Connect with us

Deutsch

1 von 15 Unternehmen führt eine aktiv ausgenutzte Version von SolarWinds aus: Bericht

Published

on

Ein neuer Bericht des Cybersicherheitsunternehmens Randori hat die verlockendsten im Internet exponierten Assets kategorisiert, die ein Angreifer wahrscheinlich verfolgen und ausnutzen wird.

Im Randori Attack Surface Report 2021 haben die Forscher jedem Asset einen „Temptation Score“ zugewiesen – effektiv die Wahrscheinlichkeit, dass ein Angreifer danach sucht. Alle exponierten Assets mit einer Punktzahl über 30 gelten als hoch, wobei die Assets mit dem höchsten Rang in ihrem Korpus derzeit einen Versuchsfaktor von 55 für Angreifer erreichen. Die aktiv ausgenutzte Version von SolarWinds hat einen durchschnittlichen Versuchsfaktor von 40.

Der Bericht ergab, dass mehr als 25 % der Unternehmen RDP dem Internet ausgesetzt haben, während 15 % der Unternehmen immer noch veraltete Versionen von IIS 6 verwenden, die seit sechs Jahren nicht von Microsoft unterstützt werden. Randori gab dem IIS 6 eine Versuchungsbewertung von 37.

Fast 40 % der Unternehmen verwenden die Firewall Adaptive Security Appliance (ASA) von Cisco, die eine Historie öffentlicher Schwachstellen und einen Versuchungswert von 37 aufweist. Fast die Hälfte aller Unternehmen verwendet Citrix NetScaler, der einen Wert von 33 und mehrere öffentliche Exploits aufweist.

Sowohl CiscoWeb VPN als auch Palo Alto Global Protect traten Citrix NetScaler als VPNs bei, die im Bericht mit hohen Temptation Scores aufgeführt sind.

Nur 3% der Unternehmen verwenden immer noch Versionen von Microsoft Outlook Web Access, aber dies alarmierte Randori-Forscher, die die jüngsten Exchange-Hacks und mehrere bekannte Exploits für das Tool bemerkten. Es war mit 38 einer der höchsten auf der Temptation Score-Skala.

„Viele der exponierten Assets – wie SolarWinds und OWA – sind aus Unwissenheit und nicht aus Fahrlässigkeit vorhanden. Unternehmen haben Schwierigkeiten zu wissen, was sie im Internet enthüllt haben exponierte Vermögenswerte – aber es ist möglich, Sicherheitsmaßnahmen einzusetzen, um das Unbekannte zu schützen“, sagte David Wolpoff, CTO von Randori, gegenüber ZDNet.

Der Bericht stellt fest, dass das SolarWinds-Problem im Bericht einen hohen Stellenwert einnimmt, da es öffentlich gemeldete Schwachstellen aufweist, für viele Unternehmen eine geschäftskritische Technologie ist und weit verbreitet ist.

„Viele gehen davon aus, dass die Priorisierung basierend auf dem Schweregrad der Schwachstelle Sie sichert. Aber das ist einfach nicht wahr. Angreifer denken anders und der Schweregrad der Schwachstelle ist nur einer von vielen Faktoren, die von einem Angreifer abgewogen werden die Denkweise des Angreifers, wenden die Angreiferlogik auf ihre Sicherheitsprogramme an und sind einen Schritt voraus”, sagte Wolpoff.

Wolpoff erklärte, dass der Bericht auf Angriffsoberflächendaten von Millionen von im Internet exponierten Assets basiert und stellte fest, dass The Temptation Score eine proprietäre Gewichtung von sechs verschiedenen Attributen anwendet, um den Temptation Score eines Assets zu bestimmen: Aufzählbarkeit, Ausnutzbarkeit, Kritikalität, Anwendbarkeit, Nachnutzungspotential und Forschungspotential.

Wolpoff sagte, er sei immer wieder überrascht zu sehen, dass Angriffe mit geringem Aufwand und leicht einzubrechenden Angriffen in erfolgreichen Unternehmen immer noch funktionieren – wie zum Beispiel ausnutzbarem OWA.

“Was mir auffällt, ist der Mangel an Fokus auf die Grundlagen, wie das Härten der Standardkonfigurationen oder das Anzeigen von Standardeinstellungen, die admin/admin als Benutzernamen und Passwort enthalten. Wie oft der Standardbenutzername und das Standardpasswort ‘admin/admin’ erhalten wurden uns in Kisten zu stecken, ist extrem überraschend”, sagte Wolpoff.

„Viele Unternehmen führen beispielsweise altes Microsoft OWA mit den Standardeinstellungen aus – und geben den Namen, die Version und, noch besser, die Konfigurationsinformationen preis! Je mehr ein Angreifer über ein System weiß, desto verlockender ist es – es macht es möglich.“ Es ist für einen Angreifer einfacher zu überprüfen, ob es bekannte öffentliche Schwachstellen oder Exploits gibt, die gegen diese bestimmte Version als Waffe eingesetzt wurden, und zu bestätigen, ob ein Exploit landen wird.”

Er war auch schockiert über den hohen Prozentsatz von Leuten, die MFA nicht verwenden, und erklärte, dass sein Angriffsteam einen Angriff oft erfolgreich mit zuvor offengelegten Anmeldeinformationen durchführt, weil MFA nicht bereitgestellt wurde.

Wolpoff schlug vor, dass Sicherheitsteams die Standardeinstellungen immer so ändern, dass die Versionsnummer nicht öffentlich sichtbar ist. Wenn Unternehmen ein Tool nicht patchen oder aktualisieren können, sollten sie es zumindest verbergen.

Er forderte Sicherheitsteams auf, Wege zu finden, um ihre Angriffsflächen zu reduzieren, indem sie Dinge offline nehmen oder ungenutzte Funktionen deaktivieren. Es ist für Unternehmen nicht mehr angemessen, sich mit der Konfiguration zufriedenzugeben, die der Hersteller als Standard festlegt, und Wolpoff fügte hinzu, dass Unternehmen kritische Assets sowie Appliances und IoT-Geräte segmentieren sollten.

Continue Reading

Copyright © 2021 Meta Mag Inc.