JarTee – shutterstock.com
Cisco Talos hat kürzlich eine Cyberkampagne entdeckt, die auf Ciscos AsyncOS-Software program für Safe E-mail Gateway, Safe E-mail und Internet Supervisor abzielt. Die Kampagne soll mindestens seit Ende November laufen. Ein Patch ist derzeit noch nicht verfügbar, so der Netzwerkriese.
Umfang des Risikos
Laut Cisco betrifft die Schwachstelle Systeme, auf denen die Spam-Quarantäne-Funktion aktiviert ist. Safety-Experten zufolge verringert dies allerdings nicht unbedingt das Risiko für Unternehmen.
„Auch wenn die Funktion standardmäßig nicht aktiviert ist – die Sicherheitslücke kann ein hohes Risiko darstellen“, mahnt Sunil Varkey, Analyst für Cybersicherheit. „Betroffene Geräte stehen in der Regel an privilegierten Positionen im Netzwerk.“
Zudem sei unklar, wie viele Unternehmen die Funktion in Produktionsumgebungen aktiviert haben,
„Die Spam-Quarantäne bietet Administratoren die Möglichkeit, ‚False Positives‘, additionally legitime E-Mail-Nachrichten, die vom Gerät als Spam eingestuft wurden, zu überprüfen und freizugeben“, erklärt Keith Prabhu, Gründer und CEO von Confidis. „Angesichts des heutigen Distant-Helps und des 24×7-Betriebs ist es durchaus möglich, dass diese Funktion von vielen Unternehmen aktiviert wurde.“
Laut Akshat Tyagi, Affiliate Apply Chief bei HFS Analysis, ist das größte Drawback die Artwork des Ziels. „Im Gegensatz zu einem Anwender-Laptop computer oder einem eigenständigen Server stehen E-Mail-Sicherheitssysteme im Mittelpunkt der Artwork und Weise, wie Unternehmen den E-Mail-Verkehr filtern und vertrauen. Das bedeutet, dass Angreifer innerhalb einer Infrastruktur operieren würden, die darauf ausgelegt ist, Bedrohungen zu stoppen, anstatt sie zu erhalten.“
Tyagi fügt hinzu: „Die Tatsache, dass es noch keinen Patch gibt, erhöht das Risiko zusätzlich. Wenn der Hersteller empfiehlt, die Geräte neu aufzusetzen, anstatt sich selbst darum zu kümmern, zeigt dies, dass es hier um Persistenz und Kontrolle geht und nicht nur um einen einmaligen Exploit.“
Varkey weist darauf hin, dass der Exploit nicht unbedingt eine direkte Internetverbindung erfordere, sondern auch über interne oder über VPN erreichbare Netzwerke erfolgen könne. Er empfiehlt Unternehmen, den Zugriff auf betroffene Administration-Ports vorübergehend zu sperren oder einzuschränken.
Tipps zum Wiederaufbau und betriebliche Kompromisse
Cisco erklärte, dass in Fällen, in denen eine Kompromittierung bestätigt wurde, derzeit eine Löschung und ein Wiederaufbau der Geräte erforderlich ist.
„Aus Sicherheitsgründen ist dies in der Tat die richtige Entscheidung“, so Tyagi. „Wenn die Gefahr besteht, dass sich Angreifer tief in ein System eingenistet haben, reicht das Aufspielen von Patches allein nicht aus, um das Drawback zu lösen. Eine Neuinstallation ist die einzige Möglichkeit, um sicherzustellen, dass die Bedrohung vollständig beseitigt ist.“
Varkey merkt jedoch an, dass dies für viele Unternehmen möglicherweise keine praktikable Possibility sei, da damit geschäftliche Risiken verbunden seien. Darunter Ausfallzeiten, Fehlkonfigurationen und die potenzielle Wiedereinführung von Persistenz durch kompromittierte Backups.
Unternehmen müssen ein Gleichgewicht zwischen der Geschwindigkeit der Behebung und der Aufrechterhaltung des Geschäftsbetriebs finden und sich gleichzeitig auf kompensierende Kontrollen verlassen, um das Risiko zu begrenzen.
„Cisco Safe E-mail Gateway, Cisco Safe E-mail und Internet Supervisor sind wichtige Komponenten der E-Mail-Infrastruktur“, betont Prabhu. „Unternehmen müssten diese Maßnahme so planen, dass Ausfallzeiten minimiert werden, gleichzeitig aber auch das Zeitfenster für Kompromittierungen reduziert wird. In der Zwischenzeit könnten sie andere Sicherheitsmaßnahmen wie das Blockieren von Ports in der Firewall einsetzen, um die Angriffsfläche zu begrenzen.“ (jm)
