Scheinbar decken Bedrohungsforscher ein- oder zweimal im Jahr eine massive Software-Schwachstelle auf, die zudem häufig über das Internet ausnutzbar ist und Cyberkriminellen die Kontrolle über anfällige Computer ermöglicht. Diese werden dann von den Angreifern als Einfallstor genutzt, um im attackierten Unternehmen schwere Schäden zu verursachen.
Erinnern Sie sich an Dirty COW (CVE-2016-5195), runc (CVE-2019-5736), Sudo (CVE-2019-14287), ZeroLogon (CVE-2020-1472), PwnKit (CVE-2021-4034) oder Dirty Pipe (CVE-2022-0847)? Der neueste Eintrag in der Liste „eleganter“ Namen und schwerwiegender Auswirkungen ist regreSSHion (CVE-2024-6387). Entdeckt und veröffentlicht wurde diese Schwachstelle von den Bedrohungsforschern bei Qualys.
RegreSSHion: eine neue OpenSSH-Software-Schwachstelle
RegreSSHion ist eine Schwachstelle im Sicherheits-Service OpenSSH. Dieses Open Source-Tool ermöglicht sichere Systemadministration, Dateiübertragungen und weitere Kommunikation über das Internet oder nicht vertrauenswürdige Netzwerke und wird in vielen Unix-basierten Betriebssystemen wie Mac und Linux eingesetzt.
Im Blog-Beitrag zur Aufdeckung dieser Schwachstelle erklärt Qualys, dass die erfolgreiche Ausnutzung von regreSSHion eine vollständige Systemübername ermöglicht. Vom kompromittierten System aus können Angreifer unter Umgehung wichtiger Sicherheitsmechanismen weitere anfällige Systeme in einem Unternehmen missbrauchen.
Die Schwere dieser Auswirkungen in Verbindung mit der enormen Zahl anfälliger Systeme führt zu einem weltweiten Problem: Laut Schätzungen von Qualys liegt die Zahl potenziell über das Internet angreifbarer OpenSSH-Serverinstanzen bei mehr als 14 Millionen – plus etwa 700.000 über das Internet erreichbare Instanzen, die ebenfalls anfällig sind.
Das ist eine gewaltige Zahl, die nach der sofortigen Installation eines passenden Patches schreit, nicht wahr? Und kümmern wir uns einfach um das nächste Sicherheitsproblem… Aber halt, nicht so schnell.
Die Patch-Installation nimmt Zeit in Anspruch, in der Angreifer die Sicherheitskontrollen umgehen können
Selbst bei den besten IT-Teams kann es einige Zeit dauern, bis Schwachstellen gepatcht sind. Bei einigen Teams kann das Monate oder sogar Jahre in Anspruch nehmen. Diese lange anfällige Phase ist ein ernsthaftes Problem. Bedrohungsakteure haben dadurch ausreichend Zeit, das Internet nach angreifbaren Systemen zu durchsuchen – ebenso wie Sicherheitsforscher das tun.
Wie können Unternehmen sich bis zur Patch-Installation schützen? Sollen sie auf protokollbasierte Überwachung, Firewalls oder agentenbasierte EDR- oder XDR-Sicherheitssysteme setzen, um Eindringungen zu erkennen und zu stoppen?
Diese Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz, da regreSSHion den Bedrohungsakteuren Root-Systemberechtigungen auf dem infizierten Host gewährt, sodass sie Sicherheitskontrollen deaktivieren oder unterlaufen können, die auf dem Host oder über den Host ausgeführt werden. Genau das ist eine fundamentale Schwachstelle lokaler Sicherheitskontrollen: Böswillige Akteure, die Systemadministrator-Berechtigungen erlangt haben, sehen diese Kontrollen und können sie manipulieren.
ITDR-Sicherheitssysteme wie täuschungsbasierte Erkennungen bieten mehrschichtigen Schutz
Welche Möglichkeiten hat Ihr Unternehmen also in der Zeit zwischen der öffentlichen Bekanntmachung eines CVE wie regreSSHion und dem Finden und Patchen angreifbarer Systeme? Schließlich ist die Schwachstelle in dieser kritischen Phase bekannt und für Bedrohungsakteure auffindbar. An dieser Stelle kommen die allgemeinen und täuschungsbasierten Sicherheitskontrollen einer ITDR-Lösung ins Spiel – und können ihre Stärken voll ausspielen.
Signatur- oder verhaltensbasierte Erkennungssysteme benötigen Telemetriedaten, um das Vorhandensein eines Bedrohungsakteurs aufzudecken. Zudem müssen sie aktiv sein, um Daten zu erfassen und Analysen durchzuführen. Sobald die Bedrohungsakteure Root-Systemadministrator-Rechte haben, können sie diese Systeme – wie bereits erwähnt – deaktivieren oder umgehen.
Täuschungsbasierte Sicherheitskontrollen arbeiten anders. Tools wie Proofpoint Shadow können authentisch wirkende Objekte (z. B. Dateien, Konten und Dienste) im gesamten Unternehmen platzieren. Diese Objekte dienen als Köder für die Bedrohungsakteure, die sich damit lateral innerhalb des Netzwerks bewegen und ihre Berechtigungen erweitern wollen. Sobald die Akteure damit beginnen, wird ein stiller Alarm ausgelöst und die Übertragung forensischer Daten an das Sicherheitsteam gestartet.
Bei Täuschungsmaßnahmen haben böswillige Akteure keine Möglichkeit, etwas zu finden und zu deaktivieren, da es keinen lokalen Agenten gibt. Ebenso ist es zum Aufdecken eines Bedrohungsakteurs nicht nötig, Protokolldateien zu erfassen und zu analysieren. Ein böswilliger Akteur kann reale und falsche lokale Ressourcen auf einem Host nur dann unterscheiden, wenn er auf sie zugreift – und ihre Nutzung für laterale Bewegungen ist das ultimative Indiz.
Im Fall von regreSSHion – oder allen anderen früheren, aktuellen oder zukünftigen Schwachstellen – kann die täuschungsbasierte Bedrohungserkennung Teil einer sehr effektiven mehrschichtigen Schutzstrategie sein. In Verbindung mit der Erkennung und Behebung von Identitätsschwachstellen, die noch vor dem Eintreffen eines böswilligen Akteurs durchgeführt wird, verhindert dies eine Ausnutzung von Software-Schwachstellen für schwerwiegende Kompromittierungen.
Weitere Informationen zu Proofpoint Identity Threat Defense
Proofpoint Shadow, eine Komponente von Proofpoint Identity Threat Defense, erstellt in Ihrem Unternehmen ein dichtes Labyrinth aus Fake-Daten und falschen Netzwerkpfaden. Selbst äußerst raffinierte Cyberkriminelle können nicht erkennen, was echt und was falsch ist. Dadurch ist es Angreifern nahezu unmöglich, sich Ihren wirklich kritischen IT-Assets unerkannt zu nähern. Laden Sie die Kurzvorstellung herunter, um mehr zu erfahren.
Außerdem finden Sie hier eine umfangreichere Beschreibung dazu, wie Proofpoint Identity Threat Defense noch umfassenderen Schutz vor Angreifern in Ihrer Umgebung bieten kann.