Schlagwortarchiv für: Blast-RADIUS

Cyberangriffe können in ihrem Ausmaß und ihren Auswirkungen dramatisch sein, wie die meisten Sicherheitsvorfälle. Sind die Verteidiger vorbereitet, kann ein Vorfall eingedämmt und der Schaden begrenzt werden, die Wiederherstellung erfolgt dann zügig. Wenn sie jedoch unvorbereitet sind, kann ein einziger Vorfall zu tage- oder wochenlangen Ausfallzeiten, Umsatzeinbußen, Rufschädigung, behördlichen Strafen oder Sammelklagen führen [1][2]. Im Mai 2024 prognostizierte Change Healthcare einen Verlust von 1,6 Milliarden Dollar. Im Januar 2025 beliefen sich die Gesamtkosten des Ransomware-Angriffs von Change Healthcare auf fast 3 Milliarden Dollar [3][4].

Die Gesamtheit der Schäden, die durch eine IT-Sicherheitsverletzung verursacht werden, der sogenannte „Blast Radius“, hängt von vielen Faktoren ab. Zu diesen Faktoren gehört, ob Schwachstellen verwaltet werden, ob ein „Defense-in-Depth“-Ansatz für die Cybersicherheit angewandt wurde, ob das Netzwerk segmentiert ist, ob es wirksame Backup-Strategien gibt und vieles mehr. Eine nachlässige Sicherheitshygiene ist eine offene Einladung für Angreifer, die zu kostspieligen Ergebnissen führt: etwa zu umfangreichem Datendiebstahl, Erpressung durch Ransomware und sogar zerstörerischen Wiper-Angriffen, die zur industriellen Sabotage eingesetzt werden. Ein kürzlich veröffentlichter Bericht hat ergeben, dass Angreifer, sobald sie in ein Netzwerk eingedrungen sind, Ransomware im Durchschnitt innerhalb von 48 Minuten einsetzen und CVE-Enthüllungen innerhalb von 18 Tagen in Exploits umgewandelt werden.

Dieser Artikel befasst sich mit dem Konzept des „Blast Radius“ von Cyberangriffen und der Rolle, die ein effektives Schwachstellenmanagement bei der Eindämmung der Folgen von Cyberangriffen spielt. Mit den richtigen Kontrollen kann der Schaden eines Cyberangriffs minimiert und die schlimmsten Konsequenzen verhindert werden.

Der „Blast Radius“ eines Cyberangriffs

Der Begriff „Blast Radius“ (Explosionsradius) stammt aus dem Militärjargon und bezieht sich auf das physische Umfeld, das durch eine explodierende Bombe beschädigt wird. Bei digitalen Systemen bezieht sich der Begriff in ähnlicher Weise auf das Ausmaß des durch einen Cyberangriff verursachten Schadens. Wie viele Systeme hat ein Angreifer kompromittiert? War er in der Lage, nach dem ersten Zugriff kritische Systeme zu kompromittieren? Wurden benachbarte Netze oder Cloud-Systeme angegriffen?

Weitreichende Schäden sind nicht von vornherein ausgeschlossen, wenn Hacker den ersten Zugang erhalten. Verteidiger können den Angriff in einem frühen Stadium wirksam abwehren und verhindern, dass böswillige Akteure ihre eigentlichen Ziele erreichen oder weitreichende Schäden verursachen.

Die Folgen eines größeren Schadens-Radius

Zwar ist es schlimm, wenn ein Gegner unbefugten Zugang erhält, aber es sind die nachfolgenden Phasen eines Angriffs, die IT-Sicherheitsmanager nachts wachhalten. Die letzten Phasen eines Cyberangriffs, wie zum Beispiel die Installation von Malware auf kritischen Anlagen, das Exfiltrieren sensibler Daten oder die Verschlüsselung von Dateien, haben die tiefgreifendsten Auswirkungen für Unternehmen. Je größer der Blast Radius ist, desto wahrscheinlicher ist es, dass ein Unternehmen erhebliche negative Auswirkungen zu spüren bekommt.

Ein größerer Schadens-Radius kann Folgendes nach sich ziehen:

  • Längere Verweildauer: Durch seitliche Bewegungen im Netzwerk und Persistenz-Techniken können Angreifer für längere Zeit unentdeckt bleiben, Informationen sammeln und weitere Angriffe vorbereiten.
  • Erhöhte finanzielle Verluste: Service-Unterbrechungen und Ransomware-Angriffe tragen zu höheren finanziellen Verlusten, entgangenen Einnahmen aufgrund von Ausfallzeiten, dem Risiko gesetzlicher Strafen und der Erosion von Geschäftsbeziehungen bei.
  • Erhöhte betriebliche Ausfallzeiten: Die Auswirkungen von Betriebsausfällen können sich auf das gesamte Unternehmen auswirken und zu Verzögerungen, Frustration und Desynchronisierung der Abläufe führen.
  • Verlust von sensiblen Daten: Angreifer versuchen, sensible Daten herauszufiltern, um Spionagekampagnen zu unterstützen oder Opfer zur Zahlung von Lösegeld zu erpressen.
  • Beeinträchtigtes Vertrauen: Unbefugter Zugriff auf Messaging-Systeme oder Vermögenswerte Dritter kann das Vertrauen der Beteiligten, einschließlich Kunden, Mitarbeiter und Geschäftspartner, untergraben.

Greenbone reduziert den „Blast Radius“ eines Cyberangriffs

Schwachstellenmanagement ist ein wichtiger Faktor bei der Reduzierung des so genannten „Blast Radius“. Durch die wirksame Beseitigung von Sicherheitslücken kann ein Angreifer keine leicht zugänglichen Mittel mehr finden, um seine anfängliche Position auszubauen. Schwachstellenmanagement lässt sich am effizientesten und effektivsten durch automatisches Scannen auf Sicherheitslücken in der gesamten Netzwerkinfrastruktur und die Behebung der Angriffsfläche umsetzen. Auf diese Weise können Unternehmen den potenziellen Wirkungskreis eines erfolgreichen Cyberangriffs erheblich reduzieren und auch die Wahrscheinlichkeit verringern, dass es überhaupt zu einem Einbruch kommt.

Threat Mapping hilft IT-Sicherheitsteams, ihre Angriffsflächen zu verstehen, also die Stellen, an denen Angreifer in ein Netzwerk eindringen können. Die Kernfunktionen von Greenbone unterstützen das Threat Mapping mit System- und Service-Discovery-Scans und durch das Scannen von Netzwerk- und Host-Angriffsflächen, wodurch Verteidiger ihre Angriffsfläche um 99 % reduzieren können. Darüber hinaus bietet Greenbone Reports und Warnungen in Echtzeit, um Sicherheitsteams über aufkommende Bedrohungen auf dem Laufenden zu halten und so eine proaktive Cybersicherheitshaltung und rechtzeitige Abhilfemaßnahmen zu ermöglichen. Dieser proaktive, mehrschichtige Ansatz zur Cybersicherheit reduziert den potenziellen Schadensumfang und führt zu besseren Sicherheitsergebnissen. Den Verteidigern bleibt mehr Zeit, die Präsenz eines Angreifers zu erkennen und ihn zu eliminieren, bevor katastrophale Schäden entstehen können.

Stärkste Verteidigung mit Greenbone Enterprise Feed

Der stärkste Schutz kommt aus dem branchenführenden Enterprise Vulnerability Feed von Greenbone. Insgesamt umfasst der Greenbone Enterprise Feed circa 180.000 Schwachstellentests (Tendenz steigend), die sowohl allgemeine Schwachstellen bei der Einhaltung von Sicherheitsvorschriften als auch anwendungsspezifische Schwachstellen aufdecken können. Unser Enterprise Feed fügt jede Woche hunderte von neuen Tests hinzu, um die neuesten Bedrohungen zu erkennen.

Hier eine Liste der IT-Assets, die Greenbone scannen kann:

  • Interne Netzwerkinfrastruktur: Scannen von internen Netzwerkgeräten mit jeder Art von offenem Dienst, wie Datenbanken, Dateifreigaben, SNMP-fähige Geräte, Firewalls, Router, VPN-Gateways und mehr.
  • Vor-Ort- und Cloud-Server: Überprüfung von Serverkonfigurationen, um die Einhaltung von Sicherheitsrichtlinien und -standards zu gewährleisten.
  • Workstations: Greenbone scannt Workstations und andere Endpunkte unter allen wichtigen Betriebssystemen (Windows, Linux und macOS), um das Vorhandensein bekannter Softwareschwachstellen zu identifizieren und die Einhaltung von Cybersicherheitsstandards wie CIS Benchmark-Controls zu bestätigen.
  • IoT- und Peripheriegeräte: IoT- und Peripheriegeräte, wie z. B. Drucker, verwenden dieselben Netzwerkprotokolle für die Kommunikation wie andere Netzwerkdienste. Dadurch können sie ähnlich wie andere Netzwerk-Endpunkte leicht auf geräte- und anwendungsspezifische Schwachstellen und häufige Fehlkonfigurationen gescannt werden.

Reduzierung der Angriffsfläche von Netzwerken

Die Angriffsfläche eines Netzwerks besteht aus exponierten Netzwerkdiensten, APIs und Websites innerhalb der internen Netzwerkumgebung eines Unternehmens und der öffentlichen Infrastruktur. Zum Scannen von Netzwerk-Angriffsflächen erstellt Greenbone ein Inventar von Endpunkten und Listening Services innerhalb eines oder mehrerer Ziel-IP-Bereiche oder eine Liste von Hostnamen und scannt dann nach bekannten Schwachstellen.

Die Netzwerk-Schwachstellen-Tests (NVTs) von Greenbone bestehen aus Versionsprüfungen und aktiven Prüfungen. Versionsprüfungen fragen den Dienst nach einer Versionszeichenfolge ab und vergleichen diese dann mit den entsprechenden CVEs. Aktive Checks verwenden Netzwerkprotokolle, um mit dem exponierten Dienst zu interagieren und zu überprüfen, ob bekannte Exploit-Techniken wirksam sind. Diese aktiven Prüfungen verwenden dieselben Netzwerkkommunikationstechniken wie reale Cyberangriffe, versuchen aber nicht, die Schwachstelle auszunutzen. Stattdessen teilen sie dem Sicherheitsteam lediglich mit, dass ein bestimmter Angriff möglich ist. Alles, was ein Angreifer über das Internet oder ein lokales Netzwerk erreichen kann, kann von Greenbone auf Schwachstellen untersucht werden.

Reduzierung der Angriffsfläche von Hosts

Die Host-Angriffsfläche besteht aus der Software und den Konfigurationen innerhalb einzelner Systeme, auf die nicht direkt über das Netz zugegriffen werden kann. Die Reduzierung der Host-Angriffsfläche minimiert, was ein Angreifer mit dem ersten Zugriff tun kann. Die authentifizierten Scans von Greenbone führen lokale Sicherheitsprüfungen (Local Security Checks, LSC) durch, um die internen Komponenten eines Systems auf bekannte Schwachstellen und nicht konforme Konfigurationen zu prüfen, die es Angreifern ermöglichen könnten, ihre Privilegien zu erweitern, auf sensible Informationen zuzugreifen, zusätzliche Malware zu installieren oder sich seitlich auf andere Systeme zu bewegen.

Greenbones Enterprise Feed umfasst LSC-Familien für alle wichtigen Betriebssysteme wie Ubuntu, Debian, Fedora, Red Hat, Huawei, SuSE Linux-Distributionen, Microsoft Windows, macOS und viele mehr.

Post-Breach-Taktiken: Die zweite Phase von Cyberangriffen

Sobald Angreifer im Netzwerk eines Opfers Fuß gefasst haben, wenden sie sekundäre Exploitation-Techniken an, um ihren Zugang zu vertiefen und ihre Ziele zu erreichen. Im modernen Ökosystem der Cyberkriminalität sind Initial Access Brokers (IABs) darauf spezialisiert, sich unerlaubten Zugang zu verschaffen. IABs verkaufen diesen Zugang dann an andere cyberkriminelle Gruppen, die sich auf Angriffstaktiken der zweiten Stufe spezialisiert haben, wie zum Beispiel den Einsatz von Ransomware oder Datendiebstahl. Ähnlich wie beim Durchbrechen der Mauern einer Festung wird das interne Netzwerk eines Unternehmens nach dem ersten Zugriff für Angreifer immer zugänglicher.

Zu den Taktiken, die in der zweiten Phase eines Cyberangriffs eingesetzt werden, gehören:

  • Eskalation von Privilegien [TA0004]: Angreifer suchen nach Möglichkeiten, ihre Zugriffsrechte auszuweiten, sodass sie Zugang zu sensibleren Daten erhalten oder administrative Aktionen ausführen können.
  • Seitliche Bewegung [TA0008]: Angreifer kompromittieren andere Systeme innerhalb des Netzwerks des Opfers und erweitern ihren Zugang zu hochwertigen Ressourcen.
  • Dauerhafter Fernzugriff [TA0028]: Durch die Erstellung neuer Konten, die Bereitstellung von Hintertüren oder die Verwendung kompromittierter Anmeldeinformationen versuchen Angreifer, ihren Zugang aufrechtzuerhalten, selbst wenn die ursprüngliche Schwachstelle behoben oder ihre Anwesenheit entdeckt wurde.
  • Diebstahl von Zugangsdaten [TA0006]: Gestohlene sensible Daten können offline von Angreifern verarbeitet werden, die versuchen, Passwörter zu knacken, in geschützte Ressourcen einzudringen oder Social-Engineering-Angriffe zu planen.
  • Zugriff auf Messaging-Systeme [T1636]: Der Zugriff auf Messaging-Plattformen oder Tools für die Zusammenarbeit in Unternehmen ermöglicht den Zugang zu sensiblen Informationen, die zur Durchführung von Social-Engineering-Angriffen wie Spear-Phishing genutzt werden können, die sich sogar gegen externe Partner oder Kunden richten.
  • Verschlüsselung mit Wirkung [T1486]: Finanziell motivierte Angreifer versuchen, die Auswirkungen zu maximieren, indem sie Ransomware einsetzen und das Opfer erpressen, damit es den Zugriff auf die verschlüsselten Daten zurückgibt.
  • Daten-Exfiltration [TA0010]: Das Herunterladen sensibler Daten eines Opfers kann für Spionagezwecke genutzt werden und gibt Angreifern außerdem ein Druckmittel in die Hand, um Opfer zu erpressen, damit sie für die Nichtveröffentlichung der Daten bezahlen.
  • Denial-of-Service-Angriffe [T0814]: Die Unterbrechung eines Services kann für weitere Erpressungen oder als Ablenkung für andere Angriffe im Netzwerk des Opfers genutzt werden.

Zusammenfassung

Der „Blast Radius“ bezieht sich auf den Umfang des Schadens, den ein Angreifer bei einem Cyberangriff verursacht. Je weiter die Angriffe fortschreiten, desto tiefer versuchen die Angreifer einzudringen und sich Zugang zu sensibleren Systemen und Daten zu verschaffen. Mangelnde Cyber-Hygiene lässt Angreifern freie Hand, um Daten zu stehlen, Ransomware einzusetzen und Service-Unterbrechungen zu verursachen und erschwert zudem die Erkennung und Wiederherstellung. Die Minimierung der Angriffsfläche ist entscheidend für die Verringerung der potenziellen Auswirkungen eines Cyberangriffs und trägt zu einem besseren Sicherheitsergebnis bei.

Der Hauptbeitrag von Greenbone zur Cybersicherheit besteht darin, die Sicherheitstransparenz in Echtzeit zu erhöhen, Verteidiger auf Schwachstellen aufmerksam zu machen und ihnen die Möglichkeit zu geben, Sicherheitslücken zu schließen und Hacker daran zu hindern, diese auszunutzen. Dies umfasst sowohl die Angriffsfläche des Netzwerks: öffentlich zugängliche Anlagen, interne Netzwerkinfrastruktur, Cloud-Anlagen, als auch die Angriffsfläche des Hosts: interne Softwareanwendungen, Pakete und häufige Fehlkonfigurationen.

Durch die branchenführende Erkennung von Schwachstellen ermöglicht Greenbone eine Echtzeit-Transparenz von Bedrohungen und versetzt Verteidiger in die Lage, proaktiv sicherzustellen, dass Angriffe entscheidend neutralisiert werden.

Ein Bericht des Weltwirtschaftsforums von 2023, in dem 151 Führungskräfte von Unternehmen weltweit befragt wurden, ergab, dass 93 % der Cyber-Führungskräfte und 86 % der Unternehmensleiter glauben, dass in den nächsten zwei Jahren eine Cyber-Katastrophe wahrscheinlich ist. Dennoch stellen viele Softwareanbieter die schnelle Entwicklung und Produktinnovation über die Sicherheit. In diesem Monat erklärte CISA-Direktorin Jen Easterly, dass Softwareanbieter „Probleme schaffen, die Bösewichten Tür und Tor öffnen“ und dass „wir kein Cybersicherheitsproblem haben, sondern ein Softwarequalitätsproblem“. Nachgelagert profitieren die Kunden von innovativen Softwarelösungen, sind aber auch den Risiken von schlecht geschriebenen Softwareanwendungen ausgesetzt: finanziell motivierte Ransomware-Angriffe, Wiper-Malware, Spionage durch Nationalstaaten und Datendiebstahl, kostspielige Ausfallzeiten, Rufschädigung und sogar Insolvenz.

So scharfsinnig die Position der Direktorin auch sein mag, so sehr verdeckt sie doch die wahre Cyber-Risikolandschaft. So hat Bruce Schneier bereits 1999 festgestellt, dass die Komplexität der IT die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Fehlkonfigurationen führen [1][2][3]. Greenbone identifiziert sowohl bekannte Software-Schwachstellen als auch Fehlkonfigurationen mit branchenführenden Schwachstellentests und Konformitätstests, die CIS-Kontrollen und andere Standards wie die BSI-Basiskontrollen für Microsoft Office bestätigen.

Letztendlich tragen Unternehmen eine Verantwortung gegenüber ihren Interessengruppen, den Kunden und der Öffentlichkeit. Auf diese Verantwortung müssen sie sich konzentrieren und sich mit grundlegenden IT-Sicherheitsmaßnahmen wie einem Schwachstellenmanagement schützen. Im „September 2024 Threat Tracking“ geben wir einen Überblick über die schwerwiegendsten neuen Entwicklungen in der Cybersicherheitslandschaft, die sowohl für kleine Unternehmen als auch für große Organisationen eine Bedrohung darstellen.

SonicOS in Akira-Ransomware-Kampagnen

CVE-2024-40766 (CVSS 10 Kritisch), eine Sicherheitslücke, die sich auf SonicWalls Flaggschiff-Betriebssystem SonicOS auswirkt, wurde als ein bekannter Vektor für Kampagnen identifiziert, die Akira-Ransomware verbreiten. Akira, ursprünglich in C++ geschrieben, ist seit Anfang 2023 aktiv. Eine zweite, auf Rust basierende Version wurde in der zweiten Hälfte des Jahres 2023 zur dominierenden Variante. Es wird angenommen, dass die Hauptgruppe hinter Akira aus der aufgelösten Conti-Ransomware-Bande stammt. Akira wird jetzt als Ransomware-as-a-Service (RaaS) betrieben, die eine doppelte Erpressungstaktik gegen Ziele in Deutschland und in der EU, Nordamerika und Australien einsetzt. Bis Januar 2024 hatte Akira über 250 Unternehmen und kritische Infrastrukturen kompromittiert und über 42 Millionen US-Dollar erpresst.

Die Taktik von Akira besteht darin, bekannte Schwachstellen für den Erstzugang auszunutzen, beispielsweise:

Greenbone führt Tests durch, um SonicWall-Geräte zu identifizieren, die für CVE-2024-40766 [1][2] und alle anderen Schwachstellen anfällig sind, die von der Akira-Ransomware-Bande für den Erstzugang ausgenutzt werden.

Wichtiger Patch für Veeam Backup und Wiederherstellung

Ransomware ist die größte Cyber-Bedrohung, insbesondere im Gesundheitswesen. Das US-Gesundheitsministerium (HHS) berichtet, dass in den letzten fünf Jahren große Sicherheitsverletzungen um 256 % und Ransomware-Vorfälle um 264 % zugenommen haben. Unternehmen haben darauf mit proaktiven Cybersicherheitsmaßnahmen reagiert, um den Erstzugriff zu verhindern, sowie mit wirksameren Reaktionen auf Vorfälle einschließlich robusteren Lösungen für Backup and Recovery. Backup-Systeme sind daher ein Hauptziel für Ransomware-Betreiber.

Veeam ist ein weltweit führender Anbieter von Backup-Lösungen für Unternehmen und bewirbt seine Produkte als wirksamen Schutz gegen Ransomware-Angriffe. CVE-2024-40711 (CVSS 10 Kritisch), eine kürzlich bekannt gewordene Schwachstelle in Veeam Backup and Recovery, ist besonders gefährlich, da sie es Hackern ermöglichen könnte, die letzte Schutzlinie gegen Ransomware anzugreifen: Backups. Die Schwachstelle wurde von Florian Hauser von CODE WHITE GmbH, einem deutschen Forschungsunternehmen für Cybersicherheit, entdeckt und gemeldet. Die unbefugte Remote Code Execution (RCE) über CVE-2024-40711 wurde von Sicherheitsforschern innerhalb von 24 Stunden nach der Veröffentlichung verifiziert, und ein Proof-of-Concept-Code ist nun öffentlich online verfügbar, was das Risiko noch erhöht.

Veeam Backup & Replication Version 12.1.2.172 und alle früheren v12-Builds sind anfällig, und Kunden müssen die betroffenen Instanzen dringend patchen. Greenbone kann CVE-2024-40711 in Veeam Backup and Restoration erkennen, sodass IT-Sicherheitsteams den Ransomware-Banden damit einen Schritt voraus sind.

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

RADIUS ist ein leistungsfähiges und flexibles Authentifizierungs-, Autorisierungs- und Abrechnungsprotokoll (AAA), das in Unternehmensumgebungen verwendet wird, um die vom Benutzer eingegebenen Anmeldeinformationen mit einem zentralen Authentifizierungsdienst wie Active Directory (AD), LDAP oder VPN-Diensten abzugleichen. CVE-2024-3596, genannt Blast-RADIUS, ist ein neu veröffentlichter Angriff auf die UDP-Implementierung von RADIUS, der von einer speziellen Website, einem Forschungspapier und Angriffsdetails begleitet wird. Proof-of-Concept-Code ist auch aus einer zweiten Quelle verfügbar.

Blast-RADIUS ist ein AiTM-Angriff (Adversary in the Middle), der eine Schwachstelle in MD5 ausnutzt, die ursprünglich im Jahr 2004 entdeckt und 2009 verbessert wurde. Forschende haben die Zeit, die zum Vortäuschen von MD5-Kollisionen benötigt wird, exponentiell reduziert und ihre verbesserte Version von Hashclash veröffentlicht. Der Angriff ermöglicht es einem aktiven AiTM, der sich zwischen einem RADIUS-Client und einem RADIUS-Server befindet, den Client dazu zu bringen, eine gefälschte Access-Accept-Antwort zu akzeptieren, obwohl der RADIUS-Server eine Access-Reject-Antwort ausgibt. Dies wird erreicht, indem eine MD5-Kollision zwischen der erwarteten Access-Reject- und einer gefälschten Access-Accept-Antwort berechnet wird, die es einem Angreifer ermöglicht, Login-Anfragen zu genehmigen.

Greenbone kann eine Vielzahl anfälliger RADIUS-Implementierungen in Unternehmensnetzwerken schützen, wie F5 BIG-IP [1], Fortinet FortiAuthenticator [2] und FortiOS [3], Palo Alto PAN-OS [4], Aruba CX Switches [5] und ClearPass Policy Manager [6]. Auf Betriebssystemebene schützt Greenbone dabei unter anderem Oracle Linux [7][8], SUSE [9][10][11], OpenSUSE [12][13], Red Had [14][15], Fedora [16][17], Amazon [18], Alma [19][20] und Rocky Linux [21][22].

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

CVE-2024-27348 (CVSS 9.8 Kritisch) ist eine RCE-Sicherheitslücke im Open-Source Apache HugeGraph-Server, die alle Versionen 1.0 vor 1.3.0 in Java8 und Java11 betrifft. HugeGraph-Server bietet eine API-Schnittstelle zum Speichern, Abfragen und Analysieren komplexer Beziehungen zwischen Datenpunkten und wird häufig zur Analyse von Daten aus sozialen Netzwerken, bei Empfehlungsdiensten und zur Betrugserkennung verwendet.

CVE-2024-27348 ermöglicht es Angreifern, die Sandbox-Beschränkungen innerhalb der Gremlin-Abfragesprache zu umgehen, indem sie eine unzureichende Java-Reflection-Filterung verwendet. Ein Angreifer kann die Schwachstelle ausnutzen, indem er bösartige Gremlin-Skripte erstellt und sie über die API an den HugeGraph/gremlin-Endpunkt sendet, um beliebige Befehle auszuführen. Die Schwachstelle kann über einen entfernten, benachbarten oder lokalen Zugriff auf die API ausgenutzt werden und Privilegien erweitern.

In Hacking-Kampagnen wird sie aktiv ausgenutzt. Proof-of-Concept-Exploit-Code [1][2][3] und eine eingehende technische Analyse sind öffentlich verfügbar, sodass Cyberkriminelle einen Vorsprung bei der Entwicklung von Angriffen haben. Greenbone bietet eine aktive Prüfung und einen Versionserkennungstest, um verwundbare Instanzen von Apache HugeGraph-Server zu identifizieren. Den Benutzern wird empfohlen, auf die neueste Version zu aktualisieren.

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

In unserem Blog haben wir dieses Jahr mehrfach über Sicherheitslücken in Ivanti-Produkten berichtet [1][2][3]. September 2024 war ein weiterer heißer Monat für Schwachstellen in Ivanti-Produkten. Ivanti hat endlich die Sicherheitslücke CVE-2024-29847 (CVSS 9.8 Kritisch) gepatcht, eine RCE-Schwachstelle, die Ivanti Endpoint Manager (EPM) betrifft und erstmals im Mai 2024 gemeldet wurde. Proof-of-Concept-Exploit-Code und eine technische Beschreibung sind nun öffentlich verfügbar, was die Bedrohung erhöht. Obwohl es noch keine Hinweise auf eine aktive Ausnutzung gibt, sollte diese Sicherheitslücke mit hoher Priorität behandelt und dringend gepatcht werden.

Im September 2024 identifizierte die CISA jedoch auch vier neue Schwachstellen in Ivanti-Produkten, die aktiv ausgenutzt werden. Greenbone ist in der Lage, alle diese neuen Ergänzungen zu CISA KEV und frühere Schwachstellen in Ivanti-Produkten zu erkennen. Hier die Details:

  • CVE-2024-29824 (CVSS 9.6 Kritisch): Eine SQL-Injection-Schwachstelle [CWE-89] in der Core-Server-Komponente von Ivanti Endpoint Manager (EPM) 2022 SU5 und früher. Die Ausnutzung erlaubt einem nicht authentifizierten Angreifer mit Netzwerkzugang die Ausführung von beliebigem Code. Der Exploit-Code ist öffentlich auf GitHub verfügbar. Die Sicherheitslücke wurde erstmals im Mai 2024 bekannt gegeben.
  • CVE-2024-7593 (CVSS 9.8 Kritisch): Eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus [CWE-303] in Ivanti Virtual Traffic Manager (vTM) Version 22 mit Ausnahme der Versionen 22.2R1 oder 22.7R2 kann es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und auf das Admin-Panel zuzugreifen. CVE-2024-7593 wurde erst im August 2024 bekannt gegeben, dennoch ist bereits Exploit-Code verfügbar.
  • CVE-2024-8963 (CVSS 9.1 Kritisch): Ein Path Traversal [CWE-22] in Ivanti Cloud Services Appliance (CSA) Version 4.6 und früher ermöglicht einem entfernten, nicht authentifizierten Angreifer den Zugriff auf eingeschränkte Funktionen. Die Schwachstelle wurde am 19. September 2024 bekannt gegeben und in die CISA KEV aufgenommen. Ein Fix wurde von Ivanti bereits am 10. September herausgegeben, sodass Benutzer die Schwachstelle beheben können. Die von Ivanti empfohlene Abhilfemaßnahme ist jedoch ein Upgrade auf CSA 5.0. Die CSA-Version 4.6 hat ihr End-of-Life (EOL) für Sicherheitsupdates erst letzten Monat im August 2024 erreicht, aber gemäß seiner EOL-Richtlinie wird Ivanti noch ein Jahr lang Sicherheits-Patches herausgeben. In Verbindung mit der unten beschriebenen Sicherheitslücke CVE-2024-8190 kann die Administrator-Authentifizierung umgangen werden, sodass eine beliebige RCE auf CSA-Geräten möglich ist.
  • CVE-2024-8190 (CVSS 7.5 Hoch): Eine Schwachstelle zur OS Command Injection [CWE-78] in Ivanti Cloud Services Appliance (CSA) kann remote einem authentifizierten Angreifer RCE ermöglichen. Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen. Die empfohlene Abhilfemaßnahme ist ein Upgrade auf CSA 5.0, um weiterhin unterstützt zu werden. Proof-of-Concept-Exploit-Code ist für CVE-2024-8190 öffentlich verfügbar.

Zusammenfassung

Im Threat-Tracking-Blog dieses Monats haben wir wichtige Entwicklungen im Bereich der Cybersicherheit hervorgehoben, darunter kritische Schwachstellen wie CVE-2024-40766, die von der Ransomware Akira ausgenutzt werden, CVE-2024-40711, die sich auf Veeam Backup auswirkt, und der kürzlich bekannt gewordene BlastRADIUS-Angriff, der sich auf Enterprise AAA auswirken könnte. Proaktive Cybersecurity-Aktivitäten wie regelmäßiges Vulnerability Management und Compliance-Prüfungen tragen dazu bei, die Risiken von Ransomware, Wiper-Malware und Spionagekampagnen zu mindern, und ermöglichen es den Verteidigern, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.