Schlagwortarchiv für: Ivanti

Cyber-Bedrohungen entwickeln sich in halsbrecherischem Tempo, aber die grundlegenden Schwachstellen, die Angreifer ausnutzen, bleiben auffallend unverändert. Für das Jahr 2025 haben viele Analysten einen Rückblick auf das Jahr 2024 und einen Ausblick auf das Jahr 2025 veröffentlicht. Die Kosten für Cyberverletzungen steigen, aber insgesamt haben sich die Ursachen für Cyberverletzungen nicht geändert. Phishing [T1566] und das Ausnutzen bekannter Software-Schwachstellen [T1190] stehen weiterhin ganz oben auf der Liste. Eine weitere wichtige Beobachtung ist, dass Angreifer öffentliche Informationen immer schneller als Waffe einsetzen und Enthüllungen von CVEs (Common Vulnerabilities and Exposures) innerhalb von Tagen oder sogar Stunden in brauchbaren Exploit-Code umwandeln. Sobald sie in das Netzwerk eines Opfers eingedrungen sind, führen sie ihre präzisen Absichten in der zweiten Phase ebenfalls schneller aus und setzen Ransomware innerhalb von Minuten ein.

In diesem Threat Report gehen wir kurz auf die aufgedeckten Chats der Ransomware-Gruppe Black Basta ein und werfen einen Blick darauf, wie Greenbone vor deren offengelegten Machenschaften schützt. Wir werden auch einen Bericht von Greynoise über die massenhafte Ausnutzung von Schwachstellen, eine neue, aktiv genutzte Schwachstelle in der Zimbra Collaboration Suite und neue Bedrohungen für Edge-Networking-Geräte unter die Lupe nehmen.

Das Zeitalter der tektonischen Technologien

Wenn Sicherheitskrisen wie Erdbeben sind, dann entspricht das globale Technologie-Ökosystem den zugrunde liegenden tektonischen Platten. Dieses Ökosystem lässt sich am besten als das Paläozoikum der Erdgeschichte darstellen. Die rasanten Innovations- und Wettbewerbskräfte des Markts schieben und zerren an der Struktur der IT-Sicherheit wie die kollidierenden Superkontinente von Pangäa; ständige Erdbeben zwingen die Kontinente zu permanenten Verschiebungen.

Völlig neue Computerparadigmen wie die generative KI und das Quantencomputing schaffen Vorteile und Risiken; Vulkane von Wert und instabilem Boden. Globale Regierungen und Tech-Giganten ringen um den Zugang zu den sensiblen persönlichen Daten der Bürger und erhöhen damit die Schwerkraft. Diese Kämpfe haben erhebliche Auswirkungen auf die Privatsphäre und die Sicherheit und beeinflussen letztendlich die Entwicklung der Gesellschaft. Hier sind einige der wichtigsten Kräfte, die die IT-Sicherheit heute destabilisieren:

  • Sich schnell entwickelnde Technologien treiben die Innovation voran und erzwingen den technischen Wandel.
  • Unternehmen sind zum einen gezwungen, sich zu ändern, da Technologien und Standards an Wert verlieren, und zum anderen sind sie motiviert, sich zu ändern, um am Markt fortzubestehen.
  • Der harte Wettbewerb beschleunigt die Produktentwicklung und die Veröffentlichungszyklen.
  • Strategisch geplante Obsoleszenz hat sich als Geschäftsstrategie zur Erzielung finanzieller Gewinne etabliert.
  • Der weit verbreitete Mangel an Verantwortlichkeit für Softwareanbieter hat dazu geführt, dass Leistung Vorrang vor dem Grundsatz „Security First“ hat.
  • Nationalstaaten setzen Waffentechnologien für Cyber Warfare, Information Warfare und Electronic Warfare ein.

Dank dieser Kräfte finden gut ausgestattete und gut organisierte Cyber-Kriminelle eine praktisch unbegrenzte Anzahl von Sicherheitslücken, die sie ausnutzen können. Das Zeitalter des Paläozoikums dauerte 300 Millionen Jahre. Hoffentlich müssen wir nicht so lange warten, bis die Produkthersteller Verantwortung zeigen und sichere Konstruktionsprinzipien anwenden [1][2][3], um sogenannte „unverzeihliche“ Schwachstellen durch Fahrlässigkeit zu verhindern [4][5]. Unternehmen müssen daher technische Flexibilität und effiziente Patch-Management-Programme entwickeln. Ein kontinuierliches, priorisiertes Schwachstellenmanagement ist ein Muss.

Mit Greenbone gegen Black Basta

Durchgesickerte interne Chat-Protokolle der Ransomware-Gruppe Black Basta lassen in die Taktik und die inneren Abläufe der Gruppe blicken. Die Protokolle wurden von einer Person unter dem Pseudonym „ExploitWhispers“ veröffentlicht, die behauptet, die Veröffentlichung sei eine Reaktion auf die umstrittenen Angriffe von Black Basta auf russische Banken, die angeblich zu internen Konflikten innerhalb der Gruppe führten. Seit seinem Auftauchen im April 2022 hat Black Basta Berichten zufolge über 100 Millionen US-Dollar an Lösegeldzahlungen von mehr als 300 Opfern weltweit erhalten. 62 CVEs, auf die in den geleakten Dokumenten verwiesen wird, offenbaren die Taktik der Gruppe zur Ausnutzung bekannter Schwachstellen. Von diesen 62 CVEs unterhält Greenbone Erkennungstests für 61, was 98 % der CVEs abdeckt.

Greynoise-Report über massenhafte Ausnutzung von Schwachstellen

Mass-Exploitation-Angriffe sind vollautomatische Angriffe auf Dienste im Netzwerk, die via Internet zugänglich sind. Diesen Monat hat Greynoise einen umfassenden Bericht veröffentlicht, der die Mass-Exploitation-Landschaft zusammenfasst, einschließlich der 20 wichtigsten CVEs, die von den größten Botnets angegriffen werden (eindeutige IPs) und der Anbieter der am häufigsten angegriffenen Produkte. Hinzu kommen die wichtigsten der in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommenen CVEs, die von Botnets ausgenutzt werden. Der Greenbone Enterprise Feed bietet Erkennungstests für 86 % aller CVEs (86 insgesamt), auf die im Bericht verwiesen wird. Wenn nur CVEs berücksichtigt werden, die im Jahr 2020 oder später veröffentlicht wurden (insgesamt 66), deckt unser Enterprise Feed 90 % davon ab.

Weitere Ergebnisse sind:

  • 60 % der CVEs, die bei Massenangriffen ausgenutzt wurden, wurden 2020 oder später veröffentlicht.
  • Angreifer nutzen Schwachstellen innerhalb von Stunden nach ihrer Veröffentlichung aus.
  • 28 % der Schwachstellen in CISA KEV werden von Ransomware-Gruppen ausgenutzt.

Zimbra Collaboration Suite

CVE-2023-34192 (CVSS 9.0) ist eine hoch gefährliche Cross-Site-Scripting (XSS)-Schwachstelle in der Zimbra Collaboration Suite (ZCS) Version 8.8.15. Sie erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte Skripte, die auf die Funktion „/h/autoSaveDraft“ abzielen. Die CISA hat CVE-2023-34192 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv in realen Angriffen ausgenutzt wurde. Der PoC-Exploit-Code (Proof of Concept) ist öffentlich verfügbar, sodass auch weniger erfahrene Angreifer hier mitmischen können. CVE-2023-34192 hat seit ihrer Aufdeckung im Jahr 2023 einen sehr hohen EPSS-Score. Für Verteidiger, die EPSS (Exploit Prediction Scoring System) für die Priorisierung von Abhilfemaßnahmen nutzen, bedeutet dies, mit hoher Priorität zu patchen.

Die Zimbra Collaboration Suite (ZCS) ist eine Open-Source-Plattform für Office-Anwendungen, die E-Mail, Kalender, Kontakte, Aufgaben und Tools für die Zusammenarbeit integriert, aber einen Nischenmarktanteil von weniger als 1 % aller E-Mail- und Messaging-Plattformen hält.

„Living on the Edge“: kritische Schwachstellen in Netzwerkgeräten

In unserem monatlichen Threat Report haben wir die anhaltende Bedrohung von Edge-Netzwerkgeräten nachvollzogen. Anfang dieses Monats berichteten wir über das maximale Desaster, das die Auslaufmodelle der Zyxel-Router und -Firewalls heraufbeschwören. In diesem Abschnitt befassen wir uns mit neuen Sicherheitsrisiken, die in die Kategorie „Edge Networking“ fallen. Greenbone verfügt über Erkennungsfunktionen für alle im Folgenden beschriebenen CVEs.

Chinesische Hacker nutzen PAN-OS von Palo Alto für Ransomware

CVE-2024-0012 (CVSS 9.8), eine Sicherheitslücke in Palo Alto PAN-OS, die im November letzten Jahres bekannt wurde, gilt als eine der am häufigsten ausgenutzten Sicherheitslücken des Jahres 2024. Die CVE wird Berichten zufolge auch von staatlich unterstützten chinesischen Bedrohungsakteuren für Ransomware-Angriffe genutzt. Eine weitere neue Schwachstelle, die PAN-OS betrifft, CVE-2025-0108 (CVSS 9.1), wurde erst diesen Monat bekannt gegeben und von der CISA sofort als aktiv ausgenutzt eingestuft. Mit CVE-2025-0108 lässt sich die Authentifizierung in der Webmanagement-Schnittstelle umgehen. Sie kann mit gekoppelt werden mit CVE-2024-9474 (CVSS 7.2), einer separaten Schwachstelle für die Ausweitung von Privilegien, um unauthentifizierte Kontrolle über Root-Dateien in einem ungepatchten PAN-OS-Gerät zu erlangen.

SonicWall flickt kritische, aktiv ausgenutzte Schwachstelle in SonicOS

CVE-2024-53704, eine kritische Sicherheitslücke in SonicWall-Geräten, wurde kürzlich in die KEV-Liste der CISA aufgenommen. Erstaunlicherweise listet die CISA acht CVEs bei SonicWall auf, von denen bekannt ist, dass sie aktiv in Ransomware-Angriffen ausgenutzt werden. Die neue Bedrohung, CVE-2024-53704 (CVSS 9.8) ist eine Schwachstelle, die durch einen unsauberen Authentifizierungsmechanismus [CWE-287] im SSLVPN der SonicOS-Versionen 7.1.1-7058 und älter, 7.1.2-7019 und 8.0.0-8035 von SonicWall entsteht. Sie ermöglicht es Angreifern, die Authentifizierung zu umgehen und aktive SSL-VPN-Sitzungen zu kapern, wodurch sie möglicherweise unbefugten Zugriff auf das Netzwerk erhalten. Eine vollständige technische Analyse ist bei BishopFox verfügbar. In einem Security Advisory von SonicWall werden außerdem weitere CVEs mit hohem Schweregrad in SonicOS genannt, die zusammen mit CVE-2024-53704 gepatcht wurden.

CyberoamOS und EOL XG Firewalls von Sophos aktiv ausgenutzt

Der Security-Anbieter Sophos, der Cyberoam im Jahr 2014 übernommen hat, hat eine Warnung und einen Patch für CVE-2020-29574 herausgegeben. CyberoamOS ist Teil des Produkt-Ökosystems von Sophos. Abgesehen von diesem CVE ist auch die Sophos XG Firewall, die bald auslaufen wird, Gegenstand einer Warnung über eine mögliche aktive Ausnutzung.

  • CVE-2020-29574 (CVSS 9.8): Eine kritische SQL-Injection-Schwachstelle [CWE-89] wurde in der WebAdmin-Schnittstelle von CyberoamOS-Versionen bis zum 4. Dezember 2020 entdeckt. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, beliebige SQL-Anweisungen aus der Ferne auszuführen und möglicherweise vollständigen administrativen Zugriff auf das Gerät zu erlangen. Es wurde ein Hotfix-Patch veröffentlicht, der auch für einige betroffene End-of-Life (EOL) Produkte gilt.
  • CVE-2020-15069 (CVSS 9.8) ist eine kritische Buffer-Overflow-Schwachstelle in den Sophos XG Firewall-Versionen 17.x bis v17.5 MR12, die nicht authentifizierte Remote Code Execution (RCE) über die HTTP/S-Lesezeichen-Funktion für den clientlosen Zugriff ermöglicht. Diese 2020 veröffentlichte Sicherheitslücke wird nun aktiv ausgenutzt und wurde in die CISA KEV aufgenommen, was auf ein erhöhtes Risiko hinweist. Sophos veröffentlichte 2020, als die Sicherheitslücke bekannt wurde, einen Hinweis zusammen mit einem Hotfix für betroffene Firewalls. Die Hardware-Appliances der XG-Serie werden voraussichtlich bald, am 31. März 2025, das Ende ihrer Lebensdauer (EOL) erreichen.

PrivEsc- und Auth-Umgehungen in Fortinet FortiOS und FortiProxy

Fortinet hat zwei kritische Sicherheitslücken bekannt gegeben, die beide FortiOS und FortiProxy betreffen. Das Canadian Center for Cybersecurity und das Belgian Center for Cybersecurity haben Hinweise veröffentlicht. Fortinet räumt ein, dass CVE-2024-55591 aktiv ausgenutzt wird, und hat eine offizielle Anleitung veröffentlicht, die Details zu den betroffenen Versionen und empfohlenen Updates enthält.

  • CVE-2024-55591 (CVSS 9.8): Ein Authentication Bypass unter Verwendung eines alternativen Pfads oder Kanals [CWE-288], die FortiOS betrifft, ermöglicht es einem Angreifer, remote über manipulierte Anfragen an das Node.js-Websocket-Modul Super-Admin-Rechte zu erlangen. Es stehen mehrere PoC-Exploits zur Verfügung [1][2], die das Risiko einer Ausnutzung durch weniger erfahrene Angreifer erhöhen.
  • CVE-2024-40591 (CVSS 8.8): Ermöglicht es einem authentifizierten Administrator mit Security Fabric-Berechtigungen, seine Privilegien zum Super-Administrator zu erweitern, indem er das betroffene FortiGate-Gerät mit einem kompromittierten Upstream-FortiGate unter seiner Kontrolle verbindet.

Cisco-Schwachstellen als erste Zugangsvektoren bei Telekom-Hacks

In den letzten Monaten hat die chinesische Spionagegruppe Salt Typhoon routinemäßig mindestens zwei kritische Schwachstellen in Cisco IOS XE-Geräten ausgenutzt, um sich dauerhaft Zugang zu Telekommunikationsnetzen zu verschaffen. Zu den Opfern gehören italienische ISPs, eine südafrikanische und eine große thailändische Telekommunikationsgesellschaft sowie zwölf Universitäten weltweit, darunter die UCLA, die indonesische Universitas Negeri Malang und die mexikanische UNAM. Zuvor hatte Salt Typhoon mindestens neun US-amerikanische Telekommunikationsunternehmen angegriffen, darunter Verizon, AT&T und Lumen Technologies. Die US-Behörden behaupten, Salt Typhoons Ziel sei die Überwachung von hochrangigen Personen, politischen Persönlichkeiten und Beamten, die mit chinesischen politischen Interessen in Verbindung stehen.

Zu den CVEs, die von Salt Typhoon ausgenutzt werden, gehören:

  • CVE-2023-20198 (CVSS 10): Eine Schwachstelle zur Privilegien-Erweiterung in der Web-Schnittstelle von Cisco IOS XE. Sie wird für den anfänglichen Zugriff verwendet und ermöglicht es Angreifern, ein Admin-Konto zu erstellen.
  • CVE-2023-20273 (CVSS 7.2): Eine weitere Schwachstelle, die zur Erweiterung von Privilegien führt. Nach Erlangung des Admin-Zugriffs wird sie dazu genutzt, den privilegierten Zugriff auf Root-Dateien zu erweitern und einen GRE-Tunnel (Generic Routing Encapsulation) für den dauerhaften Verbleib im Netzwerk einzurichten.

Außerdem wurden im Februar 2025 zwei weitere CVEs in Cisco-Produkten bekannt:

  • CVE-2023-20118 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche von Cisco Small Business Routern erlaubt es authentifizierten, entfernten Angreifern, beliebige Befehle mit Root-Rechten auszuführen, indem sie manipulierte HTTP-Anfragen senden. Die CISA hat CVE-2023-20118 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv ausgenutzt wird.
  • CVE-2023-20026 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche der Cisco Small Business Router der RV042-Serie erlaubt authentifizierten, entfernten Angreifern mit gültigen administrativen Anmeldeinformationen, beliebige Befehle auf dem Gerät auszuführen. Die Schwachstelle ist auf eine unsachgemäße Validierung von Benutzereingaben in eingehenden HTTP-Paketen zurückzuführen. Es ist zwar nicht bekannt, dass CVE-2023-20026 in aktiven Kampagnen ausgenutzt wird, aber dem Product Security Incident Response Team (PSIRT) von Cisco ist bekannt, dass PoC-Exploit-Code für diese Sicherheitslücke existiert.

Ivanti patcht vier kritische Schwachstellen

Es wurden vier kritische Schwachstellen identifiziert, die Ivanti Connect Secure (ICS), Policy Secure (IPS) und Cloud Services Application (CSA) betreffen. Bisher sind keine Berichte über aktive Angriffe in freier Wildbahn oder PoC-Exploits aufgetaucht. Ivanti rät Anwendern, umgehend auf die neuesten Versionen zu aktualisieren, um diese kritischen Sicherheitslücken zu schließen.

Hier ist eine kurze technische Zusammenfassung:

  • CVE-2025-22467 (CVSS 8.8): Angreifer mit Anmeldeinformationen können aufgrund eines Stack-basierten Buffer Overflow in ICS-Versionen vor 22.7R2.6 Remote Code Execution (RCE) erreichen [CWE-121].
  • CVE-2024-38657 (CVSS 9.1): Angreifer mit Anmeldeinformationen können beliebige Dateien schreiben aufgrund einer externen Kontrolle des Dateinamens in ICS-Versionen vor 22.7R2.4 und IPS-Versionen vor 22.7R1.3.
  • CVE-2024-10644 (CVSS 9.1): Ein Code-Injection-Fehler in ICS (vor 22.7R2.4) und IPS (vor 22.7R1.3) ermöglicht beliebige RCE für authentifizierte Administratoren.
  • CVE-2024-47908 (CVSS 7.2): Eine Schwachstelle in der Command Injection des Betriebssystems [CWE-78] in der Admin-Webkonsole von CSA (Versionen vor 5.0.5) erlaubt beliebige RCE für authentifizierte Administratoren.

Zusammenfassung

Der Threat Report dieses Monats beleuchtet wichtige Entwicklungen im Bereich der Cybersicherheit, darunter die sich weiterentwickelnden Taktiken von Ransomware-Gruppen wie Black Basta und die allgegenwärtige kritische Bedrohung für Edge-Netzwerkgeräte. Unterstützt durch KI-Tools nutzen Angreifer Schwachstellen immer schneller aus – manchmal schon wenige Stunden nach ihrer Entdeckung. Unternehmen müssen wachsam bleiben, indem sie proaktive Sicherheitsmaßnahmen ergreifen, ihre Abwehr kontinuierlich aktualisieren und Bedrohungsdaten nutzen, um neuen Gefahren einen Schritt voraus zu sein.

Der Mai 2024 ließ den rekordverdächtigen CVE-Berg vom April als Maulwurfshügel erscheinen. Der bisherige Rekord für die meisten CVEs (Common Vulnerabilities and Exposures), die in einem Monat veröffentlicht wurden, stieg um 36,9 %. Insgesamt wurden im Mai 2024 sage und schreibe 5.061 Schwachstellen veröffentlicht. In Anbetracht der potenziell hohen Kosten einer Datenpanne müssen Sicherheitsteams über aktuelle Cybersicherheitstrends und die neuesten Schwachstellen auf dem Laufenden bleiben.

Wir stellen hier mehrere bekannte Unternehmenssoftware-Anbieter vor, die massenhaft von neu entdeckten Schwachstellen betroffen sind und einige der neuesten bekannten Sicherheitslücken behandeln. Doch zunächst berichten wir über einen Mitarbeiter: Christian Kürsteiner, ein Mitglied des Greenbone-Entwicklungsteams für Schwachstellentests, hat mit seiner verantwortungsvollen Offenlegung dazu beigetragen, dass weniger Schwachstellen in freier Wildbahn existieren, die Angreifer ausnutzen können.

Greenbones Beitrag zur Aufdeckung

Im Mai veröffentlichte Christian Kürsteiner, ein Softwareentwickler des Greenbone-Teams, eine Sicherheitslücke, die er im Telerik Report Server entdeckt hatte. Telerik Report Server ist eine proprietäre, zentralisierte Windows-basierte Plattform für die Verwaltung und Verteilung von Berichten. Die als CVSS 5.5 eingestufte Schwachstelle könnte es einem unbefugten Angreifer ermöglichen, Zugang zu sensiblen Admin-Konfigurationsdaten zu erlangen [CWE-200], und wurde inzwischen als CVE-2024-4837 veröffentlicht.

Wir baten Christian zu beschreiben, was verantwortungsvolle Sicherheitsforscher tun, wenn sie einen Fehler finden. Hier sein Statement:

„Das Ziel von Greenbone ist es, unsere Kunden zu schützen. Daher versuchen wir natürlich, Schwachstellen, die wir finden, direkt an den Hersteller mit den Details zu melden, damit dieser seinen Kunden Korrekturen anbieten kann, bevor Angreifer sie ausnutzen können. Die Mitarbeiter von Progress / Telerik und BugCrowd haben sehr schnell reagiert, die Sicherheitslücke bestätigt und behoben. Innerhalb einer Woche nach der Meldung wurde die Schwachstelle behoben und ein öffentlicher Hinweis veröffentlicht.“
Christian Kürsteiner, Security Researcher and Vulnerability Test Developer at Greenbone

In diesem Fall ist Christians Beitrag ein Beispiel dafür, wie das Verfahren zur Meldung von Fehlern, auch bekannt als „Responsible Disclosure„, funktionieren soll. Der interne Offenlegungsprozess eines Anbieters wird ausgelöst, wenn ein Sicherheitsforscher ihn über einen Fehler informiert. Da verantwortungsvolle Software-Ingenieure nicht die einzigen sind, die den Fehler entdecken, könnte er zu einem Einfallstor für böswillige Akteure werden, um in einem Netzwerk Fuß zu fassen und Daten zu stehlen oder Ransomware einzusetzen. In vielen Fällen erstreckt sich der Schaden auch auf die Allgemeinheit, wie bei der jüngsten Sicherheitsverletzung bei Change Healthcare.

Anbietern wird empfohlen, bewährte Verfahren zu befolgen, indem sie eine Datei security.txt [RFC-9116] im Stammverzeichnis ihrer Unternehmensdomäne veröffentlichen, eine Datei SECURITY.md in öffentliche GitHub-Repositories aufnehmen und eine E-Mail-Adresse wie security@example.com [RFC-2142] für den Empfang sicherheitsrelevanter Informationen einrichten.

Unsere Geschichte endet positiv. Telerik hat schnell ein Sicherheitsupdate veröffentlicht, das die Sicherheitslücke behebt. Benutzer sollten ihre Instanz von Report Server auf Version 2024 Q2 (10.1.24.514) oder höher aktualisieren, um sich vor CVE-2024-4837 zu schützen. Schließlich kann CVE-2024-4837 von Greenbone sowohl mit einem aktiven Check als auch mit einem Versionserkennungstest erkannt werden.

Cisco: 21 neue Schwachstellen – 10 mit hohem Schweregrad; 2 aktiv ausgenutzt

Der Mai war ein harter Monat für Cisco-Produkte in Bezug auf Sicherheitslücken. Insgesamt wurden 21 neue Schwachstellen in einer Vielzahl von Cisco-Produkten bekannt gegeben. Davon waren zehn besonders schwerwiegend. Dies folgt auf Informationen von Ende April, als zwei Schwachstellen in Cisco-Produkten in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen wurden. Cisco Talos berichtete, dass diese neuen Schwachstellen Teil einer Cyberspionage-Kampagne mit dem Namen „ArcaneDoor“ sind, die auf Perimeter-Netzwerkgeräte abzielt und im Januar 2024 begann.

  • CVE-2024-20353 (CVSS 8.6 Hoch): Eine DoS-Schwachstelle (Denial of Service) in den Verwaltungs- und VPN-Webservern für die Software Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD), die durch eine unvollständige Fehlerprüfung beim Parsen eines HTTP-Headers verursacht wird, kann es einem Angreifer ermöglichen, ein verwundbares System remote auszunutzen. Es ist bekannt, dass CVE-2024-20353 aktiv ausgenutzt wird.
  • CVE-2024-20359 (CVSS 6.0 Hoch): Eine Schwachstelle in der Cisco ASA- und Cisco FTD-Software ermöglicht es einem authentifizierten, lokalen Angreifer, beliebigen Code mit Root-Rechten auszuführen, nachdem er eine bösartige Datei aus dem Flash-Speicher hochgeladen und das System neu geladen hat, um seine Konfiguration zu ändern. Auch CVE-2024-20359 wird bekanntermaßen aktiv ausgenutzt.
  • CVE-2024-20356 (CVSS 8.7 Hoch): Eine Schwachstelle in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller (IMC) ermöglicht es einem Angreifer mit Admin-Zugriff auf die webbasierte Verwaltungsschnittstelle, auf dem betroffenen Gerät Command-Injection-Angriffe mit Rechten auf Systemebene durchzuführen. Dadurch kann ein Angreifer möglicherweise Aktionen außerhalb des vorgesehenen Anwendungsbereichs der Managementoberfläche durchführen, um Malware oder ein Rootkit zu installieren. Darüber hinaus wurde CVE-2024-20356 zwar noch nicht in den KEV-Katalog der CISA aufgenommen, aber der Exploit Code (Proof of Concept) ist öffentlich verfügbar.

Greenbone ist in der Lage, betroffene Versionen von Ciscos ASA [1][2], Cisco FTD Software [3][4] und Cisco IMC [5] sowie andere kürzlich bekannt gewordene Schwachstellen in Cisco-Produkten zu identifizieren.

GitLab Community und Enterprise aktiv ausgenutzt

Eine Schwachstelle in den Editionen GitLab Community und Enterprise, die erstmals im Januar 2024 öffentlich bekannt wurde, wurde von der CISA am 1. Mai 2024 als aktiv ausgenutzt eingestuft CVE-2023-7028 (CVSS 10 Kritisch). Die Behebung bekannter, aktiv ausgenutzter kritischer Schwachstellen sollte für IT-Sicherheitsteams in Unternehmen höchste Priorität haben. Insgesamt wurden im Mai dieses Jahres 13 neue Sicherheitslücken bekannt, die GitLab betreffen.

CVE-2023-7028 resultiert aus einem Fehler bei der Implementierung von Zugriffskontrollen [CWE-284] und ermöglicht es einem Angreifer, E-Mails zum Zurücksetzen von Passwörtern an eine beliebige E-Mail-Adresse zu senden. Die Ausnutzung ermöglicht einem Angreifer den Zugriff auf Administratorkonten in der Community Edition (CE) und Enterprise Edition (EE) von GitLab, ein webbasiertes DevOps-Lifecycle-Tool und Git-Repository-Manager.

CVE-2023-7028 ist in allen Hauptversionen von GitLab von 16.1 bis 16.7 vorhanden, die nicht die neuesten Patches installiert haben. Mindestens ein öffentlich verfügbarer PoC-Exploit und eine detaillierte technische Beschreibung bedeuten, dass diese Schwachstelle in Zukunft als trivial ausnutzbar eingestuft werden sollte.

CVE-2024-4835 ragte ebenfalls aus dem Stapel der Mai-Schwachstellen in GitLab heraus. Mit einem CVSS-Wert von 8,0 ist CVE-2024-4835 eine Cross-Site-Scripting (XSS)-Schwachstelle im webbasierten Code-Editor, die GitLab in allen Versionen von 15.11 bis 16.10.6, 16.11 bis 16.11.3 und 17.0 bis 17.0.1 betrifft. Durch Ausnutzung von CVE-2024-4835 kann ein Angreifer eine bösartige Seite erstellen, um vertrauliche Benutzerinformationen zu herauszufiltern.

35 neue CVEs von Adobe

Im Mai hat Adobe insgesamt 45 Sicherheitslücken in verschiedenen Produkten bekannt gegeben. Davon wurden 32 als besonders schwerwiegend eingestuft, mit einem CVSS-Wert von 7,8 oder höher. Alle Schwachstellen mit hohem Schweregrad werden ausgenutzt, indem ein Opfer dazu gebracht wird, eine bösartige Datei zu öffnen, was zur Ausführung von beliebigem Code durch einen Angreifer führen kann.

Diese Schwachstellen eignen sich hervorragend für Social-Engineering-Angriffe wie Malspam-, Phishing-, Spear-Phishing- und Drive-by-Download-Kampagnen großer Cybercrime-Gruppen, insbesondere für Initial Access Broker (IAB), die sich unerlaubt Zugang zu den Computern und internen Netzwerken der Opfer verschaffen. Die Benutzer werden dringend aufgefordert, ihre Software auf die neuesten Versionen zu aktualisieren, um die Risiken zu mindern, und ganz allgemein bei Software, die nicht vom Originalhersteller stammt, und beim Öffnen von Dokumenten aus nicht vertrauenswürdigen Quellen sehr vorsichtig zu sein.

Hier ist eine Übersicht über die betroffenen Produkte:

  • Adobe Acrobat Reader: In Acrobat Reader wurden insgesamt elf neue Sicherheitslücken gefunden. Davon wurden neun als besonders schwerwiegend eingestuft, jede mit einem CVSS-Wert von 7,8. Diese Sicherheitslücken betreffen die Adobe Acrobat Reader-Versionen 20.005.30574, 24.002.20736 und früher.
  • Adobe Framemaker: In Adobe Framemaker wurden acht neue Sicherheitslücken gefunden, von denen fünf einen hohen Schweregrad aufweisen. Zu den betroffenen Versionen gehören Adobe Framemaker 2020.5, 2022.3 und früher.
  • Adobe Animate: In Animate wurden im Mai sieben Sicherheitslücken bekannt, von denen fünf als besonders schwerwiegend eingestuft wurden. Die Sicherheitslücken betreffen die Animate-Versionen 24.0.2, 23.0.5 und frühere Versionen.

Ein Taifun kritischer CVEs trifft ArubaOS

Im Mai hat HPE Aruba Networking insgesamt 28 Schwachstellen für sein Betriebssystem ArubaOS bekannt gegeben. Erstaunliche 16 davon wurden als CVSS 9.8 mit hohem Schweregrad oder höher eingestuft. ArubaOS hat bisher nur eine einzige CVE (2024), die im März veröffentlicht wurde, was die Offenlegung in diesem Monat zu einer Anomalie macht. ArubaOS gilt als führend im WLAN-Management und Sicherheitsanwendungen, einschließlich Intrusion Detection und Prevention Systemen. Ein Indiz für den Marktanteil von ArubaOS ist, dass Aruba Networking, eine Tochtergesellschaft von Hewlett-Packard, im zweiten Quartal 2024 einen Umsatz von 7,2 Mrd. Dollar erzielte.

Zu den betroffenen Produkten gehören verschiedene Dienste und Protokolle, auf die über das PAPI-Protokoll zugegriffen wird. Unter den am stärksten betroffenen Komponenten von ArubaOS ragen der Command Line Interface (CLI) Service und der Central Communications Service heraus, die beide mehrere hochgradige Schwachstellen aufweisen, die Angreifern die Ausführung von beliebigem Code ermöglichen könnten. Benutzern wird empfohlen, die neuesten Updates zu installieren und die Lösungshinweise des Herstellers zu befolgen, um betroffene Produkte zu entschärfen.

Greebone enthält Schwachstellentests, um verwundbare ArubaOS-Instanzen zu identifizieren, sodass IT-Sicherheitsteams diese Schwachstellen identifizieren, priorisieren und durch die Installation der Sicherheitsupdates beheben können.

Apache ActiveMQ 6.x: Unsicherheit by Design

Ende 2023 berichteten wir über eine aktiv ausgenutzte CVSS 9.8 kritische Sicherheitslücke in Apache ActiveMQ, einem Message Broker-Dienst, der es Prozessen in einer verteilten Architektur ermöglicht, Informationen in einer Warteschlangenliste auszutauschen.

Im Mai 2024 geriet ActiveMQ erneut unter Beschuss. Diesmal wurde seiner Standardkonfiguration CVE-2024-32114 (CVSS 8.5 Hoch) zugewiesen, eine nicht authentifizierte Schwachstelle in der Jolokia JMX REST API und der Message REST API in der ActiveMQ-Management-API. Die Schwachstelle ermöglicht es Angreifern, frei mit dem Broker zu interagieren, um Nachrichten zu produzieren oder zu konsumieren (über die Jolokia JMX REST API) oder Ziele zu löschen (über die Message REST API).

Greenbone ist in der Lage, CVE-2024-32114 zu erkennen, indem es anfällige Versionen von ActiveMQ identifiziert. Es wird empfohlen, der Standardkonfigurationsdatei conf/jetty.xml eine Sicherheitseinschränkung hinzuzufügen, um eine Authentifizierung zu verlangen, oder auf Apache ActiveMQ 6.1.2 zu aktualisieren, wo die Standardkonfiguration standardmäßig mit Authentifizierung aktualisiert wurde, um die Sicherheitslücke zu schließen.

Gemäß den CISA-Grundsätzen für „Security By Design“ und dem neuen Cyber Resilience Act der EU müssen Produkte mit einer sicheren Standardkonfiguration ausgeliefert werden, da die Anbieter, auch die von Open-Source-Software, mehr Verantwortung für die Sicherheit ihrer Produkte übernehmen müssen.

Ivanti behebt mehrere Sicherheitslücken im Avalanche MDM-System

Ivanti wurde bereits in früheren Greenbone Sicherheitshinweisen erwähnt. Erst letzten Monat wurde in unserem Threat Tracking vom April 2024 beschrieben, wie die MITRE Corporation durch zwei zuvor bekannt gewordene Ivanti-Schwachstellen in Ivanti Connect Secure VPN verletzt wurde. Ivanti ist nun Gegenstand einer weiteren kritischen Schwachstelle in seinem Avalanche für Mobile Device Management (MDM).

Avalanche wurde entwickelt, um Unternehmen bei der Sicherung und Verwaltung ihrer mobilen Geräte, einschließlich Smartphones, Tablets und anderer mobiler Endpunkte, zu unterstützen. Bei der als CVE-2024-29204 mit einem CVSS-Wert von 9.8 kritisch eingestuften Schwachstelle handelt es sich um einen Heap Overflow [CWE-122] in der Komponente WLAvalancheService von Avalanche, der es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebige Befehle auszuführen. Alle Versionen von Ivanti Avalanche vor 6.4.3 sind betroffen. Greenbones Enterprise Feed beinhaltet einen Versionserkennungstest, um verwundbare Instanzen zu identifizieren.

Zusammenfassung

Der Mai 2024 verzeichnete einen deutlichen Anstieg der gemeldeten Schwachstellen und übertraf mit insgesamt 5061 CVEs den Rekord vom April um 36,9%. Einer von Greenbones eigenen Entwicklern hat  im Mai am Responsible Disclosure teilgenommen, um sicherzustellen, dass Schwachstellen identifiziert und gepatcht werden. Schwerwiegende Schwachstellen wurden in zahlreichen Software- und Hardwareprodukten für Unternehmen gemeldet, darunter verschiedene Cisco-Produkte, GitLab, Adobes Produktreihe für kreatives Design, HPs ArubaOS, Apache ActiveMQ und das Avalanche MDM-System von Ivanti. Unternehmen müssen wachsam bleiben, indem sie sich über Schwachstellen auf dem Laufenden halten und sich nach Kräften bemühen, ausnutzbare Schwachstellen in ihrer IT-Infrastruktur zu identifizieren, zu priorisieren und zu patchen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

Aus einer Vogelperspektive betrachtet, wird der kumulative Schaden durch Cyberkriminalität weltweit im Jahr 2024 auf geschätzte 9,2 Billionen Dollar ansteigen. Laut dem „Cost of a Data Breach Report 2023“ der X-Force von IBM verursacht eine einzelne Datenpanne einen durchschnittlichen finanziellen Schaden in Höhe von 4,45 Millionen Dollar für das betroffene Unternehmen. Während US-Firmen mehr als das Doppelte des globalen Durchschnitts tragen, lagen deutsche Organisationen im Durchschnitt.

Die höchsten Kosten nach einer Sicherheitsverletzung entstehen durch Maßnahmen zur Schadensbegrenzung wie Incident Response, digitale Forensik, Systemwiederherstellung und die erforderliche Offenlegung. Auch regulatorische Geldstrafen können die Kosten einer Sicherheitsverletzung erheblich erhöhen. Change Healthcare erwartet in diesem Jahr einen Verlust von 1,6 Milliarden Dollar aufgrund einer im März 2024 erfolgten Sicherheitsverletzung, und es könnten noch weitere regulatorische Geldstrafen folgen.

Diese potenziellen Schäden unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zur Verhinderung erfolgreicher Cyberangriffe und zur Minderung der finanziellen Auswirkungen, falls doch einer auftritt. Das Ponemon Institut hat festgestellt, dass fehlende Sicherheitsupdates für 57 % der Cyberangriffe verantwortlich sind. Weniger häufig gehackt zu werden, ist ein offensichtlicher Vorteil präventiver Cybersicherheitsmaßnahmen. Laut IBM haben Organisationen mit proaktivem risikobasierten Schwachstellenmanagement auch niedrigere durchschnittliche Kosten nach einer Sicherheitsverletzung (3,98 Millionen Dollar) im Vergleich zu Organisationen ohne solche Maßnahmen (4,45 Millionen Dollar), solchen mit Fachkräftemangel (5,36 Millionen Dollar) oder solchen, die nicht konform mit Cybersicherheitsvorschriften sind (5,05 Millionen Dollar).

Angriff auf Change Healthcare

Im März 2024 erlitt Change Healthcare einen Ransomware-Angriff, der das Unternehmen bisher mit etwa 872 Millionen Dollar belastet hat und 6 Milliarden Dollar an Krankenversicherungszahlungen verzögert hat. Change Healthcare prognostiziert einen jährlichen Verlust von 1,6 Milliarden Dollar aufgrund des Vorfalls. Gegründet 2007, ist Change Healthcare ein führendes Technologieunternehmen im Gesundheitswesen, das weltweit Dienstleistungen im Bereich Revenue Cycle Management, Zahlungsgenauigkeit und klinischen Datenaustausch anbietet. Eine Übernahme im Jahr 2022 bewertete das Unternehmen mit 8 Milliarden Dollar.

Untersuchung der HIPAA-Konformität bei Change Healthcare

Zusätzlich zu den erheblichen Schäden hat das US-amerikanische Gesundheitsministerium HHS eine Untersuchung des Angriffs eingeleitet, um festzustellen, ob Change Healthcare gegen Compliance-Anforderungen verstoßen hat. Die HIPAA-Sicherheitsregeln verlangen, dass betroffene Unternehmen „anerkannte Sicherheitspraktiken“ implementieren, um elektronische geschützte Gesundheitsinformationen (ePHI) vor absehbaren Sicherheitsbedrohungen zu schützen.

Kontinuierliches Schwachstellenmanagement ist ein grundlegender Bestandteil aller modernen Cybersicherheitsarchitekturen. Wenn man etwas Positives sehen will, sind die schwersten Strafen für HIPAA-Nichtkonformität auf nur 2 Millionen Dollar begrenzt; eine Kleinigkeit im Vergleich zu den Gesamtkosten der Reaktion und Wiederherstellung in diesem speziellen Vorfall.

Die Greenbone Vulnerability Management-Plattform ist in der Lage, an unterschiedliche Bedürfnisse angepasste Compliance-Tests durchzuführen, um jedes Rahmenwerk einschließlich CIS, DISA STIG, HIPAA und mehr zu erfüllen. Greenbone ist zertifiziert sowohl für sein Informationssicherheitsmanagementsystem ISMS (ISO 27001), Qualitätsmanagement (ISO 9000) und zuletzt auch für Umweltmanagement (ISO-14001).

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

Der April 2024 war ein weiterer rekordverdächtiger Monat für die Veröffentlichung von CVEs. Im Threat-Tracking-Bericht dieses Monats untersuchen wir mehrere neue, aktiv ausgenutzte Schwachstellen und beleuchten den Cyberangriff auf den US-Forschungsriesen MITRE. Der Bericht deckt auch auf, wie sich End-of-Life-Produkte (EOL) nachteilig auf die Cybersicherheitslage eines Unternehmens auswirken können und wie man die damit verbundenen Risiken bewältigt.

MITRE: Schwachstellen durch Ivanti

Die MITRE Corporation ist eine 1958 gegründete gemeinnützige Organisation, die mehrere staatlich finanzierte Forschungs- und Entwicklungszentren zur Unterstützung der US-Verteidigung, der Cybersicherheit, des Gesundheitswesens, der Luftfahrt und anderer Bereiche betreibt. MITRE unterhält auch mehrere zentrale Cybersicherheits-Frameworks wie MITRE ATT&CK, D3FEND sowie Schwachstellen-Ressourcen wie die Datenbanken Common Vulnerabilities and Exposures (CVE), Common Weakness and Enumeration (CWE) und Common Attack Path Enumeration (CAPEC).

Ein kürzlich erfolgter Cyberangriff auf MITRE zeigt, dass selbst die versiertesten Organisationen nicht gegen gezielte Angriffe von Advanced Persistent Threats (APTs) gefeit sind. Der anfängliche Zugang zu einem der Forschungsnetzwerke von MITRE wurde über zwei Sicherheitslücken im Ivanti Connect Secure VPN-Dienst erlangt: CVE-2023-46805 (CVSS 8.2) und CVE-2024-21887 (CVSS 9.1). Wir haben bereits eine ausführliche Beschreibung dieser Schwachstellen veröffentlicht, die beide durch die Schwachstellentests von Greenbone aufgedeckt werden können. Nach dem anfänglichen Zugriff konnten Angreifer mit gestohlenen Sitzungs-Tokens [T1563] auf die angrenzende VMware-Infrastruktur [TA0109] ausweichen, um die Multi-Faktor-Authentifizierung zu umgehen und auf Admin-Konten zuzugreifen.

Wenn es MITRE passieren kann, kann es jeder Organisation passieren, aber das Patchen von Schwachstellen, von denen bekannt ist, dass sie aktiv ausgenutzt werden, ist eine Schlüsselaktivität, auf die alle Organisationen großen Wert legen müssen.

„Operation MidnightEclipse“ PaloAlto Zero Day

Am 10. April 2024 meldeten Forscher des Cybersicherheitsunternehmens Volexity, dass einer bisher unentdeckten Zero-Day-Schwachstelle in der GlobalProtect-Funktion von PaloAlto PAN-OS ausgenutzt wurde. Die jetzt als CVE-2024-3400 (CVSS 10) geführte Schwachstelle, die eine unautorisierte Remote Code Execution (RCE) mit Root-Rechten ermöglicht, wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen. Der Greenbone Enterprise Vulnerability Feed enthält Tests zur Erkennung von CVE-2024-3400, die es Unternehmen ermöglichen, betroffene Anlagen zu identifizieren und Abhilfemaßnahmen zu planen.

Unit42 von PaloAlto verfolgt nachfolgende Angriffe unter dem Namen Operation MidnightEclipse und hat zusammen mit der Shadowserver Foundation und GreyNoise einfache Sondierungen und eine vollständige Ausnutzung mit anschließender Datenexfiltration und Installation von Remote-C2-Tools beobachtet. Außerdem wurden von Dritten mehrere Proof-of-Concept-Exploits (PoC) veröffentlicht [1][2], die die Bedrohung durch Angriffe von wenig oder gar nicht qualifizierten Cyberkriminellen verstärken.

CVE-2024-3400 betrifft PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1 Firewalls, die mit GlobalProtect gateway oder GlobalProtect portal konfiguriert sind. Hotfix-Patches für PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 sind derzeit verfügbar, um betroffene Geräte ohne Neustart zu reparieren. Eine umfassende Anleitung zur Behebung des Problems ist in der Palo Alto Knowledge Base verfügbar.

D-Link: Eingebaute Anmeldeinformationen in Alt-Produkten

In NAS-Geräten des Herstellers D-Link wurden zwei kritische Schwachstellen entdeckt, die als CVE-2024-3272 (CVSS 9.8) und CVE-2024-3273 (CVSS 9.8) bezeichnet werden. Zu den betroffenen Geräten gehören DNS-320L, DNS-325, DNS-327L und DNS-340L, die alle das Ende ihres Produktlebenszyklus erreicht haben. Laut D-Link werden keine Patches bereitgestellt. Weltweit sind schätzungsweise 92.000 Geräte davon betroffen. Beide CVEs werden aktiv ausgenutzt, und ein Proof of Concept (PoC) Exploit für CVE-2024-3273 ist online verfügbar.

Die anfälligen Geräte enthalten alle ein Standard-Administrationskonto, für das kein Kennwort erforderlich ist. Angreifer können aus der Ferne Befehle ausführen, indem sie eine speziell gestaltete HTTP-GET-Anfrage an den URI /cgi-bin/nas_sharing.cgi auf der NAS-Webschnittstelle senden. Beide Schwachstellen zusammen stellen ein ernstes Risiko dar, da sie eine Remote Code Execution (RCE) ohne Authentifizierung auf dem Zielgerät ermöglichen [T1584]. Dies ermöglicht Angreifern den Zugriff auf potenziell sensible Daten [TA0010], die auf dem kompromittierten NAS-Gerät selbst gespeichert sind, aber auch ein Standbein im Netzwerk des Opfers, um ein seitliches Eindringen [TA0008] in andere Systeme dort zu versuchen oder Angriffe als Teil eines Botnets global zu starten [T1584.005].

Sicherung von digitalen Alt-Produkten

Digitale Produkte am Ende ihres Lebenszyklus (End of Life; EOL) erfordern besondere Sicherheitsüberlegungen, da sie aufgrund der eingestellten Unterstützung durch den Hersteller einem höheren Risiko ausgesetzt sind ausgenutzt zu werden. Hier sind einige Verteidigungsmaßnahmen zum Schutz von digitalen EOL-Produkten:

  1. Risikobewertung: Führen Sie regelmäßige Risikobewertungen durch, um die potenziellen Auswirkungen von Altgeräten auf Ihr Unternehmen zu ermitteln, vor allem in Anbetracht der Tatsache, dass neu aufgedeckte Schwachstellen möglicherweise noch nicht vom Hersteller behoben wurden.
  2. Schwachstellen- und Patch-Management: Auch wenn EOL-Produkte von ihren Herstellern offiziell nicht mehr unterstützt werden, werden in einigen Notfällen noch Patches herausgegeben. Schwachstellen-Scans und Patch-Management helfen bei der Identifizierung neuer Schwachstellen und ermöglichen es den Verteidigern, den Hersteller um Ratschläge zu Abhilfemöglichkeiten zu bitten.
  3. Isolierung und Segmentierung: Isolieren Sie, wenn möglich, EOL-Produkte vom restlichen Netzwerk, um ihre Gefährdung durch potenzielle Bedrohungen zu begrenzen. Die Segmentierung dieser Geräte kann dazu beitragen, Sicherheitslücken einzudämmen und zu verhindern, dass sie sich auf andere Systeme auswirken.
  4. Härten Sie Konfiguration und Richtlinien: In manchen Fällen sind zusätzliche Richtlinien oder Sicherheitsmaßnahmen, wie z. B. die vollständige Sperrung des Internetzugangs, angebracht, um das Risiko weiter zu mindern.
  5. Update auf unterstützte Produkte: Aktualisieren Sie die IT-Infrastruktur, um EOL-Produkte durch unterstützte Alternativen zu ersetzen. Die Umstellung auf neuere Technologien kann die Sicherheitslage verbessern und die Abhängigkeit von veralteten Systemen verringern.
  6. Überwachung und Erkennung: Implementieren Sie zusätzliche Überwachungs- und Erkennungsmechanismen, um verdächtige Aktivitäten, Exploit-Versuche oder Versuche des unbefugten Zugriffs auf EOL-Produkte zu erkennen. Eine kontinuierliche Überwachung kann dazu beitragen, bösartige Aktivitäten sofort zu erkennen und angemessene Reaktionen zu ermöglichen.

CVE-2024-4040: Schwachstelle in CrushFTP VFS

Die CISA hat alle US-Bundesbehörden angewiesen, Systeme zu patchen, die den CrushFTP-Dienst nutzen, da diese Schwachstelle von politisch motivierten Hackern aktiv ausgenutzt wird. Die als CVE-2024-4040 (CVSS 9.8) bezeichnete Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, auf sensible Daten außerhalb des Virtual File System (VFS) von CrushFTP zuzugreifen und das System vollständig zu übernehmen. Die Schwachstelle beruht auf einem Fehler bei der korrekten Autorisierung von Befehlen, die über die CrushFTP-API [CWE-1336] ausgegeben werden.

CrushFTP ist eine proprietäre Dateiübertragungssoftware, die für die sichere Übertragung und gemeinsame Nutzung von Dateien entwickelt wurde. Sie unterstützt eine Vielzahl von Protokollen, darunter FTP, SFTP, FTPS, HTTP, HTTPS und WebDAV. Die Schwachstelle liegt im Java Web-Interface API von CrushFTP für die Verwaltung und Überwachung des CrushFTP-Servers.

Laut CrushFTP gibt es keine Möglichkeit, eine kompromittierte Instanz durch die Inspektion der Anwendungsprotokolle zu identifizieren. Es hat sich herausgestellt, dass CVE-2024-4040 einfach auszunutzen ist und öffentlich zugängliche Exploits verfügbar sind, was das Risiko stark erhöht. Der Enterprise-Feed von Greenbone enthält einen Schwachstellentest zur Identifizierung des HTTP-Headers, der von anfälligen Versionen von CrushFTP gesendet wird.

Es gibt schätzungsweise 6.000 öffentlich zugängliche Instanzen von CrushFTP allein in den USA und über 7.000 öffentliche Instanzen weltweit. CVE-2024-4040 betrifft alle Versionen der Anwendung vor 10.7.1 und 11.1.0 auf allen Plattformen. Kunden sollten dringend auf eine gepatchte Version aktualisieren.

Zusammenfassung

April 2024 war rekordverdächtig in Bezug auf die Veröffentlichung von CVEs und neuen Cybersecurity-Herausforderungen, einschließlich mehrerer einschlägiger Vorfälle. Das Secure Connect VPN von Ivanti wurde genutzt, um unbefugten Zugriff auf die Entwicklungsinfrastruktur von MITRE zu erlangen, was zu internen Netzwerkangriffen führte. Verschiedene Bedrohungsakteure wurden dabei beobachtet, wie sie eine Zero-Day-Schwachstelle in PAN-OS von Palo Alto ausnutzten, die jetzt unter der Bezeichnung CVE-2024-3400 geführt wird, und zwei neue kritische Schwachstellen in auslaufenden NAS-Geräten von D-Link verdeutlichen die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen, wenn ältere Produkte in Betrieb bleiben müssen. Außerdem wurde eine kritische Schwachstelle im CrushFTP-Server gefunden und schnell in die CISA KEV aufgenommen, die US-Regierungsbehörden zu dringenden Patches zwingt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

Eine Reihe von Schwachstellen im Connect Secure VPN von Ivanti wird von Angreifern aktiv ausgenutzt. Sowohl das deutsche BSI als auch die Cybersecurity & Infrastructure Security Agency (CISA) der US-Regierung haben eine Warnung herausgegeben. Die CISA hat sogar eine Notfallanweisung hierzu veröffentlicht, die alle Bundesbehörden der zivilen Exekutive (FCEB) auffordert, sofort Patches zu installieren.

Tausende von öffentlich zugänglichen Ivanti-Systemen weltweit sind gefährdet, viele davon in Deutschland. Die Schwachstellen werden aktiv ausgenutzt. Da die Geräte von Ivanti schon vor mehreren Jahren in die Schwachstellentests von Greenbone im Enterprise Feed aufgenommen wurden, konnten wir unsere Kunden bereits am 10. Januar warnen und haben kontinuierlich Tests für die neuesten Schwachstellen erstellt. Dennoch müssen Ivanti-Kunden wachsam sein und Maßnahmen ergreifen – die Patches von Ivanti erfordern ein Zurücksetzen der Geräte auf den Auslieferungszustand.

Remote Code Execution und Authentification Bypass

Im Dezember hatte der amerikanische Sicherheitsexperte Volexity zwei schwerwiegende Sicherheitslücken (CVE-2023-46805 und CVE-2024-21887, beide veröffentlicht am 12. Januar 2024) in Geräten mit Ivanti Connect Secure VPN gefunden. Zu den betroffenen Produkten gehören Ivanti Connect Secure (früher Ivanti Pulse Secure), Ivanti Policy Secure und Ivanti Neurons für Zero Trust Access (ZTA).

Die Schwachstellen ermöglichen es Angreifern, Authentifizierungsmechanismen zu umgehen, eigenen Code unbefugt auszuführen und die Kontrolle über Systeme zu übernehmen, heißt es in einer offiziellen Stellungnahme von Ivanti. Der Hersteller rät seinen Kunden dringend, die Workarounds zu implementieren und aktualisiert die Kommunikation laufend in einem Artikel im Forum.

Vor wenigen Tagen wurden nun Patches ausgeliefert, die auch Korrekturen für drei weitere schwerwiegende Sicherheitslücken enthielten, vor denen Ivanti Ende Januar und Anfang Februar warnen musste (CVE-2024-21893, CVE-2024-21888 und CVE-2024-22024). Diese drei Sicherheitsprobleme sind mit einem hohen Risiko behaftet und umfassen serverseitige Request Forgery, Privilege Escalation und eine XXE-Schwachstelle (XML External Entity).

Nach Angaben des Herstellers wurden am 31. Januar Sicherheitspatches für alle Schwachstellen bereitgestellt. Nutzer, die den Februar-Patch angewendet und einen Reset auf die Werkseinstellungen durchgeführt haben, sollten jetzt keinen weiteren benötigen.

Greenbone-Kunden wurden gewarnt, aber Administratoren müssen aktiv werden

Aufgrund der weiten Verbreitung von Ivanti-Geräten in Deutschland bietet Greenbone bereits seit mehreren Jahren Tests für Ivanti Connect Secure an. Während andere verfügbare Tests nur die Versionsnummern der verwendeten Software prüfen, nutzen die Schwachstellenscans von Greenbone erweiterte Funktionen und erreichen so eine deutlich höhere Genauigkeit.

Doch auch wenn unsere Produkte Greenbone-Kunden schneller und genauer vor potenziellen Schwachstellen in Avanti-Geräten warnen, müssen die Anwender weiterhin alle vom Hersteller empfohlenen Maßnahmen ergreifen. So ist es beispielsweise möglich, dass Angreifer eine Schwachstelle bereits vor ihrer Veröffentlichung ausgenutzt haben. Daher müssen alle Kunden den von Ivanti bereitgestellten Integrity Checker verwenden, um die Integrität ihrer Installation sicherzustellen.

Die fünf Schwachstellen in Ivanti VPN Gateway Appliances laut NIST:

  • CVE-2023-46805 (CVSS 8.2 Hoch): Die Schwachstelle bei der Authentifizierung [CWE-287] in der Webkomponente von Ivanti ICS 9.x, 22.x und Ivanti Policy Secure ermöglicht einem Angreifer den Zugriff auf eingeschränkte Ressourcen unter Umgehung von Kontrollinstanzen.
  • CVE-2024-21887 (CVSS 9.1 Hoch): Die Schwachstelle erlaubt das Einschleusen von Befehlen [CWE-77] in die Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) und ermöglicht es Administratoren, speziell gestaltete Anfragen zu senden und beliebige Befehle auf der Appliance auszuführen.
  • CVE-2024-21893 (CVSS 8.2 Hoch): Auf Serverseite erlaubt es die Schwachstelle, Anforderungen zu fälschen [CWE-918]. In der SAML-Komponente von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und Ivanti Neurons for ZTA ermöglicht sie es einem Angreifer, Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zu erhalten.
  • CVE-2024-21888 (CVSS 8.8 Hoch): Die Schwachstelle in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) ermöglicht einen ausgeweiteten Zugriff [CWE-265]. Mit ihrer Hilfe kann ein Benutzer seine Rechte auf die eines Administrators ausdehnen.
  • CVE-2024-22024 (CVSS 8.3 High): Die XML External Entity oder XXE-Schwachstelle [CWE-643] in den SAML-Komponenten von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und ZTA-Gateways erlaubt einem Angreifer Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung.

Sofortmaßnahmen

Die Patches wurden erstmals am 22. Januar veröffentlicht. Bis die Benutzer die offiziellen Patches von Ivanti herunterladen und installieren können, sollten sie folgende Schritte befolgen:

  • Download: Aktuelles Mitigation Release aus dem offiziellen Mitigation Advisory von Ivanti
  • Befolgen Sie die Anweisungen, um einen korrekten Import sicherzustellen, und setzen Sie das Gerät auf die Werkseinstellungen zurück, wenn Sie dazu aufgefordert werden.
  • Laden Sie das externe Integritätsprüfungs-Tool von Ivanti herunter und führen Sie es aus.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht