FBI, NSA und Cybersecurity and Infrastructure Security Agency (CISA) haben eine Untersuchung zu Aktivitäten der mit der Volksrepublik Chna in Zusamenhang gebrachten Hacker-Gruppe "Volt Typhoon" veröffentlicht. Sie listen darin auch besonders häufig als Einfallstor in die Netzwerke der Opfer genutzte Produkte auf. "Volt Typhoon" ist in dem, was es tut, sehr gut: Die Grupe hat den US-Behörden zufolge "seit mindestens fünf Jahren Zugang zu den IT-Umgebungen einiger Opfer zu und konnte in deren Systemen Fuß fassen".
Als Anbieter von Netzwerkgeräten, die häufig kompromittiert wurden, um Zugang zu Zielumgebungen zu erhalten, nennen die US-Behörden Fortinet, Ivanti Connect Secure (ehemals Pulse Secure), Netgear, Citrix und Cisco. Die Angreifer "nutzen häufig öffentlich zugänglichen Exploit-Code für bekannte Schwachstellen, sind aber auch geschickt darin, Zero-Day-Schwachstellen zu entdecken und auszunutzen", so die Behörden.
Als Beispiel eines nachgewiesenermaßen erfolgreichen Angriffs nennen die US-Behörden einen Fall, in dem Volt Typhoon "wahrscheinlich ersten Zugriff durch die Ausnutzung von CVE-2022-42475 in einer nicht gepatchten FortiGate 300D-Firewall am Netzwerkrand" erhielt.
Patch-Managment vernachlässigt
Fortinet nahm das zum Anlass, um in einem Blog-Post erneut darauf hinzuweisen, dass "Organisationen über ein robustes Patch-Management-Programm verfügen und Best Practices befolgen müssen, um eine sichere Infrastruktur zu gewährleisten".
Auch Cisco predigt schon seit Jahren die Bedeutung von Patch-Management, hat aber in der Vergangenheit auch schon eingeräumt, dass es diese Aufgabe mit seiner Informations- und Update-Politik den Kunden nicht immer einfach gemacht hat.
Nicht eindeutig aus den Aussagen der US-Behörden geht hervor, inwieweit die Tatsache, dass die Produkte der genannten Hersteller - zumindest von Cisco, Fortinet und Netgear - zu den am weitesten verbreiteten gehören, dazu beigetragen hat, dass sie auch am häufigsten angegriffen wurden. Unzulässig wäre es auf alle Fälle, aus der Warnung abzuleiten, dass die Geräte dieser Hersteller am anfälligsten sind. Legitim wäre es jedoch zu fragen, inwieweit diese Hersteller die Mechanismen für Security-Updates gerade bei ihren KMU-Kunden vereinfachen und optimieren könnten - denn ganz offensichtlich sind die mit der aktuellen Praxis oft überfordert.
Botnet von "Volt Typhoon" abgeschaltet
Ende Januar 2024 hatte das FBI bekannt gegeben, dass es ein Botnet staatlich unterstützter chinesischer Hacker - eben der Gruppe "Volt Typhoon"- abschalten und die Malware von befallenen Routern in US-Unternehmen entfernen konnte. Betroffen waren "Hunderte" von KMU in den USA. Das so geschaffene Botnetz hätte für einen Angriff auf die kritische Infrastruktur der USA genutzt werden können, teilte das FBI mit.
"Bei einigen Opfern handelt es sich um kleinere Organisationen mit begrenzten Cybersicherheitsfähigkeiten, die kritische Dienste für größere Organisationen oder wichtige geografische Standorte bereitstellen", erklärte die Behörde dazu. In der parallel gegebenen Empfehlung wiesen US-Behörden darauf hin, dass das Einspielen von Patches für Netzwerkgeräte ein wesentlicher Schritt zum Schutz vor Angriffen durch "Volt Typhoon" sei. Allerdings waren die "überwiegende Mehrheit" der Router im Volt-Typhoon-Botnetz veraltete Router von Cisco und Netgear, die nicht mehr mit Sicherheitsupdates unterstützt werden.
Patch-Management auch Aspekt bei NIS2
Patch-Management ist auch eine der Anforderungen, die in Europa mit NIS2 auf die Unternehmen zukommt. Die Regelung tritt Mitte Oktober in Kraft und betrifft direkt etwa 30.000 bis 40.000 Unternehmen. Es ist aber damit zu rechnen, dass auch viele deren Zulieferer in die Pflicht genommen werden - um Szenaren wie jetzt in den USA zu vermeiden.
Derzeit arbeitet die Bundesregierung an dem erforderlichen Umsetzungsgesetz für die zugrundeliegende EU-Richtlinie. Einen Aufschub dürfen sich Unternehmen aber nicht erhoffen: Schafft es Deutschland nicht, rechtzeitig ein nationales Gesetz zu verabschieden, gilt automatisch die EU-Vorgabe.
Renaissance des Patch-Managements