Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"
Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.
Das sind die meistgenutzten Lücken für Ransomware-Angriffe
11. Juli 2024 um 10:47
Eine Analyse von Talos gibt Einblicke in die Methoden von Cyberkriminellen. Drei Schwachstellen werden besonders häufig attackiert.
Security-Experten von Cisco Talos haben eine neue Analyse zu Tactics, Techniques & Protocols (TTPs) von Ransomware-Banden veröffentlicht. Im letzten Jahr habe man grosse Veränderungen im Bereich Ransomware erlebt, schreiben die Forscher. Neue Gruppen seien entstanden, "die jeweils einzigartige Ziele, operative Strukturen und Opferverhalten aufweisen". In einem Artikel hat auch inside-it.ch kürzlich einige dieser neuen Banden wie Akira, Qilin oder Rhysida und ihr Vorgehen beleuchtet.
Die Analyse von Talos listet die verschiedenen Schritte auf, welche die Cyberkriminellen nutzen, um Ransomware einzusetzen. Immer mehr würden dabei Systeme auf Schwachstellen oder Fehlkonfigurationen gescannt, die es ermöglichen könnten, ein System erfolgreich zu kompromittieren.
Talos nennt drei Schwachstellen, die besonders häufig von Ransomware-Banden ausgenutzt werden:
- CVE-2020-1472 – auch bekannt als Zerologon, nutzt einen Fehler im Netlogon Remote Protocol von Microsoft (MS-NRPC) aus, der es Angreifern ermöglicht, die Authentifizierung zu umgehen und Passwörter im Active Directory eines Domaincontrollers zu ändern. Dieser Exploit wird häufig von Ransomware-Akteuren verwendet, da er ihnen ermöglicht, ohne Authentifizierung Zugriff auf ein Netzwerk zu erhalten.
- CVE-2018-13379 – eine Schwachstelle im Fortinet FortiOS SSL VPN, ermöglicht Path Traversal. Angreifer können durch das Senden speziell gestalteter HTTP-Pakete auf Systemdateien zuzugreifen. Auf diese Weise kann auf VPN-Sitzungstoken zugegriffen werden, die verwendet werden können, um nicht authentifizierten Zugriff auf das Netzwerk zu erhalten.
- CVE-2023-0669 – eine Goanywhere-MFT-Sicherheitslücke, ermöglicht es Angreifern, beliebigen Code auf einem Zielserver auszuführen, der die Goanywhere Managed File Transfer Software verwendet.
Alle drei Lücken sind schon lange, zum Teil seit Jahren, bekannt. Dass sie nach wie vor ausgenutzt werden, zeigt ein oft fehlendes Patch-Management bei Unternehmen und Organisationen auf. So empfiehlt denn auch Talos: "Wenden Sie Patches und Updates konsequent auf alle Systeme und Software an, um Schwachstellen umgehend zu beheben und das Risiko einer Ausnutzung zu verringern."
Loading
Ingram Micro erholt sich von Cyberangriff
Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.
100 Tage Meldepflicht: Das Bacs zieht erste Bilanz
Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.
Cisco ernennt neuen EMEA-Chef
Gordon Thomson übernimmt die Stelle von Oliver Tuszik. Dieser ist ins globale Verkaufsgeschäft von Cisco aufgestiegen.