Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Marty Edwards, VP of OT Security bei Tenable und dienstältester Director des ICS-CERT, kommentiert:
„Cyberangriffe sind eine reale und gegenwärtige Gefahr für kritische Infrastrukturen auf der ganzen Welt und damit auch für jeden einzelnen Verbraucher. Wenn die Berichte zutreffen, weist der Vorfall bei Colonial Pipeline alle Merkmale eines umfassenden Ransomware-Angriffs auf, der in der IT-Umgebung begann und den Betreiber vorsichtshalber zum Herunterfahren des Betriebs zwang.
Ransomware ist aufgrund ihrer Effektivität und ihres Return-on-Investment ein beliebter Angriffsvektor von Cyberkriminellen. Das ist genau der Grund, warum Kriminelle in letzter Zeit immer wieder kritische Infrastrukturen ins Visier genommen haben. Das Herunterfahren von OT-Umgebungen (Operational Technology) kann Hunderte von Millionen Dollar kosten, was die Anbieter dazu zwingt, die Kosten aufzuwiegen.
Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer. Sie sind im Wesentlichen vollwertige kriminelle Unternehmen, die in der digitalen Welt operieren. Auch wenn nicht bekannt ist, wie sich dieser Angriff abgespielt hat, so ist er doch eine weitere Erinnerung an die zunehmend ins Visier genommenen kritischen Infrastrukturen, auf die wir uns alle verlassen.“
Zudem hat Cisco Mitte der vergangenen Woche mehrere Sicherheitslücken in seiner SD-WAN-Software vManage geschlossen. Eine davon ermöglicht es Angreifern, Aktionen auszuführen, die durchschnittlichen Benutzern nicht gewährt werden, wie z. B. das Erstellen von Konten mit Zugriff auf die Administrationsebene.
Satnam Narang, Staff Research Engineer bei Tenable, kommentiert hierzu:
„Cisco hat am Mittwoch mehrere Sicherheitslücken gepatcht, darunter einige Schwachstellen in seiner SD-WAN-Software vManage. Am schwerwiegendsten ist CVE-2021-1468, eine Schwachstelle innerhalb der Verarbeitung nicht autorisierter Nachrichten.
Die Schwachstelle besteht, weil die vManage-Software keine Authentifizierungsprüfung für Eingaben durchführt, die der Benutzer an den Messaging-Dienst der Anwendung übermittelt. Diese Schwachstelle könnte vor der Authentifizierung ausgenutzt werden, d. h. der Angreifer müsste nicht im Besitz gültiger Zugangsdaten sein und sich bei der verwundbaren Anwendung authentifizieren. Eine erfolgreiche Ausnutzung würde einem Angreifer die Möglichkeit geben, Aktionen durchzuführen, die normalen Benutzern nicht gewährt werden, wie etwa das Erstellen von Konten mit administrativem Zugriff.
Es sollte beachtet werden, dass diese spezielle Sicherheitslücke sowie mehrere andere, die am Mittwoch gepatcht wurden, nur ausgenutzt werden können, wenn die vManage-Software im Cluster-Modus läuft. Wenn ein Unternehmen vManage verwendet, empfehlen wir dringend, diese Patches so schnell wie möglich zu installieren.“
www.tenable.com