Schlagwortarchiv für: Cyber-Bedrohungen

Joseph Lee

Februar 2025 Threat Report: Rumoren im Untergrund

Cyber-Bedrohungen entwickeln sich in halsbrecherischem Tempo, aber die grundlegenden Schwachstellen, die Angreifer ausnutzen, bleiben auffallend unverändert. Für das Jahr 2025 haben viele Analysten einen Rückblick auf das Jahr 2024 und einen Ausblick auf das Jahr 2025 veröffentlicht. Die Kosten für Cyberverletzungen steigen, aber insgesamt haben sich die Ursachen für Cyberverletzungen nicht geändert. Phishing [T1566] und das Ausnutzen bekannter Software-Schwachstellen [T1190] stehen weiterhin ganz oben auf der Liste. Eine weitere wichtige Beobachtung ist, dass Angreifer öffentliche Informationen immer schneller als Waffe einsetzen und Enthüllungen von CVEs (Common Vulnerabilities and Exposures) innerhalb von Tagen oder sogar Stunden in brauchbaren Exploit-Code umwandeln. Sobald sie in das Netzwerk eines Opfers eingedrungen sind, führen sie ihre präzisen Absichten in der zweiten Phase ebenfalls schneller aus und setzen Ransomware innerhalb von Minuten ein.

In diesem Threat Report gehen wir kurz auf die aufgedeckten Chats der Ransomware-Gruppe Black Basta ein und werfen einen Blick darauf, wie Greenbone vor deren offengelegten Machenschaften schützt. Wir werden auch einen Bericht von Greynoise über die massenhafte Ausnutzung von Schwachstellen, eine neue, aktiv genutzte Schwachstelle in der Zimbra Collaboration Suite und neue Bedrohungen für Edge-Networking-Geräte unter die Lupe nehmen.

Das Zeitalter der tektonischen Technologien

Wenn Sicherheitskrisen wie Erdbeben sind, dann entspricht das globale Technologie-Ökosystem den zugrunde liegenden tektonischen Platten. Dieses Ökosystem lässt sich am besten als das Paläozoikum der Erdgeschichte darstellen. Die rasanten Innovations- und Wettbewerbskräfte des Markts schieben und zerren an der Struktur der IT-Sicherheit wie die kollidierenden Superkontinente von Pangäa; ständige Erdbeben zwingen die Kontinente zu permanenten Verschiebungen.

Völlig neue Computerparadigmen wie die generative KI und das Quantencomputing schaffen Vorteile und Risiken; Vulkane von Wert und instabilem Boden. Globale Regierungen und Tech-Giganten ringen um den Zugang zu den sensiblen persönlichen Daten der Bürger und erhöhen damit die Schwerkraft. Diese Kämpfe haben erhebliche Auswirkungen auf die Privatsphäre und die Sicherheit und beeinflussen letztendlich die Entwicklung der Gesellschaft. Hier sind einige der wichtigsten Kräfte, die die IT-Sicherheit heute destabilisieren:

  • Sich schnell entwickelnde Technologien treiben die Innovation voran und erzwingen den technischen Wandel.
  • Unternehmen sind zum einen gezwungen, sich zu ändern, da Technologien und Standards an Wert verlieren, und zum anderen sind sie motiviert, sich zu ändern, um am Markt fortzubestehen.
  • Der harte Wettbewerb beschleunigt die Produktentwicklung und die Veröffentlichungszyklen.
  • Strategisch geplante Obsoleszenz hat sich als Geschäftsstrategie zur Erzielung finanzieller Gewinne etabliert.
  • Der weit verbreitete Mangel an Verantwortlichkeit für Softwareanbieter hat dazu geführt, dass Leistung Vorrang vor dem Grundsatz „Security First“ hat.
  • Nationalstaaten setzen Waffentechnologien für Cyber Warfare, Information Warfare und Electronic Warfare ein.

Dank dieser Kräfte finden gut ausgestattete und gut organisierte Cyber-Kriminelle eine praktisch unbegrenzte Anzahl von Sicherheitslücken, die sie ausnutzen können. Das Zeitalter des Paläozoikums dauerte 300 Millionen Jahre. Hoffentlich müssen wir nicht so lange warten, bis die Produkthersteller Verantwortung zeigen und sichere Konstruktionsprinzipien anwenden [1][2][3], um sogenannte „unverzeihliche“ Schwachstellen durch Fahrlässigkeit zu verhindern [4][5]. Unternehmen müssen daher technische Flexibilität und effiziente Patch-Management-Programme entwickeln. Ein kontinuierliches, priorisiertes Schwachstellenmanagement ist ein Muss.

Mit Greenbone gegen Black Basta

Durchgesickerte interne Chat-Protokolle der Ransomware-Gruppe Black Basta lassen in die Taktik und die inneren Abläufe der Gruppe blicken. Die Protokolle wurden von einer Person unter dem Pseudonym „ExploitWhispers“ veröffentlicht, die behauptet, die Veröffentlichung sei eine Reaktion auf die umstrittenen Angriffe von Black Basta auf russische Banken, die angeblich zu internen Konflikten innerhalb der Gruppe führten. Seit seinem Auftauchen im April 2022 hat Black Basta Berichten zufolge über 100 Millionen US-Dollar an Lösegeldzahlungen von mehr als 300 Opfern weltweit erhalten. 62 CVEs, auf die in den geleakten Dokumenten verwiesen wird, offenbaren die Taktik der Gruppe zur Ausnutzung bekannter Schwachstellen. Von diesen 62 CVEs unterhält Greenbone Erkennungstests für 61, was 98 % der CVEs abdeckt.

Greynoise-Report über massenhafte Ausnutzung von Schwachstellen

Mass-Exploitation-Angriffe sind vollautomatische Angriffe auf Dienste im Netzwerk, die via Internet zugänglich sind. Diesen Monat hat Greynoise einen umfassenden Bericht veröffentlicht, der die Mass-Exploitation-Landschaft zusammenfasst, einschließlich der 20 wichtigsten CVEs, die von den größten Botnets angegriffen werden (eindeutige IPs) und der Anbieter der am häufigsten angegriffenen Produkte. Hinzu kommen die wichtigsten der in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommenen CVEs, die von Botnets ausgenutzt werden. Der Greenbone Enterprise Feed bietet Erkennungstests für 86 % aller CVEs (86 insgesamt), auf die im Bericht verwiesen wird. Wenn nur CVEs berücksichtigt werden, die im Jahr 2020 oder später veröffentlicht wurden (insgesamt 66), deckt unser Enterprise Feed 90 % davon ab.

Weitere Ergebnisse sind:

  • 60 % der CVEs, die bei Massenangriffen ausgenutzt wurden, wurden 2020 oder später veröffentlicht.
  • Angreifer nutzen Schwachstellen innerhalb von Stunden nach ihrer Veröffentlichung aus.
  • 28 % der Schwachstellen in CISA KEV werden von Ransomware-Gruppen ausgenutzt.

Zimbra Collaboration Suite

CVE-2023-34192 (CVSS 9.0) ist eine hoch gefährliche Cross-Site-Scripting (XSS)-Schwachstelle in der Zimbra Collaboration Suite (ZCS) Version 8.8.15. Sie erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte Skripte, die auf die Funktion „/h/autoSaveDraft“ abzielen. Die CISA hat CVE-2023-34192 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv in realen Angriffen ausgenutzt wurde. Der PoC-Exploit-Code (Proof of Concept) ist öffentlich verfügbar, sodass auch weniger erfahrene Angreifer hier mitmischen können. CVE-2023-34192 hat seit ihrer Aufdeckung im Jahr 2023 einen sehr hohen EPSS-Score. Für Verteidiger, die EPSS (Exploit Prediction Scoring System) für die Priorisierung von Abhilfemaßnahmen nutzen, bedeutet dies, mit hoher Priorität zu patchen.

Die Zimbra Collaboration Suite (ZCS) ist eine Open-Source-Plattform für Office-Anwendungen, die E-Mail, Kalender, Kontakte, Aufgaben und Tools für die Zusammenarbeit integriert, aber einen Nischenmarktanteil von weniger als 1 % aller E-Mail- und Messaging-Plattformen hält.

„Living on the Edge“: kritische Schwachstellen in Netzwerkgeräten

In unserem monatlichen Threat Report haben wir die anhaltende Bedrohung von Edge-Netzwerkgeräten nachvollzogen. Anfang dieses Monats berichteten wir über das maximale Desaster, das die Auslaufmodelle der Zyxel-Router und -Firewalls heraufbeschwören. In diesem Abschnitt befassen wir uns mit neuen Sicherheitsrisiken, die in die Kategorie „Edge Networking“ fallen. Greenbone verfügt über Erkennungsfunktionen für alle im Folgenden beschriebenen CVEs.

Chinesische Hacker nutzen PAN-OS von Palo Alto für Ransomware

CVE-2024-0012 (CVSS 9.8), eine Sicherheitslücke in Palo Alto PAN-OS, die im November letzten Jahres bekannt wurde, gilt als eine der am häufigsten ausgenutzten Sicherheitslücken des Jahres 2024. Die CVE wird Berichten zufolge auch von staatlich unterstützten chinesischen Bedrohungsakteuren für Ransomware-Angriffe genutzt. Eine weitere neue Schwachstelle, die PAN-OS betrifft, CVE-2025-0108 (CVSS 9.1), wurde erst diesen Monat bekannt gegeben und von der CISA sofort als aktiv ausgenutzt eingestuft. Mit CVE-2025-0108 lässt sich die Authentifizierung in der Webmanagement-Schnittstelle umgehen. Sie kann mit gekoppelt werden mit CVE-2024-9474 (CVSS 7.2), einer separaten Schwachstelle für die Ausweitung von Privilegien, um unauthentifizierte Kontrolle über Root-Dateien in einem ungepatchten PAN-OS-Gerät zu erlangen.

SonicWall flickt kritische, aktiv ausgenutzte Schwachstelle in SonicOS

CVE-2024-53704, eine kritische Sicherheitslücke in SonicWall-Geräten, wurde kürzlich in die KEV-Liste der CISA aufgenommen. Erstaunlicherweise listet die CISA acht CVEs bei SonicWall auf, von denen bekannt ist, dass sie aktiv in Ransomware-Angriffen ausgenutzt werden. Die neue Bedrohung, CVE-2024-53704 (CVSS 9.8) ist eine Schwachstelle, die durch einen unsauberen Authentifizierungsmechanismus [CWE-287] im SSLVPN der SonicOS-Versionen 7.1.1-7058 und älter, 7.1.2-7019 und 8.0.0-8035 von SonicWall entsteht. Sie ermöglicht es Angreifern, die Authentifizierung zu umgehen und aktive SSL-VPN-Sitzungen zu kapern, wodurch sie möglicherweise unbefugten Zugriff auf das Netzwerk erhalten. Eine vollständige technische Analyse ist bei BishopFox verfügbar. In einem Security Advisory von SonicWall werden außerdem weitere CVEs mit hohem Schweregrad in SonicOS genannt, die zusammen mit CVE-2024-53704 gepatcht wurden.

CyberoamOS und EOL XG Firewalls von Sophos aktiv ausgenutzt

Der Security-Anbieter Sophos, der Cyberoam im Jahr 2014 übernommen hat, hat eine Warnung und einen Patch für CVE-2020-29574 herausgegeben. CyberoamOS ist Teil des Produkt-Ökosystems von Sophos. Abgesehen von diesem CVE ist auch die Sophos XG Firewall, die bald auslaufen wird, Gegenstand einer Warnung über eine mögliche aktive Ausnutzung.

  • CVE-2020-29574 (CVSS 9.8): Eine kritische SQL-Injection-Schwachstelle [CWE-89] wurde in der WebAdmin-Schnittstelle von CyberoamOS-Versionen bis zum 4. Dezember 2020 entdeckt. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, beliebige SQL-Anweisungen aus der Ferne auszuführen und möglicherweise vollständigen administrativen Zugriff auf das Gerät zu erlangen. Es wurde ein Hotfix-Patch veröffentlicht, der auch für einige betroffene End-of-Life (EOL) Produkte gilt.
  • CVE-2020-15069 (CVSS 9.8) ist eine kritische Buffer-Overflow-Schwachstelle in den Sophos XG Firewall-Versionen 17.x bis v17.5 MR12, die nicht authentifizierte Remote Code Execution (RCE) über die HTTP/S-Lesezeichen-Funktion für den clientlosen Zugriff ermöglicht. Diese 2020 veröffentlichte Sicherheitslücke wird nun aktiv ausgenutzt und wurde in die CISA KEV aufgenommen, was auf ein erhöhtes Risiko hinweist. Sophos veröffentlichte 2020, als die Sicherheitslücke bekannt wurde, einen Hinweis zusammen mit einem Hotfix für betroffene Firewalls. Die Hardware-Appliances der XG-Serie werden voraussichtlich bald, am 31. März 2025, das Ende ihrer Lebensdauer (EOL) erreichen.

PrivEsc- und Auth-Umgehungen in Fortinet FortiOS und FortiProxy

Fortinet hat zwei kritische Sicherheitslücken bekannt gegeben, die beide FortiOS und FortiProxy betreffen. Das Canadian Center for Cybersecurity und das Belgian Center for Cybersecurity haben Hinweise veröffentlicht. Fortinet räumt ein, dass CVE-2024-55591 aktiv ausgenutzt wird, und hat eine offizielle Anleitung veröffentlicht, die Details zu den betroffenen Versionen und empfohlenen Updates enthält.

  • CVE-2024-55591 (CVSS 9.8): Ein Authentication Bypass unter Verwendung eines alternativen Pfads oder Kanals [CWE-288], die FortiOS betrifft, ermöglicht es einem Angreifer, remote über manipulierte Anfragen an das Node.js-Websocket-Modul Super-Admin-Rechte zu erlangen. Es stehen mehrere PoC-Exploits zur Verfügung [1][2], die das Risiko einer Ausnutzung durch weniger erfahrene Angreifer erhöhen.
  • CVE-2024-40591 (CVSS 8.8): Ermöglicht es einem authentifizierten Administrator mit Security Fabric-Berechtigungen, seine Privilegien zum Super-Administrator zu erweitern, indem er das betroffene FortiGate-Gerät mit einem kompromittierten Upstream-FortiGate unter seiner Kontrolle verbindet.

Cisco-Schwachstellen als erste Zugangsvektoren bei Telekom-Hacks

In den letzten Monaten hat die chinesische Spionagegruppe Salt Typhoon routinemäßig mindestens zwei kritische Schwachstellen in Cisco IOS XE-Geräten ausgenutzt, um sich dauerhaft Zugang zu Telekommunikationsnetzen zu verschaffen. Zu den Opfern gehören italienische ISPs, eine südafrikanische und eine große thailändische Telekommunikationsgesellschaft sowie zwölf Universitäten weltweit, darunter die UCLA, die indonesische Universitas Negeri Malang und die mexikanische UNAM. Zuvor hatte Salt Typhoon mindestens neun US-amerikanische Telekommunikationsunternehmen angegriffen, darunter Verizon, AT&T und Lumen Technologies. Die US-Behörden behaupten, Salt Typhoons Ziel sei die Überwachung von hochrangigen Personen, politischen Persönlichkeiten und Beamten, die mit chinesischen politischen Interessen in Verbindung stehen.

Zu den CVEs, die von Salt Typhoon ausgenutzt werden, gehören:

  • CVE-2023-20198 (CVSS 10): Eine Schwachstelle zur Privilegien-Erweiterung in der Web-Schnittstelle von Cisco IOS XE. Sie wird für den anfänglichen Zugriff verwendet und ermöglicht es Angreifern, ein Admin-Konto zu erstellen.
  • CVE-2023-20273 (CVSS 7.2): Eine weitere Schwachstelle, die zur Erweiterung von Privilegien führt. Nach Erlangung des Admin-Zugriffs wird sie dazu genutzt, den privilegierten Zugriff auf Root-Dateien zu erweitern und einen GRE-Tunnel (Generic Routing Encapsulation) für den dauerhaften Verbleib im Netzwerk einzurichten.

Außerdem wurden im Februar 2025 zwei weitere CVEs in Cisco-Produkten bekannt:

  • CVE-2023-20118 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche von Cisco Small Business Routern erlaubt es authentifizierten, entfernten Angreifern, beliebige Befehle mit Root-Rechten auszuführen, indem sie manipulierte HTTP-Anfragen senden. Die CISA hat CVE-2023-20118 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv ausgenutzt wird.
  • CVE-2023-20026 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche der Cisco Small Business Router der RV042-Serie erlaubt authentifizierten, entfernten Angreifern mit gültigen administrativen Anmeldeinformationen, beliebige Befehle auf dem Gerät auszuführen. Die Schwachstelle ist auf eine unsachgemäße Validierung von Benutzereingaben in eingehenden HTTP-Paketen zurückzuführen. Es ist zwar nicht bekannt, dass CVE-2023-20026 in aktiven Kampagnen ausgenutzt wird, aber dem Product Security Incident Response Team (PSIRT) von Cisco ist bekannt, dass PoC-Exploit-Code für diese Sicherheitslücke existiert.

Ivanti patcht vier kritische Schwachstellen

Es wurden vier kritische Schwachstellen identifiziert, die Ivanti Connect Secure (ICS), Policy Secure (IPS) und Cloud Services Application (CSA) betreffen. Bisher sind keine Berichte über aktive Angriffe in freier Wildbahn oder PoC-Exploits aufgetaucht. Ivanti rät Anwendern, umgehend auf die neuesten Versionen zu aktualisieren, um diese kritischen Sicherheitslücken zu schließen.

Hier ist eine kurze technische Zusammenfassung:

  • CVE-2025-22467 (CVSS 8.8): Angreifer mit Anmeldeinformationen können aufgrund eines Stack-basierten Buffer Overflow in ICS-Versionen vor 22.7R2.6 Remote Code Execution (RCE) erreichen [CWE-121].
  • CVE-2024-38657 (CVSS 9.1): Angreifer mit Anmeldeinformationen können beliebige Dateien schreiben aufgrund einer externen Kontrolle des Dateinamens in ICS-Versionen vor 22.7R2.4 und IPS-Versionen vor 22.7R1.3.
  • CVE-2024-10644 (CVSS 9.1): Ein Code-Injection-Fehler in ICS (vor 22.7R2.4) und IPS (vor 22.7R1.3) ermöglicht beliebige RCE für authentifizierte Administratoren.
  • CVE-2024-47908 (CVSS 7.2): Eine Schwachstelle in der Command Injection des Betriebssystems [CWE-78] in der Admin-Webkonsole von CSA (Versionen vor 5.0.5) erlaubt beliebige RCE für authentifizierte Administratoren.

Zusammenfassung

Der Threat Report dieses Monats beleuchtet wichtige Entwicklungen im Bereich der Cybersicherheit, darunter die sich weiterentwickelnden Taktiken von Ransomware-Gruppen wie Black Basta und die allgegenwärtige kritische Bedrohung für Edge-Netzwerkgeräte. Unterstützt durch KI-Tools nutzen Angreifer Schwachstellen immer schneller aus – manchmal schon wenige Stunden nach ihrer Entdeckung. Unternehmen müssen wachsam bleiben, indem sie proaktive Sicherheitsmaßnahmen ergreifen, ihre Abwehr kontinuierlich aktualisieren und Bedrohungsdaten nutzen, um neuen Gefahren einen Schritt voraus zu sein.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

September 2024 Threat Tracking: Geschwindigkeit vor Sicherheit?

Ein Bericht des Weltwirtschaftsforums von 2023, in dem 151 Führungskräfte von Unternehmen weltweit befragt wurden, ergab, dass 93 % der Cyber-Führungskräfte und 86 % der Unternehmensleiter glauben, dass in den nächsten zwei Jahren eine Cyber-Katastrophe wahrscheinlich ist. Dennoch stellen viele Softwareanbieter die schnelle Entwicklung und Produktinnovation über die Sicherheit. In diesem Monat erklärte CISA-Direktorin Jen Easterly, dass Softwareanbieter „Probleme schaffen, die Bösewichten Tür und Tor öffnen“ und dass „wir kein Cybersicherheitsproblem haben, sondern ein Softwarequalitätsproblem“. Nachgelagert profitieren die Kunden von innovativen Softwarelösungen, sind aber auch den Risiken von schlecht geschriebenen Softwareanwendungen ausgesetzt: finanziell motivierte Ransomware-Angriffe, Wiper-Malware, Spionage durch Nationalstaaten und Datendiebstahl, kostspielige Ausfallzeiten, Rufschädigung und sogar Insolvenz.

So scharfsinnig die Position der Direktorin auch sein mag, so sehr verdeckt sie doch die wahre Cyber-Risikolandschaft. So hat Bruce Schneier bereits 1999 festgestellt, dass die Komplexität der IT die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Fehlkonfigurationen führen [1][2][3]. Greenbone identifiziert sowohl bekannte Software-Schwachstellen als auch Fehlkonfigurationen mit branchenführenden Schwachstellentests und Konformitätstests, die CIS-Kontrollen und andere Standards wie die BSI-Basiskontrollen für Microsoft Office bestätigen.

Letztendlich tragen Unternehmen eine Verantwortung gegenüber ihren Interessengruppen, den Kunden und der Öffentlichkeit. Auf diese Verantwortung müssen sie sich konzentrieren und sich mit grundlegenden IT-Sicherheitsmaßnahmen wie einem Schwachstellenmanagement schützen. Im „September 2024 Threat Tracking“ geben wir einen Überblick über die schwerwiegendsten neuen Entwicklungen in der Cybersicherheitslandschaft, die sowohl für kleine Unternehmen als auch für große Organisationen eine Bedrohung darstellen.

SonicOS in Akira-Ransomware-Kampagnen

CVE-2024-40766 (CVSS 10 Kritisch), eine Sicherheitslücke, die sich auf SonicWalls Flaggschiff-Betriebssystem SonicOS auswirkt, wurde als ein bekannter Vektor für Kampagnen identifiziert, die Akira-Ransomware verbreiten. Akira, ursprünglich in C++ geschrieben, ist seit Anfang 2023 aktiv. Eine zweite, auf Rust basierende Version wurde in der zweiten Hälfte des Jahres 2023 zur dominierenden Variante. Es wird angenommen, dass die Hauptgruppe hinter Akira aus der aufgelösten Conti-Ransomware-Bande stammt. Akira wird jetzt als Ransomware-as-a-Service (RaaS) betrieben, die eine doppelte Erpressungstaktik gegen Ziele in Deutschland und in der EU, Nordamerika und Australien einsetzt. Bis Januar 2024 hatte Akira über 250 Unternehmen und kritische Infrastrukturen kompromittiert und über 42 Millionen US-Dollar erpresst.

Die Taktik von Akira besteht darin, bekannte Schwachstellen für den Erstzugang auszunutzen, beispielsweise:

Greenbone führt Tests durch, um SonicWall-Geräte zu identifizieren, die für CVE-2024-40766 [1][2] und alle anderen Schwachstellen anfällig sind, die von der Akira-Ransomware-Bande für den Erstzugang ausgenutzt werden.

Wichtiger Patch für Veeam Backup und Wiederherstellung

Ransomware ist die größte Cyber-Bedrohung, insbesondere im Gesundheitswesen. Das US-Gesundheitsministerium (HHS) berichtet, dass in den letzten fünf Jahren große Sicherheitsverletzungen um 256 % und Ransomware-Vorfälle um 264 % zugenommen haben. Unternehmen haben darauf mit proaktiven Cybersicherheitsmaßnahmen reagiert, um den Erstzugriff zu verhindern, sowie mit wirksameren Reaktionen auf Vorfälle einschließlich robusteren Lösungen für Backup and Recovery. Backup-Systeme sind daher ein Hauptziel für Ransomware-Betreiber.

Veeam ist ein weltweit führender Anbieter von Backup-Lösungen für Unternehmen und bewirbt seine Produkte als wirksamen Schutz gegen Ransomware-Angriffe. CVE-2024-40711 (CVSS 10 Kritisch), eine kürzlich bekannt gewordene Schwachstelle in Veeam Backup and Recovery, ist besonders gefährlich, da sie es Hackern ermöglichen könnte, die letzte Schutzlinie gegen Ransomware anzugreifen: Backups. Die Schwachstelle wurde von Florian Hauser von CODE WHITE GmbH, einem deutschen Forschungsunternehmen für Cybersicherheit, entdeckt und gemeldet. Die unbefugte Remote Code Execution (RCE) über CVE-2024-40711 wurde von Sicherheitsforschern innerhalb von 24 Stunden nach der Veröffentlichung verifiziert, und ein Proof-of-Concept-Code ist nun öffentlich online verfügbar, was das Risiko noch erhöht.

Veeam Backup & Replication Version 12.1.2.172 und alle früheren v12-Builds sind anfällig, und Kunden müssen die betroffenen Instanzen dringend patchen. Greenbone kann CVE-2024-40711 in Veeam Backup and Restoration erkennen, sodass IT-Sicherheitsteams den Ransomware-Banden damit einen Schritt voraus sind.

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

RADIUS ist ein leistungsfähiges und flexibles Authentifizierungs-, Autorisierungs- und Abrechnungsprotokoll (AAA), das in Unternehmensumgebungen verwendet wird, um die vom Benutzer eingegebenen Anmeldeinformationen mit einem zentralen Authentifizierungsdienst wie Active Directory (AD), LDAP oder VPN-Diensten abzugleichen. CVE-2024-3596, genannt Blast-RADIUS, ist ein neu veröffentlichter Angriff auf die UDP-Implementierung von RADIUS, der von einer speziellen Website, einem Forschungspapier und Angriffsdetails begleitet wird. Proof-of-Concept-Code ist auch aus einer zweiten Quelle verfügbar.

Blast-RADIUS ist ein AiTM-Angriff (Adversary in the Middle), der eine Schwachstelle in MD5 ausnutzt, die ursprünglich im Jahr 2004 entdeckt und 2009 verbessert wurde. Forschende haben die Zeit, die zum Vortäuschen von MD5-Kollisionen benötigt wird, exponentiell reduziert und ihre verbesserte Version von Hashclash veröffentlicht. Der Angriff ermöglicht es einem aktiven AiTM, der sich zwischen einem RADIUS-Client und einem RADIUS-Server befindet, den Client dazu zu bringen, eine gefälschte Access-Accept-Antwort zu akzeptieren, obwohl der RADIUS-Server eine Access-Reject-Antwort ausgibt. Dies wird erreicht, indem eine MD5-Kollision zwischen der erwarteten Access-Reject- und einer gefälschten Access-Accept-Antwort berechnet wird, die es einem Angreifer ermöglicht, Login-Anfragen zu genehmigen.

Greenbone kann eine Vielzahl anfälliger RADIUS-Implementierungen in Unternehmensnetzwerken schützen, wie F5 BIG-IP [1], Fortinet FortiAuthenticator [2] und FortiOS [3], Palo Alto PAN-OS [4], Aruba CX Switches [5] und ClearPass Policy Manager [6]. Auf Betriebssystemebene schützt Greenbone dabei unter anderem Oracle Linux [7][8], SUSE [9][10][11], OpenSUSE [12][13], Red Had [14][15], Fedora [16][17], Amazon [18], Alma [19][20] und Rocky Linux [21][22].

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

CVE-2024-27348 (CVSS 9.8 Kritisch) ist eine RCE-Sicherheitslücke im Open-Source Apache HugeGraph-Server, die alle Versionen 1.0 vor 1.3.0 in Java8 und Java11 betrifft. HugeGraph-Server bietet eine API-Schnittstelle zum Speichern, Abfragen und Analysieren komplexer Beziehungen zwischen Datenpunkten und wird häufig zur Analyse von Daten aus sozialen Netzwerken, bei Empfehlungsdiensten und zur Betrugserkennung verwendet.

CVE-2024-27348 ermöglicht es Angreifern, die Sandbox-Beschränkungen innerhalb der Gremlin-Abfragesprache zu umgehen, indem sie eine unzureichende Java-Reflection-Filterung verwendet. Ein Angreifer kann die Schwachstelle ausnutzen, indem er bösartige Gremlin-Skripte erstellt und sie über die API an den HugeGraph/gremlin-Endpunkt sendet, um beliebige Befehle auszuführen. Die Schwachstelle kann über einen entfernten, benachbarten oder lokalen Zugriff auf die API ausgenutzt werden und Privilegien erweitern.

In Hacking-Kampagnen wird sie aktiv ausgenutzt. Proof-of-Concept-Exploit-Code [1][2][3] und eine eingehende technische Analyse sind öffentlich verfügbar, sodass Cyberkriminelle einen Vorsprung bei der Entwicklung von Angriffen haben. Greenbone bietet eine aktive Prüfung und einen Versionserkennungstest, um verwundbare Instanzen von Apache HugeGraph-Server zu identifizieren. Den Benutzern wird empfohlen, auf die neueste Version zu aktualisieren.

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

In unserem Blog haben wir dieses Jahr mehrfach über Sicherheitslücken in Ivanti-Produkten berichtet [1][2][3]. September 2024 war ein weiterer heißer Monat für Schwachstellen in Ivanti-Produkten. Ivanti hat endlich die Sicherheitslücke CVE-2024-29847 (CVSS 9.8 Kritisch) gepatcht, eine RCE-Schwachstelle, die Ivanti Endpoint Manager (EPM) betrifft und erstmals im Mai 2024 gemeldet wurde. Proof-of-Concept-Exploit-Code und eine technische Beschreibung sind nun öffentlich verfügbar, was die Bedrohung erhöht. Obwohl es noch keine Hinweise auf eine aktive Ausnutzung gibt, sollte diese Sicherheitslücke mit hoher Priorität behandelt und dringend gepatcht werden.

Im September 2024 identifizierte die CISA jedoch auch vier neue Schwachstellen in Ivanti-Produkten, die aktiv ausgenutzt werden. Greenbone ist in der Lage, alle diese neuen Ergänzungen zu CISA KEV und frühere Schwachstellen in Ivanti-Produkten zu erkennen. Hier die Details:

  • CVE-2024-29824 (CVSS 9.6 Kritisch): Eine SQL-Injection-Schwachstelle [CWE-89] in der Core-Server-Komponente von Ivanti Endpoint Manager (EPM) 2022 SU5 und früher. Die Ausnutzung erlaubt einem nicht authentifizierten Angreifer mit Netzwerkzugang die Ausführung von beliebigem Code. Der Exploit-Code ist öffentlich auf GitHub verfügbar. Die Sicherheitslücke wurde erstmals im Mai 2024 bekannt gegeben.
  • CVE-2024-7593 (CVSS 9.8 Kritisch): Eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus [CWE-303] in Ivanti Virtual Traffic Manager (vTM) Version 22 mit Ausnahme der Versionen 22.2R1 oder 22.7R2 kann es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und auf das Admin-Panel zuzugreifen. CVE-2024-7593 wurde erst im August 2024 bekannt gegeben, dennoch ist bereits Exploit-Code verfügbar.
  • CVE-2024-8963 (CVSS 9.1 Kritisch): Ein Path Traversal [CWE-22] in Ivanti Cloud Services Appliance (CSA) Version 4.6 und früher ermöglicht einem entfernten, nicht authentifizierten Angreifer den Zugriff auf eingeschränkte Funktionen. Die Schwachstelle wurde am 19. September 2024 bekannt gegeben und in die CISA KEV aufgenommen. Ein Fix wurde von Ivanti bereits am 10. September herausgegeben, sodass Benutzer die Schwachstelle beheben können. Die von Ivanti empfohlene Abhilfemaßnahme ist jedoch ein Upgrade auf CSA 5.0. Die CSA-Version 4.6 hat ihr End-of-Life (EOL) für Sicherheitsupdates erst letzten Monat im August 2024 erreicht, aber gemäß seiner EOL-Richtlinie wird Ivanti noch ein Jahr lang Sicherheits-Patches herausgeben. In Verbindung mit der unten beschriebenen Sicherheitslücke CVE-2024-8190 kann die Administrator-Authentifizierung umgangen werden, sodass eine beliebige RCE auf CSA-Geräten möglich ist.
  • CVE-2024-8190 (CVSS 7.5 Hoch): Eine Schwachstelle zur OS Command Injection [CWE-78] in Ivanti Cloud Services Appliance (CSA) kann remote einem authentifizierten Angreifer RCE ermöglichen. Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen. Die empfohlene Abhilfemaßnahme ist ein Upgrade auf CSA 5.0, um weiterhin unterstützt zu werden. Proof-of-Concept-Exploit-Code ist für CVE-2024-8190 öffentlich verfügbar.

Zusammenfassung

Im Threat-Tracking-Blog dieses Monats haben wir wichtige Entwicklungen im Bereich der Cybersicherheit hervorgehoben, darunter kritische Schwachstellen wie CVE-2024-40766, die von der Ransomware Akira ausgenutzt werden, CVE-2024-40711, die sich auf Veeam Backup auswirkt, und der kürzlich bekannt gewordene BlastRADIUS-Angriff, der sich auf Enterprise AAA auswirken könnte. Proaktive Cybersecurity-Aktivitäten wie regelmäßiges Vulnerability Management und Compliance-Prüfungen tragen dazu bei, die Risiken von Ransomware, Wiper-Malware und Spionagekampagnen zu mindern, und ermöglichen es den Verteidigern, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Bund, Länder und EU investieren Millionen in Fördermittel für Cybersecurity

Ab 2024 plant die EU eine Milliarde Euro fürs „Cybersolidaritätsgesetz“ auszugeben. Nordrhein-Westfalen fördert Einrichtungen mit über 70 Millionen Euro, die in IT-Sicherheit und Gefahrenabwehr investieren. Wer jetzt das Thema Schwachstellenmanagement noch nicht auf seiner Agenda hat, sollte das schleunigst nachholen und die zur Verfügung gestellten Fördermittel nutzen.

Grafik mit stilisierter NRW-Karte und dem Text ‚300 Millionen zur Krisenbewältigung in NRW‘ als Hinweis auf neue Fördermittel für IT-Sicherheit.

Die EU wird massiv ins Schwachstellenmanagement investieren: Laut einer DPA-Meldung will die Kommission „nationale und grenzüberschreitende Sicherheitszentren in der gesamten EU einrichten“, die mit Hilfe von künstlicher Intelligenz (KI) und Datenanalyse Cyber-Bedrohungen und -Vorfälle rechtzeitig erkennen und melden.“

Ein „Europäisches Cybersolidaritätsgesetz“ soll es werden, erreichen will man die „Stärkung der Fähigkeiten der EU für eine wirksame operative Zusammenarbeit, Solidarität und Resilienz“, konkret bedeutet das: „ein sicheres digitales Umfeld für die Bürgerinnen und Bürger und die Unternehmen schaffen und kritische Einrichtungen und wesentliche Dienste wie Krankenhäuser und öffentliche Versorgungsunternehmen zu schützen.“

Konkrete Pläne

Das Gesetz sieht einen Cybernotfallmechanismus, Vorsorgemaßnahmen, den Aufbau einer neuen EU-Cybersicherheitsreserve und finanzielle Förderung der gegenseitigen Amtshilfe sowie den Aufbau einer „EU-Akademie für Cybersicherheitskompetenzen“ (auf der Plattform „Digital Skills & Jobs“ der EU) vor. Zwei Drittel der 1,1 Mrd werden über das Programm „Digitales Europa“ finanziert.

70 Millionen Fördermittel aus NRW

Die zunehmenden Angriffe auf kritische Infrastrukturen, Behörden und Unternehmen lassen aber auch die Regierungen der Bundesländer nicht untätig. Das Bundesland Nordrhein-Westfalen beispielsweise geht mit gutem Beispiel voran: Die schwarz-grüne Landesregierung unter Wissenschaftsministerin Brandes (CDU) bietet jetzt konkret an, Kitas, Schulen und Hochschulen nicht nur bei den Energiepreisen, sondern im gleichen Paket auch mit 77 Millionen Euro bei der Cybersecurity zu unterstützen. Dazu gehören laut dpa viele verschiedene Aspekte, von IT-Systemen wie Firewalls oder Zwei-Faktor-Authentisierung bis hin zu für Notstromaggregate und Schließanlagen, aber auch „mehr Personal“ im Bereich Cybersecurity. Bestehende Fördertöpfe für IT-Sicherheit, beispielsweise digital-sicher.nrw bleiben davon unberührt.

Fördermittel des Bundes und anderer Länder

Auch beim Bund gibt es derzeit Unterstützung für sicherheitsbewusste Unternehmer und Manager: Das BMWK richtet derzeit eine Transferstelle IT-Sicherheit in der Wirtschaft ein, deren Förderstelle gezielt kleine und mittelständische Unternehmen fördern soll. Im wahlkampfgeprägten Bayern finden sich Informationen unter Bayern Innovativ oder beim IT Security Cluster. Hessen rühmt sich, eine „Bundesweit einmalige Förderung von kleinen und mittelständischen Unternehmen gegen Cyberangriffe“ anzubieten, und in Baden-Württemberg fördert man nicht nur KI-Cybersecurity-Projekte sondern man hat im Januar auch eine halbe Million Euro Fördermittel für KMUs aufgelegt, die in Cybersecurity investieren wollen.

Greenbone‘ Unterstützung für Cybersecurity

Wir bei Greenbone haben mit den Greenbone Enterprise Appliances eine Lösung geschaffen, die diese Lücke schließt und Cybersecurity gewährleistet. Mögliche Schwachstellen werden gefunden, bevor sie ausgenutzt werden. Die allermeisten Schwachstellen, die zu Schäden in IT Infrastrukturen führen, sind nicht etwa neu, sondern schon seit über einem Jahr bekannt. Was oft fehlt sind Lösungen die aktive Sicherheit bieten, indem sie solche Schwachstellen vor ihrer Ausnutzung durch Angreifer erkennen, sie priorisieren und Vorschläge für ihre Behebung machen. Genau das macht Greenbone seit über 10 Jahren sehr erfolgreich.

Die Greenbone Enterprise Appliances bieten Lösungen für unterschiedliche Bedürfnisse, anpassbar auf die individuelle Unternehmensgröße in Form einer Hardware-Lösung oder einer virtuellen Lösung. Außerdem beinhaltet das Paket einen Rund-um-Service von der Unterstützung bei der Antragsstellung zur Förderung über die Implementierung bis hin zur Datenanalyse und Behebung der Schwachstellen. Mehr zur Cybersecurity von Greenbone erfahren Sie hier.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von