Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Schutz von Remote-Mitarbeitern: Diese kritischen Schwachstellen gilt es zu finden und zu beheben

Da sich unsere Arbeitsweise in dieser von Unsicherheit geprägten Zeit stark verändert, ist die Identifizierung, Priorisierung und Behebung von kritischen Schwachstellen, die bereits aktiv ausgenutzt werden, von größter Wichtigkeit.

Kürzlich sind wir bereits darauf eingegangen, inwiefern die weltweiten Reaktionen auf die Corona-Krise zu einer Vergrößerung der Angriffsoberfläche von Unternehmen geführt haben. Diese auf eigenen Untersuchungen und öffentlich zugänglichen Informationen beruhenden Erkenntnisse vermitteln einen ersten Eindruck von einigen wichtigen Bereichen, mit denen sich Unternehmen angesichts der veränderten Personalsituation eingehender befassen müssen.

Angesichts von Zehntausenden von Schwachstellen, die jedes Jahr aufgedeckt werden, ist es von entscheidender Bedeutung, sich auf diejenigen Probleme zu konzentrieren, die das größte Risiko darstellen.

Stellenwert von CVSS

Das Common Vulnerability Scoring System (CVSS) ist ein Standardsystem der Cybersecurity-Branche, das wertvolle Erkenntnisse zu Ausmaß und Schweregrad von Schwachstellen bietet. CVSS-Bewertungen werden normalerweise zu dem Zeitpunkt festgelegt, zu dem sie für eine CVE generiert wurden. Änderungen auf Basis der tatsächlichen Auswirkungen einer Schwachstelle werden in vielen Fällen jedoch erst sehr viel später berücksichtigt.

So wurde etwa der Schwachstelle CVE-2019-11510 im Secure Socket Layer (SSL) Virtual Private Network (VPN) von Pulse Connect Secure am 9. Mai 2019 ursprünglich eine CVSS-Bewertung von 8,8 zugewiesen, wodurch die Sicherheitslücke als Schwachstelle mit hohem Schweregrad eingestuft wurde. Obwohl am 21. August 2019 ein Proof-of-Concept für die Schwachstelle vorlag, wurde die CVSS-Bewertung erst einen Monat später am 20. September 2019 aktualisiert, um der tatsächlichen Kritikalität der Sicherheitslücke Rechnung zu tragen.

Ein ähnlicher zeitlicher Verlauf ergab sich bei der Schwachstelle im FortiGuard SSL VPN, die als CVE-2018-13379 bezeichnet wurde und am 5. Juni 2019 zunächst eine CVSS-Bewertung von 7,5 erhielt. Dieser CVSS-Score wurde erst am 19. September 2019 aktualisiert – einen Monat nach der Veröffentlichung von Untersuchungen zu dieser Sicherheitslücke am 9. August sowie externen Versuchen zum Nachweis einer aktiven Ausnutzung der Schwachstelle im Verbund mit CVE-2019-11510 am 22. August.

CVSS-Bewertungen sind nützliche Indikatoren für den Schweregrad einer Schwachstelle und sollten nicht außer Acht gelassen werden. Doch Schwachstellen ausschließlich auf Grundlage dieser Bewertungen für Behebungsmaßnahmen zu priorisieren, kann sich als problematisch erweisen.

Schwachstellen, die vorrangig gepatcht werden sollten

Predictive Prioritization von Tenable weist Schwachstellen ein Vulnerability Priority Rating (VPR) zu. Neben CVSS-Bewertungen nutzt diese Lösung auch einen maschinellen Lernalgorithmus in Kombination mit Threat-Intelligence, um Schwachstellen zu priorisieren. Als Beitrag zum Schutz der sich ausweitenden Angriffsoberfläche stellen wir die nachstehende Übersicht zur Verfügung. In ihr sind die Schwachstellen (inklusive dazugehörigem VPR) aufgelistet, die nach Erkenntnissen unseres Teams und des Datenwissenschaftsteams am kritischsten für Unternehmen sind und daher besonders dringend gepatcht werden müssen.

Ermöglichen von Remote-Arbeit

SSL-VPN-Software wie Pulse Connect Secure, FortiGate, GlobalProtect sowie Citrix Application Delivery Controller und Gateway wird von Unternehmen eingesetzt, um sicheren Zugriff auf ihr Firmennetzwerk bereitzustellen. In diesen Anwendungen wurden mehrere Schwachstellen aufgedeckt – und von Bedrohungsakteuren bereits aktiv ausgenutzt. Deshalb wird es immer wichtiger, dass Unternehmen, die diese SSL-VPNs verwenden, auch sicherstellen, dass diese entsprechend gepatcht sind.

Darüber hinaus können einzelne Mitarbeiter mithilfe von Remote Desktop Services virtuell auf Computer innerhalb der Unternehmensumgebung zugreifen – ganz so, als seien sie vor Ort und befänden sich direkt vor dem System. Die als „BlueKeep“ bezeichnete Schwachstelle CVE-2019-0708 ermöglicht das Ausführen von Remote-Code in Remote Desktop Services. Ihr wurde insbesondere deshalb große Aufmerksamkeit zuteil, weil sie zur nächsten Welle von WannaCry-Angriffen führen könnte. Auch wenn diese Angriffe nie eingetreten sind, wurde die Schwachstelle Berichten zufolge mehrere Monate später aktiv ausgenutzt. Remote Desktop an sich ist jedoch ein Bereich, den Unternehmen routinemäßig auf Exploit-Versuche überwachen und potenziell gefährdete RDP-Ziele identifizieren sollten.

CVE Produkt CVSS v3.x VPR* Intensität der Bedrohung
CVE-2019-11510 Pulse Connect Secure 10 10 Sehr hoch
CVE-2018-13379 FortiGate SSL VPN 9.8 9.6 Sehr hoch
CVE-2019-1579 Palo Alto Networks GlobalProtect 8.1 9.4 Hoch
CVE-2019-19781 Citrix Application Delivery Controller und Gateway 9.8 9.9 Sehr hoch
CVE-2019-0708 Remote Desktop Services 9.8 9.9 Sehr hoch

*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.

Von bösartigen E-Mails und Exploit-Kits ausgenutzte Schwachstellen

Cyberkriminelle machten sich die Angst vor COVID-19 gezielt zunutze. Besonders beliebt bei ihnen ist CVE-2017-11882, eine Schwachstelle, die in manipulierten Dokumenten ausgenutzt wird und einen Stapelüberlauf im Formel-Editor von Microsoft Office verursacht. Diese Schwachstelle ist seit Jahren ein fester Bestandteil in böswilligen E-Mail-Kampagnen und wird auch in Zukunft zu den gängigsten Werkzeugen von Bedrohungsakteuren zählen.

Ein weiteres Tool aus dem Arsenal von Bedrohungsakteuren sind Exploit-Kits. Hierbei handelt es sich um Software, die von Cyberkriminellen entwickelt wurde, um das Vorhandensein gängiger Software-Anwendungen auf dem Rechner eines Opfers festzustellen und die Schwachstelle auszuwählen, die für ihr Vorhaben am besten geeignet ist. Schwachstellen in Adobe Flash Player wie CVE-2018-15982 und CVE-2018-4878 waren lange Zeit zentraler Bestandteil verschiedener Exploit-Kits. Das bevorstehende End-of-Life (EOL) des Adobe Flash Player hat in Verbindung mit der zunehmenden Verlagerung auf HTML5 jedoch dazu geführt, dass Flash Player-Schwachstellen in einigen Exploit-Kits gar nicht mehr auftauchen und Bedrohungsakteure sich stattdessen nach Alternativen umsehen müssen. CVE-2018-8174 – eine sogenannte „Use-after-free“-Schwachstelle in der VBScript Engine, die von Sicherheitsforschern auch „Double Kill“ genannt wird, weil sie gleich zwei Objekte im Speicher beschädigt – ist eine dieser Schwachstellen, die in Exploit-Kits immer größeren Anklang finden.

CVE Produkt CVSS v3.x VPR* Intensität der Bedrohung
CVE-2017-11882 Microsoft Office 7.8 9.9 Sehr hoch
CVE-2018-15982 Adobe Flash Player 9.8 9.9 Sehr hoch
CVE-2018-8174 Internet Explorer (VBScript Engine) 7.5 9.9 Sehr hoch
CVE-2018-4878 Adobe Flash Player 7.5 9.8 Sehr hoch
CVE-2017-0199 Microsoft Office 7.8 9.9 Sehr hoch

*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.

Weitere aktiv ausgenutzte Schwachstellen

Für Unternehmen, die bestimmte Versionen von Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) einsetzen, ist es wichtig, die Schwachstelle CVE-2018-0296 zu patchen. Diese öffnet die Tür für Denial-of-Service-Angriffe über die Weboberfläche der betroffenen Geräte, die unerwartetes erneutes Laden verursachen. Cisco warnt davor, dass bestimmte anfällige ASA-Versionen nicht erneut geladen werden, ein nicht authentifizierter Angreifer jedoch Einsicht in vertrauliche Systeminformationen auf dem Gerät erhalten könnte. Laut Ende 2019 publizierten Berichten kam es verstärkt zu Exploit-Versuchen dieser Schwachstelle.

Darüber hinaus wird CVE-2019-0604 – eine Schwachstelle im Zusammenhang mit der Validierung von unzulässigen Eingaben in Microsoft SharePoint, der beliebten Kooperationsplattform zur Speicherung und Verwaltung von Dokumenten – bereits seit Mai 2019 aktiv ausgenutzt. Zu Beginn erhielt diese Schwachstelle eine CVSSv3-Bewertung von 7,8. Im Juni 2019 wurde diese Bewertung revidiert und zunächst auf 8,8 hochgesetzt, bevor im Dezember 2019 eine weitere Aktualisierung auf 9,8 erfolgte. Falls Ihr Unternehmen Microsoft SharePoint einsetzt, ist es unumgänglich, diese Schwachstelle zu patchen.

CVE Produkt CVSSv3.x VPR* Intensität der Bedrohung
CVE-2018-0296 Cisco ASA und Firepower 7.5 8.8 Sehr niedrig
CVE-2019-0604 Microsoft SharePoint 9.8 9.4 Niedrig

*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.

Neuausrichtung in Zeiten großer Ungewissheit

Angesichts all der Veränderungen an unserer Arbeitsweise in diesen unsicheren Zeiten müssen Unternehmen ein klares Bild davon haben, wie sich die Angriffsoberfläche verlagert und wie sie am besten reagieren sollten. Wissen ist Macht – sowohl im Hinblick auf die Kenntnis aller Assets in der eigenen Umgebung und des damit verbundenen Risikos, als auch in Bezug auf die für risikobasierte Entscheidungen benötigten Informationen. Die Implementierung eines risikobasierten Schwachstellen-Management-Programms in Ihrem Unternehmen hilft dabei, sich in dieser völlig neuen Situation besser zurechtzufinden.

Identifizieren betroffener Systeme

Eine Liste aller Tenable-Plugins zur Identifizierung dieser Schwachstellen finden Sie hier.

Weitere Informationen

Verfolgen Sie die Beiträge des Security Response Team von Tenable in der Tenable Community.

Erfahren Sie mehr über Tenable, die erste Cyber Exposure-Plattform für die ganzheitliche Verwaltung Ihrer modernen Angriffsoberfläche.

Testen Sie Tenable.io Vulnerability Management 30 Tage kostenlos.

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

2.275,00 USD

Jetzt kaufen

Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support haben Sie rund um die Uhr und 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und E-Mail sowie über die Community. Vollständige Details finden Sie hier.

KOSTENLOSER Advanced Support

beim Kauf von Nessus Professional

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.