Schlagwortarchiv für: DDOS

Greenbone AG

Stillstand verhindern: Greenbones Beitrag zum Schutz vor DoS-Angriffen

Ein DoS-Angriff (Denial of Service) kann den kompletten Stillstand bedeuten: Ein wichtiger Dienst fällt aus, eine Anwendung reagiert nicht mehr oder der Zugriff auf das eigene System wird blockiert. DoS-Attacken haben ein klares, zerstörerisches Ziel: digitale Ressourcen lahmzulegen und den Zugriff für legitime Benutzer zu verhindern. Die Folgen einer DoS-Attacke können drastisch sein: von Ausfallzeiten und Betriebsunterbrechungen über finanzielle Verluste bis hin zu erheblichen Risiken für die gesamte Organisation.

Seit mehreren Jahren sind DoS-Angriffe auf dem Vormarsch und haben erhebliche Auswirkungen auf Unternehmen, kritische Infrastrukturen und das Gesundheitssystem. DoS-Angriffe werden auch in ausgeklügelten Cyber-Militärkampagnen und als Mittel zur Erpressung von Lösegeld eingesetzt. Was steckt hinter diesen Angriffen und wie können Sie sich schützen?

Die Bedrohung wächst

Über unbefugten Zugriff können Angreifer durch einfaches Herunterfahren eines Systems einen Systemausfall erzwingen [T1529]. Auch Fehler in der Anwendungslogik können einem Angreifer aus der Ferne ermöglichen, das System zum Absturz zu bringen. So kann er es mit Netzwerkverkehr überfluten, um die Ressourcen zu erschöpfen. Das Blockieren des Kontozugriffs [T1531], die Zerstörung von Daten [T1485] oder der Einsatz von Ransomware [T1486] können die Systemwiederherstellung [T1490] weiter behindern oder die Verteidiger ablenken, während andere Angriffe stattfinden. Gleichzeitig machen gestoppte kritische Dienste auch anfälliger für weitere Cyberangriffe. Wenn zum Beispiel ein Virenscanner deaktiviert ist, kann Malware leichter in ein Netzwerk eindringen; wenn Backup-Dienste nicht funktionieren, ist eine vollständige Wiederherstellung nach einem Ransomware-Angriff kaum mehr möglich.

DoS-Angriffe lieben bekannte Schwachstellen

DoS-Angriffe nutzen oft Schwachstellen in den Spezifikationen von Netzwerkprotokollen, unsachgemäße Protokoll-Implementierungen, fehlerhafte Logik in Softwareanwendungen oder Fehlkonfigurationen. Zu den Softwarefehlern, die DoS-Angriffe ermöglichen, gehören: 

  • Unkontrollierter Ressourcenverbrauch
  • Buffer overflows
  • Fehlende Speicherfreigabe
  • Unsachgemäße Fehlerbehandlung
  • Asymmetrischer Ressourcenverbrauch (Amplification)
  • Nichtfreigabe einer Ressource nach Gebrauch

Wenn Schwachstellen wie diese entdeckt werden, beeilen sich die Hersteller, Patches herauszugeben. Allerdings sind nur die Benutzer geschützt, die diese Updates auch installieren. Durch das Scannen von Angriffsflächen auf Netzwerk- und Host-Ebene können IT-Sicherheitsteams auf Schwachstellen aufmerksam werden, die sie anfällig für DoS-Attacken machen. Einmal gewarnt, können Verteidiger aktiv werden und die erforderlichen Updates einspielen oder anfällige Konfigurationen anpassen.

Arten von DoS-Angriffen

DoS-Angriffe nutzen viele verschiedene Techniken, zum Beispiel die Überflutung von Netzwerken mit übermäßigem Datenverkehr, die Ausnutzung von Softwareschwachstellen oder die Manipulation von Funktionen auf Anwendungsebene. Das Verständnis der Funktionsweise von DoS-Angriffen und ihrer potenziellen Auswirkungen ist für Unternehmen entscheidend, um umfassende Verteidigungsstrategien zu entwickeln und das Risiko solcher Störungen zu minimieren.

Zu den wichtigsten Kategorien von DoS-Angriffen gehören:

  • Volumenbasierte DoS-Angriffe: Volumenbasierte DoS-Attacken überlasten die Netzwerkbandbreite oder Rechenressourcen des Zielsystems wie CPU und RAM mit großen Datenmengen, sodass das Netzwerk nicht mehr in der Lage ist, seinen ursprünglichen Zweck zu erfüllen.
  • DoS-Angriffe auf Anwendungs- und Protokoll-Ebene: Diese Angriffe zielen auf Schwachstellen in Softwareanwendungen oder Netzwerkprotokollen ab, die sich auf jeder Ebene des Protokoll-Stacks befinden. Eindringlinge nutzen Fehler in einer Protokollspezifikation, eine fehlerhafte Anwendungslogik oder Systemkonfigurationen aus, um das Zielsystem zu destabilisieren oder zum Absturz zu bringen.
  • Amplification DoS-Angriffe: Bei Amplification-Attacken werden bestimmte Protokolle ausgenutzt, die eine Antwort erzeugen, die größer ist als die ursprüngliche Anfrage. Angreifer senden kleine Anfragen an ihr Ziel, das dann mit großen Paketen antwortet. Diese Taktik verstärkt die Auswirkungen auf das Opfer um das 100-fache der ursprünglichen Anfragegröße.
  • Reflection DoS-Angriffe: Der Angreifer sendet hierbei eine Anfrage an einen Dienst, ersetzt jedoch die Quell-IP durch die IP-Adresse des Opfers. Der Server sendet dann seine Antwort an das Opfer und „spiegelt“ die gefälschten Anfragen des Angreifers wider. Reflection-Angriffe basieren in der Regel auf UDP (User Datagram Protocol), da es verbindungslos ist. Im Gegensatz zu TCP überprüfen UDP-basierte Dienste die Quell-IP der empfangenen Daten nicht automatisch.
  • Distributed Denial of Service (DDoS): DDoS-Angriffe nutzen eine große Menge kompromittierter Geräte (oft als Botnet bezeichnet), um überwältigende Mengen an Datenverkehr an ein Ziel zu senden. Botnets bestehen aus gehackten Webservern oder SOHO-Routern (Small Office, Home Office) aus der ganzen Welt und werden zentral von den Angreifern gesteuert. Dass DDoS-Angriffe von vielen verschiedenen IP-Adressen stammen, macht es viel komplizierter, sie zu entschärfen. Legitime Benutzer sind schwierig zu identifizieren, und es ist nahezu unmöglich, die große Anzahl individueller IP-Adressen des Botnets zu blockieren.

Mit Greenbone gegen Systemausfall

Staatliche Cybersicherheitsbehörden aller NATO-Länder wie Deutschland, die USA und Kanada bezeichnen das Schwachstellenmanagement als oberste Priorität bei der Abwehr von DoS-Angriffen. Durch das Scannen nach bekannten Schwachstellen hilft Greenbone, Einfallstore für DoS-Angriffe zu schließen. Greenbone-Lösungen erkennen viele bekannte Fehlkonfigurationen und CIS-Benchmark-Kontrollen und verringern damit den Beitrag menschlichen Versagens zum Problem. Schwachstellentests werden zudem täglich aktualisiert, um die neuesten Sicherheitslücken zu identifizieren, die DoS-Angriffe erlauben könnten.

Die Schwachstellentests von Greenbone beinhalten eine eigene Denial-of-Service-Kategorie, die auch in anderen Testfamilien integriert ist, wie bei Datenbank-DoS-Tests, Webanwendungs-DoS-Tests, Webserver-DoS-Tests oder Windows-DoS-Tests [1][2]. Ebenso gibt es Tests in vielen Produkten für Unternehmensnetze wie für Cisco, F5, Juniper Networks oder Palo Alto, die DoS-spezifische Schwachstellen aufspüren. Wenn Sie Greenbone zum Scannen Ihrer Netzwerke und Endpunkte verwenden, haben Sie Zugriff auf über 4.900 Tests, mit denen sich Schwachstellen identifizieren lassen, die für DoS-Attacken ausgenutzt werden könnten.

Wenn der „Safe Checks“-Schutz von Greenbone für eine Scankonfiguration deaktiviert ist, führt unser Scanner aktive Angriffe wie zum Beispiel Amplification-DoS-Angriffe durch. Da diese Tests ein höheres Risiko bergen, wie etwa die größere Wahrscheinlichkeit von Service-Unterbrechungen, ist die Funktion „Safe Checks“ standardmäßig aktiviert, was bedeutet, dass die erweiterten invasiven Scans nur durchgeführt werden, wenn sie speziell dafür konfiguriert wurden.

Zwar gibt es keine bekannte Cybersicherheitsmaßnahme, die Schutz vor allen DoS-Angriffen wie hochvolumige DDoS-Attacken garantieren kann, doch die proaktive Identifizierung und Behandlung bekannter Schwachstellen beseitigt die „low-hanging fruits“, die Angreifer ausnutzen können. Durch die Beseitigung bekannter Schwachstellen aus der IT-Infrastruktur kann eine Organisation vermeiden, selbst Teil des Problems zu werden – denn gekaperte IT-Ressourcen werden von Angreifern oft für DDoS-Angriffe auf andere genutzt.

Zusammenfassung

DoS-Angriffe (Denial of Service) zielen darauf ab, die Verfügbarkeit von IT-Systemen zu (zer)stören, indem sie diese mit Datenverkehr überschwemmen oder bekannte Software-Schwachstellen ausnutzen. Die umfassenden Lösungen von Greenbone zur Schwachstellenanalyse können potenzielle Eintrittspunkte für DoS-Angriffe identifizieren und ermöglichen es Unternehmen, ihre Abwehr zu stärken und das Risiko solcher Attacken zu minimieren. Durch proaktives Schwachstellenmanagement und kontinuierliche Überwachung unterstützt Greenbone Unternehmen dabei, die Auswirkungen potenziell zerstörerischer DoS-Angriffe zu erkennen und zu mindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Fortinet Schwachstellen: US-Regierung warnt vor chinesischen Hackern

Der kalifornische Hersteller Fortinet, bekannt für sichere Firewall-, VPN- und Intrusion-Detection-Geräte steht seit Jahren im Fokus der Öffentlichkeit aufgrund schwerwiegender Sicherheitsprobleme. Auch im Februar 2024 musste der Cybersecurity-Experte mehrere höchst kritische Sicherheitslöcher bekanntgeben. Wer sich in solchen Fällen proaktiv gegen Angriffe schützen will, muss sich informieren und zeitnah Patches einspielen.

Produkte wie Greenbones Enterprise Appliances spielen dabei eine zentrale Rolle und helfen den Admins. Für alle in diesem Blogpost genannten Schwachstellen gibt es Tests im Enterprise Feed: Aktive Verfahren prüfen, ob die Lücke besteht und ein Exploit möglich ist, aber auch der Erfolg des Patch Managements lässt sich mit Versionstests unter die Lupe nehmen.

87.000 Passwörter ausgelesen: Fortinet hat die „Schwachstelle des Jahres 2022“

2019 erlaubte es CVE-2018-13379 (CVSS 9.8), über 87.000 Passwörter für das Fortinet-VPN aus den Geräten auszulesen. In den folgenden Jahren wurde diese Schwachstelle so erfolgreich ausgenutzt, dass sie 2022 den fragwürdigen Titel der „am meisten ausgenutzten Schwachstelle 2022“ verliehen bekam. Auch die US-Behörden reagierten und mahnten bei den Anwendern mehr Problembewusstsein an. Aber dass es überhaupt so weit kommen konnte, lag für die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) auch daran, dass viele Kunden nicht zeitnah Patches einspielten. Das, so die Agencies, hätte viele der erfolgreichen Angriffe verhindert.

2023: Unerwünschte Gäste in kritischen Netzen

Dass die Fortinet-Geräte meist in sicherheitskritischen Bereichen eingesetzt werden, macht die Situation noch kritischer: Ungepatcht und mit gravierenden Schwachstellen bestückt, rückten solche Devices in den vergangenen Jahren immer mehr in den Fokus von Angreifern, insbesondere von staatlichen Akteuren. So hatten chinesische Hackergruppen 2023 erfolgreich Netzwerke des niederländischen Militärs infiltriert – über eine bereits ausgebesserte Schwachstelle im FortiOS SSL-VPN vom Dezember 2022 (CVE-2022-42475, CVSS 9.3).

Auch wenn das Netzwerk dem Military Intelligence and Security Service (MIVD) zufolge nur für Forschung und Entwicklung diente, machten die Anfang Februar veröffentlichten Angriffe deutlich, wie einfach es für Angreifer ist, in ansonsten hochgeschützte Netzwerke einzudringen. Die entsprechende Backdoor „Coathanger“ erlaubt es Angreifern dabei sogar, dauerhaften Zugang auf einmal gehackten Geräten zu erreichen, alles dank der Schwachstelle 2022-42475, die das Ausführen beliebigen Codes erlaubt.

Februar 2024: Warnungen vor weiteren Lücken, maximaler Schweregrad

Damit leider nicht genug: Ebenfalls Anfang Februar 2024 musste Fortinet erneut eine gravierende Schwachstelle einräumen: CVE-2024-21762 (CVSS score: 9.6) erlaubt es unauthorisierten Angreifern, über speziell angepasste Requests beliebigen Code auszuführen. Betroffen sind eine lange Liste von Versionen des Fortinet-Betriebssystems FortiOS und des FortiProxy. Der Hersteller rät zum Upgrade oder zum Deaktivieren des SSL-VPNs und warnt sowohl vor der Schwere der Schwachstelle als auch davor, dass sie bereits massiv von Angreifern ausgenutzt werde. Ebenso schlimm sind auch CVE-2024-23108 und CVE-2024-23109, nur wenige Tage später veröffentlicht. Auch sie erlauben es nicht authentifizierten Angreifern, beliebigen Code auszuführen.

Doch ob das so stimmt, ist fraglich: Dass zwei CVEs vom gleichen Hersteller am gleichen Tag auf der Skala der Schwere der Bedrohung eine 10.0 erhalten haben, dürfte einzigartig sein – ebenso wie die verwirrende, wenig Vertrauen erweckende Kommunikation des Herstellers oder die gleichzeitig in Massenmedien berichtete DDOS-Angriffsvariante via Zahnbürste, von denen ein Fortinet-Mitarbeiter erzählte.

Fatale Kombination – Schwachstellenmanagement kann helfen

Wie immer veröffentlichte Fortinet zeitnah Patches, die die Kunden aber auch installieren müssen. Wie katastrophal die Kombination aus schweren Sicherheitslücken, mangelnder Awareness und dem Ausbleiben von Patches wirken kann, zeigte einige Tage später die US-Regierung in einem weiteren Advisory von CISA, NSA und FBI: Volt Typhoon, eine staatliche chinesische Hackergruppe, habe sich auch über derlei Schwachstellen schon seit vielen Jahren dauerhaft in der kritischen Infrastruktur von US-Behörden eingenistet – die damit verbundenen Gefahren dürften nicht unterschätzt werden, so die Warnung.

Zu der dort geforderten „Security by Design“ gehört auch das konstante Überwachen der eigenen Server, Rechner und Installationen mit Schwachstellentests wie denen der Greenbone Enterprise Appliances. Wer seine Netzwerke (nicht nur die Fortinet-Geräte) permanent mit den Vulnerability Tests eines modernen Schwachstellenscanners überwacht, kann seine Administratoren schnellstens informieren, wenn bekannte CVEs in einer Infrastruktur auf Patches warten – und verringert damit die Angriffsfläche.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von