Große Risiken für Unternehmen: Tenable warnt vor Patch-Müdigkeit

Altbekannte VMware-Schwachstelle jüngst für große Cyber-Angriffskampagne missbraucht – Unternehmen in Frankreich, Finnland und Italien am stärksten betroffenen

[datensicherheit.de, 07.02.2023] Laut einer aktuellen Meldung von Tenable sollen kürzlich Tausende von Computer-Servern Ziel eines weltweiten Ransomware-Hacking-Angriffs gewesen sein, welcher auf „VMware (VMW.N) ESXi-Server“ abgezielt habe – dies habe Italiens Nationale Agentur für Cybersicherheit (ACN) am 5. Februar 2023 mitgeteilt und Unternehmen gewarnt, um Maßnahmen zum Schutz ihrer Systeme zu ergreifen. Bei diesem Cyber-Angriff sei versucht worden, eine Software-Schwachstelle auszunutzen, habe Roberto Baldoni, „General Director“ bei der ACN, vermeldet und hinzugefügt, dass es sich um einen „massiven Angriff“ gehandelt habe.

Traurige Wahrheit: Bekannte Schwachstellen mit Exploit trotzdem von Unternehmen oft nicht gepatcht

Dieser erste Bericht habe sich mittlerweile bestätigt, denn weitere Regionen hätten ähnliche Warnungen ausgesprochen: Nach Angaben von „Politico“ seien Frankreich, Finnland und Italien die am stärksten betroffenen Länder in Europa, während die USA und Kanada ebenfalls eine hohe Zahl an Zielen aufwiesen.

„Die traurige Wahrheit ist, dass bekannte Schwachstellen, für die ein ,Exploit’ zur Verfügung steht, oft nicht gepatcht werden“, kommentiert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, und warnt: „Dies bringt Unternehmen in eine unglaubliche Gefahr, erfolgreich infiltriert zu werden.“ In diesem Fall, bei der zwei Jahre alten „VMware“-Schwachstelle, sei die Bedrohung angesichts der aktiven Ausnutzung „immens“.

Foto: Tenable

Bernard Montel: Unternehmen müssten sich beim Patchen entscheiden – ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen…

Virtualisierung Herzstück der Cloud-Strategie der meisten Unternehmen

Virtualisierung sei das Herzstück der „Cloud“-Strategie der meisten Unternehmen – „ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet“. Angreifer wüssten, dass sie auf diese Ebene zielen könnten, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten. Montel führt aus: „Wenn sie in der Lage sind, sich Zugang zu verschaffen, können sie Malware einschleusen, um die Hypervisor-Ebene zu infiltrieren und eine Masseninfektion zu verursachen.“

Für viele Unternehmen stelle sich die Frage nach der Betriebszeit im Vergleich zur Frage, ob ein System zum Patchen offline genommen werden sollte. In diesem Fall könnte die Rechnung nicht einfacher sein – „ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen“.

Angreifer zielen auf Schwachstellen ab, um Administratorrechte zu missbrauchen und Unternehmens-Netzwerke zu durchdringen

Montel erläutert: „Wir wissen, dass Angreifer bekannte Schwachstellen, die beliebte Software betreffen, bevorzugen – einschließlich ,Open Source’, ,VMWare’, ,ManageEngine’, ,PrintNightmare’ und ,ProxyShell’. Die Angreifer zielen auf diese Schwachstellen ab, da sie wissen, dass sie Administratorrechte missbrauchen können, um das Netzwerk zu durchdringen und Schaden anzurichten oder sogar empfindliche Informationssysteme und Daten als Erpressung zu nutzen.“

Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, müssten die Sicherheitsteams herausfinden, „wie sie ausgenutzte Schwachstellen beheben und gleichzeitig die Auswirkungen auf das Unternehmen minimieren können, anstatt bekannte Schwachstellen unbehandelt zu lassen“, so Montel abschließend.

Weitere Informationen zum Thema:

POLITICO, Elena Giordano, 05.02.2023
Ransomware hacking campaign targets Europe and North America, Italy warns / France, Finland and Italy are the most affected countries in Europe, while the US and Canada also have a high number of targets

heise online, Dirk Knop, 05.02.2023
Ransomware: Italiens Cyber-Sicherheitsbehörde warnt vor weltweiter Attacke / Die italienische Cyber-Sicherheitsbehörde ACN warnt vor einer aktuellen Ransomware-Attacke, die tausende Server weltweit betreffe

datensicherheit.de, 06.02.2023
Torsten George warnt: Angriffsfläche für Endgeräte wächst – die Schwachstellen bleiben / George erörtert, wie Unternehmen im Wettrennen um Mobile Security aufholen können