Schlagwortarchiv für: MIVD

Joseph Lee

Juni 2024 Threat Tracking: Rückt Cybersecurity an den Rand?

Noch in keinem Jahr zuvor waren 3.000 CVEs (Common Vulnerabilities and Exposures) in einem einzigen Monat veröffentlicht worden. Das Jahr 2024 reihte bisher einen rekordverdächtigen Monat an den nächsten hinsichtlich der Anzahl gefundener Sicherheitslücken; im Mai 2024 wurden über 5.000 CVEs publik. Auch wenn der Juni eine Verschnaufpause vom „Schwachstellen-Sturm“ bot, werden sich viele fragen, ob die Bereitstellung von sicherer Software schlicht zu kompliziert ist. Selbst Anbieter mit dem größten Kapital und Marktanteil – Apple, Google, Microsoft – und Anbieter von Netzwerk- und Sicherheitsanwendungen für Unternehmen – Cisco, Citrix, Fortinet, Ivanti, Juniper, PaloAlto – haben mittlerweile dauerhaft unsichere Produkte auf den Markt gebracht. Welche unüberwindbaren Hürden stehen einer stärkeren Anwendungssicherheit im Wege? Sind sichere Softwareprodukte ein Ding der Unmöglichkeit?

Gemeinhin wird angenommen, dass, wer als Erster mit neuen Funktionen auf den Markt kommt, einen entscheidenden Wettbewerbsvorteil erhält. Sicherheit rangiert dabei am unteren Rand der Prioritätenliste. Andere Gedanken dazu sind eher konspirativ. Der Cyber Resilience Act [1][2], der Ende 2027 in Kraft treten soll, könnte mehr Verantwortlichkeit schaffen, liegt aber zeitlich noch in weiter Ferne. Cyber-Verteidiger müssen wachsam bleiben, bewährte Verfahren zur Cybersicherheit anwenden, Sicherheitslücken proaktiv aufspüren und sie rechtzeitig beheben. Das ist leicht gesagt, aber in der Tat eine ungeheure Leistung.

In der Juni-Ausgabe des Greebone Threat Tracking werden wir uns mit einem aktuellen Trend befassen: der zunehmenden Ausnutzung von Edge-Netzwerkgeräten.

Edge-Geräte: heiße Ziele für Cyberangriffe

Cyber-Bedrohungsakteure nutzen zunehmend Schwachstellen in Diensten und Geräten am Netzwerk-Rand aus. Der Netzwerkperimeter ist die Grenze, die das interne Netzwerk eines Unternehmens von externen Netzen wie dem Internet trennt und in der Regel wichtige Sicherheitsinfrastrukturen wie VPNs, Firewalls und Edge-Computing-Dienste beherbergt. Diese Ansammlung von Diensten am Netzwerk-Rand wird oft als demilitarisierte Zone (DMZ) bezeichnet. Perimeter-Dienste dienen als idealer Einstiegspunkt in ein Netzwerk und sind daher ein wertvolles Ziel für Cyberangriffe.

In den Threat Tracker-Beiträgen von Greenbone wurden bereits zahlreiche Edge-Akteure behandelt, darunter Citrix Netscaler (CitrixBleed), Cisco XE, Fortinets FortiOS, Ivanti ConnectSecure, PaloAlto PAN-OS und Juniper Junos. Schauen wir uns die neuen Bedrohungen an, die im vergangenen Monat Juni 2024 aufgetaucht sind.

Chinesische APT-Kampagne greift FortiGate-Systeme an

CVE-2022-42475 (CVSS 9.8 Kritisch), eine schwerwiegende Schwachstelle für Remote Code Execution, die FortiGate Network Security Appliances betrifft, wurde vom niederländischen Militärischen Nachrichten- und Sicherheitsdienst (MIVD) in eine neue Cyberspionagekampagne einbezogen, die sich gegen westliche Regierungen, internationale Organisationen und die Verteidigungsindustrie richtet. Der MIVD gab Einzelheiten bekannt, darunter die Zuordnung zu einer staatlichen chinesischen Hackergruppe. Bei den Angriffen wurde eine neue Variante einer fortschrittlichen Stealth-Malware namens CoatHanger installiert, die speziell für FortiOS entwickelt wurde und auch nach Neustarts und Firmware-Updates noch aktiv ist. Nach Angaben der CISA wurde CVE-2022-42475 bereits in einer Kampagne von Ende 2023 von staatlichen Bedrohungsakteuren verwendet. Bei der jüngsten Kampagne wurden mehr als 20.000 FortiGate VPN-Instanzen infiziert.

Eine offensichtliche Erkenntnis hier ist, dass eine Unze Prävention mehr wert ist als ein Pfund Heilung. Bei diesen ersten Angriffen wurde eine über ein Jahr alte Schwachstelle ausgenutzt, die somit vermeidbar gewesen wäre. Bewährte Verfahren zur Cybersicherheit schreiben vor, dass Unternehmen regelmäßige Schwachstellen-Scans durchführen und Maßnahmen ergreifen sollten, um entdeckte Bedrohungen zu entschärfen. Der Greenbone Enterprise-Feed enthält eine Erkennung für CVE-2022-42475.

P2Pinfect infiziert ungepatchte Redis-Server

P2Pinfect, ein Peer-to-Peer (P2P)-Wurm, der auf Redis-Server abzielt, wurde kürzlich so modifiziert, dass er Ransomware und Cryptowährungs-Miner einsetzt, wie von Cado Security beobachtet. P2Pinfect wurde erstmals im Juli 2023 entdeckt und ist eine ausgeklügelte Rust-basierte Malware mit Wurm-Fähigkeiten. Das bedeutet, dass sich die jüngsten Angriffe, die CVE-2022-0543 (CVSS 10 Kritisch) gegen ungepatchte Redis-Server ausnutzen, automatisch auf andere anfällige Server ausbreiten können.

Da CVE-2022-0543 im Februar 2022 veröffentlicht wurde, sollten Unternehmen, die ein konformes Schwachstellenmanagement betreiben, bereits gegen die jüngsten P2Pinfect-Ransomware-Angriffe gefeit sein. Innerhalb weniger Tage nach der Veröffentlichung von CVE-2022-0543 hat Greenbone mehrere Schwachstellen-Tests (VTs) [1][2][3][4][5] für den Community Edition-Feed veröffentlicht, die verwundbare Redis-Instanzen identifizieren. Dies bedeutet, dass alle Greenbone-Benutzer weltweit gewarnt werden und sich schützen können, wenn diese Schwachstelle in ihrer Infrastruktur existiert.

Check Point Quantum Security Gateways werden aktiv ausgenutzt

Das kanadische Zentrum für Cybersicherheit hat eine Warnung herausgegeben, da eine aktive Ausnutzung von CVE-2024-24919 (CVSS 8.6 Hoch) beobachtet wurde, die auch in den CISA-Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen wurde. Beide Einrichtungen haben alle betroffenen Organisationen aufgefordert, ihre Systeme unverzüglich zu patchen. Die Schwachstelle ermöglicht es einem Angreifer, auf Informationen auf öffentlich zugänglichen Check Point Gateways mit aktiviertem IPSec VPN, Remote Access VPN oder Mobile Access zuzugreifen und kann auch laterale Bewegungen über nicht autorisierte Domain-Admin-Rechte im Netzwerk des Opfers ermöglichen.

Dieses Problem betrifft mehrere Produktlinien von Check Point, einschließlich CloudGuard Network, Quantum Scalable Chassis, Quantum Security Gateways und Quantum Spark Appliances. Check Point hat Anweisungen für die Anwendung eines Hotfixes veröffentlicht, um CVE-2024-24919 zu entschärfen. „Hotfixes“ sind Software-Updates, die außerhalb des geplanten Update-Zyklus des Herstellers herausgegeben werden, um ein dringendes Problem zu beheben.

CVE-2024-24919 wurde erst am 30. Mai 2024 veröffentlicht, wurde aber sehr schnell Teil einer Angriffskampagne, was den Trend zu einer immer kürzeren Time To Exploit (TTE) verdeutlicht. Greenbone fügte aktive Checks und passive Banner Detection Vulnerability Tests (VTs) hinzu, um CVE-2024-24919 innerhalb weniger Tage nach seiner Veröffentlichung zu identifizieren, so dass Verteidiger schnell proaktive Sicherheitsmaßnahmen ergreifen konnten.

Kritische Patches für Juniper

In einem heißen Monat für Juniper Networks veröffentlichte das Unternehmen ein Sicherheitsbulletin (JSA82681), das mehrere Schwachstellen in den optionalen Anwendungen von Juniper Secure Analytics behebt, und es wurde ein weiterer kritischer Fehler aufgedeckt: CVE-2024-2973. Zusätzlich zu diesen Problemen wurde der Session Smart Router (SSR) von Juniper geoutet, weil er bekannte Standard-Anmeldeinformationen [CWE-1392] für seine SSH-Anmeldung hat. CVE-2024-2973 (CVSS 10 Kritisch) ist eine Schwachstelle zur Umgehung der Authentifizierung in Session Smart Router (SSR), Session Smart Conductor und WAN Assurance Router-Produkten, die in redundanten Hochverfügbarkeitskonfigurationen ausgeführt werden und es einem Angreifer ermöglichen, die vollständige Kontrolle über ein betroffenes Gerät zu übernehmen.

Der Greenbone Enterprise Schwachstellen-Testfeed erkennt CVE-2024-2973, und Juniper stellt in seinem Sicherheitshinweis (JSA83126) Informationen zur Abhilfe bereit. Schließlich enthält Greenbone eine aktive Prüfung zur Erkennung einer unsicheren Konfiguration des Session Smart Router (SSR), indem untersucht wird, ob eine Anmeldung über SSH mit bekannten Standard-Anmeldeinformationen möglich ist.

Progress Telerik Report Server aktiv ausgenutzt

Letzten Monat haben wir darüber berichtet, wie ein Greenbone-Sicherheitsforscher die Sicherheitslücke CVE-2024-4837, die den Telerik Report Server von Progress Software betrifft, identifiziert hat und an deren Aufdeckung beteiligt war. Diesen Monat wurde eine weitere Schwachstelle in demselben Produkt in den Katalog der aktiv ausgenutzten Schwachstellen der CISA aufgenommen. Bei der ebenfalls im Mai 2024 veröffentlichten CVE-2024-4358 (CVSS 9.8 Kritisch) handelt es sich um eine Authentication Bypass by Spoofing-Schwachstelle [CWE-290], die es einem Angreifer ermöglicht, sich unerlaubten Zugriff zu verschaffen. Weitere Informationen, einschließlich Anweisungen zur vorübergehenden Umgehung der Schwachstelle, finden Sie im offiziellen Sicherheitshinweis des Herstellers.

Ebenfalls im Juni 2024 geriet Progress Software mit MOVEit Transfer, einem Tool zur Übertragung von Unternehmensdateien, mit einer neuen kritischen Sicherheitslücke (CVE-2024-5806, CVSS 9.1 Kritisch) wieder in die Kritik. MOVEit war für die größten Datenschutzverletzungen im Jahr 2023 verantwortlich, von denen über 2.000 Unternehmen betroffen waren.

Greenbone hat einen aktiven Check und Versionstests zur Erkennung von Schwachstellen (VTs) veröffentlicht, um CVE-2024-24919 innerhalb weniger Tage nach ihrer Veröffentlichung zu erkennen, und einen VT zur Erkennung von CVE-2024-5806 innerhalb weniger Stunden, sodass Verteidiger schnell Abhilfe schaffen können.

Zusammenfassung

Selbst Tech-Giganten tun sich schwer, Software ohne Schwachstellen zu liefern, was unterstreicht, wie wichtig die Wachsamkeit bei der Sicherung der IT-Infrastruktur von Unternehmen ist. Bedrohungen erfordern ständige Transparenz und schnelles Handeln. Die globale Landschaft ist voll von Angriffen auf Netzwerkdienste und -geräte, da große und kleine, raffinierte und opportunistische Angreifer versuchen, im Netzwerk eines Unternehmens Fuß zu fassen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Fortinet Schwachstellen: US-Regierung warnt vor chinesischen Hackern

Der kalifornische Hersteller Fortinet, bekannt für sichere Firewall-, VPN- und Intrusion-Detection-Geräte steht seit Jahren im Fokus der Öffentlichkeit aufgrund schwerwiegender Sicherheitsprobleme. Auch im Februar 2024 musste der Cybersecurity-Experte mehrere höchst kritische Sicherheitslöcher bekanntgeben. Wer sich in solchen Fällen proaktiv gegen Angriffe schützen will, muss sich informieren und zeitnah Patches einspielen.

Produkte wie Greenbones Enterprise Appliances spielen dabei eine zentrale Rolle und helfen den Admins. Für alle in diesem Blogpost genannten Schwachstellen gibt es Tests im Enterprise Feed: Aktive Verfahren prüfen, ob die Lücke besteht und ein Exploit möglich ist, aber auch der Erfolg des Patch Managements lässt sich mit Versionstests unter die Lupe nehmen.

87.000 Passwörter ausgelesen: Fortinet hat die „Schwachstelle des Jahres 2022“

2019 erlaubte es CVE-2018-13379 (CVSS 9.8), über 87.000 Passwörter für das Fortinet-VPN aus den Geräten auszulesen. In den folgenden Jahren wurde diese Schwachstelle so erfolgreich ausgenutzt, dass sie 2022 den fragwürdigen Titel der „am meisten ausgenutzten Schwachstelle 2022“ verliehen bekam. Auch die US-Behörden reagierten und mahnten bei den Anwendern mehr Problembewusstsein an. Aber dass es überhaupt so weit kommen konnte, lag für die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) auch daran, dass viele Kunden nicht zeitnah Patches einspielten. Das, so die Agencies, hätte viele der erfolgreichen Angriffe verhindert.

2023: Unerwünschte Gäste in kritischen Netzen

Dass die Fortinet-Geräte meist in sicherheitskritischen Bereichen eingesetzt werden, macht die Situation noch kritischer: Ungepatcht und mit gravierenden Schwachstellen bestückt, rückten solche Devices in den vergangenen Jahren immer mehr in den Fokus von Angreifern, insbesondere von staatlichen Akteuren. So hatten chinesische Hackergruppen 2023 erfolgreich Netzwerke des niederländischen Militärs infiltriert – über eine bereits ausgebesserte Schwachstelle im FortiOS SSL-VPN vom Dezember 2022 (CVE-2022-42475, CVSS 9.3).

Auch wenn das Netzwerk dem Military Intelligence and Security Service (MIVD) zufolge nur für Forschung und Entwicklung diente, machten die Anfang Februar veröffentlichten Angriffe deutlich, wie einfach es für Angreifer ist, in ansonsten hochgeschützte Netzwerke einzudringen. Die entsprechende Backdoor „Coathanger“ erlaubt es Angreifern dabei sogar, dauerhaften Zugang auf einmal gehackten Geräten zu erreichen, alles dank der Schwachstelle 2022-42475, die das Ausführen beliebigen Codes erlaubt.

Februar 2024: Warnungen vor weiteren Lücken, maximaler Schweregrad

Damit leider nicht genug: Ebenfalls Anfang Februar 2024 musste Fortinet erneut eine gravierende Schwachstelle einräumen: CVE-2024-21762 (CVSS score: 9.6) erlaubt es unauthorisierten Angreifern, über speziell angepasste Requests beliebigen Code auszuführen. Betroffen sind eine lange Liste von Versionen des Fortinet-Betriebssystems FortiOS und des FortiProxy. Der Hersteller rät zum Upgrade oder zum Deaktivieren des SSL-VPNs und warnt sowohl vor der Schwere der Schwachstelle als auch davor, dass sie bereits massiv von Angreifern ausgenutzt werde. Ebenso schlimm sind auch CVE-2024-23108 und CVE-2024-23109, nur wenige Tage später veröffentlicht. Auch sie erlauben es nicht authentifizierten Angreifern, beliebigen Code auszuführen.

Doch ob das so stimmt, ist fraglich: Dass zwei CVEs vom gleichen Hersteller am gleichen Tag auf der Skala der Schwere der Bedrohung eine 10.0 erhalten haben, dürfte einzigartig sein – ebenso wie die verwirrende, wenig Vertrauen erweckende Kommunikation des Herstellers oder die gleichzeitig in Massenmedien berichtete DDOS-Angriffsvariante via Zahnbürste, von denen ein Fortinet-Mitarbeiter erzählte.

Fatale Kombination – Schwachstellenmanagement kann helfen

Wie immer veröffentlichte Fortinet zeitnah Patches, die die Kunden aber auch installieren müssen. Wie katastrophal die Kombination aus schweren Sicherheitslücken, mangelnder Awareness und dem Ausbleiben von Patches wirken kann, zeigte einige Tage später die US-Regierung in einem weiteren Advisory von CISA, NSA und FBI: Volt Typhoon, eine staatliche chinesische Hackergruppe, habe sich auch über derlei Schwachstellen schon seit vielen Jahren dauerhaft in der kritischen Infrastruktur von US-Behörden eingenistet – die damit verbundenen Gefahren dürften nicht unterschätzt werden, so die Warnung.

Zu der dort geforderten „Security by Design“ gehört auch das konstante Überwachen der eigenen Server, Rechner und Installationen mit Schwachstellentests wie denen der Greenbone Enterprise Appliances. Wer seine Netzwerke (nicht nur die Fortinet-Geräte) permanent mit den Vulnerability Tests eines modernen Schwachstellenscanners überwacht, kann seine Administratoren schnellstens informieren, wenn bekannte CVEs in einer Infrastruktur auf Patches warten – und verringert damit die Angriffsfläche.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von