Im Jahr 2024 verlangte die geopolitische Instabilität, gekennzeichnet durch die Konflikte in der Ukraine und im Nahen Osten, nach einer stärkeren Cybersicherheit sowohl im öffentlichen als auch im privaten Sektor. China nahm die US-Verteidigung, Versorgungsunternehmen, Internetprovider und das Transportwesen ins Visier, während Russland koordinierte Cyberangriffe auf US-amerikanische und europäische Staaten startete, um die öffentliche Meinung zu beeinflussen und Uneinigkeit unter den westlichen Verbündeten über den Ukraine-Krieg zu schaffen. Am Ende von 2024 blicken wir auf eine hektische Cybersicherheitslandschaft am Rande des Abgrunds zurück.
2024 war ein weiteres Rekordjahr für CVE-Veröffentlichungen (Common Vulnerabilities and Exposures). Auch wenn es sich bei vielen Meldungen um sogenannte „AI Slop“-Meldungen [1][2] handelt, gleicht die schiere Menge der veröffentlichten Schwachstellen einen großen Heuhaufen. Da IT-Sicherheitsteams versuchen, die hoch riskanten „Nadeln“ in einem noch größeren „Heuhaufen“ zu finden, steigt die Wahrscheinlichkeit, dass sie übersehen werden. 2024 war auch ein Rekordjahr für Ransomware-Auszahlungen in Bezug auf Volumen und Umfang sowie für Denial-of-Service-Angriffe (DoS).
Zusätzlich fiel auch die „National Vulnerability Database“ des NIST (National Institute of Standards and Technology) aus, von der weltweit viele Organisationen betroffen waren, darunter auch Security-Anbieter. Der CVE-Scanner von Greenbone basiert auf dem CPE-Abgleich (Common Platform Enumeration) und ist von dem Ausfall des NIST NVD betroffen. Der primäre Scan-Motor von Greenbone, OpenVAS Scanner, ist jedoch nicht betroffen. OpenVAS interagiert direkt mit Diensten und Anwendungen, sodass unsere Entwickler anhand der Details aus den ersten CVE-Berichten zuverlässige Schwachstellentests erstellen können.
Im Jahr 2025 wird das Glück den Unternehmen hold sein, die vorbereitet sind. Angreifer nutzen Cyber-Intelligenz vermehrt als Waffe; die durchschnittliche Time-to-Exploit (TTE) beträgt nur noch Tage oder sogar Stunden. Der Aufstieg der KI wird neue Herausforderungen für die Cybersicherheit mit sich bringen. Neben diesen Fortschritten bleiben traditionelle Bedrohungen wie für die Cloud-Sicherheit oder für Software-Lieferketten von entscheidender Bedeutung. Sicherheitsanalysten sagen voraus, dass grundlegende Netzwerkgeräte wie VPN-Gateways, Firewalls und andere Edge-Geräte auch im Jahr 2025 ein begehrtes Ziel sein werden.
In dieser Ausgabe unseres monatlichen Threat Reports befassen wir uns mit den bedrohlichsten Schwachstellen und aktiven Kampagnen zu deren Ausnutzung, die im Dezember 2024 aufgetaucht sind.
Mitel MiCollab: ein blitzartig ausgenutzter Zero-Day
Sobald Schwachstellen veröffentlicht werden, stürzen sich Angreifer mit zunehmender Geschwindigkeit auf sie. Für einige Schwachstellen gibt es innerhalb von Stunden öffentlichen Proof-of-Concept-Exploit-Code (PoC), sodass den Verteidigern nur eine minimale Reaktionszeit bleibt. Anfang Dezember beobachteten die Forscher von GreyNoise die Ausnutzung von Mitel MiCollab am selben Tag, an dem der PoC-Code veröffentlicht wurde. Mitel MiCollab vereint Sprache, Video, Messaging, Präsenz und Konferenzen auf einer Plattform. Die neuen Schwachstellen haben neben der amerikanischen CISA (Cybersecurity and Infrastructure Security Agency) auch beim belgischen National Center for Cybersecurity, dem Australian Signals Directorate (ASD) und dem britischen National Health Service (NHS) Warnungen hervorgerufen. Die Behebung der jüngsten Sicherheitslücken in MiCollab wird als dringend angesehen.
Hier einige Details zu den neuen aktiv ausgenutzten CVEs in Mitel MiCollab:
- CVE-2024-41713 (CVSS 7.8 Hoch): Die „Path Traversal“-Schwachstelle in der NPM-Komponente (NuPoint Unified Messaging) von Mitel MiCollab ermöglicht den unauthentifizierten Zugriff auf Dateien durch Ausnutzung der „…/“-Technik in HTTP-Anfragen. Dies kann hochsensible Dateien offenlegen.
- CVE-2024-35286 (CVSS 10 Kritisch): Eine SQL-Injection-Schwachstelle in der NPM-Komponente von Mitel MiCollab, die es einem böswilligen Akteur ermöglicht, einen SQL-Injection-Angriff auszuführen.
Seit Mitte 2022 hat die CISA drei weitere CVEs in Mitel-Produkten aufgespürt, von denen bekannt ist, dass sie für Ransomware-Angriffe genutzt werden. Greenbone kann Endpunkte erkennen, die für diese hochgradig gefährlichen CVEs anfällig sind, und zwar mit aktiven Prüfungen [4][5].
SSL-VPNs von Array Networks von Ransomware ausgenutzt
CVE-2023-28461 (CVSS 9.8 Kritisch) ist eine Schwachstelle für Remote Code Execution (RCE) in den Array AG Series und vxAG SSL VPN Appliances von Array Networks. Die Geräte, vom Hersteller angepriesen als Präventivmaßnahme gegen Ransomware, werden nun aktiv in jüngsten Ransomware-Angriffen ausgenutzt. Array Networks selbst wurde Anfang dieses Jahres von der Dark Angels Ransomware-Bande angegriffen [1][2].
Jüngsten Berichten zufolge hält Array Networks einen beträchtlichen Marktanteil im Bereich Application Delivery Controller (ADC). Laut dem WW Quarterly Ethernet Switch Tracker von IDC ist das Unternehmen mit einem Marktanteil von 34,2 % Marktführer in Indien. Array Networks hat Patches für betroffene Produkte mit ArrayOS AG 9.4.0.481 und früheren Versionen veröffentlicht. Der Greenbone Enterprise Feed enthält einen Erkennungstest für CVE-2023-28461, seit dieser Ende März 2023 bekanntgegeben wurde.
CVE-2024-11667 in Zyxel Firewalls
CVE-2024-11667 (CVSS 9.8 Kritisch) in den Firewall-Appliances von Zyxel wird aktiv in aktuellen Ransomware-Angriffen ausgenutzt. Eine „Directory Traversal“-Schwachstelle in der Web-Management-Schnittstelle könnte es einem Angreifer ermöglichen, Dateien über eine böswillig gestaltete URL herunter- oder hochzuladen. Zyxel Communications ist ein taiwanesisches Unternehmen, das sich auf die Entwicklung und Herstellung von Netzwerkgeräten für Unternehmen, Dienstanbieter und Verbraucher spezialisiert hat. Berichten zufolge liegt der Marktanteil von Zyxel bei etwa 4,2 % in der ITK-Branche mit einer vielfältigen globalen Präsenz, zu der auch große Fortune-500-Unternehmen gehören.
In Fällen wie diesem ist ein „Defense in Depth“-Ansatz für die Cybersicherheit besonders wichtig. Wenn Angreifer ein Netzwerkgerät wie eine Firewall kompromittieren, erhalten sie in der Regel nicht sofort Zugriff auf hochsensible Daten. Der anfängliche Zugriff ermöglicht es den Angreifern jedoch, den Netzwerkverkehr zu überwachen und das Netzwerk des Opfers auf der Suche nach wertvollen Zielen zu durchforsten.
Zyxel empfiehlt, Ihr Gerät auf die neueste Firmware zu aktualisieren, den Fernzugriff vorübergehend zu deaktivieren, wenn Updates nicht sofort angewendet werden können, und die bewährten Verfahren zur Sicherung verteilter Netzwerke anzuwenden. CVE-2024-11667 betrifft die Firmware-Versionen V5.00 bis V5.38 der Zyxel ATP-Serie, die Firmware-Versionen V5.00 bis V5.38 der USG FLEX-Serie, die Firmware-Versionen V5.10 bis V5.38 der USG FLEX 50(W)-Serie und die Firmware-Versionen V5.10 bis V5.38 der USG20(W)-VPN-Serie. Greenbone kann die Sicherheitslücke CVE-2024-11667 bei allen betroffenen Produkten erkennen.
Kritische Schwachstellen in Apache Struts 2
CVE-2024-53677 (CVSS 9.8 Kritisch), ein unbeschränkter Dateiupload [CWE-434], der Apache Struts 2 betrifft, ermöglicht es Angreifern, ausführbare Dateien in Web-Root-Verzeichnisse hochzuladen. Wenn eine Web-Shell hochgeladen wird, kann die Schwachstelle zu unautorisierter Remote Code Execution führen. Apache Struts ist ein Java-basiertes Open-Source-Framework für Webanwendungen, das sowohl im öffentlichen als auch im privaten Sektor, einschließlich Behörden, Finanzinstituten und anderen großen Organisationen, weit verbreitet ist [1]. PoC-Exploit-Code (Proof-of-Concept) ist öffentlich verfügbar, und CVE-2024-53677 wird aktiv ausgenutzt, was das Risiko erhöht.
Die Sicherheitslücke wurde ursprünglich unter der Bezeichnung CVE-2023-50164 geführt und im Dezember 2023 veröffentlicht [2][3]. Ähnlich wie bei einer kürzlich aufgetretenen Schwachstelle in VMware vCenter war der ursprüngliche Patch jedoch unwirksam, was zum erneuten Auftreten der Schwachstelle führte. CVE-2024-53677 betrifft die Komponente FileUploadInterceptor, sodass Anwendungen, die dieses Modul nicht verwenden, nicht betroffen sind. Benutzer sollten ihre Struts2-Instanz auf Version 6.4.0 oder höher aktualisieren und auf den neuen Datei-Upload-Mechanismus umstellen. Weitere neue kritische CVEs in beliebter Open-Source-Software (OSS) von Apache:
- CVE-2024-50379 (CVSS 9.8) in Apache TomCat
- CVE-2024-45387 (CVSS 9.8) in Apache Traffic Control
- CVE-2024-43441 (CVSS 9.8) in Apache HughGraph
- CVE-2024-52046 (CVSS 10) in Apache MINA
Die Apache Software Foundation (ASF) folgt bei ihren Projekten einem strukturierten Prozess, der die private Berichterstattung und die Veröffentlichung von Patches vor der öffentlichen Bekanntgabe fördert, so dass Patches für alle oben genannten CVEs verfügbar sind. Greenbone kann Systeme erkennen, die für CVE-2024-53677 anfällig sind, ebenso wie andere kürzlich bekannt gewordene Schwachstellen in Produkten der ASF Foundation.
Palo Altos Secure DNS wird aktiv für DoS ausgenutzt
CVE-2024-3393 (CVSS 8.7 Hoch) ist eine DoS-Schwachstelle (Denial of Service) in der DNS-Sicherheitsfunktion von PAN-OS. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Firewalls der PA-Serie, VM-Serie, CN-Serie und Prisma Access-Geräte über bösartige Pakete, die auf Datenebene gesendet werden, neu zu starten. Durch wiederholtes Auslösen dieses Zustands können Angreifer die Firewall dazu bringen, in den Wartungsmodus zu wechseln. Die CISA hat die Schwachstelle CVE-2024-3393 als aktiv ausgenutzt identifiziert. Sie ist eine von fünf weiteren aktiv ausgenutzten Schwachstellen in Palo-Alto-Produkten, die allein in den letzten zwei Monaten aufgetreten sind.
Laut den von Palo Alto veröffentlichten Empfehlungen sind nur Geräte mit einer DNS Security License oder Advanced DNS Security License und aktivierter Protokollierung betroffen. Es wäre eine einfache Annahme zu sagen, dass diese Bedingungen bedeuten, dass Top-Tier-Unternehmenskunden betroffen sind. Greenbone kann mit einem Versionserkennungstest Geräte identifizieren, die von CVE-2024-3393 betroffen sind.
Microsoft-Sicherheit im Jahr 2024: Wer hat die Fenster offengelassen?
Auch wenn es unfair wäre, Microsoft für die Bereitstellung anfälliger Software im Jahr 2024 verantwortlich zu machen, hat das Redmonder BigTech die Sicherheitserwartungen sicherlich nicht übertroffen. 2024 wurden insgesamt 1.119 CVEs in Microsoft-Produkten offengelegt; 53 erreichten einen kritischen Schweregrad (CVSS > 9.0), 43 wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, und mindestens vier waren bekannte Vektoren für Ransomware-Angriffe. Obwohl der Vergleich grob ist, gab es im Linux-Kernel mehr (3.148) neue CVEs, aber nur drei wurden als kritisch eingestuft und nur drei wurden in den KEV-Katalog der CISA aufgenommen. Hier sind die Details zu den neuen aktiv ausgenutzten CVEs in Microsoft Windows:
- CVE-2024-35250 (CVSS 7.8 Hoch): Eine Schwachstelle zur Ausweitung von Privilegien, die es einem Angreifer mit lokalem Zugriff auf ein System ermöglicht, Privilegien auf Systemebene zu erlangen. Die Schwachstelle wurde im April 2024 entdeckt, und im Oktober wurde PoC-Exploit-Code online gestellt.
- CVE-2024-49138 (CVSS 7.8 Hoch): Eine Heap-basierte „Buffer Overflow“-Schwachstelle [CWE-122] zur Erweiterung von Privilegien; dieses Mal im Treiber des Microsoft Windows Common Log File System (CLFS). Obwohl es keinen öffentlich zugänglichen Exploit gibt, haben Security-Forschende Hinweise darauf, dass diese Sicherheitslücke ausgenutzt werden kann, indem ein bösartiges CLFS-Protokoll erstellt wird, um privilegierte Befehle auf der Ebene der Systemberechtigungen auszuführen.
Die Erkennung und Entschärfung dieser neuen Windows CVEs ist von entscheidender Bedeutung, da sie aktiv angegriffen werden. Beide wurden in Microsofts Dezember-Patch-Release gepatcht. Greenbone kann CVE-2024-35250 und CVE-2024-49138 erkennen sowie alle anderen als CVEs veröffentlichten Sicherheitslücken von Microsoft.
Zusammenfassung
2024 unterstrich die anhaltende Herausforderung in der Cybersicherheit mit rekordverdächtigen Enthüllungen von Schwachstellen, Ransomware-Auszahlungen, DoS-Angriffen und einem alarmierenden Anstieg aktiver Ausnutzung von Schwachstellen. Die schnelle Verwandlung von Schwachstellen in Angriffswaffen unterstreicht die Notwendigkeit einer kontinuierlichen Strategie für das Schwachstellenmanagement und eines Defense-in-Depth-Ansatzes.
Im Dezember gab es neue kritische Schwachstellen in Mitel-, Apache- und Microsoft-Produkten. Weitere Netzwerkprodukte: VPNs von Array Networks und Firewalls von Zyxel werden jetzt von Ransomware-Akteuren ausgenutzt, was noch einmal bestätigt, dass proaktive Maßnahmen zur Erkennung und Patchen von Schwachstellen ergriffen werden müssen. Auf dem Weg ins Jahr 2025 wird Fortuna diejenigen begünstigen, die hierauf vorbereitet sind; Unternehmen müssen wachsam bleiben, um die Risiken in einer zunehmend feindlichen Cyberlandschaft im Zaum zu halten.
