
Yubikey Schwachstelle – Unklonbarer Hardware Token doch klonbar?
11. September 2024
Interpols Schlag gegen Cyberkriminalität: Wie proaktive Schutzdienste einen Unterschied machen können
21. November 2024In der schnelllebigen Welt der Cybersicherheit ist es entscheidend, Schwachstellen frühzeitig zu erkennen und zu beheben. Erst kürzlich wurde in der SolarWinds Web Help Desk (WHD) Software die kritische Schwachstelle CVE-2024-28987 erkannt, die bereits aktiv ausgenutzt wird. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat diese Schwachstelle in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen, was die Ernsthaftigkeit der Lage unterstreicht.
Hier ein genauerer Blick darauf, was passiert ist, wer betroffen ist und welche Schritte Ihr Unternehmen ergreifen sollte, um die Risiken zu mindern.
Die Schwachstelle: Hard-Coded Credentials (CVE-2024-28987)
Diese kritische Schwachstelle, mit einem CVSS-Score von 9.1, hat ihren Ursprung in fest codierten Zugangsdaten in der SolarWinds Web Help Desk Software. Das hat zur Folge, dass ein entfernter, nicht authentifizierter Angreifer auf sensible interne Funktionen zugreifen, Helpdesk-Daten ändern und möglicherweise Zugriff auf sensible Informationen wie Passwort-Rücksetzanforderungen oder gemeinsam genutzte Dienstkontodaten erlangen kann. Im Wesentlichen öffnet dies Angreifern die Tür, um wesentliche Elemente des Helpdesk-Systems zu manipulieren und die betriebliche Sicherheit zu gefährden.
SolarWinds hat dieses Problem im August 2024 öffentlich bestätigt. Weitere technische Details wurden von der Cybersicherheitsfirma Horizon3.ai veröffentlicht. Die Schwachstelle betrifft eine Vielzahl von WHD-Softwareversionen, weshalb es für Unternehmen dringend erforderlich ist, sofort den Patch zu installieren.
Sofortige Maßnahmen erforderlich
Angesichts der aktiven Ausnutzung dieser Schwachstelle hat CISA von den Bundesbehörden des zivilen Exekutivzweigs (FCEB) gefordert, die notwendigen Updates bis zum 5. November 2024 durchzuführen. Diese Frist soll weitere Ausnutzungen verhindern, aber die Empfehlung gilt auch für alle Organisationen, die SolarWinds WHD Software verwenden.
Der Fix ist in Version 12.8.3 Hotfix 2 oder höher verfügbar. Falls Sie dies noch nicht getan haben, raten wir Ihnen die Aktualisierung so bald wie möglich durchzuführen, um Ihre Systeme zu schützen und unbefugten Zugriff auf sensible Helpdesk-Daten zu verhindern.
Frühere Schwachstellen: Ein Muster an Risiken
Diese jüngste Sicherheitslücke folgt knapp auf CVE-2024-28986, eine weitere kritische Schwachstelle in derselben Software mit einem CVSS-Wert von 9,8. Diese frühere Schwachstelle stand im Zusammenhang mit Deserialisierungsproblemen, die Angreifern die Ausführung von beliebigem Code auf kompromittierten Systemen ermöglichten. SolarWinds hat diese Schwachstelle inzwischen mit einem Patch behoben, sie gibt jedoch Anlass zur Sorge über die weitere Sicherheit der Plattform.
Das größere Bild: Ausnutzung in freier Wildbahn
Obwohl noch unklar ist, wie genau diese Schwachstellen in freier Wildbahn ausgenutzt werden, warnen Cybersicherheitsexperten vor erheblichen Risiken. Angreifer könnten diesen Zugang nutzen, um Tickets zu ändern, sensible Daten zu stehlen und sogar innerhalb eines Netzwerks mithilfe gestohlener Anmeldedaten agieren. Das Ausmaß des Problems wird durch die Tatsache hervorgehoben, dass mehr als 827 Instanzen von SolarWinds WHD im Internet exponiert sind, die Mehrheit davon in den USA, Frankreich, Kanada, China und Indien.
Zach Hanley, ein Forscher bei Horizon3.ai, warnt, dass diese Schwachstellen zwar nicht zu einer vollständigen Serverkompromittierung führen können, sie jedoch eine erhebliche Gelegenheit für laterale Bewegungen bieten — schlussendlich ermöglichen Sie Angreifern sich durch das Netzwerk zu bewegen und auf kritischere Systeme zuzugreifen.
Entschärfung der Bedrohung
Um sich gegen diese Schwachstelle zu schützen, sollten Sie die folgenden Schritte befolgen:
- Sofort patchen: Stellen Sie sicher, dass Ihre SolarWinds Web Help Desk Software auf Version 12.8.3 Hotfix 2 oder höher aktualisiert ist. Dies ist entscheidend, um sowohl CVE-2024-28987 als auch die frühere CVE-2024-28986 zu beheben.
- Überwachen Sie verdächtige Aktivitäten: Achten Sie auf ungewöhnliche Aktivitäten in Ihrem Netzwerk, insbesondere auf Änderungen im Zusammenhang mit hochprivilegierten Konten oder Helpdesk-Tickets. Angreifer, die diese Schwachstelle ausnutzen, könnten versuchen, gestohlene Anmeldedaten für laterale Bewegungen zu verwenden.
- Durchführen eines Sicherheitsaudits: Überprüfen Sie Ihre Sicherheitskontrollen, um sicherzustellen, dass sensible Helpdesk-Daten ausreichend geschützt sind. Dazu gehört die Überprüfung von Zugriffsrechten und die Implementierung von Multi-Faktor-Authentifizierung (MFA) für den administrativen Zugang.
- Informieren Sie Ihr Team: Stellen Sie sicher, dass Ihr IT- und Helpdesk-Team über die potenziellen Risiken im Zusammenhang mit dieser Schwachstelle informiert ist. Sie sollten wissen, worauf Sie bei verdächtigen Verhaltensweisen achten müssen und sofort Maßnahmen ergreifen, wenn sie etwas Ungewöhnliches entdecken.
Blick in die Zukunft
Dieser Vorfall ist eine weitere Erinnerung an die Bedeutung regelmäßiger Software-Updates und eines effektiven Schwachstellenmanagements. In der sich schnell entwickelnden Cybersicherheitslandschaft kann selbst vertrauenswürdige Software wie SolarWinds WHD zu einem Einfallstor für Angreifer werden, wenn Schwachstellen nicht gepatcht werden.
Obwohl SolarWinds schnell Patches veröffentlicht hat, müssen Organisationen wachsam bleiben. Stellen Sie sicher, dass Ihre Systeme immer auf dem neuesten Stand sind und dass Ihre Sicherheitsmaßnahmen stark genug sind, um Bedrohungen zu erkennen und darauf zu reagieren, sobald sie auftauchen.
Bleiben Sie geschützt mit proaktiver Cybersicherheit
Bei snapSEC helfen wir Organisationen wie Ihrer dabei, sich vor aufkommenden Bedrohungen zu schützen. Wenn Sie Unterstützung im Schwachstellenmanagement oder bei Risikoanalysen benötigen, zögern Sie nicht, sich an unsere Cybersicherheitsexperten zu wenden.