CISA-Report: Top-Schwachstellen infolge von Remote Office

Originalbeitrag von Jon Clay, VP Threat Intelligence

Kürzlich hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) einen Bericht veröffentlicht, in dem sie die Top missbrauchten Schwachstellen 2020 und 2021 darstellt. Es zeigt sich, dass Angreifer am liebsten Sicherheitslücken ins Visier nehmen, die nach 2019 veröffentlicht wurden und Remote-Arbeit, VPN (Virtual Private Network) sowie Cloud-basierte Technologien betreffen. Mit zunehmender Verbreitung der Remote-Arbeit nutzten Cyber-Akteure die noch neuen, nicht gepatchten Schwachstellen im Zusammenhang mit diesem Konzept aus, während die Cyber-Verteidiger Mühe hatten, mit der routinemäßigen Aktualisierung der Software Schritt zu halten. Sobald eine Schwachstelle missbraucht wurde, übernehmen die Angreifer die Kontrolle über die Zielcomputer, indem sie Remote Code Execution (RCE), willkürliche Codeausführung, Path Traversal oder andere Techniken einsetzen.

Die 12 identifizierten Schwachstellen auf der Liste der CISA verdeutlichen, dass Angreifer häufig auf kürzlich entdeckte Schwachstellen und Schwachstellen im Zusammenhang mit der Remote-Arbeit abzielen. Die drei Top-Schwachstellen auf der Liste beziehen sich auf Remote-Arbeit, VPN und Cloud-basierte Umgebungen. Neun der Schwachstellen wurden im Jahr 2019 oder später veröffentlicht.

Tabelle 1: Die wichtigsten ausgenutzten Schwachstellen 2020 (Quelle: CISA)

Schwachstellen im Zusammenhang mit Remote-Arbeit waren im Jahr 2020 für Angreifer attraktiv, und die überhastete Einführung von Cloud-Kollaborationsdiensten führte oft zu Nachlässigkeiten bei der Sicherheitskonfiguration. Die drei am häufigsten ausgenutzten Schwachstellen CVE-2019-19781, CVE-2019-11510 und CVE-2018-13379 wurden alle in VPN-Diensten entdeckt.

Unser jährlicher Sicherheits-Roundup für 2020 kommt zu dem Schluss, dass VPNs mittlerweile unverzichtbar sind für Unternehmen, die ihre internen Netzwerkverbindungen nach außen erweitern und dabei vor Bedrohungen schützen wollen. Der Einsatz von VPNs in Büros und im Homeoffice erreichte Anfang 2020 Spitzenwerte , und eine Studie von Anfang 2021 stellte fest, dass 31% der weltweiten Internetnutzer ein VPN einsetzten. Doch obwohl ein VPN ein Sicherheitsinstrument ist, kann es auch als Einfallstor für Cyber-Bedrohungen dienen. Ungepatchte und veraltete VPNs können in der Tat kritische Schwachstellen aufweisen, die Angreifer dann ausnutzen, um die Zielsysteme zu kompromittieren.

Unsere Daten zeigen die Entdeckungszahlen einiger der am weitesten verbreiteten VPN-Schwachstellen 2020 und in der ersten Hälfte 2021. Wir fanden heraus, dass es im Januar 2021 einen plötzlichen Anstieg der Erkennungen für CVE-2018-13379 gab, und obwohl die Zahlen in den späteren Monaten zurückgingen, waren sie deutlich höher als im gleichen Zeitraum des letzten Jahres.

Ein Vergleich der Anzahl der Erkennungen bemerkenswerter VPN-Schwachstellen in der ersten Hälfte 2020 und 2021 (Quelle: Trend Micro Digital Vaccine filters)

Einzelheiten zu der Historie der drei Schwachstellen liefert der Originalbeitrag.

Alte Schwachstellen sind beliebt

Auch wenn neue Hintermänner auftauchen, sind einige alte Schwachstellen bei Angreifern weiterhin beliebt. CVE-2017-11882, CVE-2018-7600 und CVE-2019-0604, die auf der Top-10-Liste der „Most Exploited Vulnerabilities 2016-2019″ standen, haben es auch 2020 in die Top-10 geschafft.

CVE-2017-11882, eine Schwachstelle in Bezug auf Microsofts Object Linking and Embedding (OLE)-Technologie, ist beispielsweise ein langjähriger Favorit, der mit mutmaßlich staatlich gesponserten Cyber-Akteuren aus China, Iran, Nordkorea und Russland in Verbindung gebracht wird. Dies liegt nicht nur daran, dass Microsoft Office in allen Teilen der Welt verwendet wird, sondern auch daran, dass viele Anwender Office nicht regelmäßig mit den neuesten Patches aktualisieren. Dies ermöglicht RCE auf anfälligen Systemen. Obwohl die Zahl der Exploits in der ersten Jahreshälfte 2021 deutlich unter dem Höchststand von 2019 liegt, hat diese Schwachstelle immer noch eine hohe Patch-Priorität. Einzelheiten zu der Historie der drei Schwachstellen liefert der Originalbeitrag.

Schutz über IPS

Durch den Wechsel der Unternehmens-IT in die Cloud und der zunehmenden Verbreitung von Heimarbeitsplätzen aufgrund der Pandemie müssen Organisationen ihre Systeme besser vor Exploits für Schwachstellen schützen. Ein Ansatz, wie eine Cybersicherheitsplattform, die sowohl lokale als auch Cloud-basierte Workloads verwalten kann, ist dabei von großer Hilfe. Als Schutz vor Angriffen auf Remote Offices spielt das Intrusion Prevention System (IPS) eine wichtige Rolle. IPS-Lösungen können den Datenverkehr abfangen, der versucht, vorhandene, unbekannte oder nicht bekannt gegebene Schwachstellen auszunutzen, wenn noch keine Patches installiert werden können. Es identifiziert bösartige Software, die auf das Netzwerk zugreift, und erhöht die Transparenz und damit die Kontrolle für Anwendungen, die auf das Netzwerk zugreifen. Zudem können IPS-Lösungen Unternehmen zusätzliche Zeit verschaffen, um auf die Veröffentlichung von Hersteller-Patches zu warten oder die Patches zu testen und aufzubringen. Außerdem können Unternehmen so einen normalen Patching-Zyklus beibehalten.

Schwachstellen und Exploits sollten nicht verwechselt werden: Eine Schwachstelle ist eine Lücke in der Software, die sie für Angriffe anfällig macht, ein Exploit wiederum ist der Code oder die Bedrohung, die geschrieben wird, um die Schwachstelle auszunutzen. Es kann Hunderte oder Tausende von Exploits für eine einzige Sicherheitslücke geben. Trend Micro kann mit virtuellen Patches Schwachstellen mithilfe unserer IPS-Technologie schützen und Exploits auf der Anti-Malware-Ebene erkennen, die wiederum alle Exploits blockieren kann.

Trend Micro TippingPoint und Trend Micro Cloud One – Workload Security sowie Trend Micro Worry-Free Business Security können Unternehmen rundum schützen, vom Netzwerk bis hin zu Hybrid-Cloud-Umgebungen mit IPS der nächsten Generation. TippingPoint führt automatisierte Inspektionen im Unternehmensnetzwerk-Verkehr durch und bietet Visibilität in den gesamten Verkehr. Cloud One – Workload Security wiederum sichert gemischte Umgebungen mit virtuellen, physischen, Cloud sowie Container.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.