Nach Angriff auf US-Finanzministerium

BeyondTrust-Schwachstelle: Was jetzt zu tun ist

Schwachstellen, Sicherheitslücken, CWE, Common Weakness Enumeration
LinkedInRedditWhatsAppPocket

Sicherheitsexperten geben wichtige Hinweise und Ratschläge, wie mit dem Angriff umgegangen werden sollte, der die Remote Software von Beyond Trust zum Ziel hatte, falls Unternehmen dieselbe Software im Einsatz haben.

Check Point geht auf die schwere Cyber-Attacke gegen das US-Finanzministerium (US Treasury) ein. Amerikanische Behörden haben bekannt gegeben, dass Hacker, die mit China in Verbindung stehen, Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt haben, um Dokumente zu stehlen, was Beamte des Finanzministeriums in einem Schreiben als „großen Vorfall“ („major incident“) bezeichneten. Die Untersuchung ist noch im Gange, aber Check Point kann einige wichtige Details, Erkenntnisse und Abhilfemaßnahmen auf der Grundlage der verfügbaren Fakten skizzieren.Diese Sicherheitsverletzung wirft außerdem ein Schlaglicht auf die zunehmende Häufigkeit von Cyber-Angriffen. Laut Check Point Research waren Organisationen in den USA im November 2024 durchschnittlich 1345 Cyber-Angriffen pro Woche ausgesetzt. Regierungsbehörden gehörten zu den drei Branchen, die am häufigsten das Ziel von Ransomware waren.

Anzeige

Berichten zufolge wurden bei dem Angriff zwei spezifische Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt:

  • CVE-2024-12356 (CVSS 9.8): Eine kritische Sicherheitslücke in der BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS) Software, die es Angreifern ermöglicht, sich über nicht ordnungsgemäß validierte API-Endpunkte einen Zugang zu verschaffen.
  • CVE-2024-12686 (CVSS 6.6): Ein zusätzlicher Fehler im Zusammenhang mit der Token-Verwaltung, den Angreifer zur Aufrechterhaltung der Persistenz nutzen.

Es wird berichtet, dass die Angreifer einen digitalen Signierschlüssel für die Software erworben haben, der es ihnen ermöglichte, sich als legitime Benutzer mit privilegiertem Zugang auszugeben. Auf diese Weise konnten sie auf nicht klassifizierte Arbeitsstationen und Dokumente in den Systemen des Finanzministeriums zugreifen und sensible, aber nicht klassifizierte Daten kompromittieren. Organisationen überall auf der Welt, die dieselbe Software einsetzen, sind dem Risiko ähnlicher oder noch schwerwiegenderer Sicherheitsverletzungen ausgesetzt.

Check Point empfiehlt, sofort Maßnahmen zu ergreifen, um die relevanten Schwachstellen zu schließen und eine widerstandsfähige Cyber-Abwehr zu gewährleisten, um weitere Angriffe abzuwehren, wobei der Schwerpunkt auf der Prävention liegt.

Anzeige

Sicherheitsfachleute können sich auf das folgende Defense-in-Depth-Framework stützen, um kurzfristig einen Reaktionsplan für die BeyondTrust-Schwachstellen zu erstellen und gleichzeitig langfristig eine präventiv ausgerichtete, umfassende und effektive Cyber-Position aufzubauen.

  • Patch-Verwaltung und Behebung von Sicherheitslücken:
    • Umgehende Maßnahmen: Sicherstellen, dass jede Software und Tools von Drittanbietern regelmäßig aktualisiert werden. Auf Updates und Hinweise der Anbieter achten.
    • Verwendung eines Systems zur Verwaltung von Sicherheitslücken, um kritische CVEs zu identifizieren und zu priorisieren.
    • Implementierung eines Programms zur Verwaltung externer Angriffssysteme (EASM), um relevante Schwachstellen zu priorisieren und zu beheben, bevor sie von Angreifern entdeckt werden.
  • Zero-Trust-Architektur:
    • Begrenzung der Vertrauensstufen für Software-Integrationen.
    • Kontinuierliche Überprüfung von Benutzern und Geräten und Einschränkung des Zugriffs, auch nach der ersten Authentifizierung.
    • Implementierung einer Multi-Faktor-Authentifizierung (MFA), auch von bekannten Geräten für interne und externe Anwendungen und Portale.
  • Privileged Access Management (PAM):
    • Verwendung robuster PAM-Lösungen, um strenge Kontrollen für den Zugriff auf kritische Systeme durchzusetzen.
    • Häufiges Rotieren, Überwachen und Prüfen der Verwendung privilegierter Berechtigungsnachweise.
  • Sicherheit der Daten:
    • Verschlüsselung der Unternehmensdokumente, so dass die darin enthaltenen Daten nicht zugänglich sind, wenn sie kompromittiert werden oder durchsickern.
  • Sicherheit digitaler Zertifikate:
    • Schutz von Signierschlüsseln und anderem sensiblen kryptografischen Material sicherstellen.
    • Implementierung von Hardware-Sicherheitsmodulen (HSMs) für die Schlüsselspeicherung, um Diebstahl oder Missbrauch zu verhindern.
  • Endpunkt-Erkennung und -Reaktion (EDR):
    • Einsatz von EDR-Tools zur Überwachung ungewöhnlicher Aktivitäten auf Endgeräten.
    • Untersuchung von und Reaktion auf Anomalien, insbesondere auf Systemen mit privilegierter Software.
  • Verhaltensanalyse und Bedrohungsanalyse:
    • Durchführung einer Bewertung des Security Information and Events Management-Security Operations Center (SIEM-SOC) zur Erkennung und Behebung von Risiken.
    • Implementierung einer Verhaltensüberwachung, um ungewöhnliche API-Aufrufe oder unerwartetes Benutzerverhalten zu erkennen.
    • Nutzen von Threat-Intelligence-Feeds, um sich über aktive Exploits zu informieren, die auf ähnliche Software zielen.
  • Sicherheit der Lieferkette:
    • Wahl eines Sicherheitsanbieters, der digitales Vertrauen und eine umgehende Reaktion auf schwerwiegende Schwachstellen (über Kritikalität 8,5) nachweisen kann.
    • Durchführung regelmäßiger Sicherheitsbewertungen von Drittanbietern.
    • Aufnahme von Klauseln in Anbieterverträge, die eine rechtzeitige Offenlegung von Schwachstellen vorschreiben, um die Gefahr der Dritten und Vierten Partei zu mindern.
  • Pläne für die Reaktion auf Zwischenfälle:
    • Führung eines umfassenden Playbooks für die Reaktion auf Vorfälle, welches auf die mögliche Kompromittierung durch Dritte und die Anforderungen des Unternehmens zugeschnitten ist.
    • Durchführung von Tabletop-Übungen zur Simulation von Angriffen auf Tools von Drittanbietern.

Der erste Schritt nach diesen Angriffen auf das US-Finanzministerium muss nun darin bestehen, die spezifischen Schwachstellen zu beseitigen, die den unbefugten Zugang zu den Systemen ermöglicht haben. In der Regel sind es jedoch nicht die sichtbaren Schwachstellen, sondern die bislang unbekannten, die Schuld an einer Attacke waren. Durch eine Kombination aus vorausschauendem Schwachstellen-Management, einer Echtzeit-Überwachung und Defense-in-Depth-Strategie können Unternehmen die Risiken ähnlicher Angriffe aber kontinuierlich mindern.

(lb/Checkpoint)


Anzeige

Weitere Artikel

Security-Gau? 32 Mio. Computer laufen noch mit Windows 10
KI in der Cybersicherheit – 10 Prognosen für 2025
Cyber Asset Intelligence – ein Ausblick auf 2025
8 Vorhersagen für die Application Security in 2025
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.