Regierungsstellen warnen vor staatlich geförderten Akteuren, die öffentlich bekannte Schwachstellen ausnutzen
Staatlich geförderte Akteure aus Russland und China nutzen bei ihren Angriffen einige derselben öffentlich bekannten Schwachstellen aus, für die alle bereits Patches zur Verfügung stehen.
Am 20. Oktober veröffentlichte die US-amerikanische National Security Agency (NSA) ein detailliertes Sicherheits-Advisory , um Cybersecurity-Verantwortliche über chinesische staatlich geförderte „Cyber-Akteure“ zu informieren, die bekannte Schwachstellen ausnutzen. Das Advisory soll für die Netzwerksicherheit verantwortliche Personen bei der Priorisierung von Patching- und Risikominderungsmaßnahmen unterstützen. Des Weiteren wird darin präzisiert, dass mit dem Internet verbundene Assets wie Tools für Remotezugriff und externe Webdienste wichtige Ziele für Angreifer darstellen.
Zwei Tage später veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) zusammen mit dem FBI ein gemeinsames Cybersecurity-Advisory über russische staatlich geförderte APT-Akteure (Advanced Persistent Threat), die fünf öffentlich bekannte Schwachstellen bei Angriffen ausnutzen. Drei der fünf in diesem Advisory aufgeführten Schwachstellen waren auch in der NSA-Warnung enthalten.
Während sich die NSA-Warnung in erster Linie auf nationale Sicherheitssysteme bezieht, endet sie mit einer umfassenderen Warnung: „Aufgrund der verschiedenen Systeme und Netzwerke, die durch die Informationen in diesem Produkt [der NSA-Warnung] außerhalb dieser Sektoren beeinträchtigt werden könnten, empfiehlt die NSA, dass die oben genannten CVEs von allen Netzwerkschutzbeauftragten vorrangig behandelt werden sollten.“
Viele der Schwachstellen in diesen Sicherheitshinweisen decken sich mit ähnlichen Warnungen, die von der CISA im letzten Jahr veröffentlicht wurden. Für alle diese aufgeführten Schwachstellen sind Patches verfügbar.
Vorherige Sicherheitswarnungen
Dies ist die jüngste in einer Reihe von Warnhinweisen von Regierungsstellen in diesem Jahr, die vor Bedrohungsakteuren warnen, die bekannte Schwachstellen mit verfügbaren Patches ausnutzen. Zwei der in der NSA-Warnung angeführten Schwachstellen, CVE-2020-19781 und CVE-2019-11510, wurden im Warnhinweis der CISA zu den Top-10 routinemäßig ausgenutzten Schwachstellen als einige der im Jahr 2020 am häufigsten ausgenutzten Schwachstellen identifiziert. Anfang Oktober arbeitete die CISA zusammen mit dem FBI an einem gemeinsamen Advisory über APT-Aktivitäten, bei denen verschiedene bekannte Schwachstellen ausgenutzt werden, darunter auch CVE-2020-1472 „Zerologon“. Mehrere der in diesem gemeinsamen Advisory aufgeführten Schwachstellen sind auch in der jüngsten NSA-Warnung enthalten.
Patching und Risikominderung
Die NSA führt in ihrer Warnung sechs Maßnahmen zur allgemeinen Risikominderung an. An der Spitze der Liste steht das zeitnahe Installieren von Patches und Updates:
- Sorgen Sie dafür, dass Systeme und Produkte nach der Veröffentlichung von Patches so schnell wie möglich aktualisiert und gepatcht werden.
- Wenn Daten gestohlen oder modifiziert wurden (einschließlich Zugangsdaten, Konten und Software), bevor das Gerät gepatcht wurde, gehen Sie davon aus, das die Folgen durch das Patchen nicht behoben werden. Deshalb sind regelmäßige Passwortänderungen und die Überprüfung von Konten eine gute Praxis.
- Deaktivieren Sie externe Verwaltungsfunktionen und richten Sie ein Out-of-Band-Verwaltungsnetzwerk ein.
- Blockieren Sie veraltete oder unbenutzte Protokolle am Netzwerkrand und deaktivieren Sie diese in Gerätekonfigurationen.
- Isolieren Sie mit dem Internet verbundene Dienste in einer Demilitarisierten Zone (DMZ) des Netzwerks, um die Gefährdung des internen Netzwerks zu verringern.
- Aktivieren Sie eine zuverlässige Protokollierung für mit dem Internet verbundene Dienste und überwachen Sie die Logs auf Anzeichen einer möglichen Kompromittierung.
Diese verschiedenen Warnungen von Regierungsstellen sollten hinlänglich verdeutlichen, wie wichtig es ist, diese Schwachstellen schnell und vollständig zu patchen. Bedrohungsakteure unterschiedlichster Kompetenzen nutzen diese Schwachstellen bei Angriffen gegen verschiedene Ziele aktiv aus. Und solange potenzielle Ziele nicht die verfügbaren Patches für ihre jeweiligen Geräte installiert haben, werden sie dies auch weiterhin tun.
Abdeckung durch Tenable
Alle in den NSA- und CISA/FBI-Warnungen genannten Schwachstellen werden von Tenable-Produkten abgedeckt. Die folgende Tabelle enthält Links zu den relevanten Plugins für jede Schwachstelle sowie zu Analysen von Tenable Research.
CVEs | Produkt | Datum der Veröffentlichung | Plugins & zusätzliche Info |
---|---|---|---|
CVE-2015-4852 | Oracle WebLogic Server | November 2015 | Plugins |
CVE-2017-6327 | Symantec Messaging Gateway | August 2017 | Plugins |
CVE-2018-6789 | Exim Message Transfer Agent | Februar 2018 | Plugins |
CVE-2018-4939 | Adobe ColdFusion | Mai 2018 | Plugins |
CVE-2019-3396 | Atlassian Confluence | März 2019 | Plugins | Blog-Beitrag |
CVE-2019-0708 | Windows Remote Desktop Protocol | April 2019 | Plugins | Blog Posts: 1, 2, 3 |
CVE-2019-0803 | Windows Win32k | April 2019 | Plugins |
CVE-2019-11510 | Pulse Connect Secure | April 2019 | Plugins | Blog-Beiträge: 1, 2, 3, 4 |
CVE-2019-11580 | Atlassian Crowd | Juni 2019 | Plugins | Blog-Beitrag |
CVE-2019-1040 | Windows NTLM | Juni 2019 | Plugins |
CVE-2019-18935 | Telerik UI for ASP.NET | Dezember 2019 | Plugins | Blog-Beitrag |
CVE-2019-19781 | Citrix Application Delivery Controller (ADC), Gateway and SDWAN WAN-OP | Dezember 2019 | Plugins | Blog-Beiträge 1, 2, 3, 4, 5, 6 |
CVE-2020-0601 | Windows CryptoAPI | Januar 2020 | Plugins | Blog-Beiträge: 1 ,2 |
CVE-2020-2555 | Oracle Coherence | Januar 2020 | Plugins | Blog-Beitrag |
CVE-2020-3118 | Cisco Discovery Protocol | Februar 2020 | Plugins | Blog-Beitrag |
CVE-2020-0688 | Microsoft Exchange Server | Februar 2020 | Plugins | Blog Posts: 1, 2, 3 |
CVE-2020-8515 | DrayTek Vigor | Februar 2020 | Plugins |
CVE-2020-10189 | Zoho ManageEngine | März 2020 | Plugins | Blog-Beitrag |
CVE-2020-5902 | F5 BIG-IP | Juli 2020 | Plugins | Blog Posts: 1, 2, 3 |
CVE-2020-15505 | MobileIron MDM | Juli 2020 | Plugins | Blog-Beitrag |
CVE-2020-1350 | Windows DNS Server | Juli 2020 | Plugins | Blog-Beitrag |
CVE-2020-8193 | Citrix ADC, Gateway and SDWAN WAN-OP | Juli 2020 | Plugins | Blog-Beitrag |
CVE-2020-8195 | Citrix ADC, Gateway and SDWAN WAN-OP | Juli 2020 | Plugins | Blog-Beitrag |
CVE-2020-8196 | Citrix ADC, Gateway and SDWAN WAN-OP | Juli 2020 | Plugins | Blog-Beitrag |
CVE-2020-1472 | Microsoft Netlogon | August 2020 | Plugins | Blog-Beiträge: 1, 2, 3 |
In CISA/FBI-Warnung (AA20-296A) genannte Schwachstellen | |||
CVE-2018-13379 | Fortinet VPN | Mai 2019 | Plugins | Blog Posts: 1, 2, 3 |
CVE-2019-10149 | Exim | Juni 2019 | Plugins | Blog-Beitrag |
Weitere Informationen
- Nehmen Sie an unserem Webinar am 29. Oktober teil (auf Englisch): Ramp-Up Your Response to Latest State Sponsored Attacks, 14 Uhr ET, Donnerstag, 29. Okt. 2020
- NSA Alert: Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities
- CISA/FBI Alert (AA20-296A): Russian State-Sponsored Advanced Persistent Threat Actor Compromises U.S. Government Targets
Verfolgen Sie die Beiträge des Security Response Team von Tenable in der Tenable Community.
Erfahren Sie mehr über Tenable, die erste Cyber Exposure-Plattform für die ganzheitliche Verwaltung Ihrer modernen Angriffsoberfläche.
Holen Sie sich eine kostenlose 30-tägige Testversion von Tenable.io Vulnerability Management.
Verwandte Artikel
- Federal
- Government
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning