Die 30 größten Wanzen der CISA: Einer ist alt genug, um Bier zu kaufen

  • Für alle gibt es Patches oder Abhilfemaßnahmen, aber sie werden immer noch aufgespürt. Warum sollten die Angreifer aufhören, wenn die Schwachstellen nicht behoben werden, was bei so vielen der Fall ist?

    In einer perfekten Welt würde die CISA Karten mit den 30 größten Sicherheitslücken des Jahres laminieren: Man könnte sie herausholen und ein Unternehmen fragen, ob es diese speziellen Wunden geschlossen hat, bevor man sein Geld übergibt.

    Dies ist keine perfekte Welt. Es gibt keine laminierten Schwachstellen-Karten.

    Aber zumindest haben wir die Liste: In einem gemeinsamen Advisory (PDF), das am Mittwoch veröffentlicht wurde, haben das FBI und die Cybersecurity and Infrastructure Security Agency (CISA), das australische Cyber Security Center und das britische National Cyber Security Center die Schwachstellen aufgelistet, die im Jahr 2020 “routinemäßig” ausgenutzt wurden, sowie diejenigen, die in diesem Jahr am häufigsten ausgenutzt werden.

    Die Schwachstellen – die in Geräten oder Software von Unternehmen wie Citrix, Fortinet, Pulse Secure, Microsoft und Atlassian lauern – umfassen öffentlich bekannte Fehler, von denen einige immer bekannter werden. Eine davon stammt sogar aus dem Jahr 2000.

    “Cyber-Akteure nutzen nach wie vor öffentlich bekannte – und oft veraltete – Software-Schwachstellen gegen eine Vielzahl von Zielgruppen aus, darunter Organisationen des öffentlichen und privaten Sektors auf der ganzen Welt”, heißt es in der Empfehlung. “Unternehmen auf der ganzen Welt können jedoch die in diesem Bericht aufgeführten Schwachstellen abschwächen, indem sie die verfügbaren Patches auf ihre Systeme aufspielen und ein zentrales Patch-Management-System einrichten.

    In diesem Jahr haben es Cyberangreifer weiterhin auf Schwachstellen in Perimeter-Geräten abgesehen, wobei Schwachstellen in den von Microsoft, Pulse, Accellion, VMware und Fortinet verkauften Perimeter-Geräten besonders viel unerwünschte Aufmerksamkeit auf sich ziehen.

    Für alle Schwachstellen haben die Hersteller Patches zur Verfügung gestellt. Das bedeutet natürlich nicht, dass diese Patches auch angewendet wurden.

    Tut Buße, o ihr Patch-Sünder

    Laut dem Advisory ist es unwahrscheinlich, dass Angreifer aufhören werden, hinter geriatrischen Schwachstellen her zu sein, einschließlich CVE-2017-11882: ein Microsoft Office-Fehler zur Remotecodeausführung (RCE), der schon fast trinkreif war, als er 2017 im Alter von 17 Jahren gepatcht wurde.

    Warum sollten sie aufhören? Solange die Systeme nicht gepatcht sind, ist es für die Angreifer ein Gewinn, da sie Zeit und Aufwand sparen, heißt es in der gemeinsamen Empfehlung.

    Die Nutzung bekannter Schwachstellen durch die Angreifer erschwert die Zuordnung, senkt die Kosten und minimiert das Risiko, da sie nicht in die Entwicklung eines Zero-Day-Exploits für ihren exklusiven Gebrauch investieren, den sie bei Bekanntwerden verlieren könnten. -Advisory

    Tatsächlich wurden die vier meistgenutzten Schwachstellen im Jahr 2020 zwischen 2018 und 2020 entdeckt, was zeigt, wie häufig Unternehmen, die die betreffenden Geräte oder Technologien verwenden, Patches oder Abhilfemaßnahmen umgehen.

    Die Top 4:

    • CVE-2019-19781, ein kritischer Fehler im Citrix Application Delivery Controller (ADC) und Citrix Gateway, der ungepatchte Unternehmen der Gefahr eines trivialen Angriffs auf ihre internen Abläufe aussetzt. Im Dezember 2020 hatten 17 Prozent – etwa jedes fünfte der 80.000 betroffenen Unternehmen – noch keinen Patch installiert.
    • CVE 2019-11510: eine kritische Schwachstelle in Pulse Secure VPN, die in mehreren Cyberangriffen ausgenutzt wurde, die auf Unternehmen abzielten, die zuvor eine verwandte Schwachstelle in dem VPN gepatcht hatten. Im April 2020 forderte das Department of Homeland Security (DHS) die Nutzer auf, ihre Passwörter für Active Directory-Konten zu ändern, da die Patches zu spät bereitgestellt wurden, um zu verhindern, dass bösartige Akteure diese Konten kompromittieren.
    • CVE 2018-13379: eine Path-Traversal-Schwachstelle in VPNs von Fortinet, die 2018 entdeckt wurde und vor einigen Monaten, im April 2021, aktiv ausgenutzt wurde.
    • CVE 2020-5902: eine kritische Schwachstelle in den BIG-IP Advanced Delivery Controller-Netzwerkgeräten von F5 Networks, die ab Juli 2020 von Angreifern ausgenutzt wurde, um Anmeldeinformationen abzugreifen, Malware zu starten und mehr.

    Die Cybersecurity-Organisationen forderten die Unternehmen auf, die Schwachstellen so schnell wie möglich zu beheben oder zu entschärfen, um das Risiko zu verringern, dass sie ausgenutzt werden. Denjenigen, die dazu nicht in der Lage sind, wird empfohlen, auf das Vorhandensein von Kompromissindikatoren (IOC) zu achten.

    Wenn IOCs gefunden werden, sollten sie Reaktions- und Wiederherstellungspläne für Vorfälle aufstellen und die CISA informieren: Die Empfehlung enthält Anweisungen, wie man Vorfälle meldet oder technische Hilfe anfordert.

    2020 Top 12 ausgenutzte Schwachstellen

    Hier finden Sie die vollständige Liste der zwölf am häufigsten ausgenutzten Sicherheitslücken des letzten Jahres:

    Anbieter
    CVE
    Typ

    Citrix
    CVE-2019-19781
    Beliebige Codeausführung

    Pulse
    CVE 2019-11510
    Beliebiges Lesen von Dateien

    Fortinet
    CVE 2018-13379
    Pfadüberwindung

    F5- Big IP
    CVE 2020-5902
    Ferngesteuerte Codeausführung (RCE)

    MobileIron
    CVE 2020-15505
    RCE

    Microsoft
    CVE-2017-11882
    RCE

    Atlassian
    CVE-2019-11580
    RCE

    Drupal
    CVE-2018-7600
    RCE

    Telerik
    CVE 2019-18935
    RCE

    Microsoft
    CVE-2019-0604
    RCE

    Microsoft
    CVE-2020-0787
    Erhöhung der Berechtigung

    Netlogon
    CVE-2020-1472
    Privilegienerweiterung

    Bislang am meisten ausgenutzt im Jahr 2021

    CISA et al. haben auch diese 13 Schwachstellen aufgelistet, die alle in diesem Jahr entdeckt wurden und ebenfalls intensiv ausgenutzt werden:

    • Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE2021-27065: vier Schwachstellen, die in der ProxyLogon-Gruppe von Sicherheitsfehlern miteinander verkettet werden können, was zu einer Patching-Wut führte. Die Euphorie war gerechtfertigt: Im März gab Microsoft an, dass 92 Prozent der Exchange Server für ProxyLogon anfällig waren.
    • Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 und CVE-2021-22900. Im Mai wurde CVE-2021-22893 von mindestens zwei APTs (Advanced Persistent Threat Actors), die wahrscheinlich mit China in Verbindung stehen, verwendet, um unter anderem Ziele in der US-Verteidigung anzugreifen.
    • Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104. Diese führten zu einer Vielzahl von Angriffen, auch auf Shell. Rund 100 FTA-Kunden von Accellion, darunter die Anwaltskanzlei Jones Day, Kroger und Singtel, waren von Angriffen betroffen, die mit FIN11 und der Ransomware-Bande Clop in Verbindung stehen.
    • VMware: CVE-2021-21985: Ein kritischer Fehler in VMwares Virtualisierungsmanagement-Plattform vCenter Server, der es einem entfernten Angreifer ermöglicht, das Produkt auszunutzen und die Kontrolle über das betroffene System eines Unternehmens zu übernehmen.

    Das Advisory enthält technische Details zu all diesen Schwachstellen sowie Hinweise zur Schadensbegrenzung und IOCs, mit deren Hilfe Unternehmen herausfinden können, ob sie anfällig sind oder bereits kompromittiert wurden. Die Empfehlung enthält auch Anleitungen zum Sperren von Systemen.

    Können Sicherheitsteams mithalten?

    Rick Holland, Digital Shadows CISO und Vice President of Strategy, bezeichnete CISA-Schwachstellenwarnungen als “einflussreiches Werkzeug, das Teams hilft, sich über Wasser zu halten und ihre Angriffsfläche zu minimieren”.

    Die CVEs, die in der Warnung vom Mittwoch hervorgehoben wurden, “zeigen weiterhin, dass Angreifer auf bekannte Schwachstellen abzielen und Zero-Days nur nutzen, wenn es nötig ist”, sagte er am Donnerstag gegenüber Threatpost.

    Jüngste Untersuchungen haben ergeben, dass mehr als drei Viertel der Führungskräfte im Bereich Cybersicherheit im letzten Jahr von einer Sicherheitslücke betroffen waren. Das wirft die Frage auf: Gibt es eine Diskrepanz zwischen den Programmen zum Management von Sicherheitslücken in Unternehmen und der Fähigkeit der Sicherheitsteams, das Risiko zu mindern?

    Holland meint, dass es für die IT-Sicherheitsverantwortlichen in Unternehmen immer wichtiger wird, “sinnvolle Änderungen an ihren Bemühungen um Cyberhygiene vorzunehmen”. Das bedeutet, “risikobasierte Cybersicherheitsbemühungen zu priorisieren, die Zusammenarbeit zwischen Sicherheits- und IT-Teams zu verstärken, Tools für das Schwachstellenmanagement zu aktualisieren und die Risikoanalyse in Unternehmen zu verbessern, insbesondere in Unternehmen mit fortschrittlichen Cloud-Anwendungsprogrammen.”

    Zugegeben, das Schwachstellenmanagement ist “einer der schwierigsten Aspekte eines jeden Sicherheitsprogramms”, fuhr er fort. Aber wenn eine bestimmte Schwachstelle ausgenutzt wird, sollte sie auf der Prioritätenliste nach oben rutschen, so Holland. “Ein risikobasierter Ansatz für das Schwachstellenmanagement ist der richtige Weg, und die Teams sollten Schwachstellen, die aktiv ausgenutzt werden, zweifelsohne vorrangig behandeln.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” an, das in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST stattfindet, und finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com