Schwachstellenanalyse
Die meisten Schwachstellen basieren auf Remote Code Execution-Fehler
Allianz „Five Eyes“ veröffentlicht Liste ausgenutzter Schwachstellen
Paul Baird, UK Chief Technical Security Officer bei Qualys
Diese Liste von Schwachstellen führt vor Augen, dass Angriffe auf die IT Security am effektivsten durch das schnelle Patchen bekannter Schwachstellen verhindert werden können.
Die Schwachstellen ermöglichen schwerwiegende Angriffe zur Remote Code Execution und Rechteerweiterung, sind leicht auszunutzen und in einer Vielzahl an Anwendungen oder -software vorhanden.
Interessant ist, dass es sich bei den meisten Schwachstellentypen um Remote Code Execution-Fehler (RCEs) handelt. RCEs sind gefährlich, da sie fast immer von automatisierten Tools ausgeführt werden können, sodass der Angreifer eine breite Masse angreifen kann und nur noch prüfen muss, welche Ziele angegriffen wurden. Es scheint auch, dass die meisten Produkt-Exploits normalerweise außerhalb oder sehr nahe an der Grenze eines Unternehmensnetzwerks (DMZ) angesiedelt sind, was darauf hindeutet, dass sie leichter zu treffen sind. Böswillige Akteure müssen nicht erst in ein Netzwerk eindringen, um ihre Ziele mit diesen Exploits anzugreifen, da sie sich in Systemen befinden, die aus gutem Grund öffentlich zugänglich sind. Dies deutet darauf hin, dass die 15 Schwachstellen für die Angreifer ein leichtes Ziel sind.
Das Geheimdienstbündnis der USA und dem Vereinigten Königreich (UKUSA) sowie der Länder Australien, Kanada, und Neuseeland (die Allianz der fünf Länder ist bekannt als „Five Eyes“) hat eine Auflistung von Schwachstellen herausgegeben. Darin enthalten sind Log4Shell, ProxyShell, ProxyLogon, ZeroLogon sowie Schwachstellen in Zoho ManageEngine AD SelfService Plus, Atlassian Confluence und VMware vSphere Client
Microsoft-Produkte machen den größten Teil der Liste aus (9 von 15). Liegt das daran, dass es mehr Microsoft-Produkte gibt, sind sie von Natur aus unsicherer oder einfach schwieriger zu patchen?
Die Tatsache, dass ZeroLogon und zwei weitere, nicht benannte CVEs bereits im Jahr 2020 ausgenutzt wurden und immer noch unter den Top 15 zu finden sind, zeigt, dass Unternehmen die wichtigsten Grundlagen der Cybersicherheit wie Transparenz, Schwachstellen- und Patch-Management nicht im Griff haben. Diese Schwachstellen werden anvisiert, da die Software selbst breite Anwendung findet, schwer zu aktualisieren ist oder beide Fälle zutreffen. Das „Baron-Samedit-Problem“ in sudo ist ein gutes Beispiel: sudo ist in Linux installiert, und diese Schwachstelle ermöglichte problemlos Root-Zugriff und betraf einen großen Teil der IT-Assets. Linux ist auf so vielen Geräten installiert, dass es eine Herausforderung war, alle zu aktualisieren.
Bei einigen Unternehmen blieben Probleme wie Log4Shell bestehen, da die Patches andere geschäftskritische Anwendungen beeinträchtigen würden. Daher musste hier ein Mehraufwand betrieben werden, um diese Probleme zu beheben. Bei der Wahl zwischen einem potenziellen Risiko oder einem „Denial of Service“-Angriff und einem tatsächlichen „Denial of Business“-Problem setzt sich schnell der Fokus auf das Geschäft durch, da Unternehmen nicht überleben können, wenn ihre Abläufe gestört sind.
Fazit
Sicherheitsteams stehen vor der Herausforderung, die Risiken zu kennen, die mit unzureichendem Patch-Management verbunden sind. Das Problem liegt darin, dass die Theorie auf die Praxis trifft. Zu viele Unternehmen verfügen immer noch nicht über genaue und aktuelle Informationen über ihre Assets sowie geeignete Software. Sie wissen daher nicht, wie anfällig sie für Probleme in Softwarekomponenten wie Log4J sind. Ohne dieses vollständige Bild kann kein Unternehmen feststellen, ob seine IT-Systeme vollständig gesichert sind. Um dieses Problem zu lösen, müssen Unternehmen mehr Zeit in die Inventarisierung und Verwaltung ihrer Assets investieren. Sobald diese auf dem neuesten Stand sind, können im Zuge eines Patch-Managements alle verfügbaren Patches und Aktualisierungen der Anwendungen vorgenommen werden. Für eine wirksame Sicherheit im großen Maßstab ist dies von grundlegender Bedeutung.