Altgeräte bedrohen Sicherheit in Unternehmen

Eine Analyse von Ciscos Threat-Intelligence-Team Talos zeigt, zwei der drei häufigsten Schwachstellen, auf die es Angreifer im Jahr 2024 abgesehen hatten, waren in alten Netzwerkgeräten zu finden. Das Problem ist, dass Hersteller dazu keine Patches mehr herausgeben.

„Dies unterstreicht, wie wichtig es ist, veraltete Komponenten des Netzwerks einer Organisation so schnell wie möglich außer Betrieb zu nehmen und zu ersetzen“, betonen die Security-Forscher. Die Studie offenbart: Die beiden Sicherheitslücken – CVE-2024-3273 und CVE-2024-3272 in netzwerkgebundenen Speichergeräten von D-Link, in Kombination mit einer dritten (CVE-2024-24919) in den Quantum Security Gateways von Check Point Software – machten mehr als die Hälfte der Schwachstellen bei Netzwerkgeräten aus, die von Bedrohungsakteuren im vergangenen Jahr missbraucht wurden.

„Viele dieser Schwachstellen wurden größtenteils von bekannten Botnets wie Mirai und Gafgyt ausgenutzt. Diese übernehmen die Kontrolle über die kompromittierten Geräte und weisen sie an, verteilte Denial-of-Service-Angriffe (DDoS) und andere böswillige Aktivitäten auszuführen“, heißt es in dem Bericht. Demnach wurden einige Lücken von Ransomware-Betreibern ausgenutzt.

„Aufgrund des Zugriffs, den Router, Firewalls und andere Netzwerkgeräte bieten, kann ein Angreifer durch deren Kompromittierung leicht lateral vorgehen, andere Phasen seiner Angriffe ausführen und ganze Netzwerke übernehmen“, erklären die Analysten.

Weitere Schwachstellen auf der Top-10-Liste waren:

• CVE-2023-1389, eine Schwachstelle im TP-Link Archer AX21-Router;
• CVE-2024-3400, eine Lücke im Palo Alto Networks PAN-OS-Firewall-Betriebssystem;
• CVE-2023-36845, eine Schwachstelle im Juniper Networks Junos OS-Betriebssystem;
• CVE-2021-44529, eine Schwachstelle in der Ivanti Endpoint Manager Cloud Service Appliance;
• CVE-2023-38035, eine Sicherheitslücke im Ivanti Sentry Security Gateway;
• CVE-2024-36401, eine Schwachstelle in OSGeo GeoServer;
• CVE-2024-0012, eine Schwachstelle im Betriebssystem PAN-OS von Palo Alto Networks.

Angriffe auf alte Schwachstellen immer noch beliebt

Viele Bedrohungsakteure profitieren immer noch davon, in Netzwerke über alte und ungepatchte Lücken einzudringen. Dem Bericht zufolge wurden vier der zwölf häufigsten ausgenutzten Schwachstellen (CVEs) vor einem Jahrzehnt veröffentlicht.

Dazu gehören:

• vier Log4j2-Schwachstellen – Anfang 2021 aufgedeckt – die 36 Prozent der am häufigsten angegriffenen Schwachstellen ausmachten;
• vier Schwachstellen in der GNU Bash-Sprache – bekannt geworden im Jahr 2014 – die 31 Prozent der am häufigsten angegriffenen Schwachstellen ausmachten. Bash ist eine gängige Befehlszeilen-Shell, die in vielen Linux- und UNIX-Systemen sowie älteren MacOS-Versionen verwendet wird. Diese Gruppe von offenen Flanken wird zusammenfassend als ShellShock bezeichnet;
• zwei Schwachstellen in der PHP-Sprache – von denen eine im Jahr 2017 und die andere im vergangenen Jahr bekannt wurde – die 17 Prozent der am häufigsten angegriffenen Schwachstellen ausmachten.

„Dabei handelt es sich jedoch um Schwachstellen, die am häufigsten bei Versuchen ausgenutzt werden. Das ist kein Maß dafür, welche Angriffe tatsächlich erfolgreich waren“, betonen die Studienautoren. Dennoch zeigten diese Zahlen deutlich, dass Bedrohungsakteure häufig ungepatchte Systeme ins Visier nehmen. „Organisationen, die es versäumen, Sicherheitsupdates zu installieren, sind anfälliger Attacken, die verhindert werden könnten.“

Diese Schlussfolgerung deckt sich weitgehend mit den Erkenntnissen, die das SANS Institute mit Hilfe seiner Sensoren im Internet Storm Center, das die Anzahl bösartiger Aktivitäten im Internet überwacht. gewonnen hat. „Die Schwachstelle, die derzeit am häufigsten ausgenutzt wird, ist auf den Tag genau zwei Jahre alt (CVE-2023-26801, eine Schwachstelle in LB-Link-WLAN-Routern), gefolgt von CVE-2022-30023, einer authentifizierten Befehlseinschleusung in Tenda HG9-Routern“, erläutert Johannes Ullrich, Forschungsdekan des Instituts.

„DasProblem wird am deutlichsten, wenn man sich ansieht, wie konsistent die Passwörter sind, die Angreifer mit Brute-Force-Methoden zu knacken versuchen“, fügt er hinzu. Diese Schwachstellen-Liste hat sich laut Ulrich in den vergangenen 20 Jahren kaum verändert. „Der Grund dafür ist einfach: Die Leute haben Schwierigkeiten, Patches zu installieren. Insbesondere Heimgeräte und Router werden in der Regel nur durch einen Stromstoß gepatcht, der den Benutzer zum Austausch zwingt“

Risiko durch Log4j-Lücken könnte andauern

Die Log4j-Protokollierungsbibliothek von Apache zählt zu den am häufigsten verwendeten Open-Source-Programmen der Welt. „Obwohl die vier Schwachstellen, die zusammen als Log4Shell bekannt sind, kurz nach ihrer Entdeckung gepatcht wurden, stellen sie ein langfristiges Risiko für Unternehmen dar. Log4j ist tief in der Software-Lieferkette verankert“, mahnt der Talos-Bericht.

Darüber hinaus sind die Forscher besorgt über PHP. Demnach sind zwischen 75 Prozent und 80 Prozent der weltweit zwei Milliarden Websites auf die Programmiersprache angewiesen. Darunter finden sich auch beliebte Websites wie Facebook und Wikipedia sowie E-Commerce-Plattformen wie Etsy und Shopify.

„Auch die Shellshock-Schwachstelle ist besorgniserregend, da Bash weltweit in Anwendungen und Systemprozesse integriert ist“, heißt es im Bericht. „Viele Webserver, Router und Internet-of-Things-Geräte (IoT) sind auf Bash angewiesen, um Befehle auszuführen. Das bedeutet, dass anfällige Geräte, die mit dem Internet verbunden sind, potenzielle Ziele sind.“

Diese Hardwarekomponenten würden in der Regel seltener aktualisiert oder seien schwieriger zu patchen, insbesondere in industriellen oder kritischen Infrastrukturen, heißt es weiter. „Die direkten Folgen von Shellshock waren zwar nicht so katastrophal, wie bei anderen hochkarätigen Sicherheitsverletzungen und Cyberangriffen“, räumen die Autoren des Berichts ein, „aber es handelt sich um ein anhaltendes Problem.“

So entdeckte Talos beispielsweise 2019 eine globale, staatlich geförderte Spionagekampagne namens „Sea Turtle“, die DNS-Einträge manipulierte, um Zugang zu sensiblen Systemen zu erhalten. Der Angreifer nutzte mehrere Schwachstellen, darunter Shellshock, um sich Zugang zu verschaffen.

„Obwohl es nur wenige bestätigte Beispiele für staatlich gesponserte Cyberangreifer gibt, die Shellshock ins Visier nehmen, ist es sehr wahrscheinlich, dass andere fortgeschrittene Akteure versucht haben, Shellshock auszunutzen“, schlussfolgern die Bedrohungsspezialisten. „Viele bekannte Gegner, wie die vom russischen Staat gesponserte Gruppe APT28 und die vom nordkoreanischen Staat gesponserte Lazarus-Gruppe, nutzen kritische Schwachstellen in weit verbreiteter Software aus.“

10 Tipps zur Sicherung von Netzwerkgeräten

In dem Bericht empfiehlt Talos folgende Schutzmaßnahmen:

• Geräte „so aggressiv wie möglich“ aktualisieren, einschließlich aktuelle Hardware und Software gegen bekannte Schwachstellen zu patchen sowie vom Hersteller nicht mehr aktualisierte Hand- und Software auszutauschen.
• Robuste Authentifizierungsmethoden samt Multifaktor-Authentifizierung, komplexen Passwörtern und Community-Strings implementieren sowie Standard-Anmeldeinformationen vermeiden.
• Bewährte Sicherheitsverfahren befolgen, einschließlich regelmäßiger Updates, Verwaltung von Zugriffskontrollen, Durchführung von Benutzerschulungen und Durchsetzung der Netzwerksegmentierung.
• Den gesamten Überwachungs- und Konfigurationsverkehr verschlüsseln.
• Sich über Sicherheitshinweise von Behörden und der Industrie informieren und die vorgeschlagenen Maßnahmen ergreifen, um die darin aufgedeckten Schwachstellen zu beheben.
• Systeme für Anmeldedaten wie TACACS+ und alle Jump-Hosts aktiv sprerren und überwachen.
• Konfigurationen zentral speichern und sie auf Geräte übertragen, anstatt zuzulassen, dass Geräte die vertrauenswürdige Quelle für ihre eigenen Konfigurationen sind.
• Authentifizierung, Autorisierung und Buchführung (AAA) verwenden, um Konfigurationsänderungen für wichtige Geräteschutzmaßnahmen wie lokale Konten, TACACS+ und RADIUS zu verweigern.
• Monitoring der Umgebung auf ungewöhnliche Verhaltens- oder Konfigurationsänderungen, wie die Offenlegung von administrativen oder ungewöhnlichen Schnittstellen, sowie Protokolle auf ungewöhnliche Aktivitäten überwachen.
• Baselines für Geräteprofile erstellen, um Änderungen zu erkennen, und Fingerabdrücke von Netzwerkgeräten über NetFlow und Port-Scans erstellen, um Verschiebungen zu erkennen, einschließlich Änderungen beim Öffnen oder Schließen von Ports und beim ein- und ausgehenden Datenverkehr. (jm)