IT-Sicherheit Archive - Seite 2 von 7

Schlagwortarchiv für: IT-Sicherheit

CSAF 2.0: Stakeholder und Rollen

Das Common Security Advisory Framework (CSAF) reguliert die Bereitstellung von maschinenlesbaren Sicherheitshinweisen nach einem standardisierten Prozess, damit sie automatisiert ausgetauscht werden können. Greenbone arbeitet kontinuierlich an der Integration von Technologien, die den CSAF 2.0-Standard für die automatisierte Bereitstellung von Cybersecurity-Informationen nutzen. Eine Einführung in CSAF 2.0 und wie es das Schwachstellenmanagement der nächsten Generation unterstützt, finden Sie in einem früheren Blogbeitrag.

Zu Beginn des Jahres 2024 hat der Ausfall der NIST National Vulnerabilities Database (NVD) den Fluss kritischer Cybersicherheitsinformationen an nachgeschaltete Verbraucher unterbrochen. Dies macht das dezentralisierte CSAF 2.0-Modell zunehmend wichtiger für Cybersicherheitsinformationen, um die Widerstandsfähigkeit gegenüber einem einzelnen Ausfallpunkt zu erhöhen. Wer CSAF 2.0 einführt, kommt einem zuverlässigeren Ökosystem für Cybersicherheitsinformationen einen Schritt näher.

Inhaltsverzeichnis

1. Zusammenfassung
2. Wer sind die CSAF-Stakeholder?
2.1. Rollen im CSAF 2.0-Prozess
2.1.1. CSAF 2.0 Ausstellende Parteien
2.1.1.1. Die Rolle des CSAF-Publishers
2.1.1.2. Die Rolle des CSAF-Providers
2.1.1.3. Die Rolle des Trusted Providers in CSAF
2.1.2. CSAF 2.0 Datenaggregatoren
2.1.2.1. Die Rolle des CSAF-Listers
2.1.2.2. Die Rolle des CSAF-Aggregators
3. Fazit

1. Zusammenfassung

Dieser Artikel stellt die verschiedenen Akteure und Rollen dar, die in der CSAF-2.0-Spezifikation definiert sind. Die Rollen regeln die Mechanismen zur Erstellung, Verbreitung und Nutzung von Sicherheitshinweisen innerhalb des CSAF-2.0-Ökosystems. Das Verständnis, wer die Stakeholder von CSAF sind und welche standardisierten Rollen das CSAF 2.0-Framework definiert, hilft Security-Verantwortlichen klarer zu sehen, wie CSAF funktioniert, ob es für ihre Organisation von Nutzen sein kann und wie CSAF 2.0 zu implementieren ist.

2. Wer sind die CSAF-Stakeholder?

Auf höchster Ebene hat der CSAF-Prozess zwei primäre Stakeholder-Gruppen: vorgelagerte Produzenten, die Cybersicherheitshinweise im CSAF-2.0-Dokumentenformat erstellen und bereitstellen, und nachgelagerte Konsumenten (Endnutzer), die die Hinweise konsumieren und die darin enthaltenen Sicherheitsinformationen anwenden.

Bei den vorgelagerten Herstellern handelt es sich in der Regel um Anbieter von Softwareprodukten (wie Cisco, Red Hat und Oracle), die für die Aufrechterhaltung der Sicherheit ihrer digitalen Produkte und die Bereitstellung öffentlich zugänglicher Informationen über Schwachstellen verantwortlich sind. Zu den vorgelagerten Akteuren gehören auch unabhängige Sicherheitsforscher und öffentliche Einrichtungen, die als Quelle für Cybersicherheitsinformationen dienen, wie die US Cybersecurity Intelligence and Security Agency (CISA) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu den nachgelagerten Verbrauchern gehören private Instanzen, die ihre eigene Cybersicherheit verwalten, staatliche CERT-Agenturen, die mit dem Schutz der nationalen IT-Infrastruktur betraut sind, und Managed Security Service Provider (MSSP), die die Cybersicherheit von Kunden überwachen und managen. Die in den CSAF 2.0-Dokumenten enthaltenen Informationen werden von IT-Sicherheitsteams genutzt, um Schwachstellen in ihrer Infrastruktur zu identifizieren und Abhilfemaßnahmen zu planen, und von Führungskräften, um zu beurteilen, wie IT-Risiken den Betrieb beeinträchtigen.

Schaubild zu den CSAF 2.0 Stakeholdern: Links die Upstream Producers wie Softwareanbieter, Behörden und Forscher, rechts die Downstream Consumers wie CERTs, SOC-Teams und Sicherheitsplattformen – verbunden durch das CSAF 2.0 Advisory Format.

Der CSAF-2.0-Standard definiert spezifische Rollen für vorgelagerte Hersteller, die ihre Beteiligung an der Erstellung und Verbreitung von Hinweis-Dokumenten beschreiben. Diese offiziell definierten Rollen sehen wie folgt aus:

2.1. Rollen im CSAF 2.0-Prozess

CSAF 2.0-Rollen werden in Abschnitt 7.2 definiert. Sie werden in zwei verschiedene Gruppen unterteilt: Ausstellende Parteien („Issuer“) und Datenaggregatoren („Aggregatoren“). Erstere sind direkt an der Erstellung von Beratungsdokumenten beteiligt. Letztere sammeln diese Dokumente und verteilen sie an die Endnutzer, um die Automatisierung für die Verbraucher zu unterstützen. Eine einzelne Organisation kann sowohl die Rolle des Ausstellers als auch die des Aggregators übernehmen, diese Funktionen sollten jedoch als separate Einheiten betrieben werden. Selbstverständlich müssen Organisationen, die als vorgelagerte Produzenten agieren, auch ihre eigene Cybersicherheit gewährleisten. Daher können sie auch nachgelagerte Verbraucher sein, die CSAF-2.0-Dokumente aufnehmen, um ihre eigenen Aktivitäten im Bereich des Schwachstellenmanagements zu unterstützen.

Diagramm der CSAF 2.0 Upstream-Rollen mit den Gruppen Issuing Parties (Producer, Provider, Trusted Provider) und Data Aggregators (Lister, Aggregator), die Cybersicherheitshinweise an Downstream Consumers weiterleiten.

Die spezifischen Verantwortlichkeiten der CSAF-2.0-Issuer und Datenaggregatoren stellen sich wie folgt dar:

2.1.1. CSAF 2.0 Ausstellende Parteien

Issuers sind die Quelle der CSAF-2.0-Cybersecurity-Hinweise. Sie sind jedoch nicht für die Übermittlung der Dokumente an die Endnutzer verantwortlich. Sie müssen angeben, wenn sie nicht wollen, dass ihre Hinweise von Datenaggregatoren aufgelistet oder gespiegelt werden. Außerdem können CSAF 2.0-Aussteller auch als Datenaggregatoren fungieren.

Hier sind die einzelnen Unterrollen innerhalb der Gruppe der ausstellenden Parteien:

2.1.1.1. Die Rolle des CSAF-Publishers

Publisher sind in der Regel Organisationen, die Hinweise nur im Namen ihrer eigenen digitalen Produkte entdecken und weitergeben. Sie müssen die Anforderungen 1 bis 4 in Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Dies bedeutet, dass sie strukturierte Dateien mit gültiger Syntax und Inhalten herausgeben, die den in Abschnitt 5.1 beschriebenen CSAF 2.0-Dateinamenskonventionen entsprechen, und sicherstellen, dass die Dateien nur über verschlüsselte TLS-Verbindungen verfügbar sind. Außerdem müssen sie alle als TLP:WHITE klassifizierten Hinweise öffentlich zugänglich machen.

Alle Publisher müssen über ein öffentlich zugängliches provider-metadata.json-Dokument verfügen, das grundlegende Informationen über die Organisation, ihren CSAF-2.0-Rollenstatus und Links zu einem öffentlichen OpenPGP-Schlüssel enthält, mit dem das provider-metadata.json-Dokument digital signiert wird, um seine Integrität zu verifizieren. Diese Informationen werden von Softwareanwendungen verwendet, die die Hinweise der Publisher für Endbenutzer anzeigen.

2.1.1.2. Die Rolle des CSAF-Providers

Provider stellen CSAF-2.0-Dokumente für die breitere Gemeinschaft zur Verfügung. Zusätzlich zur Erfüllung der gleichen Anforderungen wie ein Publisher muss ein Provider seine provider-metadata.json.-Datei nach einer standardisierten Methode bereitstellen (mindestens eine der Anforderungen 8 bis 10 aus Abschnitt 7.1), eine standardisierte Verteilung für seine Hinweise verwenden und technische Kontrollen implementieren, um den Zugang zu allen Hinweisdokumenten mit dem Status TLP:AMBER oder TLP:RED zu beschränken.

Provider müssen außerdem wählen, ob sie die Dokumente auf der Grundlage eines Verzeichnisses oder auf der Grundlage von ROLIE verteilen wollen. Einfach ausgedrückt, stellt die verzeichnisbasierte Verteilung Hinweisdokumente in einer normalen Verzeichnispfadstruktur zur Verfügung, während ROLIE (Resource-Oriented Lightweight Information Exchange) [RFC-8322] ein RESTful-API-Protokoll ist, das speziell für die Automatisierung der Sicherheit, die Veröffentlichung, das Auffinden und die gemeinsame Nutzung von Informationen entwickelt wurde.

Verwendet ein Provider die ROLIE-basierte Verteilung, muss er auch die Anforderungen 15 bis 17 aus Abschnitt 7.1 erfüllen. Verwendet ein Provider die verzeichnisbasierte Verteilung, so muss er alternativ die Anforderungen 11 bis 14 aus Abschnitt 7.1 erfüllen.

2.1.1.3. Die Rolle des Trusted Providers in CSAF

Trusted Provider sind eine besondere Klasse von CSAF-Providern, die sich ein hohes Maß an Vertrauen und Zuverlässigkeit erworben haben. Sie müssen sich an strenge Sicherheits- und Qualitätsstandards halten, um die Integrität der von ihnen ausgestellten CSAF-Dokumente zu gewährleisten.

Zusätzlich zur Erfüllung aller Anforderungen an einen CSAF-Provider müssen Trusted Provider auch die Anforderungen 18 bis 20 aus Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Diese beinhalten die Bereitstellung eines sicheren kryptographischen Hashs und einer OpenPGP-Signaturdatei für jedes ausgegebene CSAF-Dokument und sie stellen sicher, dass der öffentliche Teil des OpenPGP-Signierschlüssels öffentlich zugänglich gemacht wird.

2.1.2. CSAF 2.0 Datenaggregatoren

Datenaggregatoren konzentrieren sich auf die Sammlung und Weiterverteilung von CSAF-Dokumenten. Sie fungieren als Verzeichnis für CSAF-2.0-Issuers und deren Hinweis-Dokumente sowie als Vermittler zwischen Issuers und Endanwendern. Eine einzelne Instanz kann sowohl als CSAF-Lister als auch als Aggregator fungieren. Datenaggregatoren können je nach den Bedürfnissen ihrer Kunden wählen, welche Hinweis-Dokumente von vorgelagerten Publishern sie auflisten oder sammeln und weiterverteilen.

Hier sind einzelne Unterrollen in der Gruppe der Datenaggregatoren:

2.1.2.1. Die Rolle des CSAF-Listers

Sogenannte „Lister“ sammeln CSAF-Dokumente von mehreren CSAF-Herausgebern und listen sie an einem zentralen Ort auf, um das Auffinden zu erleichtern. Der Zweck eines Listers ist es, als eine Art Verzeichnis für CSAF 2.0-Hinweise zu fungieren, indem URLs konsolidiert werden, unter denen CSAF-Dokumente abgerufen werden können. Es wird nicht davon ausgegangen, dass ein Lister einen vollständigen Satz aller CSAF-Dokumente enthält.

Lister müssen eine gültige aggregator.json-Datei veröffentlichen, die mindestens zwei separate CSAF-Anbieter auflistet. Während ein Lister auch als Issuer fungieren kann, darf er keine gespiegelten Dateien auflisten, die auf eine Domain unter seiner eigenen Kontrolle zeigen.

2.1.2.2. Die Rolle des CSAF-Aggregators

Die Rolle des CSAF-Aggregators stellt den letzten Wegpunkt zwischen den veröffentlichten CSAF-2.0-Hinweis-Dokumenten und dem Endanwender dar. Aggregatoren bieten einen Ort, an dem CSAF-Dokumente durch ein automatisiertes Tool abgerufen werden können. Obwohl Aggregatoren als konsolidierte Quelle für Cybersicherheitshinweise fungieren, vergleichbar mit NIST NVD oder CVE.org der MITRE Corporation, handelt es sich bei CSAF 2.0 um ein dezentralisiertes Modell, im Gegensatz zu einem zentralisierten Modell. Aggregatoren sind nicht verpflichtet, eine umfassende Liste von CSAF-Dokumenten von allen Herausgebern anzubieten. Außerdem können die Herausgeber ihren CSAF-Beratungsfeed kostenlos zur Verfügung stellen oder als kostenpflichtigen Dienst betreiben.

Ähnlich wie Lister müssen Aggregatoren eine aggregator.json-Datei öffentlich zugänglich machen, und CSAF-Dokumente von jedem gespiegelten Issuer müssen in einem separaten Ordner zusammen mit der provider-metadata.json des Issuers abgelegt werden. Im Wesentlichen müssen Aggregatoren die Anforderungen 1 bis 6 und 21 bis 23 aus Abschnitt 7.1 der CSAF-2.0-Spezifikation erfüllen.

CSAF-Aggregatoren sind auch dafür verantwortlich, sicherzustellen, dass jedes gespiegelte CSAF-Dokument eine gültige Signatur (Anforderung 19) und einen sicheren kryptografischen Hash (Anforderung 18) besitzt. Wenn die ausstellende Partei diese Dateien nicht zur Verfügung stellt, muss der Aggregator sie erzeugen.

3. Fazit

Das Verständnis der CSAF 2.0-Stakeholder und -Rollen ist entscheidend für die ordnungsgemäße Umsetzung von CSAF 2.0 und die Nutzung der automatisierten Erfassung und Nutzung wichtiger Cybersicherheitsinformationen. Die CSAF 2.0-Spezifikation definiert zwei Hauptinteressengruppen: vorgelagerte Produzenten, die für die Erstellung von Cybersicherheitshinweisen verantwortlich sind, und nachgelagerte Verbraucher, die diese Informationen zur Verbesserung der Sicherheit nutzen. Zu den Rollen innerhalb von CSAF 2.0 gehören Issuer (Herausgeber, Anbieter und vertrauenswürdige Anbieter), die Hinweise erstellen und verteilen, und Datenaggregatoren wie Lister und Aggregatoren, die diese Hinweise sammeln und an die Endnutzer weitergeben.

Die Mitglieder jeder Rolle müssen sich an bestimmte Sicherheitskontrollen halten, die die sichere Übertragung von CSAF 2.0-Dokumenten unterstützen. Das Traffic Light Protocol (TLP) regelt, wie Dokumente freigegeben werden dürfen und welche Zugriffskontrollen erforderlich sind.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

12. November 2024/von Joseph Lee

Oktober 2024 Threat Report: Ransomware auf dem Vormarsch – Zeit zu reagieren

Blog

Der Oktober war der europäische Aktionsmonat für Cybersecurity (ECSM) und der internationale Monat für „Cybersecurity Awareness“, unter dem Motto „Secure Our World“. Die Einführung von Best Practices für die Online-Sicherheit von Privatpersonen, Unternehmen und kritische Infrastrukturen ist dieses Jahr von entscheidender Bedeutung. Wir freuen uns, zusätzlich zu unserem Angebot für Schwachstellenmanagement in Unternehmen weitere IT-Sicherheitstools über unsere Community Edition, das Community Portal und das lebhafte Community Forum zugänglich zu machen, wo wir Entwicklungen und Funktionen diskutieren und uns gegenseitig unterstützen.

Unsere Kernbotschaft an die Entscheidungsträger für Cybersicherheit: Patchen oder nicht patchen, ist nicht die Frage. Es geht darum, wie man Schwachstellen und Fehlkonfigurationen erkennt, bevor ein Angreifer sie ausnutzen kann. Proaktives Handeln ist gefragt. Sobald Schwachstellen identifiziert sind, müssen sie priorisiert und behoben werden. Warnungen vor einer aktiven Ausnutzung von Sicherheitslücken können zwar helfen, die Prioritäten richtig zu setzen, aber wenn es um wichtige Systeme geht, müssen auch Handlungen folgen. Mit Hilfe von Leistungsindikatoren können Sicherheitsteams und Entscheidungsträger den Fortschritt quantitativ verfolgen und Bereiche mit Verbesserungsbedarf aufzeigen.

Im Threat Tracking-Blogbeitrag dieses Monats geben wir einen Überblick über die diesjährige Ransomware-Landschaft, einschließlich der Ursachen von Ransomware-Angriffen, und stellen einige der wichtigsten Cyber-Bedrohungen vom Oktober 2024 vor.

Internationale Bemühungen zur Bekämpfung von Ransomware

Die internationale „Initiative zur Bekämpfung von Ransomware“ (Counter Ransomware Initiative; CRI), die sich aus 68 Ländern und Organisationen – ohne Russland und China – zusammensetzt, traf sich in Washington, D.C., um die Widerstandsfähigkeit gegen Ransomware weltweit zu bündeln. Die CRI zielt darauf ab, die weltweiten Ransomware-Zahlungen zu reduzieren, den Rahmen für die Meldung von Vorfällen zu verbessern, Partnerschaften mit der Cyber-Versicherungsbranche zu stärken, um die Auswirkungen von Ransomware-Vorfällen zu verringern, und die Widerstandsfähigkeit durch die Festlegung von Standards und bewährten Verfahren zur Verhinderung von und Wiederherstellung nach Ransomware-Angriffen zu verbessern.

Der Digital Defense Report 2024 von Microsoft hat ermittelt, dass die Zahl der Angriffe im Jahr 2024 zwar gestiegen ist, aber weniger davon die Verschlüsselungsphase erreichen. Das Ergebnis ist, dass insgesamt weniger Opfer Lösegeld zahlen. Die Untersuchungen von Coveware, Kaseya und dem Blockchain-Überwachungsunternehmen Chainanalysis bestätigen ebenfalls niedrigere Auszahlungsraten. Dennoch verzeichnen Ransomware-Banden Rekordgewinne: In der ersten Hälfte des Jahres 2024 wurden mehr als 459 Millionen US-Dollar erpresst. In diesem Jahr wurde mit einer Auszahlung in Höhe von 75 Mio. USD ein neuer Höchststand erreicht, wobei ein Trend zur „Großwildjagd“ zu beobachten ist, die eher auf große als auf kleine und mittlere Unternehmen (KMU) abzielt.

Hauptursache für Ransomware

Wie kommen erfolgreiche Ransomware-Angriffe überhaupt zustande? Hier helfen Ursachenanalysen: Laut einer weltweiten Statista-Umfrage sind ausgenutzte Software-Schwachstellen die Hauptursache für erfolgreiche Ransomware-Angriffe, die in 32 % der erfolgreichen Angriffe eine Rolle spielen. In derselben Umfrage wurde die Kompromittierung von Zugangsdaten als zweithäufigste Ursache genannt, während bösartige E-Mails (Malspam und Phishing-Angriffe) an dritter Stelle stehen. Security-Experten von Symantec stellen fest, dass die Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen Anwendungen zum primären Einstiegsvektor bei Ransomware-Angriffen geworden ist. Auch KnowBe4, ein Anbieter von Sicherheitsinformationen, stuft Social Engineering und ungepatchte Software als Hauptursachen für Ransomware ein.

Diese Ergebnisse bringen uns zurück zu unserer anfänglichen Botschaft und unterstreichen die Bedeutung der branchenführenden Kernkompetenz von Greenbone: die Unterstützung von Verteidigern bei der Identifizierung von Schwachstellen, die in ihrer IT-Infrastruktur lauern, damit sie ausnutzbare Sicherheitslücken beheben und schließen können.

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Ende Oktober 2024 warnte Fortinet Kunden vor einer RCE-Schwachstelle kritischen Ausmaßes in FortiManager, dem Flaggschiff-Produkt für das Management von Netzwerksicherheit. Die als „FortiJump“ bezeichnete und als CVE-2024-47575 (CVSS 9.8) geführte Schwachstelle wird als „Fehlende Authentifizierung für kritische Funktion“ [CWE-306] im fgfm-Daemon von FortiManager eingestuft. Googles Mandiant hat rückwirkend Protokolle durchsucht und bestätigt, dass diese Schwachstelle seit Juni 2024 aktiv ausgenutzt wird, und beschreibt die Situation als ein Szenario massenhafter Ausnutzung.

Eine weitere aktiv ausgenutzte Schwachstelle in Fortinet-Produkten, CVE-2024-23113 (CVSS 9.8), wurde im Oktober ebenfalls in den KEV-Katalog der CISA aufgenommen. Diesmal ist der Übeltäter ein extern gesteuerter Format-String in FortiOS, der es einem Angreifer ermöglichen könnte, über speziell gestaltete Pakete nicht autorisierte Befehle auszuführen.

Greenbone kann Geräte erkennen, die für FortiJump anfällig sind, FortiOS-Geräte, die für CVE-2024-23113 [1][2][3] anfällig sind, sowie über 600 weitere Schwachstellen in Fortinet-Produkten.

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Das FBI, die CISA, die NSA und andere US-amerikanische und internationale Sicherheitsbehörden haben eine gemeinsame Warnung vor einer vom Iran unterstützten Kampagne herausgegeben, die sich gegen kritische Infrastruktur-Netze richtet, insbesondere in den Bereichen Gesundheitswesen, Regierung, IT, Technik und Energie. Assoziierte Bedrohungsgruppen werden mit Ransomware-Angriffen in Verbindung gebracht, die sich in erster Linie über öffentlich zugängliche Dienste [T1190] wie VPNs Zugang verschaffen. Zu den weiteren Techniken, die in der Kampagne eingesetzt werden, gehören Brute-Force-Angriffe [T1110], Passwort-Spraying [T1110.003] und MFA Fatigue Attacken.

Die Kampagne steht im Zusammenhang mit der Ausnutzung der folgenden CVEs:

CVE-2024-24919 (CVSS 8.6), eine Offenlegung von Informationen in Check Point Security Gateway VPNs
CVE-2024-21887 (CVSS 9.1), ein Fehler bei der Befehlseingabe in Ivanti Connect Secure und Ivanti Policy Secure
CVE-2024-3400 (CVSS 10), ein Fehler bei der Befehlseingabe in Palo Alto Networks PAN-OS
CVE-2022-1388 (CVSS 9.8), eine Schwachstelle, die die Umgehung der Authentifizierung in F5 BIG-IP ermöglicht, und CVE-2020-5902 (CVSS 9.8), eine Sicherheitslücke zur Remote Code Execution (RCE) in der Benutzeroberfläche von F5 BIG-IP Traffic Management
CVE-2020-1472 (CVSS 5.5), eine Schwachstelle, die zur Ausweitung von Berechtigungen in Microsoft Netlogon Remote Protocol führen kann
CVE-2023-3519 (CVSS 9.8), eine Schwachstelle zur unautorisierten RCE und CVE-2019-19781 (CVSS 9.8), eine Sicherheitslücke, die die Umgehung von Verzeichnissen in Citrix Application Delivery Controller und Gateway erlaubt
CVE-2019-11510 (CVSS 10), ein nicht autorisiertes Lesen von Dateien und CVE-2019-11539 (CVSS 7.2), ein Fehler zur Remote-Ausführung von Befehlen, beide in Pulse Secure Pulse Connect Secure

Greenbone kann alle CVEs erkennen, die im Zusammenhang mit der Kampagne stehen, und gibt Verteidigern mit einem Überblick die Möglichkeit, das Risiko zu mindern. Darüber hinaus ist die Verhinderung von Brute-Force- und Passwort-Spraying-Angriffen ein elementarer Bestandteil der Cybersicherheit, auch wenn sie nicht als CVE erfasst wird. Zwar bieten viele Authentifizierungsdienste von Haus aus keinen Brute-Force-Schutz, doch können zusätzliche Sicherheitsprodukte so konfiguriert werden, dass nach wiederholten Anmeldefehlern eine Sperrzeit verhängt wird. Greenbone kann die Einhaltung der CIS-Sicherheitskontrollen für Microsoft RDP bescheinigen, einschließlich derjenigen, die Brute-Force- und Password-Spraying-Angriffe bei der Anmeldung verhindern.

Schließlich müssen laut Anhang I, Teil I (2)(d) der EU Cyber Resilience Act (CRA) Produkte mit digitalen Elementen „den Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen gewährleisten“, einschließlich Systemen für Authentifizierung, Identitäts- und Zugriffsmanagement, und sollten auch alle Fälle von unbefugtem Zugriff melden. Dies bedeutet, dass die EU in Zukunft von allen Produkten einen eingebauten Brute-Force-Schutz verlangen wird, anstatt sich auf „Rate Limiting“-Tools von Drittanbietern wie fail2ban für Linux zu verlassen.

Unverschlüsselte Cookies in F5 BIG-IP LTM

Die CISA hat beobachtet, dass Cyber-Bedrohungsakteure unverschlüsselte dauerhafte Cookies auf F5 BIG-IP Local Traffic Manager (LTM) Systemen ausnutzen. Sobald die Cookies gestohlen wurden, werden sie verwendet, um andere interne Netzwerkgeräte zu identifizieren, was wiederum eine passive Erkennung von Schwachstellen innerhalb eines Netzwerks ermöglichen kann. Ähnlich wie die meisten Webanwendungen gibt BIG-IP ein HTTP-Cookie zwischen dem Client und dem Server weiter, um User Sessions zu verfolgen. Das Cookie hat standardmäßig den Namen BIGipServer<pool_name> und sein Wert enthält die verschlüsselte IP-Adresse und den Port des Zielservers.

F5 BIG-IP ist eine Suite zur Verwaltung des Netzwerkverkehrs, und LTM ist das Kernmodul, das für Load Balancing und die Verteilung des Datenverkehrs auf die Server sorgt. Die CISA rät Unternehmen, dafür zu sorgen, dass persistente Cookies verschlüsselt werden. F5 bietet eine Anleitung zur Einrichtung der Cookie-Verschlüsselung und mit BIG-IP iHealth ein Diagnosetool, um unverschlüsselte dauerhafte Profile von Cookies zu erkennen.

Obgleich eine aktive Ausnutzung die Bedrohung für Unternehmen erhöht, die diese Schwachstelle nicht behoben haben, ist die Sicherheitslücke seit Anfang 2018 bekannt. Greenbone bietet seit Januar 2018 eine Erkennung für diese Schwachstelle an, sodass Benutzer die Sicherheitslücke, die durch unverschlüsselte Cookies in F5 BIG-IP LTM entsteht, seit ihrer Offenlegung erkennen und schließen können.

Hochgefährliche Schwachstellen in Palo Alto Expedition

In Expedition, einem Migrationstool von Palo Alto, das den Übergang von Security-Konfigurationen von Drittanbietern zu PAN-OS von Palo Alto vereinfachen soll, wurden mehrere neue hochgefährliche Schwachstellen entdeckt. Obwohl noch nicht in aktiven Kampagnen beobachtet, wurden zwei der insgesamt neun CVEs, die Palo Alto im Oktober zugewiesen wurden, mit EPSS-Scores höher als 98 % aller anderen bewertet. EPSS (Exploit Prediction Scoring System) ist ein Vorhersagemodell, das mithilfe von Machine Learning die Wahrscheinlichkeit schätzt, dass ein CVE innerhalb von 30 Tagen nach der Vorhersage in freier Wildbahn ausgenutzt wird.

Hier eine kurze technische Beschreibung der einzelnen CVEs:

CVE-2024-9463 (CVSS 7.5, EPSS 91.34%): Eine OS-Schwachstelle bei der Befehlseingabe in Palo Altos Expedition erlaubt es einem nicht authentifizierten Angreifer, beliebige OS-Befehle als Root-Dateien in Expedition auszuführen, was zur Offenlegung von Benutzernamen, Klartext-Passwörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS Firewalls führt.
CVE-2024-9465 (CVSS 9.1, EPSS 73.86%): Eine SQL-Injection-Schwachstelle in Palo Altos Expedition ermöglicht es einem nicht authentifizierten Angreifer, sensible Datenbankinhalte wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und Geräte-API-Schlüssel auszuspähen. Sobald diese Informationen erlangt wurden, können Angreifer beliebige Dateien auf den betroffenen Systemen erstellen und lesen.

Vier kritische CVEs in Mozilla Firefox

Wie bereits in unserem Threat-Tracking-Blog erwähnt, ist die Browsersicherheit von entscheidender Bedeutung für die Verhinderung von Erstzugriffen, insbesondere bei Arbeitsplatzgeräten. Im Oktober 2024 wurden sieben neue kritische und 19 weitere weniger kritische Sicherheitslücken in Mozilla Firefox < 131.0 und Thunderbird < 131.0.1 bekanntgegeben. Eine davon, CVE-2024-9680, wurde bereits gegen Nutzer des Tor-Netzwerks aktiv ausgenutzt und wurde in den Katalog der bekannten Schwachstellen der CISA aufgenommen. Greenbone enthält Schwachstellentests, um alle betroffenen Mozilla-Produkte zu identifizieren.

Hier die sieben neu veröffentlichten Schwachstellen:

CVE-2024-9680 (CVSS 9.8): Angreifer gelangten zu einer unautorisierten RCE, indem sie eine Use-After-Free-Schwachstelle in Animation Timelines ausnutzten. CVE-2024-9680 wird in freier Wildbahn ausgenutzt.
CVE-2024-10468 (CVSS 9.8): Mögliche Laufbedingungen in IndexedDB können Speicher beschädigen, was zu einem potenziell ausnutzbaren Absturz führt.
CVE-2024-9392 (CVSS 9.8): Ein kompromittierter Inhaltsvorgang ermöglicht das willkürliche Laden von Cross-Origin-Seiten.
CVE-2024-10467, CVE-2024-9401 und CVE-2024-9402 (CVSS 9.8): In Firefox vorhandene Speicherfehler zeigten Anzeichen von Speicherbeschädigung. Sicherheitsexperten vermuten, dass einige dieser Fehler mit genügend Aufwand zur Ausführung von beliebigem Code ausgenutzt werden könnten.
CVE-2024-10004 (CVSS 9.1): Das Öffnen eines externen Links zu einer HTTP-Website, wenn Firefox iOS zuvor geschlossen war und einen HTTPS-Tab geöffnet hatte, konnte dazu führen, dass das Vorhängeschloss-Symbol fälschlicherweise HTTPS anzeigte.

Zusammenfassung

Unser monatlicher Threat Tracking-Blog befasst sich mit den wichtigsten Cybersecurity-Trends und hochriskanten Bedrohungen. Zu den wichtigsten Erkenntnissen für Oktober 2024 gehören die verstärkten Bemühungen zur Bekämpfung von Ransomware auf internationaler Ebene und die Rolle, die ein proaktives Schwachstellenmanagement bei der Verhinderung erfolgreicher Ransomware-Angriffe spielt. Zu den weiteren Höhepunkten gehören aktiv ausgenutzte Schwachstellen von Fortinet und Palo Alto sowie Updates zu einer vom Iran unterstützten Cyberangriffskampagne, die auf öffentliche Dienste kritischer Infrastrukturunternehmen abzielt. Darüber hinaus unterstreichen die unverschlüsselte Cookie-Schwachstelle von F5 BIG-IP LTM, die zur Reconnaissance ausgenutzt wird, und vier neue Mozilla Firefox-Schwachstellen, von denen eine aktiv als Waffe eingesetzt wird, wie notwendig es ist, wachsam zu bleiben.

Greenbone erleichtert die Identifizierung und Behebung dieser und weiterer Schwachstellen und hilft Unternehmen, ihre Widerstandsfähigkeit gegenüber wachsenden Cyber-Bedrohungen zu verbessern. Schnelle Erkennung und rechtzeitiges Patchen sind für die Risikominimierung entscheidend.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

11. November 2024/von Joseph Lee

Stillstand verhindern: Greenbones Beitrag zum Schutz vor DoS-Angriffen

Blog

Ein DoS-Angriff (Denial of Service) kann den kompletten Stillstand bedeuten: Ein wichtiger Dienst fällt aus, eine Anwendung reagiert nicht mehr oder der Zugriff auf das eigene System wird blockiert. DoS-Attacken haben ein klares, zerstörerisches Ziel: digitale Ressourcen lahmzulegen und den Zugriff für legitime Benutzer zu verhindern. Die Folgen einer DoS-Attacke können drastisch sein: von Ausfallzeiten und Betriebsunterbrechungen über finanzielle Verluste bis hin zu erheblichen Risiken für die gesamte Organisation.

Seit mehreren Jahren sind DoS-Angriffe auf dem Vormarsch und haben erhebliche Auswirkungen auf Unternehmen, kritische Infrastrukturen und das Gesundheitssystem. DoS-Angriffe werden auch in ausgeklügelten Cyber-Militärkampagnen und als Mittel zur Erpressung von Lösegeld eingesetzt. Was steckt hinter diesen Angriffen und wie können Sie sich schützen?

Die Bedrohung wächst

Über unbefugten Zugriff können Angreifer durch einfaches Herunterfahren eines Systems einen Systemausfall erzwingen [T1529]. Auch Fehler in der Anwendungslogik können einem Angreifer aus der Ferne ermöglichen, das System zum Absturz zu bringen. So kann er es mit Netzwerkverkehr überfluten, um die Ressourcen zu erschöpfen. Das Blockieren des Kontozugriffs [T1531], die Zerstörung von Daten [T1485] oder der Einsatz von Ransomware [T1486] können die Systemwiederherstellung [T1490] weiter behindern oder die Verteidiger ablenken, während andere Angriffe stattfinden. Gleichzeitig machen gestoppte kritische Dienste auch anfälliger für weitere Cyberangriffe. Wenn zum Beispiel ein Virenscanner deaktiviert ist, kann Malware leichter in ein Netzwerk eindringen; wenn Backup-Dienste nicht funktionieren, ist eine vollständige Wiederherstellung nach einem Ransomware-Angriff kaum mehr möglich.

DoS-Angriffe lieben bekannte Schwachstellen

DoS-Angriffe nutzen oft Schwachstellen in den Spezifikationen von Netzwerkprotokollen, unsachgemäße Protokoll-Implementierungen, fehlerhafte Logik in Softwareanwendungen oder Fehlkonfigurationen. Zu den Softwarefehlern, die DoS-Angriffe ermöglichen, gehören:

Unkontrollierter Ressourcenverbrauch
Buffer overflows
Fehlende Speicherfreigabe
Unsachgemäße Fehlerbehandlung
Asymmetrischer Ressourcenverbrauch (Amplification)
Nichtfreigabe einer Ressource nach Gebrauch

Wenn Schwachstellen wie diese entdeckt werden, beeilen sich die Hersteller, Patches herauszugeben. Allerdings sind nur die Benutzer geschützt, die diese Updates auch installieren. Durch das Scannen von Angriffsflächen auf Netzwerk- und Host-Ebene können IT-Sicherheitsteams auf Schwachstellen aufmerksam werden, die sie anfällig für DoS-Attacken machen. Einmal gewarnt, können Verteidiger aktiv werden und die erforderlichen Updates einspielen oder anfällige Konfigurationen anpassen.

Arten von DoS-Angriffen

DoS-Angriffe nutzen viele verschiedene Techniken, zum Beispiel die Überflutung von Netzwerken mit übermäßigem Datenverkehr, die Ausnutzung von Softwareschwachstellen oder die Manipulation von Funktionen auf Anwendungsebene. Das Verständnis der Funktionsweise von DoS-Angriffen und ihrer potenziellen Auswirkungen ist für Unternehmen entscheidend, um umfassende Verteidigungsstrategien zu entwickeln und das Risiko solcher Störungen zu minimieren.

Zu den wichtigsten Kategorien von DoS-Angriffen gehören:

Volumenbasierte DoS-Angriffe: Volumenbasierte DoS-Attacken überlasten die Netzwerkbandbreite oder Rechenressourcen des Zielsystems wie CPU und RAM mit großen Datenmengen, sodass das Netzwerk nicht mehr in der Lage ist, seinen ursprünglichen Zweck zu erfüllen.
DoS-Angriffe auf Anwendungs- und Protokoll-Ebene: Diese Angriffe zielen auf Schwachstellen in Softwareanwendungen oder Netzwerkprotokollen ab, die sich auf jeder Ebene des Protokoll-Stacks befinden. Eindringlinge nutzen Fehler in einer Protokollspezifikation, eine fehlerhafte Anwendungslogik oder Systemkonfigurationen aus, um das Zielsystem zu destabilisieren oder zum Absturz zu bringen.
Amplification DoS-Angriffe: Bei Amplification-Attacken werden bestimmte Protokolle ausgenutzt, die eine Antwort erzeugen, die größer ist als die ursprüngliche Anfrage. Angreifer senden kleine Anfragen an ihr Ziel, das dann mit großen Paketen antwortet. Diese Taktik verstärkt die Auswirkungen auf das Opfer um das 100-fache der ursprünglichen Anfragegröße.
Reflection DoS-Angriffe: Der Angreifer sendet hierbei eine Anfrage an einen Dienst, ersetzt jedoch die Quell-IP durch die IP-Adresse des Opfers. Der Server sendet dann seine Antwort an das Opfer und „spiegelt“ die gefälschten Anfragen des Angreifers wider. Reflection-Angriffe basieren in der Regel auf UDP (User Datagram Protocol), da es verbindungslos ist. Im Gegensatz zu TCP überprüfen UDP-basierte Dienste die Quell-IP der empfangenen Daten nicht automatisch.
Distributed Denial of Service (DDoS): DDoS-Angriffe nutzen eine große Menge kompromittierter Geräte (oft als Botnet bezeichnet), um überwältigende Mengen an Datenverkehr an ein Ziel zu senden. Botnets bestehen aus gehackten Webservern oder SOHO-Routern (Small Office, Home Office) aus der ganzen Welt und werden zentral von den Angreifern gesteuert. Dass DDoS-Angriffe von vielen verschiedenen IP-Adressen stammen, macht es viel komplizierter, sie zu entschärfen. Legitime Benutzer sind schwierig zu identifizieren, und es ist nahezu unmöglich, die große Anzahl individueller IP-Adressen des Botnets zu blockieren.

Mit Greenbone gegen Systemausfall

Staatliche Cybersicherheitsbehörden aller NATO-Länder wie Deutschland, die USA und Kanada bezeichnen das Schwachstellenmanagement als oberste Priorität bei der Abwehr von DoS-Angriffen. Durch das Scannen nach bekannten Schwachstellen hilft Greenbone, Einfallstore für DoS-Angriffe zu schließen. Greenbone-Lösungen erkennen viele bekannte Fehlkonfigurationen und CIS-Benchmark-Kontrollen und verringern damit den Beitrag menschlichen Versagens zum Problem. Schwachstellentests werden zudem täglich aktualisiert, um die neuesten Sicherheitslücken zu identifizieren, die DoS-Angriffe erlauben könnten.

Die Schwachstellentests von Greenbone beinhalten eine eigene Denial-of-Service-Kategorie, die auch in anderen Testfamilien integriert ist, wie bei Datenbank-DoS-Tests, Webanwendungs-DoS-Tests, Webserver-DoS-Tests oder Windows-DoS-Tests [1][2]. Ebenso gibt es Tests in vielen Produkten für Unternehmensnetze wie für Cisco, F5, Juniper Networks oder Palo Alto, die DoS-spezifische Schwachstellen aufspüren. Wenn Sie Greenbone zum Scannen Ihrer Netzwerke und Endpunkte verwenden, haben Sie Zugriff auf über 4.900 Tests, mit denen sich Schwachstellen identifizieren lassen, die für DoS-Attacken ausgenutzt werden könnten.

Wenn der „Safe Checks“-Schutz von Greenbone für eine Scankonfiguration deaktiviert ist, führt unser Scanner aktive Angriffe wie zum Beispiel Amplification-DoS-Angriffe durch. Da diese Tests ein höheres Risiko bergen, wie etwa die größere Wahrscheinlichkeit von Service-Unterbrechungen, ist die Funktion „Safe Checks“ standardmäßig aktiviert, was bedeutet, dass die erweiterten invasiven Scans nur durchgeführt werden, wenn sie speziell dafür konfiguriert wurden.

Zwar gibt es keine bekannte Cybersicherheitsmaßnahme, die Schutz vor allen DoS-Angriffen wie hochvolumige DDoS-Attacken garantieren kann, doch die proaktive Identifizierung und Behandlung bekannter Schwachstellen beseitigt die „low-hanging fruits“, die Angreifer ausnutzen können. Durch die Beseitigung bekannter Schwachstellen aus der IT-Infrastruktur kann eine Organisation vermeiden, selbst Teil des Problems zu werden – denn gekaperte IT-Ressourcen werden von Angreifern oft für DDoS-Angriffe auf andere genutzt.

Zusammenfassung

DoS-Angriffe (Denial of Service) zielen darauf ab, die Verfügbarkeit von IT-Systemen zu (zer)stören, indem sie diese mit Datenverkehr überschwemmen oder bekannte Software-Schwachstellen ausnutzen. Die umfassenden Lösungen von Greenbone zur Schwachstellenanalyse können potenzielle Eintrittspunkte für DoS-Angriffe identifizieren und ermöglichen es Unternehmen, ihre Abwehr zu stärken und das Risiko solcher Attacken zu minimieren. Durch proaktives Schwachstellenmanagement und kontinuierliche Überwachung unterstützt Greenbone Unternehmen dabei, die Auswirkungen potenziell zerstörerischer DoS-Angriffe zu erkennen und zu mindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

6. November 2024/von Greenbone AG

Cyberbedrohung im großen Stil: Die massenhafte Ausnutzung von Schwachstellen

Blog

Sobald ein Unternehmen einen gewissen Wert hat, kann man darauf wetten, dass bösartige Akteure darüber nachdenken, wie sie die Schwachstellen in der IT des Unternehmens ausnutzen können, um finanziellen Gewinn zu erzielen. Ransomware-Angriffe sind dabei die größte Bedrohung. Sie machen die Daten ihres Opfers unbrauchbar und erpressen es zur Entschlüsselung. Je stärker Unternehmen gefährdet sind, desto genauer müssen sie wissen, wo ihr Risiko liegt, und ihre kritischen Anlagen besonders gut schützen. Alle Unternehmen mit IT-Infrastruktur, auch kleine Firmen, profitieren jedoch von einer Bewertung ihrer Angriffsfläche und der Beseitigung von Schwachstellen.

Angriffe durch die massenhafte Ausnutzung von Schwachstellen („Mass Exploitations“) funktionieren in Form automatisierter Kampagnen, bei denen das öffentliche Internet kontinuierlich auf der Suche nach leichten Opfern durchsucht wird. Diese Kampagnen werden von Bots durchgeführt, die Cyberangriffe qua Automatisierung in großem Maßstab dirigieren. CloudFlare behauptet, dass nur 7 % des Internetverkehrs auf bösartige Bots entfallen, während anderen Berichten zufolge bösartige Bots bis zu 32 % der gesamten Internetaktivitäten ausmachen. Nach dem Eindringen missbrauchen die Angreifer die kompromittierten Ressourcen für bösartige Aktivitäten.

Was geschieht mit den kompromittierten Vermögenswerten?

Sobald ein Angreifer die Kontrolle über die IT-Infrastruktur eines Opfers erlangt hat, schätzt er den Wert seiner neuen Beute ein und entscheidet, wie er daraus am besten Kapital schlagen kann. Das Dark Web ist ein Untergrund-Ökosystem von Cybercrime-Services mit einer eigenen Wirtschaft von Angebot und Nachfrage für illegale Handlungen. Innerhalb dieses Ökosystems verkaufen Initial Access Broker (IAB) unbefugten Zugang an RaaS-Gruppen (Ransomware as a Service), die sich auf die Ausführung von Ransomware spezialisiert haben, d. h. auf die Verschlüsselung der Dateien eines Opfers und dessen Erpressung. Mass Exploitation ist eine Möglichkeit für diese IABs, Fuß zu fassen.

Kompromittierte Anlagen mit geringerem Erpressungswert können Teil des „Zombie-Botnets“ des IAB werden, das das Internet kontinuierlich nach anfälligen Systemen durchsucht, die es zu kompromittieren gilt. Andernfalls können gekaperte Systeme zum Versenden von Malspam- und Phishing-E-Mails verwendet werden, mit Krypto-Mining-Malware infiziert werden oder als unauffälliger Host für eine C2-Infrastruktur (Command and Control) dienen, die gezieltere Angriffskampagnen unterstützt.

Wie die automatisierte Ausnutzung funktioniert

Verteidiger können Mass Exploitations durch die Brille der „Taktiken, Techniken und Verfahren“ (Tactics, Techniques and Procedures; TTP) des MITRE ATT&CK-Frameworks untersuchen, um das Verhalten von Angreifern besser zu verstehen. Wenn Sie mit MITRE ATT&CK nicht vertraut sind, ist jetzt ein guter Zeitpunkt, um die MITRE ATT&CK Enterprise Matrix zu lesen: Sie dient als Referenzpunkt für die Vorgehensweise von Angreifern.

Die automatisierten Attacken zielen auf eine große Anzahl von Systemen. Mit hochentwickelten Tools sind sie in der Lage, viele IP-Adressen zu scannen und automatisch Cyberangriffe auszuführen, wenn Schwachstellen gefunden werden. Sie nutzen Schwachstellen in Software aus, die üblicherweise dem öffentlichen Internet ausgesetzt ist, insbesondere solche, die zum Hosten von Websites und für den Fernzugriff auf Webserver verwendet wird.

Schritt für Schritt zum automatisierten Angriff:

Auskundschaftung [TA0043]: Angreifer sammeln Quellen für Schwachstelleninformationen wie NIST NVD, wo CVEs mit Schweregraden und Berichten, die technische Details enthalten, veröffentlicht werden. Sie nutzen dabei auch Quellen für Exploit-Code wie Exploit-db, GitHub oder andere Quellen wie Dark-Web-Marktplätze. Alternativ dazu können Angreifer auch ihre eigenen bösartigen Exploits entwickeln.
Bewaffnung [TA0042]: Angreifer bauen Cyberwaffen, die Schwachstellen automatisch erkennen und ausnutzen [T1190], ohne dass ein Mensch eingreifen muss.
Aktives Scannen [T1595]: Angreifer führen aktive Scans des öffentlichen Internets in großem Umfang durch, um Abhördienste und deren Versionen zu entdecken [T1595.002]. Dieser Prozess ähnelt der Art und Weise, wie Cyber-Verteidiger Schwachstellen-Scans ihrer eigenen Infrastruktur durchführen – mit dem Unterschied, dass Angreifer, anstatt erkannte Schwachstellen zu beheben, Strategien planen, um sie auszunutzen.
Einsatz und Ausnutzung von Angriffen: Sobald eine aktive Schwachstelle gefunden wurde, versuchen automatisierte Tools, diese auszunutzen, um das System des Opfers aus der Ferne zu kontrollieren [TA0011] oder einen Denial of Service (DoS) zu verursachen [T1499]. Dabei kann eine Vielzahl von Software-Schwachstellen ausgenutzt werden, beispielsweise Standard-Kontoanmeldeinformationen [CWE-1392], SQL-Injection [CWE-89], Buffer Overflows [CWE-119], nicht autorisierte Dateiuploads [CWE-434] oder anderweitig ausgehebelte Zugriffskontrollen [CWE-284].
Bewertung und Maßnahmen zur Erreichung der Ziele [TA0040]: Nach der Kompromittierung entscheidet der Angreifer, wie er das Opfer am besten zu seinem eigenen Vorteil beeinflussen kann. Angreifer können beschließen, weitere Erkundungen durchzuführen und versuchen, „seitlich“ auf andere angeschlossene Systeme im Netzwerk vorzudringen [TA0008], Daten des Opfers zu stehlen [TA0010], Ransomware einzusetzen [T1486] oder den ursprünglichen Zugang an andere Cyber-Kriminelle mit speziellen Fähigkeiten zu verkaufen [T1650].

Schutzmaßnahmen gegen automatisierte Angriffe

Die Abwehr von „Mass Exploitation“-Angriffen erfordert einen proaktiven Ansatz, der potenzielle Schwachstellen beseitigt, bevor sie ausgenutzt werden können. Unternehmen sollten grundlegende Best Practices für die IT-Sicherheit anwenden, einschließlich regelmäßiger Bewertungen, kontinuierlicher Überwachung und rechtzeitiger Behebung erkannter Schwachstellen.

Hier sind einige wichtige Sicherheitsmaßnahmen zum Schutz vor den automatisierten Angriffen:

Erstellen Sie ein IT-Bestandsinventar: Die Erstellung eines umfassenden Inventars aller Hardware-, Software- und Netzwerkgeräte in Ihrem Unternehmen stellt sicher, dass keine Systeme bei der Risiko- und Schwachstellenbewertung und beim Patch-Management übersehen werden.
Bewerten Sie Ihre Risiken: Legen Sie die Prioritäten für die Vermögenswerte nach ihrer Bedeutung für den Geschäftsbetrieb fest und bestimmen Sie, worauf sich die Präventionsmaßnahmen konzentrieren sollen. Regelmäßige Risikobewertungen tragen dazu bei, dass die kritischsten Bedrohungen angegangen werden, um die Wahrscheinlichkeit einer schwerwiegenden Verletzung zu verringern.
Regelmäßige Überprüfung aller Anlagen und Behebung festgestellter Schwachstellen: Führen Sie regelmäßige Schwachstellen-Scans für alle IT-Ressourcen durch, insbesondere für diejenigen, die dem öffentlichen Internet ausgesetzt sind und ein hohes Risiko darstellen. Wenden Sie Patches oder alternative Abhilfemaßnahmen sofort an, um eine Ausnutzung zu verhindern. Verfolgen und messen Sie die Fortschritte beim Schwachstellenmanagement in quantifizierter Form.
Entfernen Sie ungenutzte Dienste und Anwendungen: Ungenutzte Software stellt eine zusätzliche Angriffsfläche dar, die Angreifern die Möglichkeit bietet, Schwachstellen auszunutzen. Indem Sie die Zahl aktiver Dienste und installierter Anwendungen verkleinern, schränken Sie potenzielle Einstiegspunkte für Angreifer ein.
Ausbildung und Schulung: Schulung ist wichtig, um das Bewusstsein für IT-Sicherheit in der Unternehmenskultur zu fördern. Eine Sensibilisierung trägt auch wesentlich dazu bei, Malspam- und Phishing-Angriffe auf ein Unternehmen zu verhindern.
Verwenden Sie Anti-Malware-Lösungen: Malware wird oft durch automatisierte Spam- und Phishing-Kampagnen in großem Umfang verbreitet. Stellen Sie sicher, dass alle Systeme mit aktueller Antiviren-Software ausgestattet sind, und implementieren Sie Spam-Filter, um bösartige Dateien zu erkennen und zu isolieren.
Richtlinien für starke Authentifizierung: Credential Stuffing-Angriffe sind oft automatisierte Bestandteile von Massen-Exploits. Wenn Sie bewährte Kennwortpraktiken wie die Verwendung starker, zufällig generierter Kennwörter einhalten und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden, verringern Sie das Risiko durch gestohlene Kennwörter. Die Einführung von Richtlinien zur Passwortrotation, die Multi-Faktor-Authentifizierung (MFA) und die Verwendung von Passwortmanagern erhöhen ebenfalls die Passwortsicherheit.
Verwenden Sie Firewalls und IPS: Firewalls und Intrusion Prevention Systeme (IPS) können bösartigen Datenverkehr mit Hilfe von Regeln oder Mustern blockieren. Konfigurieren Sie Regelsätze so streng wie möglich, um unnötigen eingehenden Datenverkehr vom Scannen sensibler Dienste abzuhalten. Überprüfen und aktualisieren Sie Firewall- und IPS-Konfigurationen regelmäßig, um aktuellen Bedrohungen Rechnung zu tragen.

Zusammenfassung

In automatisierten Kampagnen werden Schwachstellen massenhaft ausgenutzt. Dabei werden Botnetze eingesetzt, um das öffentliche Internet nach anfälligen Systemen zu durchsuchen. Die Angriffe zielen auf ein breites Spektrum von Opfern und nutzen bekannte Schwachstellen in Software aus, die üblicherweise im Internet steht. Sobald die Systeme kompromittiert sind, verwenden Angreifer sie für verschiedene böswillige Zwecke, zum Beispiel um Ransomware einzuschleusen, den Zugang an andere kriminelle Gruppen zu verkaufen oder Botnetze weiter auszubauen. Mass Exploitations sind eine große Bedrohung, da sie es Angreifern ermöglichen, mit minimalem Aufwand in großem Maßstab zu operieren.

Um sich gegen die automatisierten Angriffe zu schützen, müssen Unternehmen proaktive Sicherheitsmaßnahmen wie regelmäßige Schwachstellen-Scans, rechtzeitige Patch-Verwaltung, strenge Zugangskontrollen und Netzwerküberwachung durchführen. Darüber hinaus kann eine angemessene Sicherheitsschulung des Personals dazu beitragen, das Risiko zu verringern, den automatisierten Kampagnen zum Opfer zu fallen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

5. November 2024/von Greenbone AG

… und Action! Greenbone auf der it-sa Expo&Congress

Blog

Kommende Woche startet die it-sa, eine der größten Plattformen für IT-Security-Lösungen. Unser CEO Dr. Jan-Oliver Wagner wird am Eröffnungstag, dem 22. Oktober 2024, ab 11:00 Uhr zeigen, wie Unternehmen dauerhaft und in Krisensituationen handlungsfähig bleiben können. Unter dem Titel „Sicher sein und sicher bleiben“ weist er im Forum 6-B Wege aus der wachsenden Bedrohungslage durch Cyberrisiken. Nicht umsonst aber heißt der Überblick über die Möglichkeiten und Potenziale von Schwachstellenmanagement nicht „Vortrag“, sondern „Action“: Handeln ist gefragt!

Werden Sie aktiv!

In Zeiten, in denen Ransomware-Banden mehrstellige Millionenbeträge zu erpressen versuchen, gilt es für Unternehmen und Organisationen, möglichst frühzeitig für die Sicherheit der IT-Systeme mit ihren Daten und Kommunikationswegen tätig zu werden. Jede Investition in die eigene Cybersicherheit macht sich um ein Vielfaches bezahlt, vergleicht man die Anschaffungskosten einer entsprechenden proaktiven Lösung mit den Kosten, die durch den Schaden entstehen – und die mit dem Zahlen von Lösegeldern bei Weitem nicht abgegolten sind. Wie bei jeder Rechnung mit Zins und Zinseszins: Je früher die Investition begonnen wird, desto mehr zahlt sie sich aus.

Die Lösungen von Greenbone setzen am frühestmöglichen Zeitpunkt der Entstehungsgeschichte von Cyberrisiken an: Dem Auffinden von Sicherheitslücken in der eigenen IT-Infrastruktur. So geht das Schwachstellenmanagement Hand in Hand mit einer fundierten Security-Strategie, in deren Rahmen kontinuierlich Sicherheitsdaten bereitgestellt, Systeme überwacht und Ergebnisse verglichen und ausgewertet werden.

Wissensvorsprung verschaffen

Weil Kriminelle ihre Angriffe auf die Netzwerke ihrer Opfer so einfach und so flächendeckend wie möglich gestalten, um ihre Gewinne zu maximieren, sollten IT-Verantwortliche es ihnen hierbei so schwer wie möglich machen. Schwachstellenmanagement bietet Unternehmen einen entscheidenden Vorsprung im Wettlauf mit potenziellen Angreifern. Sicherheitslücken werden zwar häufig schon vor ihrer öffentlichen Bekanntgabe ausgenutzt, sind sie aber erst einmal offiziell bekannt, kommt der Wettlauf zwischen Angreifer und Angegriffenem in die heiße Phase: Angriffsvektoren sollten jetzt schneller geschlossen werden, als Cyberkriminelle sie ausnutzen können.

Risiken managen

Damit das Sicherheitsrisiko gar nicht so weit eskaliert, greifen die Lösungen von Greenbone auf mittlerweile über 180.000 automatisierte Schwachstellentests zu. Sie reduzieren damit die potenzielle Angriffsfläche um 99 Prozent im Vergleich zu Unternehmen, die kein Vulnerability Management einsetzen. Diese immensen Möglichkeiten der Risikominimierung setzen ein umsichtiges Security-Management voraus. Denn je mehr Schwachstellen offengelegt werden, desto drängender wird die Frage, welche Aktionen zuerst eingeleitet werden müssen. Welche IT-Systeme brauchen Soforthilfe? Welche Assets und Interaktionspfade im Unternehmen sind besonders kritisch und durch welche Sicherheitsmaßnahmen zu bevorzugen?

Nur wer plausible Antworten auf diese Fragen hat, wird das Gesamtrisiko für Cyberangriffe auch dauerhaft so gering wie möglich halten können. Welche Prioritäten gesetzt werden sollten und wie eine entsprechende „Triage“ unter Daten und Systemen im operativen Alltag praktiziert werden kann, wird Jan-Oliver Wagner auf der it-sa in der Action „Sicher sein und sicher bleiben“ zeigen. Seien Sie dabei!

Besuchen Sie uns auf unserem Stand 6-346 oder vereinbaren Sie gleich einen Termin und sichern Sie sich Ihr Gratis-Ticket zur Messe. Wir freuen uns auf Ihren Besuch!

Jetzt Termin vereinbaren!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

16. Oktober 2024/von Andreas Bergler

NIS2-Umsetzungsgesetz lässt auf sich warten: Zeit zum Handeln

Blog

Auch wenn die Bundesregierung es wohl nicht geschafft hat, die notwendigen Umsetzungen der NIS2-Richtlinie fristgerecht auf den Weg zu bringen, sollten Unternehmen und Behörden nicht nachlassen. NIS2 kommt, zwar nicht wie geplant noch im Oktober, sondern erst im Frühjahr 2025, doch die Kerninhalte bleiben gleich. Ganz unabhängig vom schlussendlichen Termin gehört professionelles Schwachstellenmanagement wie das von Greenbone zwingend dazu.

Eigentlich hatten alle von NIS2 betroffenen Unternehmen und Organisationen schon acht Jahre Zeit, um sich einzuarbeiten und angemessene Maßnahmen zu treffen. Wer seine Hausaufgaben gemacht hat, wird bemerkt haben: Zwar kommt da viel Arbeit auf Firmen zu, vor allem auf Betreiber kritischer Infrastrukturen, aber das meiste ist doch überaus klar und wohldefiniert. Aber dass die NIS2-Umsetzung und -Einführung dennoch nicht immer einfach ist, zeigt derzeit der Deutsche Bundestag exemplarisch.

Acht Jahre verstrichen, Startschuss verpasst

Theoretisch wäre Ende Oktober der Startschuss für das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) gefallen, doch aus dem von der EU auch für Deutschland verordneten Termin vom 17.10.2024 wird nichts. Die Referentenentwürfe von 2023 und 2024 fanden keine Mehrheit, selbst das Innenministerium ist skeptisch und „rechnet nicht mit einer fristgerechten Einführung der NIS2-Richtlinie“. Das geht aus einer Antwort des Ministeriums auf eine Anfrage des BVMW (Bundesverband mittelständische Wirtschaft – Unternehmerverband Deutschlands) hervor. „Wann die NIS2-Richtlinie kommt, die für den 17. Oktober 2024 geplant war, ist offenbar völlig unklar. In der Antwort des Innenministeriums heißt es lediglich, dass bei einem zügigen parlamentarischen Verfahren ein Inkrafttreten des Gesetzes im ersten Quartal 2025 möglich sei.“

NIS2-Studie: Unternehmen akzeptieren die Vorschriften

Dabei ergibt NIS2 durchaus Sinn und trifft auf hohe Akzeptanz, vor allem in sicherheitsrelevanten Branchen und Firmen, auch wenn diese selbst zugeben müssen, noch nicht perfekt vorbereitet zu sein. 38 Prozent halten NIS2 für überfällig, 67 Prozent gehen davon aus, dass Cyberattacken weiter zunehmen werden, und 84 Prozent wissen: Das Budget wird steigen. 34 Prozent der Unternehmen werden zukünftig in Schwachstellenmanagement investieren. Diese Zahlen stammen aus einer aktuellen, umfangreichen Studie von techconsult im Auftrag von Plusnet, die auch den Sinn und Zweck von NIS2 zusammenfasst: „Unternehmen und Organisationen werden angewiesen, robuste Sicherheitsmaßnahmen zu implementieren, regelmäßige Risikoanalysen durchzuführen und angemessene Schutzmechanismen gegen Cyberangriffe einzurichten. Eine erhöhte Transparenz und Reaktionsfähigkeit sollen dazu beitragen, Bedrohungen schneller zu identifizieren und einzudämmen.“

Top-Investitionsfelder von Unternehmen im Bereich Cybersicherheit: Sicherheitsschulungen (45 %), ISO-Zertifikate (44 %), Awareness-Trainings (42 %), sichere Kommunikation, EDR, SIEM, KI-Lösungen, automatisierte Schwachstellenscans (je 34 %).

Quelle: „NIS2 Readiness in deutschen Unternehmen“ techconsult GmbH/ Plusnet, 2024

Unternehmen und Organisationen werden so verpflichtet, Sicherheitsvorfälle innerhalb von 24-Stunden-Fristen zu melden. KRITIS-Betreiber setzen schon lange auf Systeme zur Angriffserkennung. Vor allem die schon von NIS1 betroffenen Unternehmen (55 %) setzen auf modernste Formen der Cyberabwehr – gegenüber Firmen, die durch NIS2 neu hinzukommen (44 %). Nachlassen sollten CISOs dennoch nicht, es gibt noch viel zu tun: Die von NIS1 betroffenen Unternehmen rangieren laut Studie, auch um zehn Prozent höher als die erweiterten NIS2-Sektoren, „unter anderem bei der Intrusion Detection & Prevention und automatisierten Schwachstellen-Scans“.

51 Prozent aller befragten Unternehmen und Organisationen verwenden SIEM-Lösungen (Security Information and Event Management), um Bedrohungen, Muster und Anomalien in großen Datenmengen frühzeitig zu identifizieren und Sicherheitsvorfälle zu verhindern.

„Diese Fähigkeit ist in Zeiten, in denen Cyberangriffe immer raffinierter werden, besonders wertvoll“, schreiben die Autoren der Studie. Dazu kommen Systemmonitoring, Logging und Reporting sowie Data Loss Prevention.

Neun von zehn Unternehmen wollen mehr in Sicherheit investieren

84 Prozent der Unternehmen und Organisationen werden ihr Security-Budget erhöhen, im Durchschnitt um zehn Prozent, größere Unternehmen sogar bis zu zwölf Prozent. Erst 29 Prozent haben Sicherheitsmaßnahmen voll umgesetzt, weitere 32 Prozent teilweise. Hauptgründe dafür sind der Fachkräftemangel, mangelndes Bewusstsein (Awareness) bei den eigenen Mitarbeitern, aber auch der Zeitplan, also die gebotene Eile.

Gleichwohl betrachten die Firmen die anstehende Umsetzung der NIS2-Richtlinie nicht nur als Kostenfaktor und Belastung, sondern auch als Chance, „die eigene Cyberresilienz zu stärken, Geschäftsprozesse zu optimieren und das Vertrauen von Kunden und Partnern zu gewinnen“.

Kontrastprogramm: Verzögerungen in der Politik

Wer aber die jüngsten Debatten in der Politik und die Analysen von Institutionen wie dem Bundesrechnungshof und Manuel Atug (Sprecher der AG KRITIS) verfolgt, der bekommt schnell den Eindruck, dass auf staatlicher Seite gerade Vertrauen verspielt wird. Sogar der Bundesrechnungshof kritisiert die geplanten Ausnahmen von der NIS2-Regelung für Behörden. Er fordere daher, so das Nachrichtenmagazin heise, den Gesetzesentwurf im parlamentarischen Verfahren nachzubessern. „Ausnahmen von den zentralen Vorgaben zur Informations- und Cybersicherheit sollten begrenzt werden und die Koordinatorin oder der Koordinator für Informationssicherheit sollte angemessene Aufgaben und Befugnisse erhalten, so zwei Kernforderungen. Auch seien die Bedarfe der Bundesbehörden an zusätzlichen Haushaltsmitteln kritisch zu hinterfragen.“

Trotz aller Streitpunkte winkt der Bundesrat Ende September eine Vorlage einfach durch, in „einer Minute und einer Sekunde“, wie Atug süffisant bemerkt. Wirkungslos ist das jedoch nicht, beispielsweise im Gesundheitswesen. Da könnten „künftig große Praxen, Berufsausübungsgemeinschaften und Medizinische Versorgungszentren Betreiber kritischer Anlagen werden“. Aber auch andere große ambulante Einrichtungen, umsatzstarke Praxen aus der Radiologie und Nuklearmedizin, Nephrologie oder Laboratoriumsmedizin könnten so als wichtige Einrichtungen relevant werden und unter die NIS2-Regeln fallen.

Verbrannte Erde, verlorene Zeit?

Es macht es nicht leichter, dass für Krankenhäuser auch noch besondere Übergangsfristen gelten. § 108 SGB V schreibt hier fünf Jahre vor, nun hat man eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. „Erste Nachweise kommen damit erst frühestens 2030“, zeigt sich Atug enttäuscht. Seine Kritik: „Sowohl die Bundesländer als auch das Gesundheitswesen sollen Cybersicherheit nur nach dem Minimalprinzip angehen, was der aktuellen Bedrohungslage als auch dem Lagebild Gesundheit absolut nicht gerecht wird.“ Die vielen Ausnahmen und das Verschweigen bekannter Defizite drohen hier, einen Flickenteppich von Ausnahmen zu schaffen, der niemandem helfe.

Warum Unternehmen jetzt investieren müssen

Die Studie von Plusnet zeigt klar: Das Bewusstsein in betroffenen Betrieben ist da, die Investitionsbereitschaft ebenso. Der Bundesrechnungshof und die AG KRITIS haben nachhaltig und laut bekundet, wie wichtig aktives Handeln jetzt ist – und ebenso laut ihrer Enttäuschung Ausdruck verliehen, dass gerade die Politik da nicht handelt, zumindest nicht angemessen. Unternehmen und Organisationen hingegen sind keineswegs die Hände gebunden: Was kommt, ist klar, auch hier im Greenbone Blog haben wir immer wieder darauf hingewiesen.

Spätestens nächstes Jahr werden viele Aspekte der IT-Security neu aufgerollt, und Schwachstellenmanagement wie Greenbones Enterprise Produkte spielen dabei eine wichtige Rolle.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

15. Oktober 2024/von Markus Feilner

September 2024 Threat Tracking: Geschwindigkeit vor Sicherheit?

Blog

Ein Bericht des Weltwirtschaftsforums von 2023, in dem 151 Führungskräfte von Unternehmen weltweit befragt wurden, ergab, dass 93 % der Cyber-Führungskräfte und 86 % der Unternehmensleiter glauben, dass in den nächsten zwei Jahren eine Cyber-Katastrophe wahrscheinlich ist. Dennoch stellen viele Softwareanbieter die schnelle Entwicklung und Produktinnovation über die Sicherheit. In diesem Monat erklärte CISA-Direktorin Jen Easterly, dass Softwareanbieter „Probleme schaffen, die Bösewichten Tür und Tor öffnen“ und dass „wir kein Cybersicherheitsproblem haben, sondern ein Softwarequalitätsproblem“. Nachgelagert profitieren die Kunden von innovativen Softwarelösungen, sind aber auch den Risiken von schlecht geschriebenen Softwareanwendungen ausgesetzt: finanziell motivierte Ransomware-Angriffe, Wiper-Malware, Spionage durch Nationalstaaten und Datendiebstahl, kostspielige Ausfallzeiten, Rufschädigung und sogar Insolvenz.

So scharfsinnig die Position der Direktorin auch sein mag, so sehr verdeckt sie doch die wahre Cyber-Risikolandschaft. So hat Bruce Schneier bereits 1999 festgestellt, dass die Komplexität der IT die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Fehlkonfigurationen führen [1][2][3]. Greenbone identifiziert sowohl bekannte Software-Schwachstellen als auch Fehlkonfigurationen mit branchenführenden Schwachstellentests und Konformitätstests, die CIS-Kontrollen und andere Standards wie die BSI-Basiskontrollen für Microsoft Office bestätigen.

Letztendlich tragen Unternehmen eine Verantwortung gegenüber ihren Interessengruppen, den Kunden und der Öffentlichkeit. Auf diese Verantwortung müssen sie sich konzentrieren und sich mit grundlegenden IT-Sicherheitsmaßnahmen wie einem Schwachstellenmanagement schützen. Im „September 2024 Threat Tracking“ geben wir einen Überblick über die schwerwiegendsten neuen Entwicklungen in der Cybersicherheitslandschaft, die sowohl für kleine Unternehmen als auch für große Organisationen eine Bedrohung darstellen.

SonicOS in Akira-Ransomware-Kampagnen

CVE-2024-40766 (CVSS 10 Kritisch), eine Sicherheitslücke, die sich auf SonicWalls Flaggschiff-Betriebssystem SonicOS auswirkt, wurde als ein bekannter Vektor für Kampagnen identifiziert, die Akira-Ransomware verbreiten. Akira, ursprünglich in C++ geschrieben, ist seit Anfang 2023 aktiv. Eine zweite, auf Rust basierende Version wurde in der zweiten Hälfte des Jahres 2023 zur dominierenden Variante. Es wird angenommen, dass die Hauptgruppe hinter Akira aus der aufgelösten Conti-Ransomware-Bande stammt. Akira wird jetzt als Ransomware-as-a-Service (RaaS) betrieben, die eine doppelte Erpressungstaktik gegen Ziele in Deutschland und in der EU, Nordamerika und Australien einsetzt. Bis Januar 2024 hatte Akira über 250 Unternehmen und kritische Infrastrukturen kompromittiert und über 42 Millionen US-Dollar erpresst.

Die Taktik von Akira besteht darin, bekannte Schwachstellen für den Erstzugang auszunutzen, beispielsweise:

CVE-2024-37085 in VMware ESXi-Hypervisoren
CVE-2020-3259 und CVE-2023-20269 in Cisco ASA/FTD
CVE-2021-21972 in VMware vCenter Server und VMware Cloud Foundation
CVE-2019-6693 und CVE-2022-40684 in Fortinet FortiOS

Greenbone führt Tests durch, um SonicWall-Geräte zu identifizieren, die für CVE-2024-40766 [1][2] und alle anderen Schwachstellen anfällig sind, die von der Akira-Ransomware-Bande für den Erstzugang ausgenutzt werden.

Wichtiger Patch für Veeam Backup und Wiederherstellung

Ransomware ist die größte Cyber-Bedrohung, insbesondere im Gesundheitswesen. Das US-Gesundheitsministerium (HHS) berichtet, dass in den letzten fünf Jahren große Sicherheitsverletzungen um 256 % und Ransomware-Vorfälle um 264 % zugenommen haben. Unternehmen haben darauf mit proaktiven Cybersicherheitsmaßnahmen reagiert, um den Erstzugriff zu verhindern, sowie mit wirksameren Reaktionen auf Vorfälle einschließlich robusteren Lösungen für Backup and Recovery. Backup-Systeme sind daher ein Hauptziel für Ransomware-Betreiber.

Veeam ist ein weltweit führender Anbieter von Backup-Lösungen für Unternehmen und bewirbt seine Produkte als wirksamen Schutz gegen Ransomware-Angriffe. CVE-2024-40711 (CVSS 10 Kritisch), eine kürzlich bekannt gewordene Schwachstelle in Veeam Backup and Recovery, ist besonders gefährlich, da sie es Hackern ermöglichen könnte, die letzte Schutzlinie gegen Ransomware anzugreifen: Backups. Die Schwachstelle wurde von Florian Hauser von CODE WHITE GmbH, einem deutschen Forschungsunternehmen für Cybersicherheit, entdeckt und gemeldet. Die unbefugte Remote Code Execution (RCE) über CVE-2024-40711 wurde von Sicherheitsforschern innerhalb von 24 Stunden nach der Veröffentlichung verifiziert, und ein Proof-of-Concept-Code ist nun öffentlich online verfügbar, was das Risiko noch erhöht.

Veeam Backup & Replication Version 12.1.2.172 und alle früheren v12-Builds sind anfällig, und Kunden müssen die betroffenen Instanzen dringend patchen. Greenbone kann CVE-2024-40711 in Veeam Backup and Restoration erkennen, sodass IT-Sicherheitsteams den Ransomware-Banden damit einen Schritt voraus sind.

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

RADIUS ist ein leistungsfähiges und flexibles Authentifizierungs-, Autorisierungs- und Abrechnungsprotokoll (AAA), das in Unternehmensumgebungen verwendet wird, um die vom Benutzer eingegebenen Anmeldeinformationen mit einem zentralen Authentifizierungsdienst wie Active Directory (AD), LDAP oder VPN-Diensten abzugleichen. CVE-2024-3596, genannt Blast-RADIUS, ist ein neu veröffentlichter Angriff auf die UDP-Implementierung von RADIUS, der von einer speziellen Website, einem Forschungspapier und Angriffsdetails begleitet wird. Proof-of-Concept-Code ist auch aus einer zweiten Quelle verfügbar.

Blast-RADIUS ist ein AiTM-Angriff (Adversary in the Middle), der eine Schwachstelle in MD5 ausnutzt, die ursprünglich im Jahr 2004 entdeckt und 2009 verbessert wurde. Forschende haben die Zeit, die zum Vortäuschen von MD5-Kollisionen benötigt wird, exponentiell reduziert und ihre verbesserte Version von Hashclash veröffentlicht. Der Angriff ermöglicht es einem aktiven AiTM, der sich zwischen einem RADIUS-Client und einem RADIUS-Server befindet, den Client dazu zu bringen, eine gefälschte Access-Accept-Antwort zu akzeptieren, obwohl der RADIUS-Server eine Access-Reject-Antwort ausgibt. Dies wird erreicht, indem eine MD5-Kollision zwischen der erwarteten Access-Reject- und einer gefälschten Access-Accept-Antwort berechnet wird, die es einem Angreifer ermöglicht, Login-Anfragen zu genehmigen.

Greenbone kann eine Vielzahl anfälliger RADIUS-Implementierungen in Unternehmensnetzwerken schützen, wie F5 BIG-IP [1], Fortinet FortiAuthenticator [2] und FortiOS [3], Palo Alto PAN-OS [4], Aruba CX Switches [5] und ClearPass Policy Manager [6]. Auf Betriebssystemebene schützt Greenbone dabei unter anderem Oracle Linux [7][8], SUSE [9][10][11], OpenSUSE [12][13], Red Had [14][15], Fedora [16][17], Amazon [18], Alma [19][20] und Rocky Linux [21][22].

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

CVE-2024-27348 (CVSS 9.8 Kritisch) ist eine RCE-Sicherheitslücke im Open-Source Apache HugeGraph-Server, die alle Versionen 1.0 vor 1.3.0 in Java8 und Java11 betrifft. HugeGraph-Server bietet eine API-Schnittstelle zum Speichern, Abfragen und Analysieren komplexer Beziehungen zwischen Datenpunkten und wird häufig zur Analyse von Daten aus sozialen Netzwerken, bei Empfehlungsdiensten und zur Betrugserkennung verwendet.

CVE-2024-27348 ermöglicht es Angreifern, die Sandbox-Beschränkungen innerhalb der Gremlin-Abfragesprache zu umgehen, indem sie eine unzureichende Java-Reflection-Filterung verwendet. Ein Angreifer kann die Schwachstelle ausnutzen, indem er bösartige Gremlin-Skripte erstellt und sie über die API an den HugeGraph/gremlin-Endpunkt sendet, um beliebige Befehle auszuführen. Die Schwachstelle kann über einen entfernten, benachbarten oder lokalen Zugriff auf die API ausgenutzt werden und Privilegien erweitern.

In Hacking-Kampagnen wird sie aktiv ausgenutzt. Proof-of-Concept-Exploit-Code [1][2][3] und eine eingehende technische Analyse sind öffentlich verfügbar, sodass Cyberkriminelle einen Vorsprung bei der Entwicklung von Angriffen haben. Greenbone bietet eine aktive Prüfung und einen Versionserkennungstest, um verwundbare Instanzen von Apache HugeGraph-Server zu identifizieren. Den Benutzern wird empfohlen, auf die neueste Version zu aktualisieren.

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

In unserem Blog haben wir dieses Jahr mehrfach über Sicherheitslücken in Ivanti-Produkten berichtet [1][2][3]. September 2024 war ein weiterer heißer Monat für Schwachstellen in Ivanti-Produkten. Ivanti hat endlich die Sicherheitslücke CVE-2024-29847 (CVSS 9.8 Kritisch) gepatcht, eine RCE-Schwachstelle, die Ivanti Endpoint Manager (EPM) betrifft und erstmals im Mai 2024 gemeldet wurde. Proof-of-Concept-Exploit-Code und eine technische Beschreibung sind nun öffentlich verfügbar, was die Bedrohung erhöht. Obwohl es noch keine Hinweise auf eine aktive Ausnutzung gibt, sollte diese Sicherheitslücke mit hoher Priorität behandelt und dringend gepatcht werden.

Im September 2024 identifizierte die CISA jedoch auch vier neue Schwachstellen in Ivanti-Produkten, die aktiv ausgenutzt werden. Greenbone ist in der Lage, alle diese neuen Ergänzungen zu CISA KEV und frühere Schwachstellen in Ivanti-Produkten zu erkennen. Hier die Details:

CVE-2024-29824 (CVSS 9.6 Kritisch): Eine SQL-Injection-Schwachstelle [CWE-89] in der Core-Server-Komponente von Ivanti Endpoint Manager (EPM) 2022 SU5 und früher. Die Ausnutzung erlaubt einem nicht authentifizierten Angreifer mit Netzwerkzugang die Ausführung von beliebigem Code. Der Exploit-Code ist öffentlich auf GitHub verfügbar. Die Sicherheitslücke wurde erstmals im Mai 2024 bekannt gegeben.
CVE-2024-7593 (CVSS 9.8 Kritisch): Eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus [CWE-303] in Ivanti Virtual Traffic Manager (vTM) Version 22 mit Ausnahme der Versionen 22.2R1 oder 22.7R2 kann es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und auf das Admin-Panel zuzugreifen. CVE-2024-7593 wurde erst im August 2024 bekannt gegeben, dennoch ist bereits Exploit-Code verfügbar.
CVE-2024-8963 (CVSS 9.1 Kritisch): Ein Path Traversal [CWE-22] in Ivanti Cloud Services Appliance (CSA) Version 4.6 und früher ermöglicht einem entfernten, nicht authentifizierten Angreifer den Zugriff auf eingeschränkte Funktionen. Die Schwachstelle wurde am 19. September 2024 bekannt gegeben und in die CISA KEV aufgenommen. Ein Fix wurde von Ivanti bereits am 10. September herausgegeben, sodass Benutzer die Schwachstelle beheben können. Die von Ivanti empfohlene Abhilfemaßnahme ist jedoch ein Upgrade auf CSA 5.0. Die CSA-Version 4.6 hat ihr End-of-Life (EOL) für Sicherheitsupdates erst letzten Monat im August 2024 erreicht, aber gemäß seiner EOL-Richtlinie wird Ivanti noch ein Jahr lang Sicherheits-Patches herausgeben. In Verbindung mit der unten beschriebenen Sicherheitslücke CVE-2024-8190 kann die Administrator-Authentifizierung umgangen werden, sodass eine beliebige RCE auf CSA-Geräten möglich ist.
CVE-2024-8190 (CVSS 7.5 Hoch): Eine Schwachstelle zur OS Command Injection [CWE-78] in Ivanti Cloud Services Appliance (CSA) kann remote einem authentifizierten Angreifer RCE ermöglichen. Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen. Die empfohlene Abhilfemaßnahme ist ein Upgrade auf CSA 5.0, um weiterhin unterstützt zu werden. Proof-of-Concept-Exploit-Code ist für CVE-2024-8190 öffentlich verfügbar.

Zusammenfassung

Im Threat-Tracking-Blog dieses Monats haben wir wichtige Entwicklungen im Bereich der Cybersicherheit hervorgehoben, darunter kritische Schwachstellen wie CVE-2024-40766, die von der Ransomware Akira ausgenutzt werden, CVE-2024-40711, die sich auf Veeam Backup auswirkt, und der kürzlich bekannt gewordene BlastRADIUS-Angriff, der sich auf Enterprise AAA auswirken könnte. Proaktive Cybersecurity-Aktivitäten wie regelmäßiges Vulnerability Management und Compliance-Prüfungen tragen dazu bei, die Risiken von Ransomware, Wiper-Malware und Spionagekampagnen zu mindern, und ermöglichen es den Verteidigern, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

10. Oktober 2024/von Joseph Lee

August 2024 Threat Tracking: Bedrohungen auf dem Vormarsch

Blog

In der ersten Hälfte des Jahres 2024 war die Cybersicherheit für viele Unternehmen sehr prekär. Selbst in sehr wichtigen Bereichen führten kritische Schwachstellen zu einer permanenten Bedrohung durch Cyberangriffe. Die Verteidiger stehen damit im ständigen Kampf, die unaufhaltsam entstehenden Sicherheitslücken zu erkennen und zu beheben. Große Unternehmen sind Ziel ausgeklügelter „Großwild-Jagden“ von Ransomware-Banden, die den Ransomware-Jackpot knacken wollen. Die größte Auszahlung aller Zeiten wurde im August gemeldet – 75 Millionen Dollar an die Dark Angels-Bande. Kleine und mittlere Unternehmen sind ebenfalls täglich Ziel von automatisierten „Mass Exploitation“-Angriffen, die ebenfalls häufig auf die Verbreitung von Ransomware abzielen [1][2][3].

Ein kurzer Blick auf die „Top Routinely Exploited Vulnerabilities“ der CISA zeigt, dass Cyberkriminelle zwar neue Informationen zu CVE (Common Vulnerabilities and Exposures) innerhalb weniger Tage oder sogar Stunden in Exploit-Code umwandeln können, ältere Schwachstellen aus den vergangenen Jahren aber immer noch auf ihrem Radar haben.

Im Threat Tracking dieses Monats beleuchten wir einige der größten Risiken für die Cybersicherheit in Unternehmen. Dabei geht es um Schwachstellen, die kürzlich als aktiv ausgenutzt gemeldet wurden, und andere kritische Schwachstellen in IT-Produkten von Unternehmen.

BSI findet Fehler in LibreOffice

OpenSource Security hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Sicherheitslücke in LibreOffice entdeckt. Unter der Bezeichnung CVE-2024-6472 (CVSS 7.8 Hoch) wurde festgestellt, dass Benutzer in LibreOffice-Dokumenten eingebettete unsignierte Makros aktivieren und damit die Einstellung „Hochsicherheitsmodus“ außer Kraft setzen können. Während die Ausnutzung der Schwachstelle menschliche Interaktion erfordert, vermittelt sie ein falsches Gefühl von Sicherheit, da nicht signierte Makros nicht ausgeführt werden können, wenn der Hochsicherheitsmodus aktiviert ist.

KeyTrap: DoS-Angriff gegen DNSSEC

Im Februar 2024 enthüllten Wissenschaftler des deutschen Nationalen Forschungszentrums für Angewandte Cybersicherheit (ATHENE) in Darmstadt den „schlimmsten Angriff auf DNS, der jemals entdeckt wurde“. Den deutschen Forschern zufolge kann ein einziges Paket einen „Denial of Service“ (DoS) verursachen, indem es einen DNS-Resolver während der DNSSEC-Validierung überflutet. Unter dem Namen „KeyTrap“ können Angreifer die Schwachstelle ausnutzen, um Clients, die einen kompromittierten DNS-Server verwenden, am Zugriff auf das Internet oder lokale Netzwerkressourcen zu hindern. Schuld daran ist ein Designfehler in der aktuellen DNSSEC-Spezifikation [RFC-9364], der mehr als 20 Jahre zurückliegt [RFC-3833].

Die im Februar 2024 veröffentlichte und als CVE-2023-50387 (CVSS 7.5 Hoch) verfolgte Sicherheitslücke gilt als trivial und der Proof-of-Concept-Code ist auf GitHub verfügbar. Die Verfügbarkeit von Exploit-Code bedeutet, dass Kriminelle mit geringen Kenntnissen leicht Angriffe starten können. Greenbone kann Systeme mit anfälligen DNS-Anwendungen, die von CVE-2023-50387 betroffen sind, mit lokalen Sicherheitsüberprüfungen (LSC) für alle Betriebssysteme identifizieren.

CVE-2024-23897 in Jenkins hilft, um in indische Bank einzubrechen

CVE-2024-23897 (CVSS 9.8 Kritisch) in Jenkins (Versionen 2.441 und LTS 2.426.2 und früher) wird aktiv ausgenutzt und in Ransomware-Kampagnen verwendet, sogar gegen die National Payments Corporation of India (NPCI). Jenkins ist ein Open-Source Automation Server, der in erster Linie für die kontinuierliche Integration (CI) und die kontinuierliche Bereitstellung (CD) bei Software Development Operations (DevOps) verwendet wird.

Das Command Line Interface (CLI) in den betroffenen Versionen von Jenkins enthält eine Path Traversal-Schwachstelle [CWE-35], die durch eine Funktion verursacht wird, die das @-Zeichen gefolgt von einem Dateipfad durch den tatsächlichen Inhalt der Datei ersetzt. Dies ermöglicht es Angreifern, den Inhalt sensibler Dateien zu lesen, einschließlich solcher, die unbefugten Zugriff und anschließende Codeausführung ermöglichen. CVE-2024-23897 und ihre Verwendung in Ransomware-Angriffen folgen einer gemeinsamen Warnung der CISA und des FBI an Softwarehersteller, in ihren Produkten Schwachstellen in Bezug auf Pfad-Querungen zu beheben [CWE-35]. Greenbone enthält eine aktive Prüfung [1] und zwei Tests zur Versionserkennung [2][3], um verwundbare Versionen von Jenkins unter Windows und Linux zu identifizieren.

2 neue aktiv genutzte CVEs in Apache OFBiz

Apache OFBiz (Open For Business) ist eine beliebte Open-Source Software für ERP (Enterprise Resource Planning) und E-Commece, die von der Apache Software Foundation entwickelt wurde. Im August 2024 warnte die CISA die Cybersecurity Community vor einer aktiven Ausnutzung von Apache OFBiz über CVE-2024-38856 (CVSS 9.8 Kritisch), die Versionen vor 18.12.13 betrifft. CVE-2024-38856 ist eine Path-Traversal-Schwachstelle [CWE-35], die die „Override View“-Funktion von OFBiz betrifft und nicht authentifizierten Angreifern eine Remote Code Execution (RCE) auf dem betroffenen System ermöglicht.

CVE-2024-38856 umgeht eine zuvor gepatchte Schwachstelle, CVE-2024-36104, die erst im Juni 2024 veröffentlicht wurde, was darauf hindeutet, dass die erste Korrektur das Problem nicht vollständig behoben hat. Dies baut auch auf einer anderen Sicherheitslücke in OFBiz aus dem Jahr 2024 auf, CVE-2024-32113 (CVSS 9.8 Kritisch), die ebenfalls aktiv zur Verbreitung des Mirai-Botnetzes ausgenutzt wurde. Schließlich wurden Anfang September 2024 zwei neue CVEs mit kritischem Schweregrad, CVE-2024-45507 und CVE-2024-45195 (CVSS 9.8 Kritisch), zur Liste der Bedrohungen hinzugefügt, die aktuelle Versionen von OFBiz betreffen.

Da aktive Exploits und PoC-Exploits (Proof of Concept) für CVE-2024-38856 [1][2] und CVE-2024-32113 [1][2] zur Verfügung stehen, müssen die Betroffenen dringend einen Patch installieren. Greenbone ist in der Lage, alle vorgenannten CVEs in Apache OFBiz sowohl mit aktiven als auch mit Versionsprüfungen zu erkennen.

CVE-2022-0185 im Linux-Kernel wird aktiv ausgenutzt

CVE-2022-0185 (CVSS 8.4 Hoch), eine Heap-Overflow-Schwachstelle im Linux-Kernel, wurde im August 2024 in die CISA KEV aufgenommen. Öffentlich verfügbarer PoC-Exploit-Code und detaillierte technische Beschreibungen der Schwachstelle haben zur Zunahme von Cyberangriffen unter Ausnutzung von CVE-2022-0185 beigetragen.

Bei CVE-2022-0185 wird in der Linux-Funktion „legacy_parse_param()“ innerhalb der Filesystem-Kontext-Funktionalität die Länge der übergebenen Parameter nicht ordnungsgemäß überprüft. Durch diesen Fehler kann ein nicht privilegierter lokaler User seine Privilegien auf den Root-User ausdehnen.

Greenbone konnte CVE-2022-0185 seit Offenlegung Anfang 2022 über Schwachstellen-Testmodule erkennen, die eine Vielzahl von Linux-Distributionen abdecken, darunter Red Hat, Ubuntu, SuSE, Amazon Linux, Rocky Linux, Fedora, Oracle Linux und Enterprise-Produkte wie IBM Spectrum Protect Plus.

Neue VoIP- und PBX-Schwachstellen

Im August 2024 wurden eine Handvoll CVEs veröffentlicht, die sich auf Sprachkommunikationssysteme in Unternehmen auswirken. Die Schwachstellen wurden in den VoIP-Systemen von Cisco für kleine Unternehmen und in Asterisk, einem beliebten Open-Source-PBX-Zweigstellensystem, aufgedeckt. Schauen wir uns die Einzelheiten an:

Cisco Small Business IP-Telefone mit RCE und DoS

Es wurden drei schwerwiegende Schwachstellen bekannt, die die Web-Management-Konsole der IP-Telefone der Cisco Small Business SPA300 Series und SPA500 Series betreffen. Diese Schwachstellen unterstreichen nicht nur, wie wichtig es ist, Management-Konsolen nicht dem Internet auszusetzen, sondern stellen auch einen Angriffsvektor für Insider oder ruhende Angreifer dar, die sich bereits Zugang zum Netzwerk eines Unternehmens verschafft haben, um ihre Angriffe auf höherwertige Vermögenswerte zu richten und den Geschäftsbetrieb zu stören.

Greenbone erkennt alle neu bekannt gewordenen CVEs in Cisco Small Business IP Phone. Hier eine kurze technische Beschreibung der einzelnen CVEs:

CVE-2024-20454 und CVE-2024-20450 (CVSS 9.8 Kritisch): Ein nicht authentifizierter Angreifer könnte remote beliebige Befehle auf dem zugrundeliegenden Betriebssystem mit Root-Rechten ausführen, da eingehende HTTP-Pakete nicht richtig auf ihre Größe geprüft werden, was zu einem Buffer Overflow führen kann.
CVE-2024-20451 (CVSS 7.5 Hoch): Ein nicht authentifizierter Angreifer kann remote ein betroffenes Gerät dazu bringen, unerwartet neu zu laden, was zu einem Denial of Service führt, da HTTP-Pakete nicht ordnungsgemäß auf ihre Größe überprüft werden.

CVE-2024-42365 in Asterisk PBX Telephonie-Toolkit

Asterisk ist eine Open-Source-Nebenstellenanlage (Private Branch Exchange; PBX) und ein Telefonie-Toolkit. PBX ist ein System zur Verwaltung der in- und externen Anrufweiterleitung und kann traditionelle Telefonleitungen (analog oder digital) oder VoIP (IP PBX) verwenden. CVE-2024-42365, veröffentlicht im August 2024, betrifft die Versionen von Asterisk vor 18.24.2, 20.9.2 und 21.4.2 sowie die zertifizierten Asterisk-Versionen 18.9-cert11 und 20.7-cert2. Auch wurde ein Exploit-Modul für das Metasploit-Framework veröffentlicht, das das Risiko noch erhöht. Eine aktive Ausnutzung in freier Wildbahn wurde jedoch noch nicht beobachtet.

Greenbone kann CVE-2024-42365 über Netzwerk-Scans erkennen. Hier eine kurze technische Beschreibung der Sicherheitslücke:

CVE-2024-42365 (CVSS 8.8 Hoch): Ein AMI-Benutzer mit „write=originate“ kann alle Konfigurationsdateien im Verzeichnis „/etc/asterisk/“ ändern. Er kann entfernte Dateien verkleinern und auf Festplatte schreiben, aber auch an bestehende Dateien anhängen, indem er die FILE-Funktion innerhalb der SET-Anwendung verwendet. Dieses Problem kann zu einer Privilegien-Erweiterung, Remote Code Execution oder zur Fälschung serverseitiger Requests mit beliebigen Protokollen führen.

Browser: eine ständige Bedrohung

CVE-2024-7971 und CVE-2024-7965, zwei neue Schwachstellen im Chrome-Browser mit hohem Schweregrad (CVSS 8.8), werden aktiv durch RCE ausgenutzt. Beide CVE können ausgelöst werden, wenn die Opfer dazu verleitet werden, einfach eine bösartige Webseite zu besuchen. Google räumt ein, dass der Exploit-Code öffentlich zugänglich ist, sodass auch wenig erfahrene Cyberkriminelle in der Lage sind, Angriffe zu starten. Für Google Chrome wurden in den letzten Jahren immer wieder neue Schwachstellen entdeckt und aktiv ausgenutzt. Ein kurzer Blick auf Mozilla Firefox zeigt einen ähnlichen kontinuierlichen Strom kritischer und schwerwiegender Sicherheitslücken; sieben kritische und sechs schwerwiegende Sicherheitslücken wurden im August 2024 in Firefox bekanntgegeben, obwohl keine aktive Ausnutzung dieser Schwachstellen gemeldet wurde.

Der ständige Ansturm auf Sicherheitslücken in den wichtigsten Browsern unterstreicht die Notwendigkeit, dafür zu sorgen, dass Updates installiert werden, sobald sie verfügbar sind. Aufgrund des hohen Marktanteils von Chrome von über 65 % (über 70 %, wenn man den auf Chromium basierenden Microsoft Edge berücksichtigt) erhalten die Schwachstellen dieses Browsers erhöhte Aufmerksamkeit von Cyberkriminellen. In Anbetracht der hohen Anzahl schwerwiegender Schwachstellen, die sich auf die V8-Engine von Chromium auswirken (bisher mehr als 40 im Jahr 2024), könnten Google Workspace-Administratoren in Erwägung ziehen, V8 für alle Nutzer in ihrer Organisation zu deaktivieren, um die Sicherheit zu erhöhen. Weitere Optionen zur Erhöhung der Browsersicherheit in Szenarien mit hohem Risiko sind die Verwendung von Remote-Browser-Isolierung, Netzwerksegmentierung und das Booten von sicheren Baseline-Images, um sicherzustellen, dass Endpunkte nicht gefährdet sind.

Greenbone umfasst aktive authentifizierte Schwachstellentests, um anfällige Versionen von Browsern für Linux, Windows und macOS zu identifizieren.

Zusammenfassung

Neue kritische und remote ausnutzbare Schwachstellen wurden in einem rekordverdächtigen Tempo inmitten eines brandgefährlichen Cyberrisiko-Umfelds aufgedeckt. Von IT-Sicherheitsteams zu verlangen, dass sie zusätzlich zur Anwendung von Patches neu entdeckte Schwachstellen manuell nachverfolgen, stellt eine unmögliche Belastung dar und birgt das Risiko, dass kritische Schwachstellen unentdeckt und somit ungeschützt bleiben. Schwachstellenmanagement gilt als grundlegende Cybersecurity-Aktivität; Verteidiger großer, mittlerer und kleiner Unternehmen müssen Tools wie Greenbone einsetzen, um Schwachstellen in der gesamten IT-Infrastruktur eines Unternehmens automatisch zu suchen und zu melden.

Die Durchführung automatischer Netzwerkschwachstellen-Scans und authentifizierter Scans der Host-Angriffsfläche jedes Systems kann die Arbeitsbelastung der Verteidiger drastisch reduzieren, indem sie ihnen automatisch eine Liste von Abhilfemaßnahmen zur Verfügung stellt, die nach dem Schweregrad der Bedrohung sortiert werden kann.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

26. September 2024/von Joseph Lee

Greenbone Enterprise-Produkte übertreffen alle Netzwerk-Schwachstellen-Scanner

Blog

OpenVAS wurde 2005 ins Leben gerufen, als Nessus von Open Source auf eine proprietäre Lizenz umgestellt wurde. Zwei Unternehmen, Intevation und DN Systems, übernahmen das bestehende Projekt und begannen, es unter einer GPL v2.0-Lizenz weiterzuentwickeln und zu pflegen. Seitdem hat sich OpenVAS zu Greenbone entwickelt, der weltweit meist genutzten und gelobten Open-Source-Lösung für Schwachstellenscanner und Schwachstellenmanagement. Wir sind stolz darauf, Greenbone sowohl als kostenlose Community Edition für Entwickler als auch als eine Reihe von Unternehmensprodukten mit unserem Greenbone Enterprise Feed für den öffentlichen Sektor und private Unternehmen anzubieten.

Als „alter Hase“ kennt Greenbone die Spiele, die Anbieter von Cybersicherheitsprodukten gerne in der Öffentlichkeit spielen. Unsere eigenen Ziele bleiben jedoch davon unberührt, denn wir halten uns an die Wahrheit über unser Produkt und die branchenführende Abdeckung von Schwachstellentests. Als wir den kürzlich von einem Mitbewerber veröffentlichten Benchmark-Bericht zu Netzwerk-Schwachstellen-Scannern 2024 gelesen haben, waren wir gelinde gesagt etwas schockiert.

Als Open-Source-Schwachstellen-Scanner mit der höchsten Anerkennung ist es nur logisch, dass Greenbone in den Wettbewerb um den Spitzenplatz aufgenommen wurde. Wir fühlen uns zwar geehrt, Teil des Tests zu sein, aber einige Fakten haben uns sehr zu denken gegeben. Denn in den Details sehen wir uns gezwungen, einiges klarzustellen…

Was der Benchmark-Test ergibt

Der von Pentest-Tools durchgeführte Benchmark-Test bewertet die führenden Schwachstellen-Scanner anhand zweier Faktoren: der Erkennungsverfügbarkeit (die CVEs, für die jeder Scanner Erkennungstests anbietet) und der Erkennungsgenauigkeit (wie effektiv diese Erkennungstests sind).

Bei dem Benchmark wurden die kostenlose Community Edition von Greenbone und der Greenbone Community Feed mit den Unternehmensprodukten anderer Anbieter verglichen: Qualys, Rapid7, Tenable, Nuclei, Nmap und das eigene Produkt von Pentest-Tools. In dem Bericht belegte Greenbone Platz 5 bei der Erkennungsverfügbarkeit und Platz 4 bei der Erkennungsgenauigkeit. Nicht schlecht, wenn man es mit den Titanen der Cybersicherheitsbranche aufnimmt.

Das einzige Problem ist, dass Greenbone, wie oben erwähnt, auch ein Unternehmensprodukt hat. Wenn die Ergebnisse unter Verwendung unseres Greenbone Enterprise Feeds neu berechnet werden, sind die Ergebnisse nämlich deutlich anders – Greenbone gewinnt haushoch.

Was unsere Recherche ergibt

Balkendiagramm aus dem Benchmark 2024 für Netzwerkschwachstellenscanner: Greenbone Enterprise erreicht mit 78 % Verfügbarkeit und 61 % Genauigkeit die höchsten Werte

Greenbone Enterprise führt das Feld der Schwachstellen-Scanner an.

Die Erkennungsverfügbarkeit unseres Enterprise Feed führt in der gesamten Gruppe

Nach unseren internen Ergebnissen, die im SecInfo-Portal eingesehen werden können, verfügt der Greenbone Enterprise Feed über Erkennungstests für 129 der 164 im Test enthaltenen CVEs. Das bedeutet, dass die Erkennungsverfügbarkeit unseres Enterprise-Produkts um erstaunliche 70,5% höher ist als angegeben, womit wir uns von allen anderen abheben.

Wichtig: Die Greenbone Enterprise Feed Tests sind nicht etwas, das wir nachträglich hinzugefügt haben. Greenbone aktualisiert sowohl die Community- als auch Enterprise-Feeds täglich, und wir sind oft die ersten, die Schwachstellentests veröffentlichen, wenn ein CVE veröffentlicht wird. Ein Blick auf unsere Schwachstellentests zeigt, dass diese vom ersten Tag an verfügbar waren.

Erkennungsgenauigkeit: stark unterschätzt

Zusätzlich kommt hinzu, dass Greenbone nicht wie die anderen Scanner arbeitet. Die Art und Weise, wie Greenbone entwickelt wurde, verleiht ihm starke, branchenführende Vorteile. Zum Beispiel kann unser Scanner über eine API gesteuert werden, die es Benutzer:innen ermöglicht, ihre eigenen Tools zu entwickeln und alle Funktionen von Greenbone auf jede beliebige Weise zu steuern. Zweitens gibt es bei den meisten anderen Schwachstellen-Scannern nicht einmal eine Bewertung der Erkennungsqualität (Quality of Detection, QoD).

Der Autor des Berichts stellte klar, dass er einfach die Standardkonfiguration für jeden Scanner verwendete. Ohne die korrekte Anwendung des QoD-Filters von Greenbone konnte der Benchmark-Test jedoch die tatsächliche CVE-Erkennungsrate von Greenbone nicht angemessen bewerten. Bei Anwendung dieser Ergebnisse liegt Greenbone erneut vorn und erkennt schätzungsweise 112 der 164 CVEs.

Zusammenfassung

Wir fühlen uns zwar geehrt, dass unsere Greenbone Community Edition in einem kürzlich veröffentlichten Benchmark für Netzwerk-Schwachstellen-Scanner den 5. Platz bei der Erkennungsverfügbarkeit und den 4. Platz bei der Erkennungsgenauigkeit belegt, es liegt aber auf der Hand, dass dabei unser Enterprise-Produkt im Rennen sein sollte. Schließlich umfasst der Benchmark auch die Unternehmenslösungen anderer Anbieter.

Bei einer Neuberechnung unter Verwendung des Enterprise Feeds steigt die Erkennungsverfügbarkeit von Greenbone auf 129 der 164 getesteten CVEs, was 70,5% über dem gemeldeten Wert liegt. Außerdem wird bei Verwendung der Standardeinstellungen Greenbones Quality of Detection (QoD) nicht berücksichtigt. Bereinigt um diese Versäumnisse liegt Greenbone an der Spitze der Konkurrenz. Als weltweit meistgenutzter Open-Source-Schwachstellen-Scanner ist Greenbone weiterhin führend bei der Abdeckung von Schwachstellen, der rechtzeitigen Veröffentlichung von Schwachstellentests und wirklich unternehmenstauglichen Funktionen wie einer flexiblen API-Architektur, fortschrittlicher Filterung und Quality-of-Detection-Bewertungen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

23. September 2024/von Greenbone AG

Wie lässt sich die Leistung von Schwachstellenmanagement messen?

Blog

In jedem Unternehmen gibt es geschäftskritische Aktivitäten. Sicherheitskontrollen sollen sie schützen und sicherstellen, dass der Geschäftsbetrieb und die strategischen Ziele auf Dauer aufrechterhalten werden. Ein Sicherheitskonzept nach dem Motto „Install and forget“ bietet wenig Gewähr für das Erreichen dieser Ziele. In einer sich ständig verändernden digitalen Landschaft kann eine Sicherheitslücke zu einem schwerwiegenden Datenverstoß führen. Ereignisse und Entwicklungen wie die Ausweitung von Privilegien, Server-Wildwuchs und Konfigurationsfehler häufen sich. Sicherheitsteams, die diese Ereignisse nicht ständig überwachen, entdecken sie nicht – Angreifer schon. Daher handelt es sich bei Cybersicherheits-Frameworks in der Regel um iterative Prozesse, die Überwachung, Audits und kontinuierliche Verbesserungen umfassen.

Sicherheitsverantwortliche sollten sich fragen: Was muss unser Unternehmen messen, um eine hohe Sicherheit zu erlangen und sie kontinuierlich zu verbessern? In diesem Artikel werden wir Ihnen eine Begründung für Key Performance Indicators (KPI) in der Cybersicherheit geben, die von Branchenführern wie dem NIST und dem SANS Institute dargelegt werden, und einen Kernsatz von KPIs für das Schwachstellenmanagement definieren. Die grundlegenden KPIs, die hier behandelt werden, können als Ausgangspunkt für Unternehmen dienen, die ein einfaches Schwachstellenmanagement-Programm einführen, während die fortschrittlicheren Maßnahmen Unternehmen, die bereits über ein ausgereiftes Schwachstellenmanagement verfügen, mehr Transparenz bieten.

Wie KPIs die Cybersicherheit unterstützen

Leistungskennzahlen (KPIs) werden durch das Sammeln und Analysieren relevanter Leistungsdaten generiert und werden hauptsächlich für zwei strategische Ziele verwendet. Das erste ist die Erleichterung evidenzbasierter Entscheidungsfindung. Beispielsweise können KPIs helfen, die Leistung von Programmen zum Schwachstellenmanagement zu bewerten, um das Gesamtniveau der Risikominderung zu beurteilen und zu entscheiden, ob mehr Ressourcen zugewiesen oder der Status quo akzeptiert werden soll. Das zweite strategische Kernziel, das KPIs unterstützen, ist die Rechenschaftspflicht für Sicherheitsaktivitäten. KPIs können helfen, die Ursachen für eine schlechte Leistung zu ermitteln und eine Frühwarnung über unzureichende oder schlecht implementierte Sicherheitskontrollen auszusenden. Mit einer angemessenen Überwachung der Leistung des Schwachstellenmanagements kann die Wirksamkeit bestehender Verfahren bewertet werden, sodass diese angepasst oder durch zusätzliche Kontrollen ergänzt werden können. Die bei der Erstellung von KPIs gesammelten Nachweise können auch dazu verwendet werden, die Einhaltung interner Richtlinien, verbindlicher oder freiwilliger Cybersicherheitsstandards oder geltender Gesetze und Vorschriften nachzuweisen, indem die Aktivitäten des Cybersicherheitsprogramms belegt werden.

Der Umfang der Messung von KPIs kann unternehmensweit sein oder sich auf Abteilungen oder Infrastrukturen konzentrieren, die für den Geschäftsbetrieb entscheidend sind. Dieser Umfang kann auch angepasst werden, wenn ein Cybersicherheitsprogramm ausgereift ist. In der Anfangsphase eines Schwachstellenmanagements stehen möglicherweise nur grundlegende Informationen zur Verfügung, aus denen KPI-Metriken erstellt werden können. Mit zunehmender Reife eines Programms wird die Datenerfassung jedoch robuster und ermöglicht komplexere KPI-Metriken. Fortgeschrittenere Maßnahmen können auch gerechtfertigt sein, um für Organisationen mit erhöhtem Risiko eine hohe Sichtbarkeit zu erreichen.

Arten von Cybersicherheitsmaßnahmen

NIST SP 800-55 V1 (und sein Vorgänger NIST SP 800-55 r2) konzentriert sich auf die Entwicklung und Erfassung von drei Arten von Maßnahmen:

Implementierungsmaßnahmen: Diese messen die Umsetzung der Sicherheitsrichtlinien und den Fortschritt der Implementierung. Beispiele hierfür sind: die Gesamtzahl der gescannten Informationssysteme und der Prozentsatz der kritischen Systeme, die auf Schwachstellen gescannt wurden.
Maßnahmen zur Effektivität/Effizienz: Diese messen die Ergebnisse von Sicherheitsaktivitäten und überwachen Prozesse auf Programm- und Systemebene. So lässt sich feststellen, ob die Sicherheitskontrollen korrekt implementiert sind, wie beabsichtigt funktionieren und zu den gewünschten Ergebnissen führen. Zum Beispiel der prozentuale Anteil aller identifizierten kritischen Schwachstellen, die in der gesamten betrieblich kritischen Infrastruktur entschärft wurden.
Auswirkungsmessungen: Diese messen die geschäftlichen Auswirkungen von Sicherheitsaktivitäten wie Kosteneinsparungen, Kosten, die durch die Behebung von Sicherheitsschwachstellen entstehen, oder andere geschäftsbezogene Auswirkungen der Informationssicherheit.

Wichtige Leistungsindikatoren für das Schwachstellenmanagement

Da es beim Schwachstellenmanagement im Wesentlichen darum geht, bekannte Schwachstellen zu erkennen und zu beheben, sind KPIs, die Aufschluss über die Erkennung und Behebung bekannter Bedrohungen geben, am besten geeignet. Zusätzlich zu diesen beiden Schlüsselbereichen kann die Bewertung der Effektivität eines bestimmten Schwachstellenmanagement-Tools helfen, verschiedene Produkte zu vergleichen. Da dies die logischsten Möglichkeiten zur Bewertung von Schwachstellenmanagement-Aktivitäten sind, gruppiert unsere Liste die KPIs in diese drei Kategorien. Zu jedem Element wurden außerdem Tags hinzugefügt, die angeben, welchen in NIST SP 800-55 spezifizierten Zweck die Metrik erfüllt.

Die Liste ist zwar nicht vollständig, enthält jedoch einige wichtige KPIs für das Schwachstellenmanagement:

Leistungsmetriken für die Erkennung

Scan-Abdeckung (Implementierung): Hier wird der prozentuale Anteil der gesamten Anlagen einer Organisation gemessen, die auf Schwachstellen gescannt werden. Die Scan-Abdeckung ist besonders in den frühen Phasen der Programmimplementierung wichtig, um Ziele festzulegen und die sich entwickelnde Reife des Programms zu messen. Der Scan-Abdeckungsgrad kann auch verwendet werden, um Lücken in der IT-Infrastruktur eines Unternehmens zu identifizieren, die nicht gescannt werden und somit ein erhöhtes Risiko darstellen.
Mean Time to Detect (MTTD) (Effizienz): Damit wird die durchschnittliche Zeitspanne zwischen der ersten Veröffentlichung von Informationen und der Erkennung von Schwachstellen durch eine Sicherheitskontrolle gemessen. Die MTTD kann verbessert werden, indem die Häufigkeit der Aktualisierung der Module eines Schwachstellen-Scanners oder die Häufigkeit der Durchführung von Scans angepasst wird.
Verhältnis der nicht identifizierten Schwachstellen (Wirksamkeit): Das Verhältnis zwischen den proaktiv durch Scans identifizierten Schwachstellen und den Schwachstellen, die durch Post-Mortem-Analysen von Sicherheitsverletzungen oder Vorfällen entdeckt wurden. Ein höheres Verhältnis deutet auf bessere proaktive Erkennungsfähigkeiten hin.
Automatisierte Entdeckungsrate (Effizienz): Diese Kennzahl misst den Prozentsatz der Schwachstellen, die durch automatisierte Tools im Vergleich zu manuellen Erkennungsmethoden identifiziert werden. Eine höhere Automatisierung kann zu einer konsistenteren und schnelleren Erkennung führen.

Metriken zur Behebungsleistung

Mean Time to Remediate (MTTR; Effizienz): Damit wird die durchschnittliche Zeit gemessen, die für die Behebung von Schwachstellen nach deren Entdeckung benötigt wird. Durch die Verfolgung der Behebungszeiten können Unternehmen ihre Reaktionsfähigkeit auf Sicherheitsbedrohungen messen und das Risiko, das durch die Expositionszeit entsteht, bewerten. Eine kürzere MTTR deutet in der Regel auf einen agileren Sicherheitsbetrieb hin.
Remediation Coverage (Wirksamkeit): Diese Kennzahl gibt den Anteil der entdeckten Schwachstellen an, die erfolgreich behoben wurden, und dient als wichtiger Indikator für die Wirksamkeit bei der Behebung erkannter Sicherheitsrisiken. Der Abdeckungsgrad bei der Behebung kann so angepasst werden, dass er speziell die Rate der Schließung kritischer oder schwerwiegender Sicherheitslücken widerspiegelt. Indem sich die Sicherheitsteams zuerst auf die gefährlichsten Schwachstellen konzentrieren, können sie das Risiko effektiver minimieren.
Risikoscore-Reduktion (Auswirkung): Diese Kennzahl spiegelt die Gesamtauswirkungen der Schwachstellenmanagement-Aktivitäten auf das Risiko wider. Durch die Überwachung von Änderungen des Risikowertes lässt sich beurteilen, wie gut die Bedrohung durch exponierte Schwachstellen gehandhabt wird. Die Verringerung des Risiko-Scores wird in der Regel mit Hilfe von Risikobewertungs-Tools berechnet, die eine kontextbezogene Ansicht der einzigartigen IT-Infrastruktur und des Risikoprofils eines jeden Unternehmens bieten.
Konformitätsrate (Auswirkung): Diese Kennzahl gibt den Prozentsatz der Systeme an, die bestimmte Cybersicherheitsvorschriften, Standards oder interne Richtlinien einhalten. Sie ist ein wichtiges Maß für die Beurteilung des Konformitätsstatus und liefert verschiedenen Interessengruppen einen Nachweis über diesen Status. Sie dient auch als Warnung, wenn die Compliance-Anforderungen nicht erfüllt werden, wodurch das Risiko von Strafen verringert und die in den Compliance-Vorgaben vorgesehene Sicherheitslage gewährleistet wird.
Wiederöffnungsrate von Schwachstellen (Effizienz): Diese Kennzahl misst den Prozentsatz der Schwachstellen, die wieder geöffnet werden, nachdem sie als behoben markiert wurden. Die Wiederöffnungsrate gibt Aufschluss über die Effizienz der Abhilfemaßnahmen. Im Idealfall wird für die Schwachstelle kein weiteres Ticket ausgestellt, sobald ein Problembehebungs-Ticket geschlossen wurde.
Kosten der Behebung (Auswirkung): Diese Kennzahl misst die Gesamtkosten, die mit der Behebung erkannter Schwachstellen verbunden sind, und umfasst sowohl direkte als auch indirekte Ausgaben. Die Kostenanalyse kann Entscheidungen zur Budgetierung und Ressourcenzuweisung unterstützen, indem sie den Zeit- und Ressourcenaufwand für die Erkennung und Behebung von Schwachstellen erfasst.

Metriken zur Effektivität von Schwachstellenscannern

True-Positive-Erkennungsrate (Wirksamkeit): Sie misst den Prozentsatz der Schwachstellen, die von einem bestimmten Tool genau erkannt werden können. Diese Rate zielt auf die effektive Abdeckung eines Schwachstellen-Scanning-Tools und ermöglicht den Vergleich zweier Schwachstellen-Scanning-Produkte anhand ihres relativen Werts.
False-Positive-Erkennungsrate (Effektivität): Diese Metrik misst die Häufigkeit, mit der ein Tool fälschlicherweise nicht vorhandene Schwachstellen als vorhanden identifiziert. Dies kann zu einer Verschwendung von Ressourcen führen. Anhand dieser Rate kann die Zuverlässigkeit eines Schwachstellen-Scanning-Tools gemessen werden, um sicherzustellen, dass es mit den betrieblichen Anforderungen übereinstimmt.

Erkenntnisse

Durch die Erstellung und Analyse von Leistungsindikatoren (KPIs) können Unternehmen die grundlegenden Anforderungen an die Cybersicherheit für eine kontinuierliche Überwachung und Verbesserung erfüllen. KPIs unterstützen außerdem zentrale Geschäftsstrategien wie evidenzbasierte Entscheidungsfindung und Rechenschaftspflicht.

Mit quantitativen Einblicken in Schwachstellenmanagement-Prozesse können Unternehmen ihre Fortschritte besser einschätzen und ihre Cybersicherheitsrisiken genauer bewerten. Durch die Zusammenstellung geeigneter KPIs können Unternehmen den Reifegrad ihrer Schwachstellenmanagement-Aktivitäten nachverfolgen, Lücken in den Kontrollen, Richtlinien und Verfahren erkennen, die die Effektivität und Effizienz ihrer Schwachstellenbeseitigung einschränken, und die Übereinstimmung mit den internen Risikoanforderungen und den relevanten Sicherheitsstandards, Gesetzen und Vorschriften sicherstellen.

Referenzen

National Institute of Standards and Technology. Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures. NIST, January 2024, https://csrc.nist.gov/pubs/sp/800/55/v1/ipd

National Institute of Standards and Technology. Performance Measurement Guide for Information Security, Revision 2. NIST, November 2022, https://csrc.nist.gov/pubs/sp/800/55/r2/iwd

National Institute of Standards and Technology. Assessing Security and Privacy Controls in Information Systems and Organizations Revision 5. NIST, January 2022, https://csrc.nist.gov/pubs/sp/800/53/a/r5/final

National Institute of Standards and Technology. Guide for Conducting Risk Assessments Revision 1. NIST, September 2012, https://csrc.nist.gov/pubs/sp/800/30/r1/final

National Institute of Standards and Technology. Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology Revision 4. NIST, April 2022, https://csrc.nist.gov/pubs/sp/800/40/r4/final

SANS Institute. A SANS 2021 Report: Making Visibility Definable and Measurable. SANS Institute, June 2021, https://www.sans.org/webcasts/2021-report-making-visibility-definable-measurable-119120/

SANS Institute. A Guide to Security Metrics. SANS Institute, June 2006, https://www.sans.org/white-papers/55/

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

12. September 2024/von Joseph Lee

Schlagwortarchiv für: IT-Sicherheit

Inhaltsverzeichnis

1. Zusammenfassung

2. Wer sind die CSAF-Stakeholder?

2.1. Rollen im CSAF 2.0-Prozess

2.1.1. CSAF 2.0 Ausstellende Parteien

2.1.1.1. Die Rolle des CSAF-Publishers

2.1.1.2. Die Rolle des CSAF-Providers

2.1.1.3. Die Rolle des Trusted Providers in CSAF

2.1.2. CSAF 2.0 Datenaggregatoren

2.1.2.1. Die Rolle des CSAF-Listers

2.1.2.2. Die Rolle des CSAF-Aggregators

3. Fazit

Internationale Bemühungen zur Bekämpfung von Ransomware

Hauptursache für Ransomware

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Unverschlüsselte Cookies in F5 BIG-IP LTM

Hochgefährliche Schwachstellen in Palo Alto Expedition

Vier kritische CVEs in Mozilla Firefox

Zusammenfassung

Die Bedrohung wächst

DoS-Angriffe lieben bekannte Schwachstellen

Arten von DoS-Angriffen

Mit Greenbone gegen Systemausfall

Zusammenfassung

Was geschieht mit den kompromittierten Vermögenswerten?

Wie die automatisierte Ausnutzung funktioniert

Schutzmaßnahmen gegen automatisierte Angriffe

Zusammenfassung

Werden Sie aktiv!

Wissensvorsprung verschaffen

Risiken managen

Acht Jahre verstrichen, Startschuss verpasst

NIS2-Studie: Unternehmen akzeptieren die Vorschriften

Neun von zehn Unternehmen wollen mehr in Sicherheit investieren

Kontrastprogramm: Verzögerungen in der Politik

Verbrannte Erde, verlorene Zeit?

Warum Unternehmen jetzt investieren müssen

SonicOS in Akira-Ransomware-Kampagnen

Wichtiger Patch für Veeam Backup und Wiederherstellung

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

Zusammenfassung

BSI findet Fehler in LibreOffice

KeyTrap: DoS-Angriff gegen DNSSEC

CVE-2024-23897 in Jenkins hilft, um in indische Bank einzubrechen

2 neue aktiv genutzte CVEs in Apache OFBiz

CVE-2022-0185 im Linux-Kernel wird aktiv ausgenutzt

Neue VoIP- und PBX-Schwachstellen

Cisco Small Business IP-Telefone mit RCE und DoS

CVE-2024-42365 in Asterisk PBX Telephonie-Toolkit

Browser: eine ständige Bedrohung

Zusammenfassung

Was der Benchmark-Test ergibt

Was unsere Recherche ergibt

Die Erkennungsverfügbarkeit unseres Enterprise Feed führt in der gesamten Gruppe

Erkennungsgenauigkeit: stark unterschätzt

Zusammenfassung

Wie KPIs die Cybersicherheit unterstützen

Arten von Cybersicherheitsmaßnahmen

Wichtige Leistungsindikatoren für das Schwachstellenmanagement

Leistungsmetriken für die Erkennung

Metriken zur Behebungsleistung

Metriken zur Effektivität von Schwachstellenscannern

Erkenntnisse

Referenzen

Produkte & Lösungen

Service & Support

Über uns

Kontakt mit uns

Community