Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Schutz von Remote-Mitarbeitern: Diese kritischen Schwachstellen gilt es zu finden und zu beheben

Da sich unsere Arbeitsweise in dieser von Unsicherheit geprägten Zeit stark verändert, ist die Identifizierung, Priorisierung und Behebung von kritischen Schwachstellen, die bereits aktiv ausgenutzt werden, von größter Wichtigkeit.

Kürzlich sind wir bereits darauf eingegangen, inwiefern die weltweiten Reaktionen auf die Corona-Krise zu einer Vergrößerung der Angriffsoberfläche von Unternehmen geführt haben. Diese auf eigenen Untersuchungen und öffentlich zugänglichen Informationen beruhenden Erkenntnisse vermitteln einen ersten Eindruck von einigen wichtigen Bereichen, mit denen sich Unternehmen angesichts der veränderten Personalsituation eingehender befassen müssen.

Angesichts von Zehntausenden von Schwachstellen, die jedes Jahr aufgedeckt werden, ist es von entscheidender Bedeutung, sich auf diejenigen Probleme zu konzentrieren, die das größte Risiko darstellen.

Stellenwert von CVSS

Das Common Vulnerability Scoring System (CVSS) ist ein Standardsystem der Cybersecurity-Branche, das wertvolle Erkenntnisse zu Ausmaß und Schweregrad von Schwachstellen bietet. CVSS-Bewertungen werden normalerweise zu dem Zeitpunkt festgelegt, zu dem sie für eine CVE generiert wurden. Änderungen auf Basis der tatsächlichen Auswirkungen einer Schwachstelle werden in vielen Fällen jedoch erst sehr viel später berücksichtigt.

So wurde etwa der Schwachstelle CVE-2019-11510 im Secure Socket Layer (SSL) Virtual Private Network (VPN) von Pulse Connect Secure am 9. Mai 2019 ursprünglich eine CVSS-Bewertung von 8,8 zugewiesen, wodurch die Sicherheitslücke als Schwachstelle mit hohem Schweregrad eingestuft wurde. Obwohl am 21. August 2019 ein Proof-of-Concept für die Schwachstelle vorlag, wurde die CVSS-Bewertung erst einen Monat später am 20. September 2019 aktualisiert, um der tatsächlichen Kritikalität der Sicherheitslücke Rechnung zu tragen.

Ein ähnlicher zeitlicher Verlauf ergab sich bei der Schwachstelle im FortiGuard SSL VPN, die als CVE-2018-13379 bezeichnet wurde und am 5. Juni 2019 zunächst eine CVSS-Bewertung von 7,5 erhielt. Dieser CVSS-Score wurde erst am 19. September 2019 aktualisiert – einen Monat nach der Veröffentlichung von Untersuchungen zu dieser Sicherheitslücke am 9. August sowie externen Versuchen zum Nachweis einer aktiven Ausnutzung der Schwachstelle im Verbund mit CVE-2019-11510 am 22. August.

CVSS-Bewertungen sind nützliche Indikatoren für den Schweregrad einer Schwachstelle und sollten nicht außer Acht gelassen werden. Doch Schwachstellen ausschließlich auf Grundlage dieser Bewertungen für Behebungsmaßnahmen zu priorisieren, kann sich als problematisch erweisen.

Schwachstellen, die vorrangig gepatcht werden sollten

Predictive Prioritization von Tenable weist Schwachstellen ein Vulnerability Priority Rating (VPR) zu. Neben CVSS-Bewertungen nutzt diese Lösung auch einen maschinellen Lernalgorithmus in Kombination mit Threat-Intelligence, um Schwachstellen zu priorisieren. Als Beitrag zum Schutz der sich ausweitenden Angriffsoberfläche stellen wir die nachstehende Übersicht zur Verfügung. In ihr sind die Schwachstellen (inklusive dazugehörigem VPR) aufgelistet, die nach Erkenntnissen unseres Teams und des Datenwissenschaftsteams am kritischsten für Unternehmen sind und daher besonders dringend gepatcht werden müssen.

Ermöglichen von Remote-Arbeit

SSL-VPN-Software wie Pulse Connect Secure, FortiGate, GlobalProtect sowie Citrix Application Delivery Controller und Gateway wird von Unternehmen eingesetzt, um sicheren Zugriff auf ihr Firmennetzwerk bereitzustellen. In diesen Anwendungen wurden mehrere Schwachstellen aufgedeckt – und von Bedrohungsakteuren bereits aktiv ausgenutzt. Deshalb wird es immer wichtiger, dass Unternehmen, die diese SSL-VPNs verwenden, auch sicherstellen, dass diese entsprechend gepatcht sind.

Darüber hinaus können einzelne Mitarbeiter mithilfe von Remote Desktop Services virtuell auf Computer innerhalb der Unternehmensumgebung zugreifen – ganz so, als seien sie vor Ort und befänden sich direkt vor dem System. Die als „BlueKeep“ bezeichnete Schwachstelle CVE-2019-0708 ermöglicht das Ausführen von Remote-Code in Remote Desktop Services. Ihr wurde insbesondere deshalb große Aufmerksamkeit zuteil, weil sie zur nächsten Welle von WannaCry-Angriffen führen könnte. Auch wenn diese Angriffe nie eingetreten sind, wurde die Schwachstelle Berichten zufolge mehrere Monate später aktiv ausgenutzt. Remote Desktop an sich ist jedoch ein Bereich, den Unternehmen routinemäßig auf Exploit-Versuche überwachen und potenziell gefährdete RDP-Ziele identifizieren sollten.

CVE Produkt CVSS v3.x VPR* Intensität der Bedrohung
CVE-2019-11510 Pulse Connect Secure 10 10 Sehr hoch
CVE-2018-13379 FortiGate SSL VPN 9.8 9.6 Sehr hoch
CVE-2019-1579 Palo Alto Networks GlobalProtect 8.1 9.4 Hoch
CVE-2019-19781 Citrix Application Delivery Controller und Gateway 9.8 9.9 Sehr hoch
CVE-2019-0708 Remote Desktop Services 9.8 9.9 Sehr hoch

*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.

Von bösartigen E-Mails und Exploit-Kits ausgenutzte Schwachstellen

Cyberkriminelle machten sich die Angst vor COVID-19 gezielt zunutze. Besonders beliebt bei ihnen ist CVE-2017-11882, eine Schwachstelle, die in manipulierten Dokumenten ausgenutzt wird und einen Stapelüberlauf im Formel-Editor von Microsoft Office verursacht. Diese Schwachstelle ist seit Jahren ein fester Bestandteil in böswilligen E-Mail-Kampagnen und wird auch in Zukunft zu den gängigsten Werkzeugen von Bedrohungsakteuren zählen.

Ein weiteres Tool aus dem Arsenal von Bedrohungsakteuren sind Exploit-Kits. Hierbei handelt es sich um Software, die von Cyberkriminellen entwickelt wurde, um das Vorhandensein gängiger Software-Anwendungen auf dem Rechner eines Opfers festzustellen und die Schwachstelle auszuwählen, die für ihr Vorhaben am besten geeignet ist. Schwachstellen in Adobe Flash Player wie CVE-2018-15982 und CVE-2018-4878 waren lange Zeit zentraler Bestandteil verschiedener Exploit-Kits. Das bevorstehende End-of-Life (EOL) des Adobe Flash Player hat in Verbindung mit der zunehmenden Verlagerung auf HTML5 jedoch dazu geführt, dass Flash Player-Schwachstellen in einigen Exploit-Kits gar nicht mehr auftauchen und Bedrohungsakteure sich stattdessen nach Alternativen umsehen müssen. CVE-2018-8174 – eine sogenannte „Use-after-free“-Schwachstelle in der VBScript Engine, die von Sicherheitsforschern auch „Double Kill“ genannt wird, weil sie gleich zwei Objekte im Speicher beschädigt – ist eine dieser Schwachstellen, die in Exploit-Kits immer größeren Anklang finden.

CVE Produkt CVSS v3.x VPR* Intensität der Bedrohung
CVE-2017-11882 Microsoft Office 7.8 9.9 Sehr hoch
CVE-2018-15982 Adobe Flash Player 9.8 9.9 Sehr hoch
CVE-2018-8174 Internet Explorer (VBScript Engine) 7.5 9.9 Sehr hoch
CVE-2018-4878 Adobe Flash Player 7.5 9.8 Sehr hoch
CVE-2017-0199 Microsoft Office 7.8 9.9 Sehr hoch

*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.

Weitere aktiv ausgenutzte Schwachstellen

Für Unternehmen, die bestimmte Versionen von Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) einsetzen, ist es wichtig, die Schwachstelle CVE-2018-0296 zu patchen. Diese öffnet die Tür für Denial-of-Service-Angriffe über die Weboberfläche der betroffenen Geräte, die unerwartetes erneutes Laden verursachen. Cisco warnt davor, dass bestimmte anfällige ASA-Versionen nicht erneut geladen werden, ein nicht authentifizierter Angreifer jedoch Einsicht in vertrauliche Systeminformationen auf dem Gerät erhalten könnte. Laut Ende 2019 publizierten Berichten kam es verstärkt zu Exploit-Versuchen dieser Schwachstelle.

Darüber hinaus wird CVE-2019-0604 – eine Schwachstelle im Zusammenhang mit der Validierung von unzulässigen Eingaben in Microsoft SharePoint, der beliebten Kooperationsplattform zur Speicherung und Verwaltung von Dokumenten – bereits seit Mai 2019 aktiv ausgenutzt. Zu Beginn erhielt diese Schwachstelle eine CVSSv3-Bewertung von 7,8. Im Juni 2019 wurde diese Bewertung revidiert und zunächst auf 8,8 hochgesetzt, bevor im Dezember 2019 eine weitere Aktualisierung auf 9,8 erfolgte. Falls Ihr Unternehmen Microsoft SharePoint einsetzt, ist es unumgänglich, diese Schwachstelle zu patchen.

CVE Produkt CVSSv3.x VPR* Intensität der Bedrohung
CVE-2018-0296 Cisco ASA und Firepower 7.5 8.8 Sehr niedrig
CVE-2019-0604 Microsoft SharePoint 9.8 9.4 Gering

*Die VPR-Bewertungen von Tenable werden jede Nacht neu berechnet. Dieser Blog-Beitrag wurde am 13. April veröffentlicht und entspricht den damaligen VPR-Bewertungen.

Neuausrichtung in Zeiten großer Ungewissheit

Angesichts all der Veränderungen an unserer Arbeitsweise in diesen unsicheren Zeiten müssen Unternehmen ein klares Bild davon haben, wie sich die Angriffsoberfläche verlagert und wie sie am besten reagieren sollten. Wissen ist Macht – sowohl im Hinblick auf die Kenntnis aller Assets in der eigenen Umgebung und des damit verbundenen Risikos, als auch in Bezug auf die für risikobasierte Entscheidungen benötigten Informationen. Die Implementierung eines risikobasierten Schwachstellen-Management-Programms in Ihrem Unternehmen hilft dabei, sich in dieser völlig neuen Situation besser zurechtzufinden.

Identifizieren betroffener Systeme

Eine Liste aller Tenable-Plugins zur Identifizierung dieser Schwachstellen finden Sie hier.

Weitere Informationen

Verfolgen Sie die Beiträge des Security Response Team von Tenable in der Tenable Community.

Erfahren Sie mehr über Tenable, die erste Cyber Exposure-Plattform für die ganzheitliche Verwaltung Ihrer modernen Angriffsoberfläche.

Testen Sie Tenable.io Vulnerability Management 30 Tage kostenlos.

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen