Die Entwickler der IT-Sicherheitssoftware Check-Point warnen vor einer Sicherheitslücke, die einen unbefugten Netzwerkzugang ermöglicht. Der Softwarehersteller hat Updates bereitgestellt.
Wir beschreiben den Schwachpunkt und was die Unternehmen sofort tun sollten.
Schwachstellen bedrohen IT-Sicherheit
Es ist kein Geheimnis, dass Schwachstellen in Softwareprogrammen eine der größten Bedrohungen für die IT-Sicherheit von Unternehmen sind. Solche Schwachstellen können beispielsweise von Cyber-Kriminellen genutzt werden, um unberechtigten Zugriff auf vertrauliche Daten zu gewinnen, Malware zu verbreiten oder ganze Netzwerke paralysieren. Das Schadenspotenzial ist daher enorm!
Es ist besonders problematisch, wenn Schwachstellen in Software auftreten, die tatsächlich zum Schutz verwendet wird. Sicherheitsgateways, die dazu dienen, die Netzwerkarchitektur hinter ihnen zu sichern, sind ein typisches Beispiel dafür. Aufgrund ihrer exponierten Position sind diese Gateways attraktive Ziele für Cyberangriffe. Angreifer können diese Schwachstellen nutzen, um Zugriffsdaten auszunutzen und tiefe Spionage- oder Sabotageoperationen durchzuführen.
Eine aktuell entdeckte Schwachstelle in der Software des IT-Sicherheitsunternehmens Check Point Software wurde bereits aktiv ausgenutzt. Besonders brisant: Unter den Opfern ist die CDU.
Die BSI rief die orange Alarmstufe wegen einer Ceck – Point Sicherheitslücke aus. Bild: DALL – E via ChatGPT
Check-Point Sicherheitslücke: Was ist passiert?
Am 26. Mai 2024 gab Check Point, ein Anbieter von verschiedenen Netzwerkkomponenten und IT-Sicherheitslösungen, eine Warnung über eine Schwachstelle in mehreren Checkpoint-Lösungen heraus. Demnach sind folgende Produkte betroffen:
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
In diesem Fall war die erkannte Schwachstelle eine sogenannte Zero-Day-Schwachstelle. Dies bedeutet, dass Angreifer sie bereits umfassend genutzt haben, bevor die Schwachstelle öffentlich bekannt wurde. Laut Check Point haben Angreifer am 7. April 2024 versucht, über die Sicherheitslücke Zugriffsdaten in zahlreichen Netzwerken zu lesen und über VPN-Verbindungen Zugriff auf die betroffenen Geräte und Netzwerke zu gewinnen. In diesem Fall ist es besonders problematisch, dass Angreifer das komplette lokale Dateisystem des angegriffenen Geräts sehen und manipulieren können.
Mit der Veröffentlichung der Schwachstelle hat Check Point auch ein Update zur Verfügung gestellt, das die Lücke schließt. In vielen Fällen muss jedoch dieser Sicherheitspatch manuell initiiert werden, was trotz der Warnung anscheinend viele Betroffene tagelang versäumt haben.
BSI warnt vor geschäftskritischer Bedrohung
Die Gefahr der Check-Point Sicherheitslücke mit der Kennung CVE-2024-24919 wird vom Bundesamt für Sicherheit in der Informationstechnologie als “geschäftskritisch” betrachtet – das ist das zweithöchste Bedrohungsniveau in der Risikoskala, die von der BSI verwendet wird.
Der Grund für diese Bewertung ist die zentrale Rolle, die Sicherheitsgateways in der Netzwerkarchitektur spielen. Allein in Deutschland waren bis zu 1.800 IT-Systeme betroffen als die Schwachstelle veröffentlicht wurde. Laut Heise Online wurden Betreiber kritischer Infrastrukturen im Verkehr und in der Gesundheit erfolgreich angegriffen. Und die CDU ist auch der Schwachstelle zum Opfer gefallen.
Kurz vor den Europawahlen fand ein Cyber-Angriff auf die CDU statt. Bild: Unsplash/Mika Baumeister
Schwachstelle ermöglichte Cyber-Angriffe auf die CDU
Kurz vor den Europawahlen wurde ein Cyber-Angriff auf die CDU verübt. Mittlerweile ist bekannt, dass ein Zusammenhang mit der Check-Point Sicherheitslücke bestand. CDU-Parteichef Friedrich Merz beschrieb den Vorfall als den härtesten IT-Angriff auf eine deutsche politische Partei. Die Hacker erhielten unbefugten Zugriff auf das interne Netzwerk der Partei, blieben dort für mindestens 14 Tage unbemerkt und hatten Zugriff auf zahlreiche sensible Informationen und interne Dokumente.
Die CDU wurde erneut kritisiert, da die Wirksamkeit ihrer Sicherheitsmaßnahmen bereits vor diesem Vorfall herausgefordert wurde. Der Berliner Kommissar für Datenschutz und Informationsfreiheit wartet derzeit auf detaillierte Informationen der CDU über den Hack und die betroffenen Daten.
Das Bundesministerium des Innern vermutet, dass ein professioneller Akteur hinter dem Angriff steht, möglicherweise im Namen Chinas. Glücklicherweise wurde die Angst, dass der Düsseldorfer Landtag auch durch den Cyberangriff auf die CDU betroffen sein könnte, nicht bestätigt. Dennoch zeigt der Vorfall, wie wichtig es ist, dass alle Arten von Organisationen sofort handeln und effektive Schutzmaßnahmen ergreifen.
Wie vor der Schwachstelle schützen?
Gemäß der BSI sind Institutionen, die ausschließlich lokale Benutzernamen und Passwörter zur Authentifizierung ihrer VPN-Zugänge verwenden, besonders gefährdet, wenn keine zusätzlichen Sicherheitsmaßnahmen wie Zertifikate existieren. Folgende Sicherheitsmaßnahmen werden speziell empfohlen:
- Aktualisieren Sie Ihre Systeme:
Installieren Sie sofort die von Check Point bereitgestellten Patches. Diese Updates schließen die Schwachstellen und bieten Schutz vor den bekannten Angriffsvektoren. - Identifizierung gefährdeter Komponenten:
Verwenden Sie das von Check Point bereitgestellte Skript (CHPO2024c), um potenziell gefährdete Geräte in Ihrem Netzwerk zu identifizieren. Wenn das Skript Schwachstellen zeigt, betrachten Sie diese Geräte als potenziell gefährdet. - Überprüfen Sie die Sicherheitsprotokolle:
Analysieren Sie die Logdateien Ihrer Systeme auf verdächtige Aktivitäten. Dies kann Hinweise auf einen bereits erfolgten Angriff und eine Kompromittierung geben. - Setzen Sie Incident-Response-Maßnahmen um:
Werden verdächtige Aktivitäten festgestellt, führen Sie entsprechende Incident-Response-Maßnahmen durch. Ein professioneller IT-Dienstleister kann Ihnen helfen. - Authentifizierungssicherheit erhöhen:
Ersetzen Sie eine einfache Passwort-Authentifizierung durch stärkere Verfahren wie Zwei-Faktor-Authentifizierung oder Zertifikate. - Aktualisieren Sie Ihre Sicherheitseinstellungen:
Geräte- oder Anwendungspasswörter zurücksetzen. Überprüfen Sie lokale Konten, die nur ein Passwort für die Authentifizierung benötigen, und ziehen Sie in Betracht, Zertifikate auszutauschen.
Tatsache ist, dass es angesichts der Details, die über die Sicherheitslücke bekannt geworden sind, wahrscheinlich ist, dass Angreifer die Sicherheitslücke weiter angreifen werden. Betroffene Unternehmen sollten daher sofort die empfohlenen Sicherheitsmaßnahmen aktualisieren und implementieren.
Weitere Informationen:
BSI, heise, SPIEGEL, mdr, t-online, GOLEM, SZ, it-daily, heise
Für eine bessere Lesbarkeit verwenden wir die männliche Form im Text. Allerdings sind alle Geschlechter und Geschlechtsidentität immer gemeint.
Lesen Sie den Originalartikel auf IT-SERVICE.network