Beliebte Programme sollten Unternehmen schützen, erwiesen sich aber als Schlupflöcher für Hacker

• 33 Prozent aller Cyberangriffe weltweit beginnen mit Softwarefehlern. 16 Prozent – ​​durch gestohlene Zugangsdaten. 13 Prozent davon durch Phishing – dieser Vektor hat laut dem Bericht „m-Trends 2025“ seit dem letzten Jahr an Bedeutung verloren.
• Die am häufigsten ausgenutzten Schwachstellen befanden sich in Systemen von Palo Alto Networks, Ivanti und Fortinet. Sie wurden unter anderem von Gruppen mit Verbindungen zu China und Russland eingesetzt.
• In Polen warnte die Regierung vor der Sicherheitslücke Fortinet. Es ist jedoch nicht geplant, eine schwarze Liste gefährlicher Programme zu erstellen.

Jeder dritte Cyberangriff beginnt mit Softwarefehlern – zu diesem Ergebnis kommt der aktuelle Bericht von Mandiant, einem Unternehmen , das sich unter anderem mit der Erkennung von Bedrohungen im Netzwerk beschäftigt. Am häufigsten zielten Kriminelle auf Software der größten amerikanischen Anbieter ab: Palo Alto Networks, Ivanti und Fortinet.

Drei der von Mandiant beschriebenen Schwachstellen waren besonders gefährlich – es handelte sich um „Zero-Day“ -Schwachstellen, also solche, die ausgenutzt wurden, bevor der Softwareanbieter die Situation erkannte und Sicherheitspatches veröffentlichte. Dies ist umso gefährlicher, als die Angriffe nicht nur von gewöhnlichen Kriminellen verübt wurden. Einige davon wurden von chinesischen und russischen Cyber-Geheimdienstgruppen organisiert oder unterstützt.

Gefahren durch Sicherheitsanbieter

Die im letzten Jahr am häufigsten ausgenutzte Schwachstelle betrifft Fehler in der Software PAN-OS GlobalProtect. Dies ist ein beliebtes Sicherheitssystem von Palo Alto Networks . Dieses System wird von Unternehmen auf der ganzen Welt verwendet, um die Remote-Verbindungen der Mitarbeiter zu schützen.

Der im April 2024 entdeckte Fehler ermöglichte es Kriminellen, die Kontrolle über das Gerät zu übernehmen und ohne Wissen des Administrators beliebige Befehle darauf auszuführen. Den Daten von Mandiant zufolge gelang es mehreren kriminellen Gruppen, die Schwachstelle auszunutzen, bevor sie entdeckt und gepatcht wurde. Unter den Hackern befanden sich Personen aus dem Umfeld der RANSOMHUB-Bande, die für ihre Erpressung von Lösegeld und ihre Drohung, Daten zu veröffentlichen, bekannt ist.

Zwei der vier am häufigsten ausgenutzten Schwachstellen betreffen die Ivanti-Software – Connect Secure VPN und Policy Secure. Beide Dienste dienen dazu, den Mitarbeitern eine sichere Anmeldung im Firmennetzwerk zu ermöglichen . Die von Mandiant beschriebenen Schwachstellen ermöglichten die Umgehung von Anmeldevorgängen und die Ausführung von Befehlen auf dem Server.

Diese Schlupflöcher sollten auch Kriminellen zugute kommen. Insgesamt wurden mindestens acht verschiedene Gruppen identifiziert, die aktiv Fehler in der Ivanti-Software ausnutzen . Fünf davon standen im Zusammenhang mit Spionage und könnten mit China in Verbindung stehen.

Polnischer Minister warnt vor Fehlern im Fortinet-Programm

Außerdem wurde im FortiClient Endpoint Management Server eine schwerwiegende Sicherheitslücke festgestellt. Dabei handelt es sich um ein Tool, mit dem Unternehmen den Schutz der Mitarbeitercomputer zentral verwalten können. Der Fehler ermöglichte es Kriminellen, eigene Befehle in die Datenbank des Systems einzuschleusen.

In der Praxis bedeutete dies die Möglichkeit, Daten zu manipulieren, Sicherheitsmaßnahmen zu umgehen und sogar die Kontrolle über den Server zu übernehmen. Eine der kriminellen Gruppen installierte auf infizierten Servern ein legales Fernverwaltungsprogramm. Dieser Zugang wurde dann an andere kriminelle Gruppen verkauft. Mandiant hat außerdem nachgewiesen, dass die Schwachstelle von der FIN8-Gruppe ausgenutzt wurde. Diesmal geht es darum, in Organisationen einzubrechen und ihre Daten zu stehlen, um Lösegeld zu erpressen.

Im Oktober und November 2024 verschaffte sich der mutmaßliche Bedrohungscluster FIN8 Zugriff auf eine Zielorganisation, indem er CVE-2023-48788 ausnutzte, die Ransomware SNAKEBITE einsetzte und das öffentlich verfügbare Backup-Tool RESTIC zum Diebstahl von Daten verwendete.

Sogar der Bevollmächtigte der polnischen Regierung für Cybersicherheit (in dieser Amtszeit ist dies der stellvertretende Ministerpräsident Krzysztof Gawkowski) hat zu dieser Sicherheitslücke eine Erklärung abgegeben . Im März 2024 empfahl er, Fortinet-Produkte auf die neuesten Versionen zu aktualisieren.

Welches Ausmaß könnten die Probleme haben, die diese Sicherheitslücke in Polen verursacht? Dies ist nicht bekannt, da das Ministerium für Digitale Angelegenheiten kein Verzeichnis der Anbieter und Produkte führt, die die in der öffentlichen Verwaltung oder in abhängigen Einrichtungen eingesetzten IT-Systeme absichern.

- Öffentliche Einrichtungen verfügen über ein hohes Maß an Autonomie bei der Auswahl, Beschaffung und Anwendung von IT-Sicherheitslösungen - versichert uns die Pressestelle des Ministeriums.

Allerdings bestätigen Beamte, dass auch Produkte der im Mandiant-Bericht genannten Lieferanten in der öffentlichen Verwaltung zum Einsatz kommen .

Ministerium wartet auf wichtige Gesetzesentwürfe zur Cybersicherheit

Wie das Digitalministerium versichert, sei jedoch nicht geplant, Anbieter auszuschließen, deren Software anfällig für Angriffe sei . Ihre Sicherheit soll künftig durch eine Änderung des Gesetzes über das nationale Cybersicherheitssystem (das Ministerium für digitale Angelegenheiten hofft, dass es bis Mitte des Jahres von der Regierung verabschiedet wird) sowie durch das Cybersicherheits-Zertifizierungssystem gewährleistet werden. Letzteres wurde vom Ministerrat bereits verabschiedet.

- Die Entwurfsbestimmungen zur Schutzanordnung bzw. zum Verfahren zur Anerkennung als Hochrisikolieferant können künftig angewendet werden, wenn die Schwachstellen eine Bedrohung für die grundlegenden Sicherheitsinteressen des Staates darstellen, denen eine detaillierte Analyse vorausgeht - heißt es in den Antworten des MC.

Derzeit senden Computer Incident Response Teams (CSIRTs) Informationen über Schwachstellen an die von ihnen betreuten Institutionen. NASK verwendet das Tool Artemis, um nach Sicherheitslücken zu suchen.

Anbieter patchen, Benutzer aktualisieren nicht

Was denken die Softwareanbieter selbst über den Bericht? Wir haben allen drei von Mandiant genannten Unternehmen Fragen gestellt. Nur Fortinet antwortete nicht auf die Fragen von CIS.

Der Ivanti-Sprecher betont, dass es nicht nur gewöhnliche Kriminelle seien, die sich gegen die Unternehmen stellten. „Aggressive, staatlich geförderte Angriffe auf Edge-Geräte sind eine weit verbreitete und gut dokumentierte Herausforderung für die gesamte Branche“, räumt er ein.

Er fügt hinzu, dass das Unternehmen in Partnerschaften und Kooperationen im Bereich der Bedrohungsaufklärung investiert. Außerdem werden genau beschriebene Korrekturen veröffentlicht.

Vertreter von Palo Alto Networks sprechen auch über Fixes und betonen, dass Patches für die im Mandiant-Bericht erwähnte spezifische Sicherheitslücke innerhalb von drei Tagen nach Bekanntwerden des Problems veröffentlicht wurden.

„Informationen zu erkannten Produktschwachstellen werden von uns öffentlich bekannt gegeben und von unserem PSIRT-Team aktualisiert“, heißt es in der Pressestelle des Unternehmens.

Wie wir hören, führt das Unternehmen auch Softwaretests durch, bevor diese auf den Markt kommt.

„Auch im Falle eines Vorfalls sind wir in der Lage, ein zuvor getestetes Szenario schnell zu analysieren, einen Fix zu entwickeln und ihn in den betroffenen Produkten zu implementieren“, betonen Vertreter von Palo Alto Networks.

MC weist darauf hin, dass es wichtig ist, die Software nach solchen Meldungen so schnell wie möglich zu aktualisieren.

Der Cybersicherheitsbeauftragte weist in seinen Empfehlungen und Mitteilungen deutlich darauf hin, dass die wichtigste Maßnahme zur Begrenzung des Auftretens von Cybersicherheitsvorfällen die kontinuierliche Aktualisierung der verwendeten Lösungen und die Verwendung einer Multi-Faktor-Authentifizierung ist .

Laut Anbietern sind Softwareschwachstellen eine natürliche Erscheinung. Paweł Nogowicz, Eigentümer von Evercom, sieht die Sache jedoch anders. Wie er während der Diskussion beim EEC in Kattowitz betonte , handelt es sich dabei um eine Marktpathologie. Er wies lediglich darauf hin, dass Kunden de facto zu Softwaretestern werden. „Es kann nicht sein, dass Software ständig Patches benötigt, die zwar einige Schwachstellen beseitigen, aber neue erzeugen“, sagte er.