Kritische TSplus-Schwachstelle gefährdet komplette Systeme

Eine kritische Berechtigungskonfiguration gefährdet die Infrastruktur für den Fernzugriff

Anfang 2023 entdeckten Sicherheitsforscher eine kritische Schwachstelle in der TSplus Remote Access-Software, die Versionen bis einschließlich 16.0.2.14 betrifft. Diese Schwachstelle, als CVE-2023-31068 registriert, erhielt eine CVSS-Bewertung von 9,8 von 10 und signalisiert somit eine kritische Schwere. Ursache ist eine fehlerhafte Konfiguration der Dateisystemberechtigungen, die der Gruppe „Everyone“ Vollzugriff auf kritische Verzeichnisse gewährt. Für Unternehmen, die Cyberrisiken und Versicherungsprogramme verwalten, stellt diese Schwachstelle ein erhebliches Underwriting-Risiko dar, das sich direkt auf die Schadenhäufigkeit und die Angemessenheit der Deckung auswirkt.

TSplus Remote Access wird weltweit in tausenden von Organisationen eingesetzt, insbesondere in mittelgroßen Unternehmen, die kostengünstige Lösungen für den Fernzugriff benötigen. Die Software ist eine entscheidende Komponente zur Unterstützung von Remote-Arbeitsplätzen, weshalb ihre Sicherheitslage für die Geschäftskontinuität und den Schutz von Daten von zentraler Bedeutung ist.

Technische Auswirkungen und Angriffsvektor

Die Schwachstelle äußert sich durch übermäßig freizügige Zugriffskontrollen im Dateisystem. Konkret sind die Verzeichnisse unter %PROGRAMFILES(X86)%\TSplus\UserDesktop\themes mit Vollzugriffsberechtigungen für die Gruppe „Everyone“ konfiguriert. Diese fehlerhafte Einstellung erlaubt jedem authentifizierten Benutzer des Systems, Dateien in diesen Verzeichnissen zu ändern, zu löschen oder neu anzulegen.

Aus geschäftlicher Sicht ermöglicht diese Berechtigungskonfiguration Angriffe zur Rechteausweitung. Ein Angreifer mit geringfügigem Systemzugriff könnte potenziell ausführbare Dateien oder Konfigurationskomponenten innerhalb der TSplus-Installation überschreiben. Dies kann zur Ausführung von Code mit Systemrechten führen und damit die gesamte Fernzugriffsinfrastruktur kompromittieren.

Die CVSS-Bewertung von 9,8 resultiert aus mehreren kritischen Faktoren: der einfachen Ausnutzbarkeit (nur grundlegender Systemzugriff erforderlich), der schwerwiegenden Auswirkung eines erfolgreichen Angriffs (vollständige Systemkompromittierung) sowie dem Fehlen spezialisierter Kenntnisse oder besonderer Bedingungen zur Ausnutzung der Schwachstelle.

Versicherungstechnische Auswirkungen und Schadenhäufigkeit

Für Underwriter im Bereich Cyber-Versicherungen stellt CVE-2023-31068 einen erheblichen Risikofaktor dar, der sich direkt auf die Berechnung der Schadenhäufigkeit auswirkt. Unternehmen, die verwundbare Versionen von TSplus Remote Access betreiben, weisen ein deutlich erhöhtes Risiko auf, Sicherheitsvorfälle zu erleiden, die eine Versicherungsleistung auslösen.

Historische Schadensdaten zeigen, dass Berechtigungskonfigurationsfehler etwa 15 % aller Rechteausweitungs-Vorfälle in Unternehmensumgebungen verursachen. In Kombination mit Kompromittierungen der Fernzugriffsinfrastruktur führen solche Schwachstellen häufig zu Business Email Compromise-Schemata, Datenexfiltration oder Ransomware-Einsätzen. Die durchschnittlichen Kosten solcher Vorfälle liegen laut aktuellen Branchenvergleichen bei über 4,2 Millionen US-Dollar.

Aus underwritingtechnischer Sicht wirft diese Schwachstelle mehrere Deckungslückenprobleme auf. Standard-Cyber-Versicherungspolicen decken in der Regel Betriebsunterbrechungen und Kosten im Zusammenhang mit Datenverletzungen ab. Vorfälle, die auf bekannte Schwachstellen zurückzuführen sind, werden jedoch bei der Schadensbearbeitung zunehmend kritisch geprüft. Versicherer prüfen verstärkt, ob Unternehmen angemessene Sicherheitsmaßnahmen wie zeitnahe Patch-Verwaltung und Schwachstellenbehebung umgesetzt haben.

Risikobewertung und Underwriting-Signale

Sicherheitsverantwortliche, die Cyberrisiken bewerten, sollten bei der Prüfung von TSplus-Bereitstellungen auf mehrere Schlüsselindikatoren achten. Netzwerk-Scanning-Tools können verwundbare Installationen anhand spezifischer Servicesignaturen und Versionsinformationen identifizieren. Organisationen, deren Fernzugriffsinfrastruktur bekannte Schwachstellen mit kritischen Bewertungen (CVSS 9,0–10,0) aufweist, weisen ein erhöhtes Risiko auf, das unverzüglich behandelt werden sollte.

Risikoingenieure sollten bei Bewertungen folgende Aspekte prüfen:

• Fernzugriffs- und Applikationsbereitstellungsinfrastruktur
• Dateisystemberechtigungen auf kritischen Servern
• Patch-Management-Prozesse für Drittanbieter-Softwarekomponenten
• Netzwerksegmentierungskontrollen rund um Fernzugriffssysteme

Das Vorhandensein von CVE-2023-31068 in der Angriffsfläche einer Organisation deutet auf mögliche Defizite in der Schwachstellenverwaltung hin. Underwriter sollten prüfen, ob Organisationen umfassende Asset-Inventare, regelmäßige Schwachstellenscans und dokumentierte Patch-Management-Prozesse unterhalten. Diese operativen Kontrollen beeinflussen direkt die Risikoeinstufung und die Prämienkalkulation.

Organisationen ohne formelle Schwachstellenmanagementprozesse weisen eine um das 2,3-fache höhere Schadenhäufigkeit auf als Unternehmen mit ausgereiften Sicherheitsprogrammen. Diese statistische Korrelation liefert Underwritern konkrete Risikosignale bei der Bewertung von Cyber-Versicherungsanträgen.

Deckungsüberlegungen und Policenfolgen

Cyber-Versicherungspolicen, die Schwachstellen wie CVE-2023-31068 abdecken, müssen sorgfältig die Deckungsauslöser und Ausschlüsse prüfen. Viele Policen enthalten Bestimmungen, die von Unternehmen verlangen, aktuelle Sicherheitspatches zu installieren und bekannte Schwachstellen innerhalb festgelegter Fristen zu beheben. Das Versäumnis, kritische Schwachstellen zu beheben, kann zur Streichung der Deckung bei entsprechenden Vorfällen führen.

Schäden im Zusammenhang mit dieser Schwachstelle können mehrere Policenbestandteile auslösen:

• Netzwerksicherheits-Haftungsdeckung bei Vorfällen mit unbefugtem Zugriff
• Deckung von Betriebsunterbrechungen bei Systemausfällen
• Kosten zur Reaktion auf Datenverletzungen bei kompromittierten Kundendaten
• Deckung bei Cyber-Extortion, falls Angreifer über die Schwachstelle Ransomware einsetzen

Underwriter sollten prüfen, ob Unternehmen zusätzliche Sicherheitsmaßnahmen implementiert haben, die die Wahrscheinlichkeit einer Ausnutzung reduzieren. Netzwerksegmentierung, Privileged Access Management und kontinuierliche Überwachung können einige Risiken im Zusammenhang mit Berechtigungskonfigurationsfehlern mindern. Diese Maßnahmen eliminieren jedoch nicht die zugrunde liegende Schwachstelle und ersetzen kein ordnungsgemäßes Patch-Management.

Auch der Zeitpunkt der Entdeckung und Behebung der Schwachstelle beeinflusst die Deckungsentscheidung. Unternehmen, die kritische Schwachstellen zeitnah beheben, zeigen Sorgfalt und erhalten eine stärkere Deckungsposition. Umgekehrt können Organisationen, die verwundbare Systeme über einen längeren Zeitraum betreiben, bei der Schadensbearbeitung mit Deckungsproblemen konfrontiert werden.

Risikominderung und Sanierungsstrategien

Organisationen, die TSplus Remote Access betreiben, sollten unverzüglich ihre Softwareversionen prüfen und verfügbare Patches anwenden. TSplus hat mit Version 16.0.4.0 und späteren Versionen eine Behebung der Berechtigungskonfiguration veröffentlicht. Unternehmen, die ein sofortiges Upgrade nicht durchführen können, sollten folgende kompensatorische Maßnahmen ergreifen:

• Dateisystemberechtigungen für betroffene Verzeichnisse auf autorisierte Benutzer beschränken
• Netzwerksegmentierung implementieren, um den Zugriff auf TSplus-Server zu begrenzen
• Datei-Integritätsüberwachung zur Erkennung unautorisierten Änderungen einsetzen
• Detaillierte Protokollierung und Überwachung für verdächtige Aktivitäten aktivieren

Sicherheitsteams sollten umfassende Schwachstellenbewertungen durchführen, mit Fokus auf Berechtigungskonfigurationen in der gesamten Fernzugriffsinfrastruktur. Automatisierte Scan-Tools können ähnliche Berechtigungsfehler identifizieren, die auf größere Defizite im Sicherheitsprogramm hinweisen können.

Für Versicherungsmakler und Underwriter liefert das Verständnis des Ansatzes einer Organisation zur Schwachstellenbehebung wertvolle Daten für die Risikobewertung. Unternehmen, die systematisch kritische Schwachstellen identifizieren und beheben, weisen ein geringeres Risiko auf und verdienen günstigere Underwriting-Bedingungen.

Risikobewertungsrahmen sollten folgende Faktoren berücksichtigen:

• Zeit bis zur Behebung kritischer Schwachstellen
• Anteil der Systeme mit aktuellen Sicherheitspatches
• Effektivität der Schwachstellenerkennungsprozesse
• Historie von Sicherheitsvorfällen im Zusammenhang mit ungepatchten Systemen

Organisationen können Tools wie die FAIR-Risikobewertungsmethode von Resiliently nutzen, um den finanziellen Einfluss von Schwachstellen wie CVE-2023-31068 zu quantifizieren und fundierte Entscheidungen über Risikobehandlungsstrategien zu treffen.

Fazit

CVE-2023-31068 verdeutlicht, wie scheinbar technische Schwachstellen erhebliche geschäftliche Risiken mit sich bringen, die sich direkt auf das Underwriting und die Schadensabwicklung in der Cyber-Versicherung auswirken. Die kritische Berechtigungskonfiguration in TSplus Remote Access betrifft weltweit tausende von Organisationen und stellt einen erheblichen Risikofaktor für Sicherheitsvorfälle dar.

Für Underwriter dient diese Schwachstelle als klares Indiz für die Sicherheitsreife und das Risikomanagement einer Organisation. Unternehmen, die proaktiv kritische Schwachstellen beheben, zeigen eine stärkere Sicherheitslage und weisen ein günstigeres Risikoprofil auf. Umgekehrt stehen Organisationen, die verwundbare Systeme ohne Sanierungspläne betreiben, vor erhöhten Schadenhäufigkeiten und möglichen Deckungsproblemen.

Versicherungsmakler sollten ihre Kunden über die geschäftlichen Auswirkungen kritischer Schwachstellen aufklären und die Bedeutung robuster Schwachstellenmanagementprogramme verdeutlichen. CISOs und Risikoingenieure müssen Sanierungsmaßnahmen nach potenziellem Geschäftsauswirkungen priorisieren und eng mit Versicherungspartnern zusammenarbeiten, um eine angemessene Deckungsausrichtung entsprechend der tatsächlichen Risikolage sicherzustellen.

Der Schnitt zwischen technischen Schwachstellen und geschäftlichem Risikomanagement entwickelt sich weiter, da Cyberbedrohungen zunehmend ausgefeilter werden. Organisationen, die umfassende Risikobewertungsprogramme unterhalten – inklusive regelmäßiger Bewertungen der Sicherheitslage von Drittanbietersoftware –, positionieren sich sowohl für verbesserte Sicherheitsergebnisse als auch für günstigere Versicherungsbedingungen.