September 2024 Threat Tracking: Geschwindigkeit vor Sicherheit?

Ein Bericht des Weltwirtschaftsforums von 2023, in dem 151 Führungskräfte von Unternehmen weltweit befragt wurden, ergab, dass 93 % der Cyber-Führungskräfte und 86 % der Unternehmensleiter glauben, dass in den nächsten zwei Jahren eine Cyber-Katastrophe wahrscheinlich ist. Dennoch stellen viele Softwareanbieter die schnelle Entwicklung und Produktinnovation über die Sicherheit. In diesem Monat erklärte CISA-Direktorin Jen Easterly, dass Softwareanbieter „Probleme schaffen, die Bösewichten Tür und Tor öffnen“ und dass „wir kein Cybersicherheitsproblem haben, sondern ein Softwarequalitätsproblem“. Nachgelagert profitieren die Kunden von innovativen Softwarelösungen, sind aber auch den Risiken von schlecht geschriebenen Softwareanwendungen ausgesetzt: finanziell motivierte Ransomware-Angriffe, Wiper-Malware, Spionage durch Nationalstaaten und Datendiebstahl, kostspielige Ausfallzeiten, Rufschädigung und sogar Insolvenz.

So scharfsinnig die Position der Direktorin auch sein mag, so sehr verdeckt sie doch die wahre Cyber-Risikolandschaft. So hat Bruce Schneier bereits 1999 festgestellt, dass die Komplexität der IT die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Fehlkonfigurationen führen [1][2][3]. Greenbone identifiziert sowohl bekannte Software-Schwachstellen als auch Fehlkonfigurationen mit branchenführenden Schwachstellentests und Konformitätstests, die CIS-Kontrollen und andere Standards wie die BSI-Basiskontrollen für Microsoft Office bestätigen.

Letztendlich tragen Unternehmen eine Verantwortung gegenüber ihren Interessengruppen, den Kunden und der Öffentlichkeit. Auf diese Verantwortung müssen sie sich konzentrieren und sich mit grundlegenden IT-Sicherheitsmaßnahmen wie einem Schwachstellenmanagement schützen. Im „September 2024 Threat Tracking“ geben wir einen Überblick über die schwerwiegendsten neuen Entwicklungen in der Cybersicherheitslandschaft, die sowohl für kleine Unternehmen als auch für große Organisationen eine Bedrohung darstellen.

SonicOS in Akira-Ransomware-Kampagnen

CVE-2024-40766 (CVSS 10 Kritisch), eine Sicherheitslücke, die sich auf SonicWalls Flaggschiff-Betriebssystem SonicOS auswirkt, wurde als ein bekannter Vektor für Kampagnen identifiziert, die Akira-Ransomware verbreiten. Akira, ursprünglich in C++ geschrieben, ist seit Anfang 2023 aktiv. Eine zweite, auf Rust basierende Version wurde in der zweiten Hälfte des Jahres 2023 zur dominierenden Variante. Es wird angenommen, dass die Hauptgruppe hinter Akira aus der aufgelösten Conti-Ransomware-Bande stammt. Akira wird jetzt als Ransomware-as-a-Service (RaaS) betrieben, die eine doppelte Erpressungstaktik gegen Ziele in Deutschland und in der EU, Nordamerika und Australien einsetzt. Bis Januar 2024 hatte Akira über 250 Unternehmen und kritische Infrastrukturen kompromittiert und über 42 Millionen US-Dollar erpresst.

Die Taktik von Akira besteht darin, bekannte Schwachstellen für den Erstzugang auszunutzen, beispielsweise:

Greenbone führt Tests durch, um SonicWall-Geräte zu identifizieren, die für CVE-2024-40766 [1][2] und alle anderen Schwachstellen anfällig sind, die von der Akira-Ransomware-Bande für den Erstzugang ausgenutzt werden.

Wichtiger Patch für Veeam Backup und Wiederherstellung

Ransomware ist die größte Cyber-Bedrohung, insbesondere im Gesundheitswesen. Das US-Gesundheitsministerium (HHS) berichtet, dass in den letzten fünf Jahren große Sicherheitsverletzungen um 256 % und Ransomware-Vorfälle um 264 % zugenommen haben. Unternehmen haben darauf mit proaktiven Cybersicherheitsmaßnahmen reagiert, um den Erstzugriff zu verhindern, sowie mit wirksameren Reaktionen auf Vorfälle einschließlich robusteren Lösungen für Backup and Recovery. Backup-Systeme sind daher ein Hauptziel für Ransomware-Betreiber.

Veeam ist ein weltweit führender Anbieter von Backup-Lösungen für Unternehmen und bewirbt seine Produkte als wirksamen Schutz gegen Ransomware-Angriffe. CVE-2024-40711 (CVSS 10 Kritisch), eine kürzlich bekannt gewordene Schwachstelle in Veeam Backup and Recovery, ist besonders gefährlich, da sie es Hackern ermöglichen könnte, die letzte Schutzlinie gegen Ransomware anzugreifen: Backups. Die Schwachstelle wurde von Florian Hauser von CODE WHITE GmbH, einem deutschen Forschungsunternehmen für Cybersicherheit, entdeckt und gemeldet. Die unbefugte Remote Code Execution (RCE) über CVE-2024-40711 wurde von Sicherheitsforschern innerhalb von 24 Stunden nach der Veröffentlichung verifiziert, und ein Proof-of-Concept-Code ist nun öffentlich online verfügbar, was das Risiko noch erhöht.

Veeam Backup & Replication Version 12.1.2.172 und alle früheren v12-Builds sind anfällig, und Kunden müssen die betroffenen Instanzen dringend patchen. Greenbone kann CVE-2024-40711 in Veeam Backup and Restoration erkennen, sodass IT-Sicherheitsteams den Ransomware-Banden damit einen Schritt voraus sind.

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

RADIUS ist ein leistungsfähiges und flexibles Authentifizierungs-, Autorisierungs- und Abrechnungsprotokoll (AAA), das in Unternehmensumgebungen verwendet wird, um die vom Benutzer eingegebenen Anmeldeinformationen mit einem zentralen Authentifizierungsdienst wie Active Directory (AD), LDAP oder VPN-Diensten abzugleichen. CVE-2024-3596, genannt Blast-RADIUS, ist ein neu veröffentlichter Angriff auf die UDP-Implementierung von RADIUS, der von einer speziellen Website, einem Forschungspapier und Angriffsdetails begleitet wird. Proof-of-Concept-Code ist auch aus einer zweiten Quelle verfügbar.

Blast-RADIUS ist ein AiTM-Angriff (Adversary in the Middle), der eine Schwachstelle in MD5 ausnutzt, die ursprünglich im Jahr 2004 entdeckt und 2009 verbessert wurde. Forschende haben die Zeit, die zum Vortäuschen von MD5-Kollisionen benötigt wird, exponentiell reduziert und ihre verbesserte Version von Hashclash veröffentlicht. Der Angriff ermöglicht es einem aktiven AiTM, der sich zwischen einem RADIUS-Client und einem RADIUS-Server befindet, den Client dazu zu bringen, eine gefälschte Access-Accept-Antwort zu akzeptieren, obwohl der RADIUS-Server eine Access-Reject-Antwort ausgibt. Dies wird erreicht, indem eine MD5-Kollision zwischen der erwarteten Access-Reject- und einer gefälschten Access-Accept-Antwort berechnet wird, die es einem Angreifer ermöglicht, Login-Anfragen zu genehmigen.

Greenbone kann eine Vielzahl anfälliger RADIUS-Implementierungen in Unternehmensnetzwerken schützen, wie F5 BIG-IP [1], Fortinet FortiAuthenticator [2] und FortiOS [3], Palo Alto PAN-OS [4], Aruba CX Switches [5] und ClearPass Policy Manager [6]. Auf Betriebssystemebene schützt Greenbone dabei unter anderem Oracle Linux [7][8], SUSE [9][10][11], OpenSUSE [12][13], Red Had [14][15], Fedora [16][17], Amazon [18], Alma [19][20] und Rocky Linux [21][22].

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

CVE-2024-27348 (CVSS 9.8 Kritisch) ist eine RCE-Sicherheitslücke im Open-Source Apache HugeGraph-Server, die alle Versionen 1.0 vor 1.3.0 in Java8 und Java11 betrifft. HugeGraph-Server bietet eine API-Schnittstelle zum Speichern, Abfragen und Analysieren komplexer Beziehungen zwischen Datenpunkten und wird häufig zur Analyse von Daten aus sozialen Netzwerken, bei Empfehlungsdiensten und zur Betrugserkennung verwendet.

CVE-2024-27348 ermöglicht es Angreifern, die Sandbox-Beschränkungen innerhalb der Gremlin-Abfragesprache zu umgehen, indem sie eine unzureichende Java-Reflection-Filterung verwendet. Ein Angreifer kann die Schwachstelle ausnutzen, indem er bösartige Gremlin-Skripte erstellt und sie über die API an den HugeGraph/gremlin-Endpunkt sendet, um beliebige Befehle auszuführen. Die Schwachstelle kann über einen entfernten, benachbarten oder lokalen Zugriff auf die API ausgenutzt werden und Privilegien erweitern.

In Hacking-Kampagnen wird sie aktiv ausgenutzt. Proof-of-Concept-Exploit-Code [1][2][3] und eine eingehende technische Analyse sind öffentlich verfügbar, sodass Cyberkriminelle einen Vorsprung bei der Entwicklung von Angriffen haben. Greenbone bietet eine aktive Prüfung und einen Versionserkennungstest, um verwundbare Instanzen von Apache HugeGraph-Server zu identifizieren. Den Benutzern wird empfohlen, auf die neueste Version zu aktualisieren.

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

In unserem Blog haben wir dieses Jahr mehrfach über Sicherheitslücken in Ivanti-Produkten berichtet [1][2][3]. September 2024 war ein weiterer heißer Monat für Schwachstellen in Ivanti-Produkten. Ivanti hat endlich die Sicherheitslücke CVE-2024-29847 (CVSS 9.8 Kritisch) gepatcht, eine RCE-Schwachstelle, die Ivanti Endpoint Manager (EPM) betrifft und erstmals im Mai 2024 gemeldet wurde. Proof-of-Concept-Exploit-Code und eine technische Beschreibung sind nun öffentlich verfügbar, was die Bedrohung erhöht. Obwohl es noch keine Hinweise auf eine aktive Ausnutzung gibt, sollte diese Sicherheitslücke mit hoher Priorität behandelt und dringend gepatcht werden.

Im September 2024 identifizierte die CISA jedoch auch vier neue Schwachstellen in Ivanti-Produkten, die aktiv ausgenutzt werden. Greenbone ist in der Lage, alle diese neuen Ergänzungen zu CISA KEV und frühere Schwachstellen in Ivanti-Produkten zu erkennen. Hier die Details:

  • CVE-2024-29824 (CVSS 9.6 Kritisch): Eine SQL-Injection-Schwachstelle [CWE-89] in der Core-Server-Komponente von Ivanti Endpoint Manager (EPM) 2022 SU5 und früher. Die Ausnutzung erlaubt einem nicht authentifizierten Angreifer mit Netzwerkzugang die Ausführung von beliebigem Code. Der Exploit-Code ist öffentlich auf GitHub verfügbar. Die Sicherheitslücke wurde erstmals im Mai 2024 bekannt gegeben.
  • CVE-2024-7593 (CVSS 9.8 Kritisch): Eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus [CWE-303] in Ivanti Virtual Traffic Manager (vTM) Version 22 mit Ausnahme der Versionen 22.2R1 oder 22.7R2 kann es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und auf das Admin-Panel zuzugreifen. CVE-2024-7593 wurde erst im August 2024 bekannt gegeben, dennoch ist bereits Exploit-Code verfügbar.
  • CVE-2024-8963 (CVSS 9.1 Kritisch): Ein Path Traversal [CWE-22] in Ivanti Cloud Services Appliance (CSA) Version 4.6 und früher ermöglicht einem entfernten, nicht authentifizierten Angreifer den Zugriff auf eingeschränkte Funktionen. Die Schwachstelle wurde am 19. September 2024 bekannt gegeben und in die CISA KEV aufgenommen. Ein Fix wurde von Ivanti bereits am 10. September herausgegeben, sodass Benutzer die Schwachstelle beheben können. Die von Ivanti empfohlene Abhilfemaßnahme ist jedoch ein Upgrade auf CSA 5.0. Die CSA-Version 4.6 hat ihr End-of-Life (EOL) für Sicherheitsupdates erst letzten Monat im August 2024 erreicht, aber gemäß seiner EOL-Richtlinie wird Ivanti noch ein Jahr lang Sicherheits-Patches herausgeben. In Verbindung mit der unten beschriebenen Sicherheitslücke CVE-2024-8190 kann die Administrator-Authentifizierung umgangen werden, sodass eine beliebige RCE auf CSA-Geräten möglich ist.
  • CVE-2024-8190 (CVSS 7.5 Hoch): Eine Schwachstelle zur OS Command Injection [CWE-78] in Ivanti Cloud Services Appliance (CSA) kann remote einem authentifizierten Angreifer RCE ermöglichen. Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen. Die empfohlene Abhilfemaßnahme ist ein Upgrade auf CSA 5.0, um weiterhin unterstützt zu werden. Proof-of-Concept-Exploit-Code ist für CVE-2024-8190 öffentlich verfügbar.

Zusammenfassung

Im Threat-Tracking-Blog dieses Monats haben wir wichtige Entwicklungen im Bereich der Cybersicherheit hervorgehoben, darunter kritische Schwachstellen wie CVE-2024-40766, die von der Ransomware Akira ausgenutzt werden, CVE-2024-40711, die sich auf Veeam Backup auswirkt, und der kürzlich bekannt gewordene BlastRADIUS-Angriff, der sich auf Enterprise AAA auswirken könnte. Proaktive Cybersecurity-Aktivitäten wie regelmäßiges Vulnerability Management und Compliance-Prüfungen tragen dazu bei, die Risiken von Ransomware, Wiper-Malware und Spionagekampagnen zu mindern, und ermöglichen es den Verteidigern, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.