CISA veröffentlicht Leitlinien zu Risiken für Anmeldedaten im Zusammenhang mit potenziellen Sicherheitslücken in älteren Oracle Cloud-Systemen

CISA ist über öffentliche Berichte über einen möglichen unbefugten Zugriff auf eine ältere Oracle-Cloud-Umgebung informiert. Der Umfang und die Auswirkungen sind zwar noch unbestätigt, doch die Art der gemeldeten Aktivitäten stellt ein potenzielles Risiko für Organisationen und Einzelpersonen dar, insbesondere wenn Anmeldedaten offengelegt, in separaten, nicht verbundenen Systemen wiederverwendet oder eingebettet (d. h. in Skripten, Anwendungen, Infrastrukturvorlagen oder Automatisierungstools fest codiert) werden können. Wenn Anmeldedaten eingebettet sind, sind sie schwer zu entdecken und können bei Offenlegung einen langfristigen unbefugten Zugriff ermöglichen.

Die Kompromittierung von Anmeldedaten, einschließlich Benutzernamen, E-Mail-Adressen, Passwörtern, Authentifizierungstoken und Verschlüsselungsschlüsseln, kann ein erhebliches Risiko für Unternehmensumgebungen darstellen. Bedrohungsakteure sammeln solche Anmeldedaten routinemäßig und nutzen sie für folgende Zwecke:

• Eskalation von Berechtigungen und laterale Bewegung innerhalb von Netzwerken.
• Zugriff auf Cloud- und Identitätsmanagementsysteme.
• Phishing-, Anmeldeinformations- oder Business E-Mail Compromise (BEC)-Kampagnen durchzuführen.
• Zugriff auf gestohlene Anmeldeinformationen auf kriminellen Marktplätzen weiterzuverkaufen oder auszutauschen.
• Gestohlene Daten mit Informationen aus früheren Sicherheitsverletzungen anzureichern, um sie weiterzuverkaufen und/oder für gezielte Angriffe zu nutzen.

Die CISA empfiehlt die folgenden Maßnahmen, um die Risiken im Zusammenhang mit einer potenziellen Kompromittierung von Anmeldeinformationen zu verringern:

• Für Organisationen:
  • Setzen Sie die Passwörter aller bekannten betroffenen Benutzer in allen Unternehmensdiensten zurück, insbesondere wenn lokale Anmeldedaten möglicherweise nicht über Unternehmensidentitätslösungen zusammengeführt werden.
  • Überprüfen Sie Quellcode, Infrastructure-as-Code-Vorlagen, Automatisierungsskripte und Konfigurationsdateien auf fest codierte oder eingebettete Anmeldedaten und ersetzen Sie diese durch sichere Authentifizierungsmethoden, die von einer zentralen Geheimnisverwaltung unterstützt werden.
  • Überwachen Sie Authentifizierungsprotokolle auf ungewöhnliche Aktivitäten, insbesondere im Zusammenhang mit privilegierten, Dienst- oder Verbundidentitätskonten, und prüfen Sie, ob zusätzliche Anmeldedaten (z. B. API-Schlüssel und gemeinsam genutzte Konten) mit bekannten betroffenen Identitäten in Verbindung stehen könnten.
  • Setzen Sie, soweit technisch möglich, eine phishing-resistente Multi-Faktor-Authentifizierung (MFA) für alle Benutzer- und Administratorkonten durch.
  • Weitere Informationen zu Best Practices für Cloud-Sicherheit finden Sie in den folgenden Cybersecurity Information Sheets: CISA und NSA veröffentlichen Cybersecurity Information Sheets zu Best Practices für Cloud-Sicherheit.
• Für Benutzer:
  • Aktualisieren Sie unverzüglich alle potenziell betroffenen Passwörter, die möglicherweise auf anderen Plattformen oder Diensten wiederverwendet wurden.
  • Verwenden Sie für jedes Konto starke, eindeutige Passwörter und aktivieren Sie eine phishing-resistente Multi-Faktor-Authentifizierung (MFA) für Dienste und Anwendungen, die dies unterstützen. Weitere Informationen zur Verwendung sicherer Passwörter finden Sie auf der CISA-Webseite „Use Strong Passwords“ (Sichere Passwörter verwenden). Weitere Informationen zu phishing-resistenter MFA finden Sie im CISA-Informationsblatt „Implementing Phishing-Resistant MFA“ (Implementierung phishing-resistenter MFA).
  • Bleiben Sie wachsam gegenüber Phishing-Versuchen (z. B. Verweise auf Probleme bei der Anmeldung, Zurücksetzen von Passwörtern oder Benachrichtigungen über verdächtige Aktivitäten) und lesen Sie die Phishing-Leitlinien: Stoppen Sie den Angriffszyklus in Phase eins.

Unternehmen sollten Vorfälle und ungewöhnliche Aktivitäten an das rund um die Uhr besetzte Operations Center der CISA unter Report@cisa.gov oder (888) 282-0870 melden.

Haftungsausschluss:

Die Informationen in diesem Bericht werden „wie besehen“ und ausschließlich zu Informationszwecken bereitgestellt. CISA unterstützt keine kommerziellen Unternehmen, Produkte, Firmen oder Dienstleistungen, einschließlich der in diesem Dokument verlinkten Unternehmen, Produkte oder Dienstleistungen. Jegliche Bezugnahme auf bestimmte kommerzielle Unternehmen, Produkte, Prozesse oder Dienstleistungen durch Dienstleistungsmarken, Marken, Hersteller oder auf andere Weise stellt keine Billigung, Empfehlung oder Bevorzugung durch CISA dar und impliziert diese auch nicht.

Bild/Quelle: https://depositphotos.com/de/home.html