Schutz von Remote-Mitarbeitern: Diese kritischen Schwachstellen gilt es zu finden und zu beheben
Da sich unsere Arbeitsweise in dieser von Unsicherheit geprägten Zeit stark verändert, ist die Identifizierung, Priorisierung und Behebung von kritischen Schwachstellen, die bereits aktiv ausgenutzt werden, von größter Wichtigkeit.
Kürzlich sind wir bereits darauf eingegangen, inwiefern die weltweiten Reaktionen auf die Corona-Krise zu einer Vergrößerung der Angriffsoberfläche von Unternehmen geführt haben. Diese auf eigenen Untersuchungen und öffentlich zugänglichen Informationen beruhenden Erkenntnisse vermitteln einen ersten Eindruck von einigen wichtigen Bereichen, mit denen sich Unternehmen angesichts der veränderten Personalsituation eingehender befassen müssen.
Angesichts von Zehntausenden von Schwachstellen, die jedes Jahr aufgedeckt werden, ist es von entscheidender Bedeutung, sich auf diejenigen Probleme zu konzentrieren, die das größte Risiko darstellen.
Stellenwert von CVSS
Das Common Vulnerability Scoring System (CVSS) ist ein Standardsystem der Cybersecurity-Branche, das wertvolle Erkenntnisse zu Ausmaß und Schweregrad von Schwachstellen bietet. CVSS-Bewertungen werden normalerweise zu dem Zeitpunkt festgelegt, zu dem sie für eine CVE generiert wurden. Änderungen auf Basis der tatsächlichen Auswirkungen einer Schwachstelle werden in vielen Fällen jedoch erst sehr viel später berücksichtigt.
So wurde etwa der Schwachstelle CVE-2019-11510 im Secure Socket Layer (SSL) Virtual Private Network (VPN) von Pulse Connect Secure am 9. Mai 2019 ursprünglich eine CVSS-Bewertung von 8,8 zugewiesen, wodurch die Sicherheitslücke als Schwachstelle mit hohem Schweregrad eingestuft wurde. Obwohl am 21. August 2019 ein Proof-of-Concept für die Schwachstelle vorlag, wurde die CVSS-Bewertung erst einen Monat später am 20. September 2019 aktualisiert, um der tatsächlichen Kritikalität der Sicherheitslücke Rechnung zu tragen.
Ein ähnlicher zeitlicher Verlauf ergab sich bei der Schwachstelle im FortiGuard SSL VPN, die als CVE-2018-13379 bezeichnet wurde und am 5. Juni 2019 zunächst eine CVSS-Bewertung von 7,5 erhielt. Dieser CVSS-Score wurde erst am 19. September 2019 aktualisiert – einen Monat nach der Veröffentlichung von Untersuchungen zu dieser Sicherheitslücke am 9. August sowie externen Versuchen zum Nachweis einer aktiven Ausnutzung der Schwachstelle im Verbund mit CVE-2019-11510 am 22. August.
CVSS-Bewertungen sind nützliche Indikatoren für den Schweregrad einer Schwachstelle und sollten nicht außer Acht gelassen werden. Doch Schwachstellen ausschließlich auf Grundlage dieser Bewertungen für Behebungsmaßnahmen zu priorisieren, kann sich als problematisch erweisen.
Schwachstellen, die vorrangig gepatcht werden sollten
Predictive Prioritization von Tenable weist Schwachstellen ein Vulnerability Priority Rating (VPR) zu. Neben CVSS-Bewertungen nutzt diese Lösung auch einen maschinellen Lernalgorithmus in Kombination mit Threat-Intelligence, um Schwachstellen zu priorisieren. Als Beitrag zum Schutz der sich ausweitenden Angriffsoberfläche stellen wir die nachstehende Übersicht zur Verfügung. In ihr sind die Schwachstellen (inklusive dazugehörigem VPR) aufgelistet, die nach Erkenntnissen unseres Teams und des Datenwissenschaftsteams am kritischsten für Unternehmen sind und daher besonders dringend gepatcht werden müssen.
Ermöglichen von Remote-Arbeit
SSL-VPN-Software wie Pulse Connect Secure, FortiGate, GlobalProtect sowie Citrix Application Delivery Controller und Gateway wird von Unternehmen eingesetzt, um sicheren Zugriff auf ihr Firmennetzwerk bereitzustellen. In diesen Anwendungen wurden mehrere Schwachstellen aufgedeckt – und von Bedrohungsakteuren bereits aktiv ausgenutzt. Deshalb wird es immer wichtiger, dass Unternehmen, die diese SSL-VPNs verwenden, auch sicherstellen, dass diese entsprechend gepatcht sind.
Darüber hinaus können einzelne Mitarbeiter mithilfe von Remote Desktop Services virtuell auf Computer innerhalb der Unternehmensumgebung zugreifen – ganz so, als seien sie vor Ort und befänden sich direkt vor dem System. Die als „BlueKeep“ bezeichnete Schwachstelle CVE-2019-0708 ermöglicht das Ausführen von Remote-Code in Remote Desktop Services. Ihr wurde insbesondere deshalb große Aufmerksamkeit zuteil, weil sie zur nächsten Welle von WannaCry-Angriffen führen könnte. Auch wenn diese Angriffe nie eingetreten sind, wurde die Schwachstelle Berichten zufolge mehrere Monate später aktiv ausgenutzt. Remote Desktop an sich ist jedoch ein Bereich, den Unternehmen routinemäßig auf Exploit-Versuche überwachen und potenziell gefährdete RDP-Ziele identifizieren sollten.
CVE | Produkt | CVSS v3.x | VPR* | Intensität der Bedrohung |
---|---|---|---|---|
CVE-2019-11510 | Pulse Connect Secure | 10 | 10 | Sehr hoch |
CVE-2018-13379 | FortiGate SSL VPN | 9.8 | 9.6 | Sehr hoch |
CVE-2019-1579 | Palo Alto Networks GlobalProtect | 8.1 | 9.4 | Hoch |
CVE-2019-19781 | Citrix Application Delivery Controller und Gateway | 9.8 | 9.9 | Sehr hoch |
CVE-2019-0708 | Remote Desktop Services | 9.8 | 9.9 | Sehr hoch |
*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.
Von bösartigen E-Mails und Exploit-Kits ausgenutzte Schwachstellen
Cyberkriminelle machten sich die Angst vor COVID-19 gezielt zunutze. Besonders beliebt bei ihnen ist CVE-2017-11882, eine Schwachstelle, die in manipulierten Dokumenten ausgenutzt wird und einen Stapelüberlauf im Formel-Editor von Microsoft Office verursacht. Diese Schwachstelle ist seit Jahren ein fester Bestandteil in böswilligen E-Mail-Kampagnen und wird auch in Zukunft zu den gängigsten Werkzeugen von Bedrohungsakteuren zählen.
Ein weiteres Tool aus dem Arsenal von Bedrohungsakteuren sind Exploit-Kits. Hierbei handelt es sich um Software, die von Cyberkriminellen entwickelt wurde, um das Vorhandensein gängiger Software-Anwendungen auf dem Rechner eines Opfers festzustellen und die Schwachstelle auszuwählen, die für ihr Vorhaben am besten geeignet ist. Schwachstellen in Adobe Flash Player wie CVE-2018-15982 und CVE-2018-4878 waren lange Zeit zentraler Bestandteil verschiedener Exploit-Kits. Das bevorstehende End-of-Life (EOL) des Adobe Flash Player hat in Verbindung mit der zunehmenden Verlagerung auf HTML5 jedoch dazu geführt, dass Flash Player-Schwachstellen in einigen Exploit-Kits gar nicht mehr auftauchen und Bedrohungsakteure sich stattdessen nach Alternativen umsehen müssen. CVE-2018-8174 – eine sogenannte „Use-after-free“-Schwachstelle in der VBScript Engine, die von Sicherheitsforschern auch „Double Kill“ genannt wird, weil sie gleich zwei Objekte im Speicher beschädigt – ist eine dieser Schwachstellen, die in Exploit-Kits immer größeren Anklang finden.
CVE | Produkt | CVSS v3.x | VPR* | Intensität der Bedrohung |
---|---|---|---|---|
CVE-2017-11882 | Microsoft Office | 7.8 | 9.9 | Sehr hoch |
CVE-2018-15982 | Adobe Flash Player | 9.8 | 9.9 | Sehr hoch |
CVE-2018-8174 | Internet Explorer (VBScript Engine) | 7.5 | 9.9 | Sehr hoch |
CVE-2018-4878 | Adobe Flash Player | 7.5 | 9.8 | Sehr hoch |
CVE-2017-0199 | Microsoft Office | 7.8 | 9.9 | Sehr hoch |
*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.
Weitere aktiv ausgenutzte Schwachstellen
Für Unternehmen, die bestimmte Versionen von Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) einsetzen, ist es wichtig, die Schwachstelle CVE-2018-0296 zu patchen. Diese öffnet die Tür für Denial-of-Service-Angriffe über die Weboberfläche der betroffenen Geräte, die unerwartetes erneutes Laden verursachen. Cisco warnt davor, dass bestimmte anfällige ASA-Versionen nicht erneut geladen werden, ein nicht authentifizierter Angreifer jedoch Einsicht in vertrauliche Systeminformationen auf dem Gerät erhalten könnte. Laut Ende 2019 publizierten Berichten kam es verstärkt zu Exploit-Versuchen dieser Schwachstelle.
Darüber hinaus wird CVE-2019-0604 – eine Schwachstelle im Zusammenhang mit der Validierung von unzulässigen Eingaben in Microsoft SharePoint, der beliebten Kooperationsplattform zur Speicherung und Verwaltung von Dokumenten – bereits seit Mai 2019 aktiv ausgenutzt. Zu Beginn erhielt diese Schwachstelle eine CVSSv3-Bewertung von 7,8. Im Juni 2019 wurde diese Bewertung revidiert und zunächst auf 8,8 hochgesetzt, bevor im Dezember 2019 eine weitere Aktualisierung auf 9,8 erfolgte. Falls Ihr Unternehmen Microsoft SharePoint einsetzt, ist es unumgänglich, diese Schwachstelle zu patchen.
CVE | Produkt | CVSSv3.x | VPR* | Intensität der Bedrohung |
---|---|---|---|---|
CVE-2018-0296 | Cisco ASA und Firepower | 7.5 | 8.8 | Sehr niedrig |
CVE-2019-0604 | Microsoft SharePoint | 9.8 | 9.4 | Gering |
*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.
Neuausrichtung in Zeiten großer Ungewissheit
Angesichts all der Veränderungen an unserer Arbeitsweise in diesen unsicheren Zeiten müssen Unternehmen ein klares Bild davon haben, wie sich die Angriffsoberfläche verlagert und wie sie am besten reagieren sollten. Wissen ist Macht – sowohl im Hinblick auf die Kenntnis aller Assets in der eigenen Umgebung und des damit verbundenen Risikos, als auch in Bezug auf die für risikobasierte Entscheidungen benötigten Informationen. Die Implementierung eines risikobasierten Schwachstellen-Management-Programms in Ihrem Unternehmen hilft dabei, sich in dieser völlig neuen Situation besser zurechtzufinden.
Identifizieren betroffener Systeme
Eine Liste aller Tenable-Plugins zur Identifizierung dieser Schwachstellen finden Sie hier.
Weitere Informationen
Verfolgen Sie die Beiträge des Security Response Team von Tenable in der Tenable Community.
Erfahren Sie mehr über Tenable, die erste Cyber Exposure-Plattform für die ganzheitliche Verwaltung Ihrer modernen Angriffsoberfläche.
Testen Sie Tenable.io Vulnerability Management 30 Tage kostenlos.
Verwandte Artikel
- Remote Workforce
- Vulnerability Management