Die Nutzung traditioneller Fernzugriffstechnologien war im vergangenen Jahr immer wieder Thema im Kontext der Cybersicherheit. Wie konnten VPNs zu einer solchen Schwachstelle werden?
Bedrohungsakteure nutzen Schwachstellen in älteren Fernzugriffstechnologien.
(Bild: beebright - stock.adobe.com)
Im Jahr 2020 mussten viele Unternehmen den Fernzugriff schnellstmöglich einrichten, um den Geschäftsbetrieb am Laufen zu halten. Sie standen vor der schwierigen Entscheidung, die Produktivität vor die Sicherheit zu stellen. In der Folge wurden oft neue Technologien mit unsicheren Standardeinstellungen oder ohne einen soliden Patchprozess eingeführt. Die negativen Auswirkungen einer bereits veralteten Technologie vervielfachten sich. Entsprechend erhöhte sich die Wahrscheinlichkeit von Konfigurationsfehlern und die Zusammenstellung eines erweiterten Technologiebestands ohne sorgfältige Berücksichtigung der laufenden Patch- und Wartungsanforderungen.
Leider endete dieser Trend nicht mit dem Ende der Pandemie. Nachdem die Bedrohungsakteure das Potenzial dieses neuen Paradigmas erkannt hatten, nutzten sie weiterhin routinemäßig Schwachstellen und zu schwache Standardsicherheitseinstellungen in älteren Fernzugriffstechnologien, insbesondere VPN-Konzentratoren. Infolgedessen kam es im Jahr 2024 zu einer beispiellosen Zahl bösartiger Kampagnen, bei denen Softwarefehler in genau den Geräten ausgenutzt wurden, die eigentlich einen sicheren Zugriff auf interne Ressourcen ermöglichen sollten. Für Unternehmen ist es von entscheidender Bedeutung, diese Angriffe zu verstehen und zu wissen, wie sie sich gegen die Risiken offener Fernzugriffstechnologien schützen können.
Die größten Exploits von Sicherheitslücken im Jahr 2024
10. Januar Im Dezember 2023 begannen staatlich geförderte Bedrohungsakteure, die Schwachstellen CVE-2023-46805 und CVE-2024-21887 zur Umgehung der Authentifizierung und zur Befehlsinjektion auszunutzen, die auf Ivanti Connect Secure und Policy Secure abzielten.
Ivanti hat die Schwachstellen erstmals am 10. Januar 2024 offengelegt. Diese Ausnutzung war so extrem, dass die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) als Reaktion darauf eine Notfallanordnung erlassen musste. Alle Behörden mussten die vom Anbieter veröffentlichten Gegenmaßnahmen unverzüglich umsetzen, und ironischerweise gab die CISA später bekannt, dass auch sie betroffen war.
16. Januar Citrix forderte seine Kunden dazu auf, die online exponierten Netscaler ADC- und Netscaler Gateway-Geräte umgehend gegen CVE-2023-6548 und CVE-2023-6549 zu patchen, eine Code-Injection- bzw. eine Pufferüberlauf-Sicherheitslücke, die von Bedrohungsakteuren aktiv ausgenutzt werden.
29. Januar Es wurde festgestellt, dass die Akira-Ransomware-Gruppe CVE-2020-3259 ausnutzt, eine alte Sicherheitslücke bei der Offenlegung von Informationen, die auf Cisco ASA- und FTD-Geräte abzielt. Dieser Vorfall ist besonders bedeutsam, da diese Sicherheitslücke im Mai 2020 gepatcht wurde. Der groß angelegte Missbrauch durch die Akira-Ransomware-Gruppe wurde jedoch erst fast vier Jahre später entdeckt. Dies deutet darauf hin, dass viele Organisationen die vom Anbieter empfohlenen Gegenmaßnahmen nicht umgesetzt hatten.
31. Januar Drei Wochen nach der ersten Offenlegung hat Ivanti CVE-2024-21893 gepatcht, eine serverseitige Request-Forgery-Sicherheitslücke in seinen Produkten Connect Secure, Policy Secure und Neurons, die aktiv ausgenutzt wird.
7. Februar Fortinet war ein weiterer Anbieter, der 2024 unter Druck stand. Alles begann im Februar, als bekannt wurde, dass die chinesische Cyber-Spionagegruppe Volt Typhoon 2023 in das niederländische Verteidigungsministerium eingedrungen war und eine neuartige Malware namens „Coathanger“ eingesetzt hatte. Sie nutzte CVE-2022-42475 aus, eine haufenbasierte Pufferüberlauf-Schwachstelle, die erstmals im Dezember 2022 ausgenutzt wurde und auf das SSL-VPN-Betriebssystem FortiOS abzielte. Schon bald wurde klar, dass die Kampagne weitaus umfangreicher war als bisher angenommen. Das Ergebnis war die Kompromittierung von mindestens 20.000 Systemen weltweit.
8. Februar Nur einen Tag später gab derselbe Anbieter CVE-2024-21762 / FG-IR-24-015 bekannt, eine Out-of-Bounds-Write-Sicherheitslücke im SSL-VPN-Betriebssystem FortiOS, die „potenziell in freier Wildbahn“ von Bedrohungsakteuren ausgenutzt wird.
Am selben Tag warnte Ivanti vor CVE-2024-22024, einer neuen Sicherheitslücke zur Umgehung der Authentifizierung, die die Gateways Connect Secure, Policy Secure und ZTA betraf und bei der sofort Ausnutzungsversuche beobachtet wurden.
12. April Palo Alto Networks warnte, dass Bedrohungsakteure CVE-2024-3400, eine kritische Befehlszeilen Schwachstelle, die auf das Betriebssystem PAN-OS abzielt, ausnutzten, um in gezielten Angriffen beliebigen Code auf den Firewalls des Anbieters auszuführen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
24. April Cisco warnte, dass eine staatlich unterstützte Gruppe mit der Bezeichnung UAT4356 oder Storm-1849 die Zero-Day-Schwachstellen CVE-2024-20353 und CVE-2024-20359 in den Firewalls Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) ausgenutzt habe. Diese Aktivität war Teil einer größeren Kampagne mit dem Namen ArcaneDoor, die seit November 2023 aktiv ist und sich gegen Regierungsnetzwerke weltweit richtet.
30. Mai Im Mai wurde bekannt, dass Bedrohungsakteure CVE-2024-24919, eine Zero-Day-Sicherheitslücke mit hohem Schweregrad im Check Point Remote Access VPN, ausnutzten und Active Directory-Daten stahlen.
9. September SonicWall warnte, dass ein kürzlich behobener Fehler bei der Zugriffskontrolle im SSLVPN SonicOS, der als CVE-2024-40766 bezeichnet wurde, „potenziell“ für Angriffe ausgenutzt werden könne. Das Unternehmen forderte Administratoren auf, so schnell wie möglich Patches anzuwenden. Einen Tag später bestätigten Sicherheitsforscher, dass die Schwachstelle für Ransomware-Angriffe ausgenutzt wurde.
10. September Ivanti bestätigte die aktive Ausnutzung von CVE-2024-8190, einer schwerwiegenden Sicherheitslücke bei der Befehlseingabe in das Betriebssystem, die auf seine Cloud Services Appliance (CSA) abzielt.
19. September Einige Tage später warnte Ivanti, dass Bedrohungsakteure CVE-2024-8963, eine Path-Traversal-Sicherheitslücke, die auf die Cloud Services Appliance (CSA) abzielt und mit CVE-2024-8190 verknüpft ist, für Angriffe auf „eine begrenzte Anzahl von Kunden“ ausnutzten.
9. Oktober Es wurde festgestellt, dass drei neue Ivanti-Schwachstellen, CVE-2024-9379 (SQL-Injection), CVE-2024-9380 (OS Command Injection) und CVE-2024-9381 (Path Traversal), die auf dieselbe Cloud Services Appliance abzielen, aktiv ausgenutzt werden, einzeln verkettet mit CVE-2024-8963.
Am selben Tag fügte CISA CVE-2024-23113, eine Formatstring-Sicherheitslücke, die auf mehrere Fortinet-Produkte abzielt, zu seinem Katalog bekannter ausgenutzter Sicherheitslücken hinzu und forderte die Bundesbehörden auf, die Sicherheitslücke innerhalb von drei Wochen zu patchen. Wichtig zu beachten ist, dass diese Sicherheitslücke im Februar 2024 gepatcht wurde, die weit verbreitete Ausnutzung jedoch erst einige Monate später entdeckt wurde.
18. November Palo Alto Networks hat Fixes für zwei Schwachstellen, CVE-2024-0012 und CVE-2024-9474, in seinen Firewalls der nächsten Generation veröffentlicht, bei denen im November 2024 immer mehr Angriffe entdeckt wurden. Dabei handelt es sich um eine Authentifizierungsumgehung und eine Befehlsinjektions-Schwachstelle.
2. Dezember Die älteste im Jahr 2024 aktiv ausgenutzte Schwachstelle war CVE-2014-2120 , eine 10 Jahre alte Cross-Site-Scripting-Schwachstelle (XSS), die auf die Cisco Adaptive Security Appliance (ASA) abzielte.
Der Anbieter entdeckte im November 2024 Ausnutzungsversuche und empfahl Kunden dringend, auf eine korrigierte Softwareversion zu aktualisieren. Dies ist ein Beispiel dafür, wie Softwarefehler noch viele Jahre nach der ersten Entdeckung und Behebung ausgenutzt werden können.
Wie sich das Risiko offener Fernzugriffstechnologien minimieren lässt
Herkömmliche VPN-Technologien sind für moderne IT-Architekturen oft nicht mehr geeignet. Zero Trust Network Access (ZTNA) ist eine sicherere Alternative, die den Zugriff granularer steuert und keine dauerhaften Verbindungen erfordert.
Best Practices zur Reduzierung des Risikos:
Regelmäßige Patches einspielen: Alle Fernzugriffsprodukte stets auf dem neuesten Stand halten.
Zero Trust-Prinzip umsetzen: Zugriffskontrolle auf Basis von Identität und Kontext statt VPN-Tunnel.
Multi-Faktor-Authentifizierung (MFA) nutzen: Reduziert das Risiko durch kompromittierte Zugangsdaten.
Angriffsfläche minimieren: Direkten Zugriff auf Remote-Access-Konzentratoren vermeiden.
Sicherheitsaudits durchführen: Regelmäßig Sicherheitsbewertungen der Infrastruktur durchführen.
Fazit: Mehr Cybersicherheit durch moderne Zugriffsstrategien
Die Lehren aus 2024 zeigen: Veraltete VPN-Technologien sind ein massives Sicherheitsrisiko. Unternehmen müssen auf Zero Trust Network Access setzen, um das Risiko zu minimieren.
Wir haben zu viele Fälle erlebt, in denen die Ausnutzung von Schwachstellen noch mehrere Monate oder sogar Jahre nach der ursprünglichen Offenlegung und Verfügbarkeit eines Sicherheitsupdates möglich war, weil die betroffenen Organisationen die Sicherheitspatches nicht rechtzeitig installiert hatten.
Es bleibt abzuwarten, ob Organisationen ihre Sicherheitsstrategie anpassen oder ob 2025 erneut ein Jahr voller Cyberangriffe auf VPNs und andere Fernzugriffstechnologien sein wird.
Paolo Passeri.
(Bild: Netskope)
Über den Autor
Paolo Passeri ist Cyber Intelligence Principal bei Netskope und unterstützt Kunden auf ihrem Weg in die Cloud in puncto Sicherheit. Passeri verfügt über mehr als 20 Jahre Erfahrung in der Infosec-Branche und ist der Kopf hinter hackmageddon.com, einem Blog mit detaillierten Zeitleisten und Statistiken zu allen wichtigen Cyberangriffen seit 2011. Für die Infosec-Community ist er eine wichtige Quelle für Daten und Trends der Bedrohungslandschaft.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/33/47/33471d92111c0f9d8706c7666bfedf3f/0127055391v2.jpeg "Bei den Zero-Day-Sicherheitslücken im VPN-Webserver der Secure Firewall ASA sowie der Secure Firewall Threat Defense von Cisco handelt es sich um unzureichende Validierung von Benutzereingaben in HTTP(S)-Anfragen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6d/da/6dda6654b380829b008bbf2e896b7310/0127451109v2.jpeg "Der US-Senator Bill Cassidy fordert Antworten von Cisco-CEO Chuck Robbins zu den bekanntgewordenen Zero-Day-Sicherheitslücken, die aktiv ausgenutzt werden und Behörden in den USA gefährden. (Bild: Dall-E / KI-generiert)")