Joseph Lee

Jetzt patchen! Cleo-Produkte werden aktiv für Ransomware-Angriffe ausgenutzt

Das Schlimmste, was es aus sicherheitstechnischer Sicht in der IT gibt, ist eine aktiv ausgenutzte RCE-Schwachstelle (Remote Code Execution) mit Systemprivilegien, die keine Benutzerinteraktion erfordert. Sicherheitslücken wie diese können Software betreffen, die in Fortune-500-Unternehmen weit verbreitet ist, und werden damit zu tickenden Zeitbomben. Wenn sich fortschrittliche, hartnäckige Bedrohungsakteure auf eine solche Schwachstelle oder CVE (Common Vulnerabilities and Exposures) stürzen, wird ihre Behebung zur Notfallmaßnahme. In jüngster Zeit erfüllte CVE-2024-50623 (jetzt auch als CVE-2024-55956 verfolgt), die mehr als 4.200 Benutzer der MFT-Software (Managed File Transfer) von Cleo betrifft, all diese Voraussetzungen für eine Katastrophe. Sie wurde zum wichtigen Momentum in Ransomware-Kampagnen, die mehrere Fortune-500-Unternehmen betreffen, welche jetzt im Rampenlicht der Berichterstattung über Cybersicherheit stehen.

Diese Cybersecurity-News gibt einen Überblick über die Ereignisse im Zusammenhang mit CVE-2024-50623 und CVE-2024-55956 sowie die damit verbundenen Ransomware-Kampagnen. Auch wenn Sie kein betroffenes Produkt verwenden, erhalten Sie hier wertvolle Einblicke in den Lebenszyklus von Schwachstellen und die Risiken der Software-Lieferketten von Drittanbietern. 

CVE-2024-50623 und CVE-2024-55956: Chronik der Ereignisse

Der Lebenszyklus von Sicherheitslücken ist komplex. In unserem früheren Artikel über das Schwachstellenmanagement der nächsten Generation finden Sie eine ausführliche Erklärung, wie dieser Prozess abläuft. In diesem Bericht stellen wir den Ablauf der Offenlegung und Behebung von CVE-2024-50623 und anschließend CVE-2024-55956 vor, als ein fehlgeschlagener Patch-Versuch des Softwareanbieters Cleo entdeckt und von Ransomware-Akteuren ausgenutzt wurde. Unser Greenbone Enterprise Feed enthält Erkennungsmodule für beide CVEs [1][2], die es Unternehmen ermöglichen, anfällige Systeme zu identifizieren und Notfallmaßnahmen zu ergreifen. Hier die zeitliche Abfolge der bisherigen Ereignisse:

  • Oktober 2024: CVE-2024-50623 (CVSS 10 Kritisch), das mehrere Cleo-MFT-Produkte betrifft, wurde vom Hersteller veröffentlicht, und eine gepatchte Version 5.8.0.21 wurde freigegeben.
  • November 2024: CVE-2024-50623 wurde zur Gewinnung von Daten genutzt und wirkte sich auf mindestens zehn Organisationen weltweit aus, darunter Blue Yonder, ein von Fortune-500-Unternehmen genutzter Lieferkettenmanagement-Service.
  • Dezember 2024: Sicherheitsforscher von Huntress identifizieren eine aktive Ausnutzung von CVE-2024-50623, mit der das ursprüngliche Patch (Version 5.8.0.21) umgangen werden kann.
  • Dezember 2024: Huntress beobachtet einen deutlichen Anstieg der Ausnutzung. Dies könnte darauf zurückzuführen sein, dass der Exploit-Code im Rahmen eines Malware-as-a-Service-Geschäftsmodells für Internetkriminalität verkauft wird, oder einfach darauf, dass die Angreifer ihre Aufklärungsarbeit abgeschlossen und eine breit angelegte Kampagne mit maximaler Wirkung gestartet haben.
  • Dezember 2024: Dem Softwarehersteller Cleo wird eine aktive Ausnutzung und ein PoC-Exploit-Code (Proof of Concept) gemeldet.
  • Dezember 2024: Der Hersteller Cleo gibt eine Erklärung ab, in der er einräumt, dass seine Produkte trotz Sicherheits-Patches ausnutzbar sind, und gibt zusätzliche Hinweise zur Schadensbegrenzung heraus.
  • Dezember 2024: Wachtowr Labs veröffentlichte einen detaillierten technischen Bericht, der beschreibt, wie CVE-2024-50623 eine RCE über Arbitrary File Write [CWE-434] ermöglicht. Cleo veröffentlicht eine Anleitung zur Schadensbegrenzung und aktualisiert und den Patch auf Version 5.8.0.24.
  • Dezember 2024: Ein neuer Name, CVE-2024-55956 (CVSS 10 Kritisch), wird für die Verfolgung dieser anhaltenden Schwachstelle herausgegeben, und die CISA (Cybersecurity & Infrastructure Security Agency) fügt die Schwachstelle ihrem KEV-Katalog (Known Exploited Vulnerabilities) hinzu, der die Verwendung in Ransomware-Angriffen kennzeichnet.

Cleo-Produkte für Ransomware-Attacken missbraucht

Die von CVE-2024-50623 und CVE-2024-55956 ausgehende Gefahr für das globale Business ist hoch. Diese beiden CVEs betreffen potenziell mehr als 4.200 Kunden von Cleo LexiCom, einem Desktop-basierten Client für die Kommunikation mit großen Handelsnetzen, Cleo VLTrader, einer auf mittlere Unternehmen zugeschnittenen Lösung auf Serverebene, und Cleo Harmony für große Unternehmen.

Die CVEs wurden kürzlich in einer Ransomware-Kampagne als erste Zugangsvektoren verwendet. Der Ransomware-Angriff von Termite zog im November 2024 auch Blue Yonder, eine Tochtergesellschaft von Panasonic, in Mitleidenschaft. Blue Yonder ist eine Plattform für das Lieferkettenmanagement, die von großen Technologie-Unternehmen wie Microsoft, Lenovo und Western Digital sowie von rund 3.000 anderen globalen Unternehmen aus vielen Branchen genutzt wird; Bayer, DHL und 7-Eleven, um nur einige zu nennen. Der Ausfall des von Blue Yonder gehosteten Dienstes führte bei StarBucks zu Unterbrechungen in der Gehaltsabrechnung. Zu den jüngsten erfolgreichen Ransomware-Angriffen hat sich auch die Ransomware-Gruppe Clop bekannt.

In der zweiten Phase einiger Einbrüche in IT-Systeme listeten die Angreifer Active Directory Domänen [DS0026] auf, installierten Web-Shells [T1505.003], um sich festzusetzen [TA0003], und versuchten, Daten aus dem Netzwerk des angegriffenen Systems herauszufiltern [TA0010], nachdem sie den ersten Zugriff via RCE erhalten hatten. Eine ausführliche technische Beschreibung der Architektur der Termite-Ransomware ist verfügbar.

Behandlung von CVE-2024-50623 und CVE-2024-55956

Instanzen von Cleo-Produkten der Version 5.8.0.21 sind immer noch anfällig für Cyberangriffe. Der neueste Patch, Version 5.8.0.24, ist erforderlich, um die Anfälligkeit zu verringern. Alle Benutzer werden dringend gebeten, die Aktualisierungen rasch durchzuführen. Zu den weiteren Schutzmaßnahmen und bewährten Praktiken gehören die Deaktivierung der Autorun-Funktionalität in Cleo-Produkten, das Entfernen des Zugriffs aus dem Internet oder die Verwendung von Firewall-Regeln, um den Zugriff nur auf autorisierte IP-Adressen zu beschränken, sowie das Blockieren der IP-Adressen der in die Angriffe verwickelten Endpunkte.

Zusammenfassung

Cleo Harmony, VLTrader und LexiCom vor Version 5.8.0.24 werden aufgrund von kritischen RCE-Schwachstellen (CVE-2024-50623 und CVE-2024-55956) aktiv ausgenutzt. Diese Schwachstellen waren der Einstiegspunkt für erfolgreiche Ransomware-Angriffe gegen mindestens zehn Organisationen, von denen Fortune-500-Unternehmen betroffen waren. Greenbone bietet eine Erkennung für die betroffenen Produkte an, und die Benutzer werden dringend gebeten, Patches und Strategien zur Schadensbegrenzung anzuwenden, da Angreifer diese Schwachstellen mit Sicherheit weiterhin ausnutzen werden.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone prüft CIS Google Chrome Benchmarks

Webbrowser sind ein primäres Einfallstor für Unternehmen und folglich auch oft das erste Einfallstor für Cyberangriffe. Mithilfe von Malware, die auf Browser abzielt, könnten Angreifer direkten, unbefugten Zugriff auf das Netzwerk und die Daten eines Zielsystems erlangen. Sie könnten aber auch menschliche Opfer mit Social Engineering dazu bringen, sensible Informationen preiszugeben, um ihnen unbefugten Zugriff, etwa auf Kontodaten, zu gewähren. Im Jahr 2024 wiesen die wichtigsten Browser (Chrome, Firefox und Safari) 59 Schwachstellen mit kritischem Schweregrad (CVSS3 ³ 9) und 256 mit hohem Schweregrad (CVSS3 zwischen 7,0 und 8,9) auf. Zehn CVEs (Common Vulnerabilities and Exposures) aus der Dreiergruppe wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity & Infrastructure Security Agency) aufgenommen. Browser-Sicherheit sollte daher für Sicherheitsteams oberste Priorität haben.

Vor diesem Hintergrund sind wir stolz, die Erweiterung unserer Compliance-Funktionen um CIS Google Chrome Benchmark v3.0.0 Level 1 bekannt zu geben. Mit dieser neuesten Funktion können unsere Enterprise-Feed-Abonnenten ihre Google Chrome-Konfigurationen anhand des branchenführenden Compliance-Frameworks des CIS (Center for Internet Security) überprüfen. Die neuen Google Chrome-Benchmark-Tests werden neben unseren anderen CIS-Kontrollen in kritischen Cybersicherheitsbereichen wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1] [2] eingesetzt.

CIS Google Chrome Benchmark für Windows

Der CIS Google Chrome Benchmark v3.0.0 Level 1 ist jetzt im Greenbone Enterprise Feed verfügbar. Er legt eine gehärtete Konfiguration für den Chrome-Browser fest. Werden die Kontrollen für Windows implementiert, müssen auch Windows-Registry-Schlüssel gesetzt sein, um die Sicherheitskonfiguration von Chrome zu definieren. Eine kontinuierliche Überprüfung ist wichtig, denn wenn der Chrome-Browser auf Benutzerebene verändert wird, wird er anfälliger für Datenlecks, Social-Engineering-Angriffe oder andere Angriffsvektoren.

Unser Enterprise Vulnerability Feed nutzt Compliance-Richtlinien, um Tests auf den Endgeräten durchzuführen und jede Anforderung des CIS-Benchmarks durch einen oder mehrere spezielle Schwachstellentests zu überprüfen. Diese Tests werden in Scankonfigurationen gruppiert, die zur Erstellung von Scan-Aufgaben verwendet werden können, die dann auf Zielsystem-Gruppen zugreifen, um deren Sicherheitsstatus zu überprüfen. Greenbone unterstützt Sie bei der Einhaltung interner Risikovorgaben oder behördlicher Richtlinien.

Warum ist Browser-Security so kritisch?

Ein Großteil der wichtigen Informationen, die in einem durchschnittlichen Unternehmen fließen, wird über den Browser übertragen. Durch die Zunahme von Außendienstmitarbeitern und Cloud-basierten Webanwendungen sind Webbrowser die wichtigste Schnittstelle für geschäftliche Aktivitäten geworden. Es überrascht nicht, dass Internet-Browser in den letzten Jahren zu einer Brutstätte für Angriffe geworden sind. Nationale Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3] [4], das amerikanische CISA [5] [6] und das kanadische Zentrum für Cybersicherheit [7] haben allesamt Empfehlungen zum Umgang mit den von Internetbrowsern ausgehenden Risiken veröffentlicht.

Browser können über technische Schwachstellen und Fehlkonfigurationen ausgenutzt werden, die zu Remote Code Execution (RCE), zum Diebstahl sensibler Daten und zur Übernahme von Konten führen können, sind aber auch ein Einfallstor für Social-Engineering-Angriffe. Die Browsersicherheit muss durch die Implementierung eines gehärteten Sicherheitsprofils, dessen kontinuierliche Überprüfung und durch regelmäßige Updates zur Behebung neu entdeckter Schwachstellen gewährleistet werden. Greenbone kann bekannte Schwachstellen für veröffentlichte CVEs in allen wichtigen Browsern aufspüren. Mit unserer neuesten CIS Google Chrome Benchmark-Zertifizierung sind wir nun in der Lage, die Konformität von Browsern mit Industriestandards zu bestätigen.

Wie der CIS Google Chrome Benchmark die Browsersicherheit verbessert

Jeder CIS-Benchmark wird im Rahmen eines Konsensprüfungsprozesses entwickelt, an dem eine globale Gemeinschaft von Fachexperten aus verschiedenen Bereichen wie Beratung, Softwareentwicklung, Audit, Compliance, Sicherheitsforschung, Betrieb, Regierung und Recht beteiligt ist. Dieser gemeinschaftliche Prozess soll sicherstellen, dass die Benchmarks praxisnah und datengestützt sind und reales Fachwissen widerspiegeln. Somit sind die CIS-Benchmarks ein wichtiger Bestandteil eines soliden Cybersicherheitsprogramms.

Im Allgemeinen konzentrieren sich die CIS-Benchmarks auf sichere technische Konfigurationen und sollten zusammen mit grundlegenden Cyberhygiene-Praktiken verwendet werden, wie z. B. der Überwachung und dem zeitnahen Patchen von Schwachstellen in Betriebssystemen, Anwendungen und Bibliotheken.

Der CIS Google Chrome Benchmark definiert Sicherheitskontrollen wie zum Beispiel:

  • Keine Domäne kann die Überprüfung auf gefährliche Ressourcen wie Phishing-Inhalte und Malware umgehen.
  • Strenge Überprüfung der von Websites ausgestellten SSL/TLS-Zertifikate.
  • Verringerung der allgemeinen Angriffsfläche von Chrome, indem sichergestellt wird, dass die neuesten Updates regelmäßig automatisch eingespielt werden.
  • Der Chrome-Browser ist so konfiguriert, dass er das Abfangen von DNS erkennt, was möglicherweise DNS-Hijacking ermöglichen könnte.
  • Chrome und Erweiterungen können nicht mit anderer Software von Drittanbietern interagieren.
  • Websites und Browser-Erweiterungen können keine Verbindungen mit Medien, dem lokalen Dateisystem oder externen Geräten wie Bluetooth, USB oder Media-Casting-Geräten missbrauchen.
  • Es können nur Erweiterungen aus dem Google Chrome Web Store installiert werden.
  • Alle vom Chrome-Hauptprozess abgezweigten Prozesse werden angehalten, sobald die Chrome-Anwendung geschlossen wurde.
  • SafeSites Inhaltsfilterung blockiert Links zu nicht jugendfreien Inhalten in den Suchergebnissen.
  • Verhindern Sie den Import unsicherer Daten, wie z. B. automatisch ausgefüllte Formulardaten, Standard-Homepage oder andere Konfigurationseinstellungen.
  • Sicherstellen, dass kritische Warnungen nicht unterdrückt werden können.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums entwickeln wir unsere CIS Benchmark-Scan-Konfigurationen ständig weiter. Alle entsprechenden Richtlinien sind an den CIS-Härtungsrichtlinien ausgerichtet und von der CIS zertifiziert, um maximale Sicherheit für System-Audits zu gewährleisten. Darüber hinaus haben wir mit dem Greenbone Security Assistant (GSA) eine neue Konformitätsansicht hinzugefügt, die den Prozess für Unternehmen vereinfacht, die Schwachstellen in ihrer Infrastruktur beseitigen wollen, um Sicherheitsverletzungen zu verhindern.

Zusammenfassung

CIS-Kontrollen sind entscheidend für den Schutz von Systemen und Daten, da sie klare, umsetzbare Anleitungen für sichere Konfigurationen bieten. Der CIS Google Chrome Benchmark ist besonders auf Unternehmensebene wichtig, wo Browser viele Arten sensibler Daten beeinflussen. Greenbone erweitert die branchenführenden Fähigkeiten zur Erkennung von Schwachstellen um einen neuen Compliance-Scan: den CIS Google Chrome Benchmark v3.0.0 Level 1. Mit dieser Zertifizierung stärkt Greenbone die Position als zuverlässiger Verbündeter für proaktive Cybersicherheit. Die neuesten Funktionen spiegeln unser Engagement für die Förderung der IT-Sicherheit und den Schutz vor sich entwickelnden Cyber-Bedrohungen wider.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von