9 kritische Apache-Lücken bei Schweizer Branchenverband

16. Dezember 2022 um 15:05
image
Foto: Matt Seymour / Unsplash

Wir haben zufällig gewählte Websites von hiesigen Unternehmen prüfen lassen: Sie haben viele Lücken, die sie schon längst hätten patchen können.

Wie viele offene und ungepatchte Sicherheitslücken es in der Schweiz gibt, weiss Gunnar Porada nicht. "Aber es sind viele", sagt er. Porada kennt das Problem aus erster Hand: Mit seiner Firma Innosec prüft er Unternehmen in deren Auftrag auf Schwachstellen und hilft ihnen beim Patchen. Das hat er für uns auch gemacht. Die Befunde sind erschreckend und zeigen den Handlungsbedarf.

Ein Drittel aller erkannten Schwachstellen sind nach einem Jahr noch offen

Wie nötig Massnahmen wären, zeigen zwei auch voneinander unabhängige Studien:
Einer IBM-Studie zufolge nutzen Cyberkriminelle bei rund der Hälfte ihrer Angriffe Lücken, für die es bereits Patches gibt. Das Team von IBM Security X-Force beobachtete einen 33-prozentigen Anstieg von Angriffen, die Schwachstellen in ungepatchter Software ausnutzten. Dieses Einfallstor hätten weltweit 44% aller Ransomware-Attacken im vergangenen Jahr genutzt, mehr als jede andere Angriffsmethode. In Europa seien sogar 46% aller Ransomware-Attacken auf diesem Weg erfolgt.
Die Unternehmen könnten sich also deutlich besser gegen mehr als die Hälfte der Angriffe schützen, indem sie ihr Patchmanagement verbessern. Die meisten verpassen das: Laut einer Tenable-Studie (PDF) "sind fast ein Drittel aller erkannten Schwachstellen nach einem Jahr weiterhin offen. Mehr als ein Viertel der Schwachstellen werden nie behoben." Im Durchschnitt würden Unternehmen 40 Tage benötigen, um auf sämtlichen Instanzen eine einzige Schwachstelle zu beheben.

Bis zu 7 Jahre altes PHP bei Schweizer Detailhändler

image
Gunnar Porada
In Zusammenarbeit mit Innosec wollte inside-it.ch herausfinden, welche Lücken bei zufällig ausgewählten Unternehmen bestehen. Mithilfe des Vulnerability-Scanners Nessus wurden die entsprechenden Webserver gescannt und nach offenen Ports gesucht.
"Das ist legal", erklärt Innosec-Gründer Gunnar Porada, "weil nur öffentlich verfügbare Informationen abgerufen werden". Dabei würden keine Sicherheitsvorkehrungen überwunden, so Porada.
Beim Scan der Firmen zeigte sich, dass das Angriffspotenzial gross ist. Bei der Website eines Branchenverbands fand der Scanner 9 ungepatchte Apache-Lücken, bei denen das System die Schwere als "hoch" einstufte. Sie alle sind patchbar – das Einspielen einer aktuellen Apache-Version würde genügen.
image
Bei einem Schweizer Detailhändler fanden sich 15 Lücken, 5 mit kritischem und 10 mit hohem Risiko. Die schwerwiegendste Lücke stammt aus der installierten PHP-Version 5.4.22, deren Support vor 7 Jahren auslief.
image
Ein ähnliches Bild lieferte ein hiesiger Datacenterbetreiber: Der Scan deckte insgesamt 157 kritische Lücken auf, Der Grund: Veraltete PHP-, SSl- und Ubuntu-Versionen.
image

"Die Chefs wissen nichts davon"

Für Gunnar Porada ist das oftmals fehlende Interesse der Chefetage an der IT die Hauptursache für die katastrophale Lage. "Die Chefs wissen nichts von den Lücken", so der Sicherheitsexperte. In der Buchhaltung gebe es wie selbstverständlich Controlling-Mechanismen, aber in der IT würden nicht dieselben Massstäbe angewandt. Dabei seien das Einspielen von Patches "Low Hanging Fruits" der IT-Security.
Die zufällig ausgewählten Firmen wurden über die gefundenen Schwachstellen informiert. Sie bleiben hier im Artikel anonym.


Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024
image

Zürcher Finanzhaus von Ransomware-Gruppe Play angegriffen

Nach einem Datenklau sind Bundes­anwalt­schaft und Finanz­markt­aufsicht Finma aktiv.

publiziert am 27.9.2024