Sysbus
ArtikelSecurity

Angreifer nutzen hochkarätige Zero Days immer schneller aus

gg

Von den am häufigsten für den Erstzugang ausgenutzten Schwachstellen, die die Befragten eindeutig identifizieren konnten, entfielen über 87 Prozent auf eine der folgenden sechs CVE-Kategorien: Proxyshell (55 Prozent), Log4j (14 Prozent), SonicWall (sieben Prozent), ProxyLogon (fünf Prozent), Zoho ManageEngine ADSelfService Plus (vier Prozent) und Fortinet (drei Prozent).

Zu beachten ist, dass zu den Top-Kategorien Log4j und Zoho ManageEngine ADSelfService Plus gehören, bei denen es sich um hochkarätige Zero-Day-Schwachstellen handelt, die Ende 2021 erstmals bekannt wurden. Jedes Mal, wenn eine neue Sicherheitslücke bekannt wird, beobachtet das Threat Intelligence-Team von Palo Alto Networks eine umfangreiche Suche nach anfälligen Systemen. Die Sicherheitsberater stellen auch fest, dass Angreifer – von versierten Profis bis hinunter zu Skript-Kiddies – schnell handeln, um öffentlich verfügbare PoCs auszunutzen und Exploits-Versuche zu starten.

Verfügbare Zeit für Patches wird kürzer

Während einige Angreifer weiterhin auf ältere, ungepatchte Schwachstellen zurückgreifen, stellen die Forscher zunehmend fest, dass die Zeit von der Schwachstelle bis zur Ausnutzung immer kürzer wird. Sie kann sogar praktisch mit der Enthüllung zusammenfallen, wenn die Schwachstellen selbst und der Zugang, der durch ihre Ausnutzung erreicht werden kann, bedeutend genug sind. So veröffentlichte Palo Alto Networks eine Threat Prevention-Signatur für die F5 BIG-IP Authentication Bypass-Schwachstelle (CVE-2022-1388), die innerhalb von nur zehn Stunden 2.552 Mal durch Schwachstellen-Scans und aktive Exploit-Versuche ausgelöst wurde.

Der 2021 Attack Surface Management Threat Report fand heraus, dass Angreifer in der Regel innerhalb von 15 Minuten nach Bekanntgabe einer CVE mit dem Scannen nach Schwachstellen beginnen. Hinzu kommt, dass Systeme, die am Ende ihres Lebenszyklus stehen, nicht gepatcht werden können und einem opportunistischen Angreifer zur Ausnutzung zur Verfügung stehen. Derselbe Bericht ergab beispielsweise, dass fast 32 Prozent der gefährdeten Unternehmen die EoL-Version von Apache Web Server einsetzen, die für die Remotecodeausführung durch die Sicherheitslücken CVE-2021-41773 und CVE-2021-42013 offen ist. Unit 42 geht davon aus, dass sich dieser Trend fortsetzen und durch die kontinuierliche Zunahme der dem Internet ausgesetzten Angriffsfläche noch verstärkt werden wird.

Schlussfolgerung

Unternehmen haben sich vielleicht daran gewöhnt, dass zwischen dem Bekanntwerden einer Schwachstelle und dem Patchen Zeit vergeht. Es ist immer noch notwendig, Patches mit der nötigen Sorgfalt zeitnah durchzuführen. Die Fähigkeit von Angreifern, das Internet auf der Suche nach anfälligen Systemen zu scannen, zeigt, dass es wichtiger denn je ist, die Zeit bis zum Patchen zu verkürzen. Unternehmen müssen das Patch-Management und die Patch-Orchestrierung verstärken, um diese bekannten Lücken so schnell wie möglich zu schließen. Eine Lösung für das Angriffsflächenmanagement kann Unternehmen dabei helfen, anfällige, dem Internet ausgesetzte Systeme zu identifizieren, und Systeme aufzuspüren, von denen häufig gar nicht bekannt ist, dass sie im Netzwerk laufen.

Wenn es zu einem Angriff kommt, sind Unternehmen stark gefährdet. Es ist daher wichtig, schnell zu handeln, bevor der Vorfall eskaliert, um die Auswirkungen zu minimieren und den Geschäftsbetrieb schneller wiederaufzunehmen. Unternehmen sollten daher Tools in Betracht ziehen, die die automatische Behebung von Ereignissen unterstützen und vorgefertigte Playbooks zur Reaktion und Wiederherstellung nach Vorfällen nutzen.

Ähnliche Beiträge:

  1. Hack Backs – Pro und Kontra: Schwachstellen zu Cyberwaffen formen oder doch lieber schließen?
  2. Im Test: Backups mit der OneXafe-Appliance und Arcserve Unified Data Protection 8.1
  3. Frage der Woche: Was erwarten Sie vom nächsten Jahr? (Teil 1)
  4. Expertenkommentar von Palo Alto Networks: Der richtige Umgang mit Sicherheitslücken

Das könnte dir auch gefallen

Trend-Thema „Security“

dcg

Wie EDR, NDR und MDR im Zusammenspiel für umfassende Cybersicherheit sorgen

gg

Frischer Wind für die Server der Kreisverwaltung Lüneburg

gcg