Aktuelles, Branche - geschrieben von dp am Montag, Mai 10, 2021 12:12 - noch keine Kommentare
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber
Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall
[datensicherheit.de, 10.05.2021] In den letzten Tagen vermeldeten internationale Medien einen Cyber-Angriff (demnach eine Ransomware-Attacke mit einer „Beute“ von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegt habe. Es sollte laut Tenable beachtet werden, dass diese spezielle Sicherheitslücke sowie mehrere andere, inzwischen gepatchten nur hätten ausgenutzt werden können, wenn die „vManage“-Software im Cluster-Modus laufe. Wenn ein Unternehmen „vManage“ verwendet, wird daher dringend empfohlen, diese Patches so schnell wie möglich zu installieren.
Ransomware beliebter Angriffsvektor für Cyber-Kriminelle
Marty Edwards, „VP of OT Security“ bei Tenable und dienstältester Director des ICS-CERT erläutert: „Cyber-Angriffe sind eine reale und gegenwärtige Gefahr für Kritische Infrastrukturen auf der ganzen Welt und damit auch für jeden einzelnen Verbraucher. Wenn die Berichte zutreffen, weist der Vorfall bei Colonial Pipeline alle Merkmale eines umfassenden Ransomware-Angriffs auf, der in der IT-Umgebung begann und den Betreiber vorsichtshalber zum Herunterfahren des Betriebs zwang.“
Ransomware sei aufgrund ihrer Effektivität und ihres Return-on-Investment ein beliebter Angriffsvektor für Cyber-Kriminelle. „Das ist genau der Grund, warum Kriminelle in letzter Zeit immer wieder Kritische Infrastrukturen ins Visier genommen haben. Das Herunterfahren von OT-Umgebungen (Operational Technology) kann Hunderte von Millionen Dollar kosten, was die Anbieter dazu zwingt, die Kosten aufzuwiegen“ so Edwards.
Verlauf der Ransomware-Attacke noch unklart
Edwards betont: „Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer. Sie sind im Wesentlichen vollwertige kriminelle Unternehmen, die in der digitalen Welt operieren.“ Auch wenn nicht bekannt sei, wie sich dieser Angriff abgespielt hat, „so ist er doch eine weitere Erinnerung an die zunehmend ins Visier genommenen Kritischen Infrastrukturen, auf die wir uns alle verlassen“.
Zudem habe Cisco Mitte der 18. Kalenderwoche 2021 mehrere Sicherheitslücken in seiner SD-WAN-Software „vManage“ geschlossen. Eine davon ermögliche es Angreifern, Aktionen auszuführen, „die durchschnittlichen Benutzern nicht gewährt werden, wie z.B. das Erstellen von Konten mit Zugriff auf die Administrationsebene.“
Reaktion auf Ransamware-Angriff: Cisco hat mehrere Sicherheitslücken gepatcht
Satnam Narang warnt: Angreifer muss nicht im Besitz gültiger Zugangsdaten sein, um sich bei der verwundbaren Anwendung zu authentifizieren
„Cisco hat am Mittwoch mehrere Sicherheitslücken gepatcht, darunter einige Schwachstellen in seiner SD-WAN-Software ,vManage‘. Am schwerwiegendsten ist ,CVE-2021-1468‘, eine Schwachstelle innerhalb der Verarbeitung nicht autorisierter Nachrichten“, kommentiert Satnam Narang, „Staff Research Engineer“ bei Tenable.
Die Schwachstelle besteht laut Narang deshalb, weil die „vManage“-Software keine Authentifizierungsprüfung für Eingaben durchführe, welche der Benutzer an den Messaging-Dienst der Anwendung übermittelt. Diese Schwachstelle könnte vor der Authentifizierung ausgenutzt werden, d.h. der Angreifer müsste nicht im Besitz gültiger Zugangsdaten sein und sich bei der verwundbaren Anwendung authentifizieren.
Weitere Informationen zum Thema:
datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können
datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten
datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen
datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide
datensicherheit.de, 18.03.2021
Warum Ransomware noch immer so erfolgreich ist
Bloomberg, Cybersecurity, Jordan Robertson & William Turton, 09.05.2021
Colonial Hackers Stole Data Thursday Ahead of Shutdown
threatpost, Tara Seals, 06.05.2021
Critical Cisco SD-WAN, HyperFlex Bugs Threaten Corporate Networks
CISCO, 05.05.2021
Cisco Security Advisory / Cisco SD-WAN vManage Software Vulnerabilities
CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Industrial Control Systems / Advisories and Reports
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren