Kritische TSplus Remote Access Schwachstelle offenlegt Administrator-Zugangsdaten

Eine kritische Authentifizierungsschwachstelle in Remote-Access-Software: Was Underwriter wissen müssen

Anfang 2023 entdeckten Sicherheitsforscher eine schwerwiegende Schwachstelle in der TSplus Remote Access Software, die Versionen bis einschließlich 16.0.2.14 betrifft. Diese Schwachstelle, die als CVE-2023-31069 erfasst ist, erhielt eine CVSS-Bewertung von 9,8 von 10 und signalisiert damit eine kritische Schwere. Die Schwachstelle ermöglicht es Angreifern, administrative Zugangsdaten direkt aus dem HTML-Quellcode der Login-Seite zu extrahieren und somit ohne Authentifizierung den vollständigen Systemzugriff zu erlangen.

Diese Entdeckung verdeutlicht die anhaltenden Risiken, denen Organisationen bei der Nutzung von Remote-Access-Lösungen ausgesetzt sind – insbesondere solchen, die nicht regelmäßig Sicherheitsupdates erhalten oder nicht ordnungsgemäß konfiguriert werden. Für Cyber-Versicherungs-Underwriter und Risikomanager dient CVE-2023-31069 als Fallstudie dafür, wie scheinbar geringfügige Implementierungsfehler zu erheblichen Schadensfällen bei Policen führen können.

Verständnis der technischen Schwachstelle

Das Kernproblem von CVE-2023-31069 liegt in der Art, wie TSplus Remote Access Zugangsdaten innerhalb seiner Web-Oberfläche speichert. Anstatt administrative Zugangsdaten ordnungsgemäß zu sichern, bindet die Software diese direkt in den HTML-Quellcode der Login-Seite ein. Das bedeutet, dass jeder mit grundlegenden Web-Kenntnissen die Seite aufrufen, den Quellcode einsehen und gültige administrative Zugangsdaten extrahieren kann – ohne sich vorher authentifizieren zu müssen.

Aus geschäftlicher Sicht schafft diese Schwachstelle einen direkten Weg für unbefugten Zugriff auf Remote-Desktop-Umgebungen. Angreifer können diese Zugangsdaten nutzen, um administrative Kontrolle über den TSplus-Server zu erlangen und potenziell auf alle verbundenen Systeme und Benutzerkonten zuzugreifen. Die CVSS-Bewertung von 9,8 spiegelt die Kombination aus Faktoren wider, die diese Schwachstelle besonders gefährlich machen: Sie erfordert keine Authentifizierung, ermöglicht einen vollständigen Systemkompromittierung und kann über das Internet aus der Ferne ausgenutzt werden.

Die Schwachstelle betrifft Organisationen, die TSplus für den Remote-Zugriff ihrer Mitarbeiter nutzen – insbesondere solche in den Bereichen Gesundheitswesen, Finanzdienstleistungen und Fertigung, in denen Remote-Access-Lösungen weit verbreitet sind. Da TSplus von tausenden Organisationen weltweit eingesetzt wird, erstreckt sich das potenzielle Risiko auf zahlreiche Branchen und geografische Regionen.

Warum das für die Cyber-Versicherung relevant ist

CVE-2023-31069 ist genau die Art von Schwachstelle, die zu erheblichen Versicherungsfällen führen kann. Remote-Access-Lösungen sind häufig Ziel von Cyberkriminellen, da sie direkte Zugänge zu Unternehmensnetzwerken bieten. Wenn diese Lösungen kritische Schwachstellen wie die unsichere Speicherung von Zugangsdaten aufweisen, steigt das Risiko eines erfolgreichen Angriffs erheblich.

Historische Schadensdaten zeigen, dass fehlerhaft konfigurierte oder anfällige Remote-Access-Lösungen etwa 15–20 % aller erfolgreichen Ransomware-Einsätze verursachen. Das Verständnis solcher Angriffsvektoren ist entscheidend für eine umfassende Cyber-Risikobewertung. Die einfache Ausnutzbarkeit von CVE-2023-31069 bedeutet, dass Angreifer betroffene Systeme schnell identifizieren und kompromittieren können – mit möglichen Folgen wie Datenverletzungen, Betriebsunterbrechungen oder Ransomware-Einsätzen.

Für Underwriter dient diese Schwachstelle als wichtiges Signal zur Bewertung der Cyber-Risiko-Exposition. Organisationen, die veraltete Remote-Access-Lösungen einsetzen, zeigen möglicherweise unzureichende Patch-Management-Praktiken und mangelnde Sicherheitsmaßnahmen für kritische Infrastrukturkomponenten auf. Diese Faktoren beeinflussen sowohl die Wahrscheinlichkeit eines Schadensfalls als auch die potenzielle Schadenshöhe.

Auswirkungen auf die Risikobewertung und Underwriting

Bei der Bewertung von Cyber-Versicherungsanträgen sollten Underwriter mehrere Schlüsselfaktoren im Zusammenhang mit CVE-2023-31069 und ähnlichen Schwachstellen berücksichtigen:

Erstens sollte das Vorhandensein von Remote-Access-Lösungen eine intensivere Due-Diligence auslösen. Organisationen, die Drittanbieter-Lösungen wie TSplus nutzen, sollten nachweisen, dass sie über Prozesse verfügen, um kritische Schwachstellen zu identifizieren und zu beheben. Dazu gehören regelmäßige Schwachstellenscans, Patch-Management-Prozesse und Konfigurationsprüfungen.

Zweitens ist der Zeitrahmen zur Behebung entscheidend. Obwohl TSplus Patches zur Behebung von CVE-2023-31069 veröffentlicht hat, blieben Organisationen, die diese nicht zeitnah installierten, weiterhin angreifbar. Underwriter sollten prüfen, ob Organisationen Service-Level-Vereinbarungen für Patch-Einspielung haben und Nachweise über deren Einhaltung vorlegen können.

Drittens verdeutlicht die Schwachstelle die Bedeutung von Cyber-Risiko-Quantifizierungs-Frameworks, die technische Expositionen systematisch bewerten können. Anstatt sich allein auf selbsterstellte Sicherheitsfragebögen zu verlassen, profitieren Underwriter von objektiven Bewertungen, die spezifische Schwachstellen und deren potenzielle Auswirkungen auf das Unternehmen identifizieren.

Deckungsüberlegungen und Ausschlüsse

Aus Deckungssicht wirft CVE-2023-31069 wichtige Fragen zu Policenbedingungen auf. Die meisten Cyber-Versicherungen decken Verluste ab, die durch Systemkompromittierungen entstehen – auch wenn diese durch ausgenutzte Schwachstellen verursacht wurden. Einige Policen enthalten jedoch Ausschlüsse für Fälle, in denen Sicherheitspatches nicht zeitnah installiert wurden oder angemessene Sicherheitsmaßnahmen fehlten.

Organisationen, die durch CVE-2023-31069 kompromittiert wurden, könnten Schwierigkeiten mit der Deckung haben, wenn sie nicht nachweisen können, dass sie angemessene Maßnahmen zur Wartung ihrer Remote-Access-Software getroffen haben. Dazu könnten gehören:

• Regelmäßige Schwachstellenscans von internetzugänglichen Systemen
• Prozesse zur Identifizierung und Behebung kritischer Schwachstellen
• Dokumentation von Patch-Management-Aktivitäten
• Konfigurationsmanagement-Verfahren für Remote-Access-Lösungen

Underwriter sollten die Policenbedingungen hinsichtlich Systemwartung und Sicherheitsanforderungen sorgfältig prüfen. Einige Policen schließen explizit Verluste aus, die durch bekannte, nicht zeitnah behobene Schwachstellen entstanden sind. Das Verständnis solcher Feinheiten ist entscheidend für eine präzise Risikobewertung und angemessene Prämienkalkulation.

Empfehlungen zur Risikominderung

Organisationen, die Remote-Access-Lösungen nutzen, sollten mehrere Schlüsselmaßnahmen ergreifen, um die Exposition gegenüber Schwachstellen wie CVE-2023-31069 zu reduzieren:

Regelmäßige Schwachstellenscans aller internetzugänglichen Systeme sollten mindestens wöchentlich durchgeführt werden. Diese Scans sollten sowohl automatisierte Tools als auch manuelle Penetrationstests umfassen, um Konfigurationsprobleme zu identifizieren, die automatisierte Scanner möglicherweise übersehen.

Patch-Management-Prozesse müssen spezifische Verfahren für Remote-Access-Lösungen enthalten. Diese Systeme stellen für Angreifer oft wertvolle Ziele dar und sollten bei Sicherheitsupdates Priorität genießen. Organisationen sollten Bestandsaufstellungen aller Remote-Access-Lösungen führen und klare Eskalationsverfahren für kritische Schwachstellen etablieren.

Netzwerksegmentierung kann die Auswirkungen von Remote-Access-Kompromittierungen begrenzen. Durch die Isolation von Remote-Access-Lösungen von kritischen internen Systemen können Organisationen den potenziellen Schaden erfolgreicher Angriffe reduzieren. Dazu gehören die Implementierung von Zero-Trust-Prinzipien und die Anforderung zusätzlicher Authentifizierung für den Zugriff auf sensible Systeme.

Multi-Faktor-Authentifizierung sollte für alle Remote-Access-Lösungen verpflichtend sein – selbst wenn diese Zugangsdaten unsicher speichern. Obwohl CVE-2023-31069 die Extraktion von Zugangsdaten ermöglicht, kann die Anforderung zusätzlicher Authentifizierungsfaktoren den unbefugten Zugriff verhindern, selbst wenn Zugangsdaten kompromittiert wurden.

Fazit

CVE-2023-31069 in TSplus Remote Access zeigt, wie Implementierungsfehler in häufig genutzter Software erhebliche Cyber-Risiken schaffen können. Für Versicherungsprofis verdeutlicht diese Schwachstelle die Wichtigkeit des Verständnisses technischer Risiken und deren geschäftlicher Auswirkungen. Organisationen, die Remote-Access-Lösungen nutzen, müssen robuste Sicherheitspraktiken nachweisen – darunter regelmäßiges Schwachstellenmanagement und schnelle Patch-Einspielung.

Underwriter sollten Schwachstellen wie CVE-2023-31069 als Indikatoren für umfassendere Sicherheitsprobleme betrachten. Anstatt sich nur auf einzelne Schwachstellen zu konzentrieren, ist es entscheidend zu prüfen, ob Organisationen über Prozesse und Kontrollen verfügen, um Sicherheitsprobleme systematisch zu identifizieren und zu beheben. Dieser Ansatz ermöglicht bessere Einsichten in langfristige Risikoexpositionen und trägt dazu bei, die Deckung angemessen an das tatsächliche Risikoprofil anzupassen.