Welches waren die am häufigsten ausgenutzten Sicherheitslücken in 2021?
Ein neuer Bericht, der von CISA in Zusammenarbeit mit den Behörden der Vereinigten Staaten veröffentlicht wurde, Australien, Kanada, Neuseeland, und das Vereinigte Königreich enthüllten ein Advisory mit den am häufigsten ausgenutzten Sicherheitslücken bei Cyberangriffen.
So, was sagt die Beratung?
Die am häufigsten ausgenutzten Schwachstellen in 2021
Letztes Jahr, auf globaler Ebene, Bedrohungsakteure zielten hauptsächlich auf mit dem Internet verbundene Systeme ab, einschließlich E-Mail-Server und VPN (virtuelles privates Netzwerk) Server mit neu aufgedeckten Sicherheitslücken. Es ist bemerkenswert, dass, für eine überwiegende Anzahl der am häufigsten ausgenutzten Fehler, Forscher oder andere Akteure veröffentlichten Proof-of-Concept-Codes (PoC) innerhalb von zwei Wochen nach Offenlegung der Schwachstelle. Diese Aktion erleichtert nachweislich die Ausnutzung durch ein breiteres Spektrum von Bedrohungsakteuren, CISA notiert.
Bedrohungsakteure nutzten auch weiterhin öffentlich bekannt, ältere Softwarefehler, von denen einige ausgebeutet wurden 2020 und Vorjahre. Die Ausnutzung älterer Schwachstellen offenbart das erhöhte Risiko für Unternehmen, die Probleme in ihren Softwareprodukten nicht beheben. Die Verwendung von Software, die von einem Anbieter nicht mehr unterstützt wird, weist das gleiche Risiko auf.
Die Liste der genannten Schwachstellen umfasst Folgendes…
CVE-2021-44228, oder der Log4Shell-Exploit
CVE-2021-44228, oder der sogenannte Log4Shell-Exploit, betrifft die Log4j-Bibliothek von Apache, ein Open-Source-Logging-Framework. Hacker können das Problem ausnutzen, indem sie eine speziell gestaltete Anfrage an ein exponiertes System senden, Ausführung willkürlichen Codes und vollständige Systemübernahme verursachen. Sobald dies erreicht ist, Der Bedrohungsakteur kann Informationen stehlen, Ransomware starten, oder andere böswillige Aktivitäten ausführen. Der Log4Shell-Exploit wurde im Dezember aufgedeckt 2021, Seine schnelle und weit verbreitete Ausnutzung zeigt jedoch die erweiterten Fähigkeiten von Bedrohungsakteuren, bekannte Schwachstellen schnell als Waffe zu nutzen und Organisationen vor dem Patchen ins Visier zu nehmen, CISA notiert.
Es ist bemerkenswert, dass der Exploit von der Ransomware-Familie Khonsari für Angriffe auf Windows-Server genutzt wurde. Dieselben Angriffe luden eine zusätzliche bösartige Payload herunter – den Fernzugriffstrojaner Orcus.
Die ProxyLogon-Sicherheitslücken
Unter diesen Kennungen sind die Schwachstellen bekannt: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, und CVE-2021-27065. Sie betreffen Microsoft Exchange Server. Betroffene Versionen sind Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, und Microsoft Exchange Server 2019.
die Mängel wurden als Teil einer Angriffskette verwendet. Erfolgreich initiiert werden, Ein Angriff erfordert eine nicht vertrauenswürdige Verbindung zu einem bestimmten Exchange-Server-Port, 443. Diese Lücke kann durch Einschränkung der nicht vertrauenswürdigen Verbindung geschützt werden, oder indem Sie ein VPN einrichten, um den Server vom externen Zugriff zu trennen. Jedoch, Diese Minderungstricks bieten nur teilweisen Schutz. Das Unternehmen warnt davor, dass andere Teile des Kettenangriffs ausgelöst werden können, wenn ein Angreifer bereits Zugriff hat, oder einen Administrator davon überzeugen kann, eine schädliche Datei auszuführen.
Der ProxyShell-Exploit
Die CISA hat im vergangenen August eine Warnung veröffentlicht Cyberkriminelle nutzten aus die sogenannten ProxyShell Microsoft Exchange-Schwachstellen, bekannt als CVE-2021-34473, CVE-2021-34523, und CVE-2021-31207. Eine erfolgreiche Ausnutzung ermöglicht entfernten Bedrohungsakteuren die Ausführung willkürlichen Codes. „Diese Schwachstellen befinden sich im Microsoft Client Access Service (CAS), die normalerweise auf Port läuft 443 in den Microsoft Internetinformationsdiensten (IIS) (z.B., Webserver von Microsoft). CAS ist im Allgemeinen dem Internet ausgesetzt, um Benutzern den Zugriff auf ihre E-Mails über mobile Geräte und Webbrowser zu ermöglichen,“ bemerkte die CISA.
Der kritische Atlassian Confluence Flaw
CVE-2021-26084 ist eine Schwachstelle in Atlassian Confluence Bereitstellungen unter Windows und Linux. Der Fehler ist kritisch, und wurde ausgenutzt, um Web-Shells bereitzustellen, die die Ausführung von Kryptowährungs-Minern auf anfälligen Systemen verursachen. das Problem hängt mit einer Object-Graph-Navigationssprache zusammen (OGNL) Injektion in das Webwork-Modul von Atlassian Confluence Server and Data Center. Die Sicherheitsanfälligkeit kann von Remote-Angreifern ausgenutzt werden, indem sie eine präparierte HTTP-Anfrage mit einem bösartigen Parameter an einen anfälligen Server senden. Dies könne dann zur Ausführung willkürlichen Codes „im Sicherheitskontext des betroffenen Servers führen,“, wie die Forscher von Trend Micro bei der Offenlegung herausstellten.
„Drei von oben 15 routinemäßig ausgenutzte Schwachstellen wurden auch routinemäßig ausgenutzt 2020: CVE-2020-1472, CVE-2018-13379, und CVE-2019-11510. Ihre fortgesetzte Ausbeutung zeigt, dass viele Unternehmen Software nicht rechtzeitig patchen und böswilligen Cyberakteuren gegenüber anfällig bleiben,” CISA-Beratung sagte.