Bedrohungsakteure umgehen schlampiges Patching und nehmen Netzwerk-Gateways ins Visier

Cyber Security News

Im Bild: Die Rapid7-Zentrale in Boston.

Ein neuer Bericht von Rapid7, der die Schwachstellenlandschaft 2020 untersucht, stellt fest, dass kriminelle und nationalstaatliche Hacker zunehmend auf Angriffe setzen, die auf Gateways zu Unternehmensnetzwerken abzielen und alternative Wege finden, um gepatchte Schwachstellen auszunutzen.

Der Bericht stellte fest, dass das Volumen der veröffentlichten Schwachstellen in den letzten fünf Jahren “signifikant” gestiegen ist, mit 18.362 gemeldeten Schwachstellen allein im Jahr 2020. Der Bericht untersuchte auch Dutzende von kritischen oder hochwirksamen Schwachstellen, die im vergangenen Jahr entdeckt wurden, von denen einige in bekannte Exploits umgewandelt wurden und andere still im Hintergrund sitzen und darauf warten, von der richtigen Hackergruppe oder dem richtigen Ransomware-Betreiber als Waffe für eine weit verbreitete Nutzung eingesetzt zu werden.

Zu den Ergebnissen gehören neun Schwachstellen, die als “Netzwerk-Pivots” fungieren, bei denen Angreifer VPNs, Firewalls und andere Internet-Technologien angreifen, um einen ersten Zugang zu erhalten. Oft wurden diese Schwachstellen mit anderen Exploits gepaart, um Privilegien zu erweitern oder Code auszuführen, der es den Angreifern ermöglichte, durch die Netzwerke der Opfer zu wandern und weiteres Unheil anzurichten.

Diese Pivots bleiben “extrem wertvoll für staatlich gesponserte und wenig qualifizierte Angreifer” sowie für legitime Sicherheitsforschung und Penetrationstests, so der Bericht. In einem Zeitraum von einem Monat zwischen Juni und Juli 2020 wurden vier verschiedene Schwachstellen mit einem CVSS-Schweregrad von 10 von 10 in weit verbreiteten Produkten von F5 Networks, Palo Alto Networks und anderen offengelegt.

Das Anvisieren von Gateway- und Perimeter-basierten Technologien wie VPNs und Firewalls ist zu einem großen Geschäft für Ransomware-Gruppen und kriminelle Broker geworden, die sich auf die Erlangung und den Verkauf von Erstzugängen zu Opfernetzwerken spezialisiert haben. Die National Security Agency (NSA) hat im vergangenen Jahr eine seltene öffentliche Mitteilung herausgegeben, in der sie feststellte, dass mehrere APT-Gruppen VPN-Schwachstellen ausnutzen, um sich einen breiteren Netzwerkzugang zu verschaffen.

Die zunehmende Einführung von Cloud- und “Zero Trust”-Technologien und -Prozessen sowie die jüngste Dezentralisierung von Mitarbeitern in Heimbüros nach der Coronavirus-Pandemie haben das Konzept eines Netzwerkperimeters, das vielen dieser Tools zugrunde lag, erheblich ausgehöhlt. In der Zwischenzeit investieren Risikokapitalfirmen zunehmend in Startups, die sicherheitsorientierte Alternativen zu VPNs und anderen Technologien anbieten.

Trotz dieser Entwicklung ist Caitlin Condon, Managerin für Software-Engineering bei Rapid7 und Hauptautorin des Berichts, gegenüber SC Media der Meinung, dass der Status quo wahrscheinlich noch einige Zeit Bestand haben wird.

“Ich glaube nicht, dass irgendeine dieser Technologien verschwinden wird. Es gibt immer noch einen Bedarf für sie”, sagte Condon. “Ob sich die Industrie weiterentwickeln wird, um sie auf andere Weise einzusetzen, so dass sie weniger Angriffsfläche für die Öffentlichkeit bieten, das ist eine offene Frage.

Zombie-Vulns steigen weiter aus dem Grab auf

Der direkteste Weg, viele Software-Sicherheitslücken zu schließen, ist oft ein Update. Einige Angreifer werden jedoch immer besser darin, Wege zu finden, Schwachstellen auszunutzen, lange nachdem sie gepatcht worden sind.

Manche Patches beheben eine Schwachstelle nur oberflächlich, anstatt die eigentliche Ursache zu beheben. Diese Dynamik hat zu einem Bannerjahr für Umgehungsschwachstellen geführt, in dem Bedrohungsakteure eine gepatchte CVE wieder aufgreifen und neue Wege entdecken, um dieselbe grundlegende Schwachstelle mit ein paar kleinen Änderungen am zugrunde liegenden Code oder der Kill Chain auszunutzen.

Die Gründe, warum diese Patches unvollständig sind, können variieren, von der Komplexität der ursprünglichen Schwachstelle und wie sie sich auf die Kernarchitektur des Host-Systems auswirkt, bis hin zu der Art und Weise, wie einige Unternehmen der Geschwindigkeit gegenüber der Gründlichkeit den Vorrang geben, wenn es darum geht, Patches für eine neu entdeckte Schwachstelle herauszugeben. Andere Faktoren können ein Mangel an Cybersicherheitsexperten sein, ein Mangel an Sicherheitsinput während des Softwareentwicklungsprozesses und Versäumnisse aufgrund von schierer Erschöpfung von Unternehmen, die mit einer beispiellosen Bedrohungslandschaft im digitalen Raum konfrontiert sind.

Das Endergebnis ist, dass selbst einfache Ratschläge wie “patchen Sie Ihre Systeme und Geräte” exponentiell komplexer und heikler werden können und böswilligen Hackern Tür und Tor öffnen, um dieselbe Schwachstelle doppelt oder dreifach auszunutzen, wenn sie alternative Wege finden können.

“Sicherheit ist wirklich schwer. Das ist überall so und ich habe enormes Mitgefühl für viele Sicherheitsteams, die von einer Schwachstelle erfahren haben, die zu dem Zeitpunkt, an dem sie davon erfahren, bereits angegriffen wird”, sagte Condon. “Ich denke, dass die Geschwindigkeit, mit der ein Fix veröffentlicht wird und die Kunden wissen, dass es eine kritische Schwachstelle gibt. [vulnerability] die behoben werden muss, ist wahrscheinlich [one] Grund dafür.”

Von den neun Bypass-Schwachstellen, die Rapid7 im Jahr 2020 aufgespürt hat, werden zwei als Bedrohung für eine weit verbreitete Ausnutzung über verschiedene Branchen hinweg eingestuft, während weitere sechs als “drohende Bedrohungen” klassifiziert werden, die sich in naher Zukunft weiter verbreiten könnten.

Das sind nicht die einzigen Zombie-Schwachstellen, die aus dem Grab aufzusteigen drohen, um Opfer zu quälen. Rapid7 hat weitere 14 kritische und weit verbreitete Schwachstellen identifiziert, die bereits gepatcht wurden, aber “wahrscheinlich noch bis weit ins Jahr 2021 ungepatchte Systeme belästigen werden.” Dazu gehören der berüchtigte Zerologon-Bug, eine Schwachstelle für Remote-Code-Ausführung in der BIG-IP TMUI-Konfiguration von F5 und eine Authentifizierungslücke in den Netweaver Application Servern von SAP.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com