Die lauernde Bedrohung durch Edge-Sicherheitsprodukte

Das Internet ist dunkel und voller Schrecken, eine Tatsache, die in den letzten Wochen durch den stetigen Strom schwerwiegender Schwachstellen in Edge-Sicherheitsprodukten deutlich geworden ist. Dieselben Produkte, die Netzwerke vor Bedrohungen schützen sollen, sind zu beliebten Zielen für Angreifer geworden, die sie oft als einfache Einstiegspunkte in diese Umgebungen betrachten.

Seit 2021 hat die Ausnutzung von Perimeter-Geräten als Mittel für den Erstzugang die herkömmliche Annahme widerlegt, dass Phishing der häufigste Eindringungsvektor ist. Die routinemäßige Offenlegung schwerwiegender Schwachstellen in Edge-Geräten wie VPN-Appliances und Dateiübertragungsdiensten hat diese zu einem attraktiven Angriffsvektor für Bedrohungsakteure gemacht, die auf Big-Game-Hunting (BGH) spezialisiert sind. Durch die massenhafte Ausnutzung dieser anfälligen Systeme können Bedrohungsakteure dann nach bestimmten Organisationen suchen, die ihrem Zielprofil entsprechen, wie z. B. vermögende Unternehmen für Ransomware-Akteure.

Allein in den letzten zwei Kalendermonaten hat die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sieben Schwachstellen in Sicherheitsgeräten in ihren KEV-Katalog ( Known Exploited Vulnerabilities - bekannte ausgenutzte Schwachstellen ) aufgenommen. Mehrere dieser Schwachstellen beinhalten eine Form der Umgehung der Authentifizierung, die es einem Angreifer ermöglicht, privilegierten Zugriff auf das Gerät zu erhalten oder sogar beliebige Befehle auszuführen. Erst in dieser Woche wurden Schwachstellen zur Umgehung der Authentifizierung in Sicherheitsprodukten von Palo Alto Networks(CVE-2025-0108) und SonicWall(CVE-2024-53704) in den KEV-Katalog aufgenommen. Ende Januar fügte die CISA dem KEV-Katalog eine weitere kritische Schwachstelle zur Remotecodeausführung(CVE-2024-23006) im SonicWall Secure Mobile Access VPN hinzu.

Das ist ein ziemliches Buffet an Schwachstellen, aus dem Angreifer wählen können, und es beinhaltet noch nicht einmal das viel breitere Menü an Fehlern in Sicherheitsgeräten, von denen noch nicht bekannt ist, dass sie ausgenutzt wurden. Letzte Woche hat Ivanti zum Beispiel vier kritische Schwachstellen in seinen Produkten Connect Secure, Policy Secure und Cloud Services Appliance bekannt gegeben, die alle in Unternehmen sehr beliebt sind.Censys-Daten zeigen, dass mehr als 14.000 Connect Secure-Geräte eine Version aufweisen, die für drei dieser Schwachstellen anfällig sein könnte (CVE-2025-22467, CVE-2024-38657 und CVE-2024-10644). Neue Daten des Sicherheitsanbieters Darktrace zeigen, dass 40 Prozent der Angriffe im vergangenen Jahr auf internetfähige Geräte wie Firewalls, Router, VPN-Geräte und andere abzielten. Kürzlich beobachteten Forscher der Insikt Group von Recorded Future, dass Salt Typhoon, ein vom chinesischen Staat unterstützter Akteur, bekannte Schwachstellen in der IOS XE-Software von Cisco in einer Kampagne ausnutzte, die auf Telekommunikationsunternehmen in den USA abzielte.

Die CISA, das FBI und andere Bundesbehörden haben die Verteidiger von Unternehmen wiederholt vor Aktivitäten chinesischer, russischer und nordkoreanischer Akteure gewarnt, die auf diese Fehler abzielen. Im Januar berichtete die CISA von Kampagnen ungenannter Bedrohungsakteure, die mehrere Ivanti-Schwachstellen bei Angriffen auf mindestens drei verschiedene Unternehmen miteinander verknüpften. Angreifer achten sehr genau auf öffentliche Berichte über Sicherheitslücken - in manchen Fällen führen sie auch eigene Recherchen zu Sicherheitslücken durch - und wissen, dass diese Geräte nicht nur weit verbreitet sind, sondern auch oft über Verwaltungskonsolen verfügen, die dem Internet ausgesetzt sind, was sie zu einem idealen Angriffsziel macht. Angriffsziele gibt es viele.

Für Verteidiger sind Edge-Sicherheitsprodukte wie Firewalls, VPNs und andere ein zweischneidiges Schwert geworden. Sie sind notwendige Elemente der Sicherheitsarchitektur eines Unternehmensnetzwerks, können aber auch zu einer ernsthaften Belastung werden, wenn sie nicht richtig konfiguriert, überwacht und regelmäßig aktualisiert werden. Letzteres kann besonders schwierig sein, da die meisten Administratoren die Sicherheitsprodukte nur ungern vom Netz nehmen, um sie zu aktualisieren - ein Umstand, den Angreifer gut kennen und gerne zu ihrem Vorteil nutzen.

Selbst für gut ausgestattete Sicherheitsteams kann es eine entmutigende Aufgabe sein, sich über Schwachstellenberichte und Updates für Sicherheitsgeräte auf dem Laufenden zu halten. Eine Möglichkeit, diese Bemühungen zu unterstützen, ist der Einsatz eines Tools wie Attack Surface Management von Censys, das externe Netzwerkoberflächen überwacht und dabei hilft, versteckte Schwachstellen zu entdecken und Netzwerk- und Sicherheitsteams ein ständig aktualisiertes Bild ihrer Gefährdung zu geben. Wenn eine sofortige Aktualisierung nicht immer möglich ist, sollten Sie alle möglichen Maßnahmen ergreifen, um die Bedrohung zu verringern, z. B. den Zugang zu Verwaltungsschnittstellen einschränken. Hacker werden hacken, aber wir können unser Bestes tun, um es ihnen so schwer wie möglich zu machen.