Ungepatchte Software-Schwachstellen

Threat Spotlight: Ungepatchte Software-Schwachstellen

Druckfreundlich, PDF & E-Mail

Software-Schwachstellen ziehen langfristige Folgen nach sich. Selbst einige Jahre nach der Ermittlung einer Schwachstelle ist eine erschreckende Anzahl von Systemen trotz des Wissens um ihre Sicherheitslücken nach wie vor offen mit dem Internet verbunden

Erst kürzlich haben Forscher von Barracuda die Daten der in den letzten zwei Monaten blockierten Angriffe analysiert. Dabei ermittelten sie Hunderttausende von automatisierten Scans und Angriffen pro Tag, wobei diese Zahlen teilweise sogar in die Millionenhöhe gehen. Zudem konnten Tausende von Scans pro Tag für vor kurzem gepatchte Microsoft- und VMware-Sicherheitslücken festgestellt werden.

Im Folgenden möchten wir einen genaueren Blick auf die von unseren Experten aufgedeckten Bedrohungsmuster werfen und Ihnen mögliche Schritte aufzeigen, die Sie zum Schutz vor solchen Angriffsarten unternehmen können.

Bedrohung im Fokus

Ungepatchte Software-Schwachstellen – Die große Sicherheitslücke bei Microsoft, die unter dem Namen „Hafnium“ in die Geschichte einging, wurde erstmals im März 2021 aufgedeckt. CVE-2021-26855 ist eine Schwachstelle in Form eines Server-Side Request Forgery (SSRF) auf dem Microsoft Exchange Server. Es handelt sich dabei um einen Exploit, bei dem der Angreifer willkürliche HTTP-Anfragen sendet und sich als Exchange Server authentifiziert. Nach öffentlich zugänglichen Informationen wird die Schwachstelle CVE-2021-26855 zur Ermittlung anfälliger Systeme ausgenutzt. Die übrigen Schwachstellen scheinen daran anzuknüpfen: Der Angreifer verschafft sich Zugang, um weitere Exploits durchzuführen, wie etwa das Einschleusen von Webshells in die ausgenutzten Systeme.

Im März konnten wir ein vermehrtes Auskundschaften von Schwachstellen feststellen. Bis heute sehen wir über unsere Sensoren und Bereitstellungen weltweit weiterhin, dass regelmäßig Scans nach solchen Schwachstellen durchgeführt werden. Von Zeit zu Zeit steigt das Aufkommen von Auskundschaftungen und fällt dann wieder auf ein niedrigeres Niveau ab.

Hafnium-Scans im Laufe der Zeit

Im Falle von VMware wurden CVE-2021- 21972 und CVE-2021-21973 am 24. Februar 2021 veröffentlicht. Auch bei CVE-2021-21972 konnten wir regelmäßige Auskundschaftungsversuche ermitteln, wobei die Anzahl der Scans leicht nachgelassen hat. Wir gehen jedoch davon aus, dass die Zahl dieser Scans von Zeit zu Zeit zunehmen wird, da Angreifer regelmäßig die Liste der bekannten Sicherheitslücken mit hoher Gefährdung durchgehen.

VMware CVE-2021-21972

Diese beiden Datenpunkte zeigen deutlich, dass Software-Schwachstellen – insbesondere solche, durch deren Angriff sich eine besonders hohe Auswirkung erzielen lässt – selbst einige Zeit nach der Einführung von Patches und Abwehrmechanismen weiterhin mit Scans gesucht und ausgenutzt werden. Angreifer sind sich bewusst, dass Schutz-Teams nicht immer die notwendige Zeit oder Bandbreite haben, um ihnen fortlaufend mit Patches die Stirn zu bieten, und dass ihnen Fehler unterlaufen. So erlangen Angreifer weiterhin Zugang auf das Netzwerk.

Die Details

Bei der Analyse der Angriffe konnten wir zudem bestimmte Angriffsmuster identifizieren. Wir konnten bereits in der Vergangenheit feststellen, dass Bots sich bei der Durchführung ihrer Angriffe am Verlauf eines normalen Arbeitstages orientieren. Des Weiteren wurde nun das Muster erkennbar, dass die Arbeitswochen von Angreifern und Mitgliedern der Schutz-Teams deckungsgleich sind. Gemeinsam zeigen die beiden Erkenntnisse also, dass die meisten Angreifer sich das Wochenende freinehmen – das gilt selbst für die Durchführung automatisierter Aufgaben. Dies liegt wahrscheinlich daran, dass es einfacher ist, sich bei Angriffsversuchen in der unübersichtlichen Menge zu verstecken, anstatt an den Wochenenden einen Alarm auszulösen, wenn man auf weniger genutzte Systeme zugreift.

Angriffe pro Wochentag

Wir haben auch untersucht, wie die Angriffe den gängigen Angriffsarten zugeordnet werden können. Zu diesen Angriffsarten gehören Auskundschaftungsversuche mithilfe von Reconnaissance-/Fuzzing-Tools sowie Angriffe auf Anwendungsschwachstellen (WordPress schien bei den Angreifern am beliebtesten zu sein). Normalerweise gehen wir von folgendem Muster aus: Zunächst werden zahlreiche SQL-Injection-Angriffe durchgeführt, die dann erst von Command-Injection-Angriffen und danach von weiteren Arten von Angriffen abgelöst werden. Diesmal war das Aufkommen von Command Injections jedoch weitaus höher als das der anderen und wir konnten in zahlreichen Fällen beobachten, wie Angreifer versuchten, Befehle gegen Windows auszuführen. Ihren Höhepunkt erreichten diese Angriffe innerhalb zweier Wochen im Juni. Danach ging das Angriffsaufkommen auf die übliche Anzahl von Angriffen zurück. Die übrigen Angriffe bewegten sich mehr oder weniger auf dem zu erwarteten Niveau, wobei in den verschiedenen Kategorien keine besonderen Angriffsmuster zu erkennen waren.

Angriffsarten

Zu guter Letzt haben wir den Umfang des HTTPS-Traffics und die Versionen der verwendeten Protokolle analysiert. Es ist äußerst wichtig, HTTPS zu aktivieren und sicherzustellen, dass die Konfiguration für die Verwendung der neuesten Protokolle stets aktualisiert wird. In unseren weltweiten Bereitstellungen von Barracuda WAF-as-a-Service ermöglichen wir eine einfache Aktivierung von HTTPS (mit Lets-Encrypt-Integration) und eine unkomplizierte Konfiguration sicherer Protokolle und Dienste.

Als wir uns den Traffic auf den weltweiten Bereitstellungen genauer ansahen, wurde deutlich, dass die neueste TSL-Version TLS1.3 klar führend ist – gefolgt von TLS1.2. Das ist eine positive Erkenntnis, da es sich hierbei um die derzeit sichersten Protokolle handelt. Nach wie vor gibt es einige Bereitstellungen, die ein einfaches HTTP verwenden. Was hierbei besonders interessant ist: Der Umfang des Traffics bei einfachen HTTPs ist höher als der der älteren und deutlich unsichereren SSL-/TLS-Protokolle.

Traffic-Protokolle

So schützen Sie sich vor Angriffen auf Software-Schwachstellen

Beim Schutz vor automatisierten Angriffen, die darauf abzielen, bekannte Software-Schwachstellen auszunutzen, kann das Schutz-Team aufgrund der Vielzahl an benötigten Lösungen schnell überfordert sein. Insofern ist positiv zu vermerken, dass ebendiese Lösungen zunehmend in WAF/WAF-as-a-Service konsolidiert werden, die auch als Web Application and API Protection Services (WAAP) bezeichnet werden.

So heißt es im WAF Magic Quadrant 2020 von Gartner:

Gartner definiert WAAP-Services als die Weiterentwicklung von Cloud-basierten WAF-Services. WAAP-Services kombinieren Cloud-basierte Bereitstellungen von WAF nach dem As-a-Service-Konzept, Bot-Schutz, DDoS-Abwehr und API-Schutz mit einem Abonnementmodell.“

Für Unternehmen empfiehlt sich die Implementierung einer WAF-as-a-Service- oder WAAP-Lösung, die Bot-AbwehrDDoS-Schutz, API-Sicherheit und Schutz vor Credential Stuffing umfasst. Entscheidend ist auch, dass sie richtig konfiguriert wird.

Testen Sie WAF-as-a-Service im Azure Marketplace

Nach oben scrollen
Twittern
Teilen
Teilen