9 kritische Apache-Lücken bei Schweizer Branchenverband

16. Dezember 2022, 15:05
image
Foto: Matt Seymour / Unsplash

Wir haben zufällig gewählte Websites von hiesigen Unternehmen prüfen lassen: Sie haben viele Lücken, die sie schon längst hätten patchen können.

Wie viele offene und ungepatchte Sicherheitslücken es in der Schweiz gibt, weiss Gunnar Porada nicht. "Aber es sind viele", sagt er. Porada kennt das Problem aus erster Hand: Mit seiner Firma Innosec prüft er Unternehmen in deren Auftrag auf Schwachstellen und hilft ihnen beim Patchen. Das hat er für uns auch gemacht. Die Befunde sind erschreckend und zeigen den Handlungsbedarf.

Ein Drittel aller erkannten Schwachstellen sind nach einem Jahr noch offen

Wie nötig Massnahmen wären, zeigen zwei auch voneinander unabhängige Studien:
Einer IBM-Studie zufolge nutzen Cyberkriminelle bei rund der Hälfte ihrer Angriffe Lücken, für die es bereits Patches gibt. Das Team von IBM Security X-Force beobachtete einen 33-prozentigen Anstieg von Angriffen, die Schwachstellen in ungepatchter Software ausnutzten. Dieses Einfallstor hätten weltweit 44% aller Ransomware-Attacken im vergangenen Jahr genutzt, mehr als jede andere Angriffsmethode. In Europa seien sogar 46% aller Ransomware-Attacken auf diesem Weg erfolgt.
Die Unternehmen könnten sich also deutlich besser gegen mehr als die Hälfte der Angriffe schützen, indem sie ihr Patchmanagement verbessern. Die meisten verpassen das: Laut einer Tenable-Studie (PDF) "sind fast ein Drittel aller erkannten Schwachstellen nach einem Jahr weiterhin offen. Mehr als ein Viertel der Schwachstellen werden nie behoben." Im Durchschnitt würden Unternehmen 40 Tage benötigen, um auf sämtlichen Instanzen eine einzige Schwachstelle zu beheben.

Bis zu 7 Jahre altes PHP bei Schweizer Detailhändler

image
Gunnar Porada
In Zusammenarbeit mit Innosec wollte inside-it.ch herausfinden, welche Lücken bei zufällig ausgewählten Unternehmen bestehen. Mithilfe des Vulnerability-Scanners Nessus wurden die entsprechenden Webserver gescannt und nach offenen Ports gesucht.
"Das ist legal", erklärt Innosec-Gründer Gunnar Porada, "weil nur öffentlich verfügbare Informationen abgerufen werden". Dabei würden keine Sicherheitsvorkehrungen überwunden, so Porada.
Beim Scan der Firmen zeigte sich, dass das Angriffspotenzial gross ist. Bei der Website eines Branchenverbands fand der Scanner 9 ungepatchte Apache-Lücken, bei denen das System die Schwere als "hoch" einstufte. Sie alle sind patchbar – das Einspielen einer aktuellen Apache-Version würde genügen.
image
Bei einem Schweizer Detailhändler fanden sich 15 Lücken, 5 mit kritischem und 10 mit hohem Risiko. Die schwerwiegendste Lücke stammt aus der installierten PHP-Version 5.4.22, deren Support vor 7 Jahren auslief.
image
Ein ähnliches Bild lieferte ein hiesiger Datacenterbetreiber: Der Scan deckte insgesamt 157 kritische Lücken auf, Der Grund: Veraltete PHP-, SSl- und Ubuntu-Versionen.
image

"Die Chefs wissen nichts davon"

Für Gunnar Porada ist das oftmals fehlende Interesse der Chefetage an der IT die Hauptursache für die katastrophale Lage. "Die Chefs wissen nichts von den Lücken", so der Sicherheitsexperte. In der Buchhaltung gebe es wie selbstverständlich Controlling-Mechanismen, aber in der IT würden nicht dieselben Massstäbe angewandt. Dabei seien das Einspielen von Patches "Low Hanging Fruits" der IT-Security.
Die zufällig ausgewählten Firmen wurden über die gefundenen Schwachstellen informiert. Sie bleiben hier im Artikel anonym.


Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023