Hacker nutzen ungepatchte Sicherheitslücken und Zero Day für Angriffe auf Regierungen und Auftragnehmer

Cyber Security News

Boeing KC-46A Pegasus Luftbetankungsjet, gebaut für die U.S. Air Force in der Flugzeugproduktionsstätte von Boeing am 22. Februar 2021 in Everett, Washington. Obwohl keine konkreten Unternehmen genannt wurden, gehörten Verteidigungsunternehmen zu den Zielen einer Kampagne von mindestens zwei Hackergruppen, die Schwachstellen in Pulse Secure VPN-Geräten ausnutzten. (Foto: David Ryder/Getty Images)

Während die Cybersicherheits-Community jeden Tag eine scheinbar unendliche Liste neu entdeckter Software- und Hardwareschwachstellen veröffentlicht, ist die Wahrscheinlichkeit, dass viele Unternehmen ganz oder teilweise durch ältere Schwachstellen kompromittiert werden, die noch nicht gepatcht wurden, weitaus größer.

In einem neuen Blogbeitrag, der heute Morgen veröffentlicht wurde, hat das Mandiant-Team von FireEye aufgedeckt, dass mindestens zwei Hackergruppen – von denen eine mit China in Verbindung gebracht wird – das Schlimmste aus beiden Welten ausnutzen: Sie nutzen ältere, ungepatchte Schwachstellen mit einem gefährlichen neuen Zero-Day, um Regierungen, Verteidigungsunternehmen und andere Unternehmen in den USA und Europa anzugreifen.

Mandiant hat 12 Malware-Familien identifiziert, die aktiv Schwachstellen in Pulse Secure VPN-Geräten aus dem letzten Jahr ausnutzen. Eine dieser Schwachstellen nutzte einen Fehler zur Remote-Code-Ausführung aus, war bisher unbekannt und wird vom Common Vulnerability Scoring System mit 10 von 10 Punkten bewertet. Die anderen drei wurden im Jahr 2019 oder 2020 entdeckt und gepatcht.

CISA hat ein Advisory veröffentlicht, in dem bestätigt wird, dass die Agentur “Kenntnis von Kompromittierungen hat, die US-Regierungsbehörden, kritische Infrastruktureinrichtungen und andere Organisationen des privaten Sektors durch einen Cyber-Bedrohungsakteur – oder Akteure – ab Juni 2020 oder früher betreffen.”

Mandiant sagte, es habe auf “mehrere Sicherheitsvorfälle” reagiert, bei denen die Schwachstellen ausgenutzt wurden, und während die 12 Malware-Familien, die markiert wurden, alle mit der Umgehung von Authentifizierungsschutz umgehen, um Hintertüren zu installieren, werden sie nicht alle zusammen verwendet und wurden in separaten Untersuchungen über mehrere Gruppen hinweg beobachtet. Das Unternehmen erklärte, dass es mit Regierungen, Strafverfolgungsbehörden, Pulse Secure und dem Threat Intelligence Center von Microsoft zusammenarbeitet, um die Angriffe zu untersuchen und Möglichkeiten zu ihrer Behebung zu entwickeln.

“Diese Akteure sind hochqualifiziert und verfügen über ein tiefes technisches Wissen über das Produkt Pulse Secure. Sie haben eine Malware entwickelt, die es ihnen ermöglicht, Active Directory-Anmeldedaten abzufangen und die Multifaktor-Authentifizierung auf Pulse Secure-Geräten zu umgehen, um auf die Netzwerke der Opfer zuzugreifen”, so Charles Carmakal, Senior Vice President und Chief Technology Officer bei FireEye in einer Stellungnahme. “Sie modifizierten Skripte auf dem Pulse Secure-System, die es der Malware ermöglichten, Software-Updates und Werksresets zu überleben. Durch diese Vorgehensweise konnten die Akteure über mehrere Monate hinweg Zugang zu den Umgebungen ihrer Opfer erhalten, ohne entdeckt zu werden.”

Es gibt keinen Fix für die Zero-Day-RCE-Schwachstelle, die Pulse Secure Connect ab Version 9.0R3 betrifft, und in einer Unternehmensmitteilung wird der Zeitplan für das Patchen aller betroffenen Versionen derzeit als “TBD” angegeben. Phil Richards, Chief Security Officer bei Pulse Secure, schrieb in einem entsprechenden Blog-Update, dass eine “begrenzte Anzahl von Kunden” Beweise für die Ausnutzung der Schwachstelle auf ihren Pulse Connect Secure Appliances gefunden haben und dass das Unternehmen voraussichtlich irgendwann im Mai ein Software-Update bereitstellen wird.

Richards sagte, dass das Unternehmen mit der Cybersecurity and Infrastructure Security Agency, FireEye und dem Cybersecurity-Consultant Stroz Friedberg zusammenarbeitet, um bei der Untersuchung zu helfen, und dass das Unternehmen ein neues Tool ausgerollt hat, mit dem Kunden überprüfen können, ob Dateien in ihrem PCS-Image modifiziert oder verändert wurden, was auf eine Kompromittierung hindeuten könnte.

Während Pulse Secure den Vorfall noch untersucht, behauptete Richards, dass “Kunden sich bewusst sein sollten, dass keine anderen Pulse Secure-Produkte von diesen Problemen betroffen sind und sie nicht mit anderen Sicherheits- oder Produktverfügbarkeitsvorfällen in Verbindung stehen.”

Für den Moment haben sie einen temporären Workaround veröffentlicht, indem sie den Windows-Dateifreigabebrowser und Pulse Secure Collaboration deaktivieren, um URL-basierte Angriffe zu kastrieren. Die Abhilfe funktioniert jedoch nicht auf älteren Versionen und wird “nicht für einen Lizenzserver empfohlen.”

Die beiden Gruppen, die die Exploits bisher nutzen, wurden von Mandiant als UNC2630 und UNC2717 identifiziert. Das Akronym “UNC” steht für “Uncategorized Actor Entity”, ein Namensschema, das FireEye verwendet, um Cluster von Hackeraktivitäten zu klassifizieren, von denen sie glauben, dass sie miteinander in Verbindung stehen, bei denen aber die Beweise und das Vertrauen in die Verbindungen und die Zuordnung nicht so ausgereift sind wie bei den etablierteren “APT”- und “FIN”-Gruppen.

Während Mandiant sagte, dass sie nicht genügend Informationen über eine dieser Gruppen haben, um eine eindeutige Zuordnung vorzunehmen, vermuten sie, dass die andere (UNC2630) im Auftrag Chinas operiert und Verbindungen zu einer chinesischen APT-Gruppe hat, die manchmal Manganese genannt wird und dafür bekannt ist, mehrere Hacking-Teams mit unterschiedlichen Taktiken, Techniken und Verfahren zu beaufsichtigen. Laut Mandiant wurde UNC2630 dabei beobachtet, wie es die Schwachstellen nutzte, um US-Verteidigungsunternehmen anzugreifen, während UNC2717 sich auf globale Regierungsbehörden konzentrierte.

Carmakal sagte, dass die Gruppen offenbar spionagebezogene Ziele verfolgten und es derzeit keine Hinweise darauf gibt, dass die Aktivitäten Teil einer größeren Kompromittierung der Lieferkette von Pulse Secure, der Muttergesellschaft Ivanti oder deren Software waren.

“Ihre primären Ziele sind die Aufrechterhaltung eines langfristigen Zugangs zu Netzwerken, das Sammeln von Anmeldeinformationen und der Diebstahl geschützter Daten. Wir glauben, dass mehrere Cyberspionage-Gruppen diese Exploits und Tools verwenden, und es gibt einige Ähnlichkeiten zwischen Teilen dieser Aktivität und einem chinesischen Akteur, den wir APT5 nennen”, sagte er.

Der Angriff unterstreicht, dass selbst wenn Bedrohungsgruppen einen bisher unbekannten Exploit entwickeln, sie oft auf ältere Schwachstellen zurückgreifen, um zunächst Fuß zu fassen oder andere Teile der Angriffskette auszuführen. Dieses jüngste Beispiel “beweist erneut, dass das Management von Schwachstellenrisiken berücksichtigen muss, dass eine Kombination von Schwachstellen besorgniserregender sein sollte als eine einzelne kritische Schwachstelle”, so Dick Schrader, Global Vice President of Security Research bei New Net Technologies.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com