Warnung identifiziert die Top 15 der häufigsten Schwachstellen
Eines der frustrierendsten Dinge bei der Cybersicherheit ist, dass die meisten Schwachstellen, die von Cyberkriminellen ausgenutzt werden, gut dokumentiert sind. Eine gemeinsam von der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA), dem Federal Bureau of Investigation (FBI), dem Australian Cyber Security Centre (ACSC), dem Canadian Centre for Cyber Security (CCCS), dem New Zealand National Cyber Security Centre (NZ NCSC) und dem National Cyber Security Centre (NCSC-UK) des Vereinigten Königreichs herausgegebene Warnung identifiziert sogar die 15 häufigsten Sicherheitslücken und Exposures (CVEs), die 2021 routinemäßig ausgenutzt wurden. Dazu gehören:
CVE-2021-44228. Diese Schwachstelle, bekannt als Log4Shell, betrifft die Log4j-Bibliothek von Apache, ein Open-Source-Protokollierungsframework. Ein Hacker kann diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Anfrage an ein anfälliges System sendet, die dieses System veranlasst, willkürlichen Code auszuführen. Die Anfrage ermöglicht es einem Cyberkriminellen, die volle Kontrolle über das System zu übernehmen.
CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065. Diese Schwachstellen, bekannt als ProxyLogon, betreffen E-Mail-Server von Microsoft Exchange. Die erfolgreiche Nutzung dieser Schwachstellen in Kombination mit der Schwachstellenverkettung ermöglicht es einem nicht authentifizierten Benutzer, willkürlichen Code auszuführen, um zusätzlich zu den auf den Servern gespeicherten Zugangsdaten dauerhaften Zugriff auf Dateien und Posteingängen auf den Servern zu erhalten.
CVE-2021-34523, CVE-2021-34473, CVE-2021-31207. Diese Schwachstellen, bekannt als ProxyShell, betreffen ebenfalls E-Mail-Server von Microsoft Exchange. Die erfolgreiche Ausnutzung dieser Schwachstellen in Kombination ermöglicht es einem Cyberkriminellen, ebenfalls willkürlichen Code auszuführen. Diese Schwachstellen befinden sich im Microsoft Client Access Service (CAS), der normalerweise auf Port 443 der Microsoft Internet Information Services Plattform (IIS) ausgeführt wird.
CVE-2021-26084. Diese Schwachstelle betrifft Atlassian Confluence-Server- und Data-Center-Plattformen. Sie ermöglicht auch einem nicht authentifizierten Akteur, willkürlichen Code auszuführen.
In der Warnung wird darauf hingewiesen, dass drei der Top-15-Schwachstellen genauso routinemäßig ausgenutzt wurden wie 2020. Offensichtlich scheitern viele Unternehmen immer noch daran, Software rechtzeitig zu patchen. Ein kürzlich von BeyondTrust, einem Anbieter einer Patch-Management-Plattform, veröffentlichter Bericht weist darauf hin, dass ein Drittel der Verstöße auf eine bekannte Schwachstelle zurückzuführen ist, die nicht gepatcht wurde.
Die Herausforderung besteht darin, dass ein erfolgreiches Patch-Management viel Zeit und Mühe erfordert. Die IT-Teams müssen kontinuierlich die Verfügbarkeit von Patches verfolgen, einen Entwickler finden, der den Patch installiert, diesen testen, seine Anwendung dokumentieren und dann einen Bericht erstellen. Angesichts all der Abhängigkeiten, die zwischen allen Softwarekomponenten einer IT-Umgebung bestehen, ist es nicht ungewöhnlich, dass ein Patch eine oder mehrere Anwendungen beschädigt. Wenn eine Schwachstelle bekannt wird, kann es Monate dauern, bis alle Instanzen gefunden sind. Viele IT-Teams arbeiten noch daran, alle Instanzen des Open Source Log4j Log-Management-Tools für Java-Anwendungen vier Monate nach der Erkennung einer Zero-Day-Log4Shell-Schwachstelle zu patchen.
Das Einzige, was mühsamer ist als das Patchen von Anwendungen, ist natürlich die Bereinigung, nachdem eine Sicherheitsverletzung festgestellt wurde. Der einzige wirkliche Unterschied ist das Ausmaß der Prüfung, die unweigerlich mit einem Verstoß einhergeht. Es gibt ein Sprichwort, das besagt: Vorbeugen ist besser als heilen. Das trifft absolut auf IT-Umgebungen zu, in denen Trägheit allzu oft der schlimmste Feind überhaupt ist.
