Cyberbedrohungen
Schutz vor den Ivanti-Schwachstellen
Derzeit machen die Meldungen über die Ivanti-Schwachstellen die Runde. Der Schutz davor hat natürlich Priorität, doch sollten sich Unternehmen prinzipiell Gedanken über den Umgang mit VPNs und Netzsicherheit machen – ein paar Vorschläge.
Der Ivanti Zero-Day-Schwachstelle (mittlerweile sind bereits drei bekannt) wurde lange nicht die Aufmerksamkeit geschenkt, derer sie bedarf, hat sie doch substanzielle reale Auswirkungen. Mittlerweile hat die CISA die Sicherheitslücke im Ivanti Endpoint Manager Mobile dem Known Exploited Vulnerabilities (KEV) Catalog hinzugefügt. Aktuell gibt es auch Meldungen über massive Angriffe auf die kritischen Lücken, wobei Systeme in Deutschland besonders betroffen sind.
Ein Problem im Zusammenhang mit diesen Schwachstellen ist, dass die primäre Strategie zur Schadensbegrenzung derzeit darin besteht, Patches anzuwenden, die allerdings noch nicht veröffentlicht wurden. Alternativ können Unternehmen auf IPS-Technologie zum Schutz des VPN-Servers setzen. Seit dem 18. Januar ist bekannt, dass die beste Vorgehensweise darin besteht, ein Image-Backup des Ivanti Gateways anzufertigen und es vollständig auf den neuesten Build zu bringen. Außerdem zeigen die neuesten Informationen, dass sich die Zahl der ursprünglichen Bedrohungsakteure des Exploits ausgeweitet hat, da andere wahrscheinlich den öffentlichen POC missbrauchen, der am 16. Januar öffentlich wurde. Ivanti hat Anleitungen für den Umgang mit den Schwachstellen veröffentlicht: Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887
Mehr Aufmerksamkeit für VPN-Schwachstellen
Die Hauptsorge geht jedoch über diese speziellen Sicherheitslücken hinaus. Im vergangenen Jahr gab es eine erhebliche Anzahl von VPN-Schwachstellen, die auch erfolgreich ausgenutzt wurden. Diese Arten von Schwachstellen werden häufig übersehen, insbesondere in Umgebungen wie Unternehmen, Krankenhäusern, Schulen oder Behörden, in denen sich die Administratoren möglicherweise nicht umfassend mit der täglichen Bedrohungslandschaft befassen. Hier ist ein effektiverer Ansatz erforderlich.
Herkömmliche VPNs bieten nicht überwachten Zugang zu dem ganzen Netz. Eine sicherere Alternative wäre die Einrichtung eines privaten Netzwerks, das den Zugriff nur auf bestimmte, von IT-Experten festgelegte Ressourcen erlaubt. Das Prinzip der geringsten Privilegien ist ideal, aber es ist aufgrund verschiedener interner Faktoren in jeder Organisation schwierig durchzusetzen. Man denke etwa an den SIM-Swap-Angriff auf das SEC X-Konto. Dabei wurde auf besagtem Konto der US-Börsenaufsicht SEC eine folgenschwere Falschnachricht verbreitet. Beim SIM-Swapping weist ein Hacker die mit dem Konto verknüpfte Telefonnummer einem Gerät des Angreifers zu. Für solch kritische Telefonnummern sollten mehrere Authentifizierungsebenen erforderlich sein, bevor ein SIM-Austausch zugelassen wird.
Stellen Sie sich ein Szenario vor, in dem Benutzer ohne VPN auf Ressourcen zugreifen können, vielleicht über ein Webportal, das ständig auf verdächtiges Verhalten überwacht und verwaltet wird. Beim geringsten Anzeichen von Problemen könnte das Sicherheitssystem das Portal oder das Benutzerkonto abschalten oder sogar das Gerät sperren.
Trend Micro™ Zero Trust Secure Access könnte die Art und Weise, wie Unternehmen an die Netzsicherheit herangehen, verändern. Die Möglichkeiten dieses Frameworks können wir derzeit noch gar nicht richtig einschätzen. Ein Nutzer kann zum Beispiel seine RDP-Clients (Remote Desktop Protocol) für den Zugriff und die Authentifizierung einrichten. Wenn etwas schief geht, werden sowohl der Netzzugang als auch die Geräte- und Benutzerkonten gesperrt.
Dieser Ansatz könnte verhindern, dass sich eine einzige Schwachstelle zu einer großen Sicherheitskrise entwickelt. Außerdem lassen sich Parameter für eine akzeptable Geräte-Risikobewertung festlegen. Ist ein Gerät potenziell anfällig oder kompromittiert, kann sein Netzzugang zusammen mit allen zugehörigen Benutzerkonten sofort eingeschränkt werden. Die Einführung eines Zero-Trust-Ansatzes ist zwar mühsam, aber in Anbetracht der Entwicklungen ist dies eine notwendige und entscheidende Maßnahme.
Bezogen auf die Ivanti-Schwachstelle, lässt sich ein Szenario mit Trend Micro skizzieren. Angenommen ein Trend Vision One ™-Kunde erhält eine Benachrichtigung über die Angriffsfläche der Ivanti-Schwachstelle und deren Auswirkungen, in der ihm empfohlen wird, einen Patch zu installieren. Diese Schwachstelle wird seit dem 3. Dezember 2023 ausgenutzt, wurde aber erst im Januar 2024 bekannt. Kunden könnten dann Trend Micro™ Zero Trust Secure Access verwenden, um ihre Zugriffsregeln für wichtige Apps und Webanwendungen anzupassen.
Dieses modulare Proxy-Setup könnte eingehende Angriffe vereiteln und laterale Bewegungen im Netzwerk nach einem Einbruch verhindern, indem Überwachungs- und Aktions-Playbooks für verschlüsselten Netzwerkverkehr implementiert werden.