Das vergangene Jahr war ein ständiges Spiel mit VPN-Schwachstellen, so dass Unternehmen, die veraltete Fernzugriffssysteme verwenden, potenziellen Cyberangriffen gegenüber weit offen sind. Hacker nutzen kritische Schwachstellen in alltäglicher Software aus, von VPNs - wie den hochgradig gefährlichen Ivanti CVEs und den Fortinet FortiVPN-Ereignissen - bis hin zu Firewalls wie Palo Alto Networks PAN-OS und Messaging-Anwendungen wie Telegram. Diese Schwachstellen ermöglichen es Angreifern, durch Remotecode-Ausführung die vollständige Kontrolle über Geräte zu übernehmen oder den Zugriff auf Geräte mit Denial-of-Service (DoS)-Angriffen zu blockieren und gefährden so Ihre wertvollen Daten.
Im Dezember 2023 nutzten chinesische, vom Staat unterstützte Hacker Zero-Day-Schwachstellen (CVE-2023-46805 & CVE-2023-21887) in Ivanti VPN-Produkten aus, die unbefugten Zugriff durch Umgehung der Authentifizierung und Fernsteuerung durch Remote Command Injection ermöglichten. Selbst nachdem Patches veröffentlicht wurden, fanden die Angreifer neue Schwachstellen (CVE-2024-21888), um die Korrekturen zu umgehen und ihre bösartigen Aktivitäten fortzusetzen.
Im Februar dieses Jahres schlug die U.S. Cybersecurity and Infrastructure Security Agency (CISA) wegen eines weiteren VPN-Angriffs Alarm. Diesmal waren die Cisco ASA Security Appliances, die Firewall-, Antivirus-, Intrusion Prevention- und virtuelle VPN-Funktionen kombinieren, das Ziel. Der Übeltäter war eine bekannte Sicherheitslücke (CVE-2020-3259), die von der Ransomware-Gruppe Akira ausgenutzt wurde, die sowohl Windows- als auch Linux-Systeme angreift. Die Cybercrime-Organisation nutzte falsch konfigurierte WebVPN/AnyConnect-Konfigurationen aus, um Daten zu stehlen.
Die neueste Sicherheitslücke stammt von Palo Alto Networks. Diese kritische Zero-Day-Schwachstelle mit der Bezeichnung CVE-2024-3400 betrifft das GlobalProtect VPN-Produkt des Herstellers. Die kritische Sicherheitslücke, die in Palo Alto Networks PAN-OS gefunden wurde, ermöglicht es Angreifern, mit Root-Rechten die vollständige Kontrolle über die Firewall selbst und die von ihr ermöglichte VPN-Konnektivität zu erlangen, ohne dass ein Benutzername und ein Passwort erforderlich sind. Um es einfach auszudrücken: Diese Zero-Day-Bedrohung hat den höchstmöglichen Schweregrad: 10 von 10.
In dem von Volexity veröffentlichten Artikel über die erste Entdeckung wurde festgestellt, dass der Angreifer sich darauf konzentrierte, Konfigurationsdaten von den Geräten zu exportieren und diese dann als Einstiegspunkt zu nutzen, um sich seitlich innerhalb der Zielunternehmen zu bewegen.
Diese wiederholten Angriffe mit Zero-Day-Exploits zeigen einen besorgniserregenden Trend auf: Das Problem liegt in der veralteten Architektur von VPNs selbst, nicht bei einem bestimmten Anbieter.
Abbildung 1. Die CISA hat einen Hinweis veröffentlicht, der bestätigt, dass die Sicherheitslücke von Palo Alto Networks aktiv ausgenutzt wird.
Wie kommt es zu diesen Vorfällen?
In den letzten Jahren wurden SSL-VPN-Produkte von einer Vielzahl von Bedrohungsakteuren ins Visier genommen, sowohl von finanziell motivierten Cyberkriminellen als auch von Hacktivisten mit nationalem Hintergrund. Wie lässt sich dieses Phänomen erklären? Die Antwort ist relativ einfach: SSL-VPNs können als Einstiegspunkt für den Zugriff auf einen Schatz an wertvollen Unternehmensdaten dienen. Sie bieten einen direkten Weg in das Netzwerk eines Unternehmens, was sie zu einem wertvollen Ausgangspunkt für weitere Angriffe macht.
Abbildung 2. Veraltete VPN-Architekturen bieten Angreifern nach wie vor große Chancen.
Der Anstieg der Fernarbeit nach der COVID-19-Pandemie hat SSL-VPNs zu einem zweischneidigen Schwert gemacht. Da sie leicht zugänglich sind, können Angreifer die Anfälligkeit von Fernarbeitern für Phishing und andere sozial motivierte Angriffe ausnutzen.
Die jüngsten Schwachstellen in VPNs und Firewalls, wie die Schwachstelle in Palo Alto Networks GlobalProtect, zeigen einen weiteren besorgniserregenden Trend auf. Hier geht es nicht darum, mit dem Finger auf bestimmte Anbieter zu zeigen. Vielmehr geht es um den grundlegenden Konstruktionsfehler dieser Technologien. Unternehmen müssen sich darüber im Klaren sein, dass mit dem Internet verbundene Anlagen wie Firewalls und VPNs bevorzugte Ziele für Angriffe sind. Sobald sich Angreifer Zugang verschafft haben, können sie sich mit herkömmlichen Legacy-Architekturen frei im Netzwerk bewegen, sensible Daten stehlen und kritische Anwendungen gefährden.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA ) und das australische Cybersicherheitszentrum (ACSC ) haben einen Leitfaden veröffentlicht, in dem empfohlen wird, dass Organisationen aller Größenordnungen - insbesondere in Behörden - aufgrund der Schwere der Sicherheitslücke schnell handeln sollten. Diese Artikel enthalten zusätzliche Ressourcen, die bei der Installation von Patches und der Begrenzung der Gefährdung helfen.
Abbildung 3. Das Australian Cyber Security Centre (ACSC) hat einen Leitfaden veröffentlicht, der die aktive Ausnutzung bestätigt.
Die Behebung von Schwachstellen ist nach wie vor von entscheidender Bedeutung, aber für eine wirklich proaktive Verteidigung gegen Zero-Day-Angriffe bietet eine Zero-Trust-Architektur den größten Vorteil.
Es gibt eine Reihe grundlegender Schritte, um die Exposition zu begrenzen:
- Minimieren Sie Angriffspunkte: Machen Sie kritische Anwendungen und anfällige VPNs online unsichtbar, um erste Angriffe zu verhindern.
- Begrenzen Sie Einbrüche: Verbinden Sie Benutzer direkt mit Anwendungen, um den Schaden durch kompromittierte Systeme zu minimieren.
- Stoppen Sie Bedrohungen schon am Eingangstor: Untersuchen Sie kontinuierlich den gesamten Datenverkehr, um aufkommende Bedrohungen automatisch zu blockieren.
- Beschränken Sie die Zugriffsprivilegien: Geben Sie Benutzern nur den Zugriff, den sie benötigen, um unautorisierte Aktionen zu verhindern.
"Zero Trust" ist zu einem Schlagwort in der Sicherheitsbranche geworden, aber wenn es richtig gemacht wird, ist es ein Ansatz, der einen echten Wert hat. Durch die Umsetzung der Zero Trust-Prinzipien und der zugrundeliegenden Architektur können Unternehmen die Sicherheitsrisiken, die herkömmliche Netzwerke plagen, effektiv angehen. Dazu gehören auch schwerwiegende Risiken durch Schwachstellen in Firewall- und VPN-Produkten.
Wenn Sie die Abhängigkeit von VPN minimieren und damit das Risiko, erneut durch eine Sicherheitslücke gefährdet zu werden, ausschalten können, warum sollten Sie diese Option nicht nutzen? Zero Trust wirft das alte Regelwerk über den Haufen. Anders als herkömmliche Netzwerke, die durch Firewalls und VPNs gesichert sind, verlässt sich Zero Trust nicht auf eine zentrale "vertrauenswürdige Zone". Stattdessen schafft es sichere Verbindungen direkt zwischen den Benutzern und den spezifischen Ressourcen, die sie benötigen. Dabei geht es nicht nur um Benutzer und Anwendungen. Zero Trust kann Workloads, Zweigstellen, Remote-Mitarbeiter und sogar industrielle Kontrollsysteme miteinander verbinden.
Skyhigh Security ermöglicht dies, indem es eine sichere Verbindung zu autorisierten Anwendungen herstellt, anstatt den anfragenden Benutzer oder das Gerät auf das Unternehmensnetzwerk zu verweisen. Jeder Benutzer, jedes Gerät und jede Verbindung wird kontinuierlich überprüft, bevor der Zugriff auf sensible Ressourcen gewährt wird. Vertrauen wird nie standardmäßig gewährt, so dass die Sicherheit und Integrität der Daten jederzeit gewährleistet ist, ohne dass die Verfügbarkeit oder Leistung für Ihre Benutzer beeinträchtigt wird.
Abbildung 4. Wie eine Zero-Trust-Architektur die Angriffsfläche drastisch einschränkt, insbesondere angesichts der drohenden Schwachstellen, Exploits und Lateral Movement-Angriffe.
Es ist an der Zeit, dass Sicherheitsverantwortliche sich Zero Trust zu eigen machen. Dieser Cloud-basierte Ansatz verkleinert die Angriffsfläche, indem er Schwachstellen beseitigt, die mit Firewalls, VPNs und anderen älteren Technologien verbunden sind. Indem es Angreifern die üblichen Einstiegspunkte verwehrt, schafft Zero Trust eine stärkere Verteidigung und robustere Sicherheitslage.
Referenzen: