Verfahren zur Verwaltung von Schwachstellen sind in der Praxis komplex und nicht effizient. Abgesehen von den operativen Schwierigkeiten bei der Implementierung von Software-Patches behindert der Mangel an zugänglichen und zuverlässigen Informationen die Bemühungen um eine wirksame Sichtung und Behebung von Schwachstellen. Die alleinige Verwendung von CVSS zur Risikobewertung wurde ebenfalls kritisiert [1][2], da es an ausreichendem Kontext für eine solide risikobasierte Entscheidungsfindung mangelt. Obwohl Plattformen zur Verwaltung von Schwachstellen wie z. B. Greenbone die Belastung der IT-Sicherheitsteams erheblich verringern, ist der Gesamtprozess immer noch häufig von geplagt von einer zeitaufwändigen manuellen Zusammenstellung von Ad-hoc-Hinweisen auf Schwachstellen, die unvollständige Informationen zur Folge haben kann.

Vor allem angesichts der ständig wachsenden Zahl von Schwachstellen besteht die Gefahr, dass die Zusammenstellung von Ad-hoc-Sicherheitsinformationen zu langsam ist und zu mehr menschlichen Fehlern führt, wodurch die Zeit für die Aufdeckung von Schwachstellen verlängert und die risikobasierte Priorisierung von Schwachstellen erschwert wird.

Fehlende Standardisierung führt zu Ad-hoc-Intelligenz

Dem derzeitigen Verfahren zur Offenlegung von Schwachstellen fehlt eine formale Methode zur Unterscheidung zwischen zuverlässigen Informationen von Anbietern und Informationen, die von beliebigen unabhängigen Sicherheitsforschern wie den Partner-CNAs bereitgestellt werden. Tatsächlich wirbt die offizielle CVE-Website selbst für die niedrigen Anforderungen, die für eine CNA-Mitgliedschaft gelten. Dies führt dazu, dass eine große Anzahl von CVEs ohne detaillierten Kontext herausgegeben wird, was eine umfangreiche manuelle Anreicherung im nachgelagerten Bereich erzwingt.

Welche Informationen aufgenommen werden, liegt im Ermessen des CNA, und es gibt keine Möglichkeit, die Zuverlässigkeit der Informationen zu klassifizieren. Ein einfaches Beispiel für dieses Problem ist, dass die betroffenen Produkte in einem Ad-hoc-Hinweis oft mit einer Vielzahl von Deskriptoren angegeben werden, die manuell interpretiert werden müssen. Zum Beispiel:

  • Version 8.0.0 – 8.0.1
  • Version 8.1.5 und höher
  • Version <= 8.1.5
  • Versionen vor 8.1.5
  • Alle Versionen < V8.1.5
  • 0, V8.1, V8.1.1, V8.1.2, V8.1.3, V8.1.4, V8.1.5

Skalierbarkeit

Da Anbieter, Prüfer (CNAs) und Aggregatoren verschiedene Verteilungsmethoden und Formate für ihre Hinweise verwenden, wird die Herausforderung der effizienten Verfolgung und Verwaltung von Schwachstellen operativ komplex und schwer zu skalieren. Darüber hinaus verschlimmert die zunehmende Offenlegung von Schwachstellen die manuellen Prozesse, überfordert die Sicherheitsteams und erhöht das Risiko von Fehlern oder Verzögerungen bei den Abhilfemaßnahmen.

Schwierige Bewertung des Risikokontextes

NIST SP 800-40r4 „Guide to Enterprise Patch Management Planning“ Abschnitt 3 empfiehlt die Anwendung von Schwachstellen-Metriken auf Unternehmensebene. Da das Risiko letztlich vom Kontext jeder Schwachstelle abhängt – Faktoren wie betroffene Systeme, potenzielle Auswirkungen und Ausnutzbarkeit -, stellt die derzeitige Umgebung mit Ad-hoc-Sicherheitsinformationen ein erhebliches Hindernis für ein solides risikobasiertes Schwachstellenmanagement dar.

Wie löst CSAF 2.0 diese Probleme?

Bei den CSAF-Dokumenten handelt es sich um wichtige Hinweise zu Cyber-Bedrohungen, mit denen die Lieferkette für Schwachstelleninformationen optimiert werden kann. Anstatt Ad-hoc-Schwachstellendaten manuell zu sammeln, können Produktanwender maschinenlesbare CSAF-Hinweise aus vertrauenswürdigen Quellen automatisch in einem Advisory Management System zusammenführen, das die Kernfunktionen des Schwachstellenmanagements wie Asset-Matching und Risikobewertung kombiniert. Auf diese Weise zielt die Automatisierung von Sicherheitsinhalten mit CSAF darauf ab, die Herausforderungen des traditionellen Schwachstellenmanagements durch die Bereitstellung zuverlässigerer und effizienterer Sicherheitsinformationen zu bewältigen und das Potenzial für das Schwachstellenmanagement der nächsten Generation zu schaffen.

CSAF 2.0 löst die Probleme des traditionellen Schwachstellenmanagements auf folgende Weise:

Zuverlässigere Sicherheitsinformationen

CSAF 2.0 behebt das Problem der Ad-hoc-Sicherheitsinformationen, indem es mehrere Aspekte der Offenlegung von Sicherheitslücken standardisiert. So erlauben die Felder zur Angabe der betroffenen Version standardisierte Daten wie Version Range Specifier (vers), Common Platform Enumeration (CPE), Paket-URL-Spezifikation, CycloneDX SBOM sowie den allgemeinen Produktnamen, die Seriennummer, die Modellnummer, die SKU oder den File-Hash zur Identifizierung betroffener Produktversionen.

Neben der Standardisierung von Produktversionen unterstützt CSAF 2.0 auch den Austausch von Schwachstellen (Vulnerability Exploitability eXchange, VEX), mit dem Produkthersteller, vertrauenswürdige CSAF-Anbieter oder unabhängige Sicherheitsforscher explizit den Status der Produktbehebung angeben können. VEX liefert Produktanwendern Empfehlungen für Abhilfemaßnahmen.

Die expliziten VEX-Status-Deklarationen sind:

  • Nicht betroffen: Es sind keine Abhilfemaßnahmen bezüglich einer Schwachstelle erforderlich.
  • Betroffen: Es werden Maßnahmen empfohlen, um eine Schwachstelle zu beheben oder zu beseitigen.
  • Behoben: Bedeutet, dass diese Produktversionen einen Fix für eine Sicherheitslücke enthalten.
  • Wird untersucht: Es ist noch nicht bekannt, ob diese Produktversionen von einer Sicherheitslücke betroffen sind. Ein Update wird in einer späteren Version zur Verfügung gestellt.

Effektivere Nutzung von Ressourcen

CSAF ermöglicht mehrere vor- und nachgelagerte Optimierungen des traditionellen Schwachstellenmanagement-Prozesses. Die OASIS CSAF 2.0-Dokumentation enthält Beschreibungen mehrerer Konformitätsziele, die es Cybersecurity-Administratoren ermöglichen, ihre Sicherheitsabläufe zu automatisieren und so ihre Ressourcen effizienter zu nutzen.

Hier sind einige Zielvorgaben für die Einhaltung der Vorschriften, auf die im CSAF 2.0 die eine effektivere Nutzung von Ressourcen über den traditionellen Prozess des Schwachstellenmanagements hinaus unterstützen:

  • Advisory Management System: Ein Softwaresystem, das Daten verarbeitet und CSAF-2.0-konforme Beratungsdokumente erstellt. Es ermöglicht den CSAF-Produktionsteams, die Qualität der zu einem bestimmten Zeitpunkt eingehenden Daten zu bewerten, sie zu überprüfen, zu konvertieren und als gültige CSAF-2.0-Sicherheitshinweise zu veröffentlichen. Auf diese Weise können CSAF-Produzenten die Effizienz ihrer Informationspipeline optimieren und gleichzeitig sicherstellen, dass korrekte Hinweise veröffentlicht werden.
  • CSAF Management System: Ein Programm, das CSAF-Dokumente verwalten kann und in der Lage ist, deren Details gemäß den Anforderungen des CSAF-Viewers anzuzeigen. Auf der grundlegendsten Ebene ermöglicht dies sowohl den vorgelagerten Produzenten als auch den nachgelagerten Konsumenten von Sicherheitshinweisen, deren Inhalt in einem für Menschen lesbaren Format zu betrachten.
  • CSAF Asset Matching System / SBOM Matching System: Ein Programm, das mit einer Datenbank von IT-Assets, einschließlich Software Bill of Materials (SBOM), integriert wird und Assets mit allen CSAF-Hinweisen abgleichen kann. Ein Asset-Matching-System dient dazu, einem Unternehmen, das CSAF nutzt, Einblick in seine IT-Infrastruktur zu verschaffen, festzustellen, wo anfällige Produkte vorhanden sind, und optimale Informationen zur automatischen Risikobewertung und -behebung zu liefern.
  • Technisches System: Eine Softwareanalyse-Umgebung, in der Analysewerkzeuge ausgeführt werden. Ein Engineering-System kann ein Build-System, ein Versionskontrollsystem, ein Ergebnisverwaltungssystem, ein Fehlerverfolgungssystem, ein Testausführungssystem usw. umfassen.

Dezentralisierte Cybersicherheitsinformationen

Der kürzlich verkündete Ausfall des CVE-Anreicherungsprozesses der NIST National Vulnerability Database (NVD) zeigt, wie riskant es sein kann, sich auf eine einzige Quelle für Schwachstelleninformationen zu verlassen. CSAF ist dezentralisiert und ermöglicht es nachgelagerten Nutzern von Schwachstellen, Informationen aus einer Vielzahl von Quellen zu beziehen und zu integrieren. Dieses dezentralisierte Modell des Informationsaustauschs ist widerstandsfähiger gegen den Ausfall eines Informationsanbieters, während die Last der Anreicherung von Schwachstellen effektiver auf eine größere Anzahl von Beteiligten verteilt wird.

Anbieter von IT-Produkten für Unternehmen wie RedHat und Cisco haben bereits ihre eigenen CSAF- und VEX-Feeds erstellt, während staatliche Cybersicherheitsbehörden und nationale CERT-Programme wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ebenfalls CSAF-2.0-Austauschfunktionen entwickelt haben. 

Das dezentralisierte Modell ermöglicht es auch, dass sich mehrere Interessengruppen zu einer bestimmten Schwachstelle äußern, so dass die nachgeschalteten Verbraucher mehr Informationen über eine Schwachstelle erhalten. Mit anderen Worten: Eine Informationslücke in einem Gutachten kann von einem alternativen Hersteller geschlossen werden, der die genaueste Bewertung oder spezialisierte Analyse liefert.

Verbesserte Risikobewertung und Priorisierung von Schwachstellen

Insgesamt tragen die Vorteile des CSAF 2.0 zu einer genaueren und effizienteren Risikobewertung, Priorisierung und Abhilfemaßnahmen bei. Produktanbieter können direkt verlässliche VEX-Hinweise veröffentlichen, die Entscheidungsträgern im Bereich Cybersicherheit zeitnahe und vertrauenswürdige Informationen zu Abhilfemaßnahmen liefern. Außerdem dient das aggregierte Schweregradobjekt (aggregate_severity) in CSAF 2.0 als Vehikel, um verlässliche Dringlichkeits- und Kritikalitätsinformationen für eine Gruppe von Schwachstellen zu übermitteln, was eine einheitlichere Risikoanalyse und eine datengesteuerte Priorisierung von Abhilfemaßnahmen ermöglicht und die Expositionszeit kritischer Schwachstellen verkürzt.

Zusammenfassung

Herkömmliche Verfahren zum Management von Schwachstellen leiden unter mangelnder Standardisierung, was zu Problemen bei der Zuverlässigkeit und Skalierbarkeit führt und die Bewertung des Risikokontexts sowie die Fehlerwahrscheinlichkeit erschwert.

Das Common Security Advisory Framework (CSAF) 2.0 zielt darauf ab, den bestehenden Prozess des Schwachstellenmanagements zu revolutionieren, indem es eine zuverlässigere, automatisierte Sammlung von Schwachstelleninformationen ermöglicht. Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats für den Austausch von Schwachstelleninformationen im Bereich der Cybersicherheit und die Dezentralisierung ihrer Quelle versetzt CSAF 2.0 Organisationen in die Lage, zuverlässigere Sicherheitsinformationen zu nutzen, um ein genaueres, effizienteres und konsistenteres Schwachstellenmanagement zu erreichen.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von