Schlagwortarchiv für: CrushFTP

Joseph Lee

April 2025 Threat Report: Die Konsequenzen sind real

In den Anfängen der digitalen Welt ging es beim Hacken oft um Ruhm oder Streiche. Heute, im Jahr 2025, wird das Hacken in großem Umfang zu illegalen Zwecken eingesetzt. Prognosen zufolge wird die Cyberkriminalität die Weltwirtschaft im Jahr 2025 10,5 Billionen Dollar kosten. Weltweit zwingt der Trend zur zunehmenden Geokriminalität einzelne Länder und ganze Wirtschaftsregionen [1][2] dazu, sich stärker für die Cyberabwehr zu engagieren. Die zunehmende Bedrohungslage unterstreicht die Dringlichkeit proaktiver, gut ausgestatteter Cybersicherheitsstrategien in allen Sektoren und in allen Regionen der Welt.

Die kontinuierliche Flut kritischer Schwachstellen, neuartiger Angriffstechniken, aktiver Ransomware und Spionagekampagnen macht deutlich, dass umfassende Cybersicherheitsmaßnahmen erforderlich sind, um die katastrophalsten Folgen zu verhindern. Im Threat Report dieses Monats gehen wir auf die dringlichsten Bedrohungen in der Cybersicherheitslandschaft ein, die im April 2025 auftraten. Ohne Umschweife. Los geht‘s!

Auswirkungen beachten

Wer auf ausgeklügelte Cyberangriffe nicht vorbereitet ist, dem drohen fatale Konsequenzen. Ransomware wird weithin als die größte existenzielle Cyber-Bedrohung für Unternehmen angesehen, während die Klagen wegen Datenschutzverletzungen dramatisch zunehmen. Die Zahl der Sammelklagen im Zusammenhang mit Datenschutzverletzungen ist innerhalb von sechs Jahren um 1.265 % regelrecht explodiert, wobei die Zahl der Klagen in den USA von 604 im Jahr 2022 auf 1.320 im Jahr 2023 mehr als verdoppelt hat. Zuverlässige Backups können einem Opfer helfen, der Zahlung von Lösegeld zu entgehen, und ein gut ausgeführter Plan zur Reaktion auf einen Vorfall kann die Ausfallzeit minimieren. Jedoch haben die Opfer von Sicherheitsverletzungen kaum eine Möglichkeit, sich vor den Kosten für behördliche oder rechtliche Schritte zu schützen.

Die 2019 von Equifax geleisteten Zahlungen sind die höchsten in der Geschichte für einen Vorfall im Zusammenhang mit Cybersicherheit – die Gesamtkosten werden auf 1,5 Milliarden US-Dollar geschätzt. Das Versäumnis, die Sicherheitslücke CVE-2017-5638 in Apache Struts zu schließen, wurde als Hauptursache für den Sicherheitsverstoß genannt. Im April 2025 erklärte sich das US-Verteidigungsunternehmen Raytheon bereit, einen Vergleich in Höhe von 8,5 Millionen Dollar zu zahlen, weil es bei 29 Verträgen mit dem Verteidigungsministerium (DoD) die erforderlichen Sicherheitsmaßnahmen nicht umgesetzt hatte.

Dienstleister im Healthcare-Bereich sind besonders stark betroffen, da personenbezogene Gesundheitsdaten auf Darkweb-Marktplätzen rund 1.000 Dollar pro Datensatz erzielen, verglichen mit 5 Dollar pro Datensatz für Zahlungskartendaten, da sie effektiv zur Betrugsermittlung genutzt werden. Im Jahr 2023 meldete der US-Gesundheitssektor 725 Datenschutzverletzungen, bei denen über 133 Millionen Datensätze offengelegt wurden. Am 23. April 2025 gab das Office for Civil Rights (OCR) des U.S. Department of Health and Human Services einen Vergleich mit PIH Health Inc. in Höhe von 600.000 Dollar bekannt wegen unzureichender technischer Sicherheitsvorkehrungen. Die rechtlichen Konsequenzen von Cyberverletzungen betreffen jedoch Unternehmen aller Branchen. Bei Sammelklagen im Zusammenhang mit Datenschutzverletzungen wurden ebenfalls erhebliche Vergleiche geschlossen, wobei drei der zehn größten Vergleiche im Jahr 2024 geschlossen wurden und sich auf insgesamt 560 Millionen US-Dollar belaufen.

In Anbetracht der Konsequenzen sollten Unternehmen ihre Haltung zur Cyberhygiene sorgfältig prüfen und dabei besonders auf bewährte IT-Sicherheitspraktiken wie die Implementierung von Multifaktor-Authentifizierung (MFA), Schwachstellenmanagement und Netzwerksegmentierung achten.

Verizon: Mehr Schwachstellen für den ersten Zugriff

Der 2025 Data Breach Investigations Report (DBIR) von Verizon, der im April veröffentlicht wurde, meldete einen 34-prozentigen Anstieg von ausgenutzten Schwachstellen (CVEs) als Ursache für Cyberverletzungen, die zwischen Oktober 2023 und Dezember 2024 begangen wurden. Ausgenutzte Schwachstellen dienten bei 20 % der untersuchten Datenschutzverletzungen als erster Zugangsvektor. Der Bericht zeigt zwar, dass die Lösegeldzahlungen zurückgegangen sind – 64 % der Opferunternehmen haben kein Lösegeld gezahlt, verglichen mit 50 % vor zwei Jahren –, aber die Zahl der Ransomware-Angriffe ist um 37 % gestiegen.

Edge-Geräte und VPNs waren für 22 % der Angriffe verantwortlich – ein deutlicher Anstieg von nur 3 % im Vorjahr. Trotz der wachsenden Bedrohung haben Unternehmen nur 54 % dieser Schwachstellen vollständig behoben, wobei die durchschnittliche Zeit bis zur Behebung 32 Tage betrug. Darüber hinaus erreichte die Ausnutzung von Edge-Geräten für den Erstzugriff bei spionagemotivierten Sicherheitsverletzungen 70 %. Es gibt keine Anzeichen dafür, dass dieser Trend zur Ausnutzung von Edge-Geräten nachlässt. Ein proaktives Schwachstellenmanagement ist wichtiger denn je, um die Gefährdung zu verringern und die Auswirkungen von Sicherheitsverletzungen zu begrenzen.

Neue Bedrohungen an der Netzwerk-Edge

Die Botschaft aus den Berichten über die Cyberlandschaft ist eindeutig: Unternehmen müssen sich ihrer öffentlich zugänglichen Vermögenswerte genau bewusst sein. Erkennung und Behebung von Schwachstellen sind entscheidend. Nachfolgend finden Sie die Höhepunkte der aufkommenden Bedrohungen, die im April 2025 Netzwerk-Edge-Geräte betreffen. Greenbone ist in der Lage, alle unten genannten Bedrohungen und mehr zu erkennen.

  • SonicWall SMA100-Geräte: CVE-2023-44221 (CVSS 7.2) und CVE-2021-20035 (CVSS 6.5), beides OS Command Injection-Schwachstellen [CWE-78], wurden zu den Known Exploited Vulnerabilities (KEV) der Cybersecurity and Infrastructure Security Agency (CISA) hinzugefügt. Im April meldete SonicWall außerdem, dass PoC-Exploits (Proof of Concept) für eine weitere Schwachstelle jetzt öffentlich verfügbar sind: CVE-2024-53704 (CVSS 9.8).
  • Ivanti Connect Secure, Policy Secure und ZTA Gateways: CVE-2025-22457 (CVSS 9.8) ist eine Stack-basierte Buffer-Overflow-Schwachstelle [CWE-121], die derzeit aktiv ausgenutzt wird. Das Threat-Research-Team Mandiant von Google führt die Angriffe zurück auf UNC5221, einen chinesischen (staatlich geförderten) Bedrohungsakteur. Das Sicherheitsunternehmen GreyNoise beobachtete einen 9-fachen Anstieg der Bots, die nach ungeschützten Connect Secure-Endpunkten scannen.
  • Fortinet FortiOS und FortiProxy: CVE-2025-24472 (CVSS 9.8) ist ein Authentication Bypass [CWE-288], der es einem entfernten Angreifer ermöglichen könnte, über manipulierte CSF-Proxy-Anfragen Super-Admin-Rechte zu erlangen. Die CVE wird als aktiv ausgenutzt betrachtet. Fortinet hat außerdem neue Aktivitäten zur Ausnutzung älterer kritischer Schwachstellen in FortiGate-Geräten beschrieben, darunter CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762 (alle CVSS 9.8).
  • Juniper Junos OS: CVE-2025-21590 (CVSS 6.7) ist eine aktiv ausgenutzte Schwachstelle, die es einem lokalen Angreifer mit privilegierten Rechten ermöglicht, die Integrität des Geräts zu beeinträchtigen. Ein lokaler Angreifer mit Zugriff auf die Juniper-CLI-Shell kann beliebigen Code einspeisen, um ein betroffenes Gerät zu kompromittieren. Die Schwachstelle wird als „Improper Isolation or Compartmentalization“ [CWE-653] eingestuft.
  • Mehrere Cisco-Schwachstellen werden ausgenutzt: Analysten bestätigen gezielte Angriffe auf ungepatchte Cisco-Infrastrukturen, insbesondere in TK-umgebungen [1][2]. Die vom chinesischen Staat gesponserte Gruppe Salt Typhoon nutzt weiterhin die Schwachstellen CVE-2018-0171 (CVSS 9.8) bei Smart Install RCE und CVE-2023-20198 (CVSS 10) bei Web UI Privilege Escalation aus.
  • DrayTek-Router: Drei CVEs wurden in bösartigen Kampagnen beobachtet, darunter CVE-2020-8515 (CVSS 9.8), CVE-2021-20123 (CVSS 7.5) und CVE-2021-20124 (CVSS 7.5).
  • Microsoft Remote Desktop Gateway-Dienst: CVE-2025-27480 ist eine „Use After Free“-Schwachstelle [CWE-416], die es einem nicht autorisierten Angreifer ermöglicht, Code über ein Netzwerk auszuführen. Obwohl noch keine aktiven Bedrohungen beobachtet wurden, verfolgt Microsoft die Schwachstelle mit dem Status „Exploitation More Likely“.
  • Erlang/OTP SSH hat öffentlichen PoC Exploit: Mehrere PoC-Exploits [1][2][3] sind jetzt öffentlich verfügbar für CVE-2025-32433 (CVSS 10), eine neue Schwachstelle mit maximalem Schweregrad im Erlang/OTP SSH-Server. Erlang/OTP ist eine weit verbreitete Plattform für den Aufbau skalierbarer und fehlertoleranter verteilter Systeme und wird unter anderem genutzt von großen Technologieunternehmen wie Ericsson, Cisco, Broadcom, EMQ Technologies und der Apache Software Foundation.
  • Broadcom Brocade Fabric OS (FOS): CVE-2025-1976 (CVSS 6.7) ist eine Code-Injection-Schwachstelle [CWE-94], die im April offengelegt und aktiv ausgenutzt wurde. FOS ist eine spezielle Firmware, die für die Verwaltung von Fibre-Channel-Switches in Storage Area Networks (SANs) entwickelt wurde. Die Schwachstelle erlaubt einem lokalen Benutzer mit administrativen Rechten die Ausführung von beliebigem Code mit vollen Root-Rechten.

Neue Sicherheitslücke im Windows Common Log File System

Eine neue, schwere Sicherheitslücke CVE-2025-29824 (CVSS 7.8) im Treiber des Microsoft Windows Common Log File System (CLFS) ermöglicht lokalen, authentifizierten Angreifern die Ausweitung ihrer Rechte und damit den Zugriff auf die SYSTEM-Ebene. Darüber hinaus wird die Schwachstelle weltweit bei Ransomware-Angriffen [1][2], insbesondere durch Storm-2460, ausgenutzt, um PipeMagic-Malware zu verteilen.

Der Windows CLFS-Treiber weist eine Reihe kritischer Schwachstellen für die Ausweitung von Berechtigungen auf, die sich über mehrere Jahre und Versionen erstrecken und ihn zu einem dauerhaften, hochwertigen Ziel für Angreifer machen. Acht CVEs aus den Jahren 2019 bis 2025 wurden in der KEV-Liste der CISA katalogisiert. Mindestens vier davon, CVE-2023-28252, CVE-2023-23376, CVE-2022-24521 und CVE-2025-29824, werden bekanntermaßen in Ransomware-Kampagnen ausgenutzt.

Aufgrund der aktiven Ausnutzung kritischer Schwachstellen in Microsoft-Produkten ist es für Unternehmen unerlässlich, zu überprüfen, ob die neuesten Microsoft-Sicherheitsupdates in ihrer IT-Infrastruktur installiert wurden, und die Systeme auf Anhaltspunkte für eine Gefährdung (Indicators of Compromise, IoC) zu überwachen. Greenbone kann Schwachstellen für alle oben genannten CLFS CVEs und fehlende Patch-Levels für Microsoft Windows 10 (32-bit & x64), Windows 11 (x64) und Windows Server 2012-2025 Endpunkte über authentifizierte Local Security Checks (LSC) erkennen.

RCE-Schwachstelle in Craft CMS

CVE-2025-32432 (CVSS 10) ist eine schwere Sicherheitslücke in Craft CMS (Content Management System), die sich leicht ausnutzen lässt und Remote Code Execution (RCE) ermöglicht. Craft CMS ist ein Framework zur Erstellung von Websites, das auf dem PHP-Framework Yii aufbaut. Die Sicherheitslücke wurde vom CSIRT von Orange Cyberdefense gemeldet, das sie während einer Reaktion auf einen Vorfall entdeckte. Die Schwachstelle wurde bereits in freier Wildbahn ausgenutzt. Außerdem sind technische Details und PoC-Exploits [1][2] einschließlich eines Metasploit-Moduls öffentlich verfügbar, was die Bedrohung erheblich erhöht. Craft CMS wird von namhaften Unternehmen verwendet wie der New York Times, Amazon, Intel, Tesla, NBC, Bloomberg und JPMorgan Chase für die Erstellung individueller E-Commerce- und inhaltsgesteuerter Websites.

Greenbone ist in der Lage, Webanwendungen, die für CVE-2025-32432 anfällig sind, mit einer aktiven Prüfung zu erkennen, bei der eine speziell gestaltete POST-Anfrage gesendet und die Antwort analysiert wird. Betroffen sind die Craft CMS-Versionen 3.x bis 3.9.14, 4.x bis 4.14.14 und 5.x bis 5.6.16. Benutzer sollten so bald wie möglich auf eine gepatchte Version aktualisieren. Wenn ein Upgrade nicht möglich ist, schlägt der Hersteller vor, Firewall-Regeln zu implementieren, um POST-Anfragen am Endpunkt „actions/assets/generate-transform“ zu blockieren oder die Craft CMS Security Patches Library zu installieren.

Dualing CVEs in CrushFTP werden von Ransomware ausgenutzt

CVE-2025-31161 (CVSS 9.8) stellt eine ernsthafte Bedrohung für CrushFTP-Benutzer dar. Bei dem Fehler handelt es sich um eine „Authentication Bypass”-Schwachstelle [CWE-287] im HTTP-Autorisierungs-Header, die es entfernten, nicht authentifizierten Angreifern ermöglicht, sich als ein beliebiges bestehendes Benutzerkonto (z. B. Crushadmin) zu authentifizieren. Die Schwachstelle wird unter anderem von den Akteuren der Kill-Gruppe in laufenden Ransomware-Angriffen ausgenutzt.

CVE-2025-31161 betrifft CrushFTP Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0. Der Hersteller hat einen Hinweis mit aktualisierten Anweisungen veröffentlicht. Greenbone ist in der Lage, CVE-2025-31161 sowohl mit einer aktiven Prüfung als auch mit einem Versionserkennungstest zu erkennen.

Ursprünglich wurde diese Schwachstelle unter einer anderen Kennung (CVE-2025-2825) verfolgt. Als sie von einem Drittanbieter (CNA) veröffentlicht wurde, hatte CrushFTP die Gelegenheit, die Details zu bewerten. Die verfrühte Veröffentlichung zwang CrushFTP, öffentlich zu reagieren, bevor es einen Patch entwickelt hatte. Dieser Vorfall macht ein erhebliches Risiko deutlich: Da CrushFTP keine CVE Numbering Authority (CNA) war, fehlte dem Anbieter die Befugnis, seinen eigenen Produkten CVE-Kennungen zuzuweisen. Stattdessen musste sich CrushFTP auf die externen Forscher verlassen, die den Fehler entdeckt hatten, um die CVE-Veröffentlichung zu verwalten.

Im CVE-Programm kann eine CNA ihren Geltungsbereich so definieren, dass sie CVE-IDs den Schwachstellen zuweisen kann, die ihre eigenen Produkte betreffen, während sie dies anderen Parteien verwehrt. Wenn der Anbieter einer Anwendung eine registrierte CNA ist, müssen Security-Forscher von Drittanbietern ihre Erkenntnisse direkt dem Anbieter mitteilen, was eine bessere Kontrolle über den zeitlichen Ablauf und eine bessere strategische Offenlegung ermöglicht. In Anbetracht der Risiken sollten Software-Anbieter in Erwägung ziehen, sich als CNA beim CVE-Programm von MITRE registrieren zu lassen.

Zusammenfassung

Im April 2025 wurde auf aktuelle Bedrohungen durch Schwachstellen in Edge-Geräten, Ransomware-Aktivitäten und neu ausgenutzte Schwachstellen in weit verbreiteter Software wie Craft CMS, Microsoft CLFS und CrushFTP hingewiesen. Diese Entwicklungen unterstreichen die Notwendigkeit für Unternehmen, den Überblick über gefährdete Ressourcen zu behalten, rechtzeitig Patches zu installieren und wachsam gegenüber neuen Bedrohungen zu sein, die vom ersten Zugriff bis zur vollständigen Kompromittierung schnell eskalieren können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Proaktive Sicherheit reduziert die Kosten eines Cyberangriffs

Aus einer Vogelperspektive betrachtet, wird der kumulative Schaden durch Cyberkriminalität weltweit im Jahr 2024 auf geschätzte 9,2 Billionen Dollar ansteigen. Laut dem „Cost of a Data Breach Report 2023“ der X-Force von IBM verursacht eine einzelne Datenpanne einen durchschnittlichen finanziellen Schaden in Höhe von 4,45 Millionen Dollar für das betroffene Unternehmen. Während US-Firmen mehr als das Doppelte des globalen Durchschnitts tragen, lagen deutsche Organisationen im Durchschnitt.

Die höchsten Kosten nach einer Sicherheitsverletzung entstehen durch Maßnahmen zur Schadensbegrenzung wie Incident Response, digitale Forensik, Systemwiederherstellung und die erforderliche Offenlegung. Auch regulatorische Geldstrafen können die Kosten einer Sicherheitsverletzung erheblich erhöhen. Change Healthcare erwartet in diesem Jahr einen Verlust von 1,6 Milliarden Dollar aufgrund einer im März 2024 erfolgten Sicherheitsverletzung, und es könnten noch weitere regulatorische Geldstrafen folgen.

Diese potenziellen Schäden unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zur Verhinderung erfolgreicher Cyberangriffe und zur Minderung der finanziellen Auswirkungen, falls doch einer auftritt. Das Ponemon Institut hat festgestellt, dass fehlende Sicherheitsupdates für 57 % der Cyberangriffe verantwortlich sind. Weniger häufig gehackt zu werden, ist ein offensichtlicher Vorteil präventiver Cybersicherheitsmaßnahmen. Laut IBM haben Organisationen mit proaktivem risikobasierten Schwachstellenmanagement auch niedrigere durchschnittliche Kosten nach einer Sicherheitsverletzung (3,98 Millionen Dollar) im Vergleich zu Organisationen ohne solche Maßnahmen (4,45 Millionen Dollar), solchen mit Fachkräftemangel (5,36 Millionen Dollar) oder solchen, die nicht konform mit Cybersicherheitsvorschriften sind (5,05 Millionen Dollar).

Angriff auf Change Healthcare

Im März 2024 erlitt Change Healthcare einen Ransomware-Angriff, der das Unternehmen bisher mit etwa 872 Millionen Dollar belastet hat und 6 Milliarden Dollar an Krankenversicherungszahlungen verzögert hat. Change Healthcare prognostiziert einen jährlichen Verlust von 1,6 Milliarden Dollar aufgrund des Vorfalls. Gegründet 2007, ist Change Healthcare ein führendes Technologieunternehmen im Gesundheitswesen, das weltweit Dienstleistungen im Bereich Revenue Cycle Management, Zahlungsgenauigkeit und klinischen Datenaustausch anbietet. Eine Übernahme im Jahr 2022 bewertete das Unternehmen mit 8 Milliarden Dollar.

Untersuchung der HIPAA-Konformität bei Change Healthcare

Zusätzlich zu den erheblichen Schäden hat das US-amerikanische Gesundheitsministerium HHS eine Untersuchung des Angriffs eingeleitet, um festzustellen, ob Change Healthcare gegen Compliance-Anforderungen verstoßen hat. Die HIPAA-Sicherheitsregeln verlangen, dass betroffene Unternehmen „anerkannte Sicherheitspraktiken“ implementieren, um elektronische geschützte Gesundheitsinformationen (ePHI) vor absehbaren Sicherheitsbedrohungen zu schützen.

Kontinuierliches Schwachstellenmanagement ist ein grundlegender Bestandteil aller modernen Cybersicherheitsarchitekturen. Wenn man etwas Positives sehen will, sind die schwersten Strafen für HIPAA-Nichtkonformität auf nur 2 Millionen Dollar begrenzt; eine Kleinigkeit im Vergleich zu den Gesamtkosten der Reaktion und Wiederherstellung in diesem speziellen Vorfall.

Die Greenbone Vulnerability Management-Plattform ist in der Lage, an unterschiedliche Bedürfnisse angepasste Compliance-Tests durchzuführen, um jedes Rahmenwerk einschließlich CIS, DISA STIG, HIPAA und mehr zu erfüllen. Greenbone ist zertifiziert sowohl für sein Informationssicherheitsmanagementsystem ISMS (ISO 27001), Qualitätsmanagement (ISO 9000) und zuletzt auch für Umweltmanagement (ISO-14001).

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

April 2024 Threat Tracking: Sicherheitslücken auf Rekordniveau

Der April 2024 war ein weiterer rekordverdächtiger Monat für die Veröffentlichung von CVEs. Im Threat-Tracking-Bericht dieses Monats untersuchen wir mehrere neue, aktiv ausgenutzte Schwachstellen und beleuchten den Cyberangriff auf den US-Forschungsriesen MITRE. Der Bericht deckt auch auf, wie sich End-of-Life-Produkte (EOL) nachteilig auf die Cybersicherheitslage eines Unternehmens auswirken können und wie man die damit verbundenen Risiken bewältigt.

MITRE: Schwachstellen durch Ivanti

Die MITRE Corporation ist eine 1958 gegründete gemeinnützige Organisation, die mehrere staatlich finanzierte Forschungs- und Entwicklungszentren zur Unterstützung der US-Verteidigung, der Cybersicherheit, des Gesundheitswesens, der Luftfahrt und anderer Bereiche betreibt. MITRE unterhält auch mehrere zentrale Cybersicherheits-Frameworks wie MITRE ATT&CK, D3FEND sowie Schwachstellen-Ressourcen wie die Datenbanken Common Vulnerabilities and Exposures (CVE), Common Weakness and Enumeration (CWE) und Common Attack Path Enumeration (CAPEC).

Ein kürzlich erfolgter Cyberangriff auf MITRE zeigt, dass selbst die versiertesten Organisationen nicht gegen gezielte Angriffe von Advanced Persistent Threats (APTs) gefeit sind. Der anfängliche Zugang zu einem der Forschungsnetzwerke von MITRE wurde über zwei Sicherheitslücken im Ivanti Connect Secure VPN-Dienst erlangt: CVE-2023-46805 (CVSS 8.2) und CVE-2024-21887 (CVSS 9.1). Wir haben bereits eine ausführliche Beschreibung dieser Schwachstellen veröffentlicht, die beide durch die Schwachstellentests von Greenbone aufgedeckt werden können. Nach dem anfänglichen Zugriff konnten Angreifer mit gestohlenen Sitzungs-Tokens [T1563] auf die angrenzende VMware-Infrastruktur [TA0109] ausweichen, um die Multi-Faktor-Authentifizierung zu umgehen und auf Admin-Konten zuzugreifen.

Wenn es MITRE passieren kann, kann es jeder Organisation passieren, aber das Patchen von Schwachstellen, von denen bekannt ist, dass sie aktiv ausgenutzt werden, ist eine Schlüsselaktivität, auf die alle Organisationen großen Wert legen müssen.

„Operation MidnightEclipse“ PaloAlto Zero Day

Am 10. April 2024 meldeten Forscher des Cybersicherheitsunternehmens Volexity, dass einer bisher unentdeckten Zero-Day-Schwachstelle in der GlobalProtect-Funktion von PaloAlto PAN-OS ausgenutzt wurde. Die jetzt als CVE-2024-3400 (CVSS 10) geführte Schwachstelle, die eine unautorisierte Remote Code Execution (RCE) mit Root-Rechten ermöglicht, wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen. Der Greenbone Enterprise Vulnerability Feed enthält Tests zur Erkennung von CVE-2024-3400, die es Unternehmen ermöglichen, betroffene Anlagen zu identifizieren und Abhilfemaßnahmen zu planen.

Unit42 von PaloAlto verfolgt nachfolgende Angriffe unter dem Namen Operation MidnightEclipse und hat zusammen mit der Shadowserver Foundation und GreyNoise einfache Sondierungen und eine vollständige Ausnutzung mit anschließender Datenexfiltration und Installation von Remote-C2-Tools beobachtet. Außerdem wurden von Dritten mehrere Proof-of-Concept-Exploits (PoC) veröffentlicht [1][2], die die Bedrohung durch Angriffe von wenig oder gar nicht qualifizierten Cyberkriminellen verstärken.

CVE-2024-3400 betrifft PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1 Firewalls, die mit GlobalProtect gateway oder GlobalProtect portal konfiguriert sind. Hotfix-Patches für PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 sind derzeit verfügbar, um betroffene Geräte ohne Neustart zu reparieren. Eine umfassende Anleitung zur Behebung des Problems ist in der Palo Alto Knowledge Base verfügbar.

D-Link: Eingebaute Anmeldeinformationen in Alt-Produkten

In NAS-Geräten des Herstellers D-Link wurden zwei kritische Schwachstellen entdeckt, die als CVE-2024-3272 (CVSS 9.8) und CVE-2024-3273 (CVSS 9.8) bezeichnet werden. Zu den betroffenen Geräten gehören DNS-320L, DNS-325, DNS-327L und DNS-340L, die alle das Ende ihres Produktlebenszyklus erreicht haben. Laut D-Link werden keine Patches bereitgestellt. Weltweit sind schätzungsweise 92.000 Geräte davon betroffen. Beide CVEs werden aktiv ausgenutzt, und ein Proof of Concept (PoC) Exploit für CVE-2024-3273 ist online verfügbar.

Die anfälligen Geräte enthalten alle ein Standard-Administrationskonto, für das kein Kennwort erforderlich ist. Angreifer können aus der Ferne Befehle ausführen, indem sie eine speziell gestaltete HTTP-GET-Anfrage an den URI /cgi-bin/nas_sharing.cgi auf der NAS-Webschnittstelle senden. Beide Schwachstellen zusammen stellen ein ernstes Risiko dar, da sie eine Remote Code Execution (RCE) ohne Authentifizierung auf dem Zielgerät ermöglichen [T1584]. Dies ermöglicht Angreifern den Zugriff auf potenziell sensible Daten [TA0010], die auf dem kompromittierten NAS-Gerät selbst gespeichert sind, aber auch ein Standbein im Netzwerk des Opfers, um ein seitliches Eindringen [TA0008] in andere Systeme dort zu versuchen oder Angriffe als Teil eines Botnets global zu starten [T1584.005].

Sicherung von digitalen Alt-Produkten

Digitale Produkte am Ende ihres Lebenszyklus (End of Life; EOL) erfordern besondere Sicherheitsüberlegungen, da sie aufgrund der eingestellten Unterstützung durch den Hersteller einem höheren Risiko ausgesetzt sind ausgenutzt zu werden. Hier sind einige Verteidigungsmaßnahmen zum Schutz von digitalen EOL-Produkten:

  1. Risikobewertung: Führen Sie regelmäßige Risikobewertungen durch, um die potenziellen Auswirkungen von Altgeräten auf Ihr Unternehmen zu ermitteln, vor allem in Anbetracht der Tatsache, dass neu aufgedeckte Schwachstellen möglicherweise noch nicht vom Hersteller behoben wurden.
  2. Schwachstellen- und Patch-Management: Auch wenn EOL-Produkte von ihren Herstellern offiziell nicht mehr unterstützt werden, werden in einigen Notfällen noch Patches herausgegeben. Schwachstellen-Scans und Patch-Management helfen bei der Identifizierung neuer Schwachstellen und ermöglichen es den Verteidigern, den Hersteller um Ratschläge zu Abhilfemöglichkeiten zu bitten.
  3. Isolierung und Segmentierung: Isolieren Sie, wenn möglich, EOL-Produkte vom restlichen Netzwerk, um ihre Gefährdung durch potenzielle Bedrohungen zu begrenzen. Die Segmentierung dieser Geräte kann dazu beitragen, Sicherheitslücken einzudämmen und zu verhindern, dass sie sich auf andere Systeme auswirken.
  4. Härten Sie Konfiguration und Richtlinien: In manchen Fällen sind zusätzliche Richtlinien oder Sicherheitsmaßnahmen, wie z. B. die vollständige Sperrung des Internetzugangs, angebracht, um das Risiko weiter zu mindern.
  5. Update auf unterstützte Produkte: Aktualisieren Sie die IT-Infrastruktur, um EOL-Produkte durch unterstützte Alternativen zu ersetzen. Die Umstellung auf neuere Technologien kann die Sicherheitslage verbessern und die Abhängigkeit von veralteten Systemen verringern.
  6. Überwachung und Erkennung: Implementieren Sie zusätzliche Überwachungs- und Erkennungsmechanismen, um verdächtige Aktivitäten, Exploit-Versuche oder Versuche des unbefugten Zugriffs auf EOL-Produkte zu erkennen. Eine kontinuierliche Überwachung kann dazu beitragen, bösartige Aktivitäten sofort zu erkennen und angemessene Reaktionen zu ermöglichen.

CVE-2024-4040: Schwachstelle in CrushFTP VFS

Die CISA hat alle US-Bundesbehörden angewiesen, Systeme zu patchen, die den CrushFTP-Dienst nutzen, da diese Schwachstelle von politisch motivierten Hackern aktiv ausgenutzt wird. Die als CVE-2024-4040 (CVSS 9.8) bezeichnete Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, auf sensible Daten außerhalb des Virtual File System (VFS) von CrushFTP zuzugreifen und das System vollständig zu übernehmen. Die Schwachstelle beruht auf einem Fehler bei der korrekten Autorisierung von Befehlen, die über die CrushFTP-API [CWE-1336] ausgegeben werden.

CrushFTP ist eine proprietäre Dateiübertragungssoftware, die für die sichere Übertragung und gemeinsame Nutzung von Dateien entwickelt wurde. Sie unterstützt eine Vielzahl von Protokollen, darunter FTP, SFTP, FTPS, HTTP, HTTPS und WebDAV. Die Schwachstelle liegt im Java Web-Interface API von CrushFTP für die Verwaltung und Überwachung des CrushFTP-Servers.

Laut CrushFTP gibt es keine Möglichkeit, eine kompromittierte Instanz durch die Inspektion der Anwendungsprotokolle zu identifizieren. Es hat sich herausgestellt, dass CVE-2024-4040 einfach auszunutzen ist und öffentlich zugängliche Exploits verfügbar sind, was das Risiko stark erhöht. Der Enterprise-Feed von Greenbone enthält einen Schwachstellentest zur Identifizierung des HTTP-Headers, der von anfälligen Versionen von CrushFTP gesendet wird.

Es gibt schätzungsweise 6.000 öffentlich zugängliche Instanzen von CrushFTP allein in den USA und über 7.000 öffentliche Instanzen weltweit. CVE-2024-4040 betrifft alle Versionen der Anwendung vor 10.7.1 und 11.1.0 auf allen Plattformen. Kunden sollten dringend auf eine gepatchte Version aktualisieren.

Zusammenfassung

April 2024 war rekordverdächtig in Bezug auf die Veröffentlichung von CVEs und neuen Cybersecurity-Herausforderungen, einschließlich mehrerer einschlägiger Vorfälle. Das Secure Connect VPN von Ivanti wurde genutzt, um unbefugten Zugriff auf die Entwicklungsinfrastruktur von MITRE zu erlangen, was zu internen Netzwerkangriffen führte. Verschiedene Bedrohungsakteure wurden dabei beobachtet, wie sie eine Zero-Day-Schwachstelle in PAN-OS von Palo Alto ausnutzten, die jetzt unter der Bezeichnung CVE-2024-3400 geführt wird, und zwei neue kritische Schwachstellen in auslaufenden NAS-Geräten von D-Link verdeutlichen die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen, wenn ältere Produkte in Betrieb bleiben müssen. Außerdem wurde eine kritische Schwachstelle im CrushFTP-Server gefunden und schnell in die CISA KEV aufgenommen, die US-Regierungsbehörden zu dringenden Patches zwingt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von