Vorwort: Am 6.6.24 hat das BSI eine Sicherheitswarnung der Stufe Orange ausgegeben, in der es auffordert, dringend das von Check Point bereitgestellte Patch Script für VPN Produkte auszuführen. Die kritische Schwachstelle (CVE-2024-24919) in den CheckPoint VPN Produktreihen Quantum und Maestro ermöglicht es Angreifern aus der Ferne ohne Authentifizierung Zugangsdaten auszulesen. Betroffen sind die Sicherheitslösungen CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways und Quantum Spark Appliances. Die Schwachstelle wurde bereits am 26. Mai 2024 und mit einer hohen Kritikalität von 8.6/10 nach CVSS v3.1 bewertet. Angreifer könnten die ausgelesenen Daten verwenden, um per VPN Zugriff auf geschützte Netzwerke zu erlangen und weitere Spionage- oder Sabotageaktionen durchzuführen. Betroffen sind alle Sicherheitsgateways der Serien R81, R81.10, R81.10.x, R81.20 und älter. Die IT-Bedrohungslage wurde auf 3 / Orange eingestuft, was eine geschäftskritische Situation bedeutet. Erste prominente Opfer scheint es mit dem Hack auf die CDU schon gegeben zu haben, wir gehen nicht davon aus, dass dies die einzigen waren. Laut einem Bericht von Heise kam es auch bei KRITIS Betreibern bereits zu einem Vorfall. Heise geht von über 1800 betroffenen Gateways aus.
Die o.g. Warnmeldung des BSI richtet sich aber unserer Meinung nach vor allem an das eigene Haus bzw. Ministerium, denn nach eigener Recherche sind Produkte von CheckPoint beim ITZBund und dem BMI aktuell hoch im Kurs. In der Mega Ausschreibung 9927/23/VV „CheckPoint Produkte und Dienstleistungen“ aus dem zweiten Quartal 2024 stellt der Bund über 500 Mio Euro für CheckPoint Lizenzen und Dienstleistungen zur Verfügung. Für uns war nicht nachvollziehbar, ob das nun erstmalig eingeführt wird oder bereits ein Folgeauftrag für die nächsten 4 Jahre darstellt. Wir sehen hier jedoch eine starke Abhängigkeit von einem einzigen Hersteller, die der Bund dort aufbaut. Die Angriffsoberfläche für Zero Day Angriffe, Insider Threats oder auch durch menschliche Fehlkonfiguration ist bei einem Budget von 500 Mio Euro auf 4 Jahre gigantisch. Wenn nun grosse Teile der Bundesverwaltung auf wenige Anbieter für zentrale Security Lösungen setzen, steigt die Attraktivität von staatlichen Angreifern, Zero Day Exploits für eben diese monolithisch eingesetzten Produkte auszuüben oder auf die wenigen Rahmenvertragspartner zu kompromittieren stark an. Entsprechend sehen wir hier, dass das BSI in Zugzwang ist, präventiv dafür zu sorgen die gesamte Lieferkette durchzutesten und höchste Sicherheitsstandards zu etablieren. Den Trend zur Zentralisierung und Monopolisierung von IT Security mag Kostenvorteile und eine einfachere Verwaltung mit sich bringen, er birgt aber auch gleichzeitig ein enormes Schadenspotential, dass sich wie eine Kettenreaktion auf alle betroffenen Einrichtungen weiter propagieren kann.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: