Weltweite Cyberangriffe

Die größten Sicherheitsvorfälle des Jahrzehnts

Von Heartbleed über Apache Struts bis hin zu SolarWinds: Diese 10 Sicherheitsvorfälle der vergangenen 10 Jahre werden uns in Erinnerung bleiben.
Von 
CSO | 03. August 2022 05:12 Uhr
Über Schwachstellen wie EternalBlue, Meltdown oder Shellshock konnten Cyberangreifer in den vergangenen Jahren Malware weltweit verbreiten.
Über Schwachstellen wie EternalBlue, Meltdown oder Shellshock konnten Cyberangreifer in den vergangenen Jahren Malware weltweit verbreiten.
Foto: Sergey Nivens - shutterstock.com

Schwerwiegende Sicherheitslücken, Massenausbeutungen von Passwörtern und groß angelegte, weltweite Cyberattacken: Das vergangene Jahrzehnt hielt jede Menge Vorfälle bereit, die die Cybersicherheitslandschaft beeinflussten. Der Sicherheitsanbieter Trustwave zieht in einem Blogbeitrag Bilanz und veröffentlicht eine Liste mit den 10 bemerkenswertesten Sicherheitsverletzungen der vergangenen 10 Jahre.

"Es ist schwierig, die vollständige Geschichte über die Netzwerksicherheitslandschaft des vergangenen Jahrzehnts zu erzählen. Viele der Sicherheitstools und Event-Logger haben sich so rasant weiterentwickelt, dass wir heute mit Metriken arbeiten, die vor 10 Jahren noch gar nicht existierten", heißt es in dem Blog. Dennoch lieferten die verfügbaren Daten genug Informationen, um signifikante Trends zu erkennen. Der offensichtlichste Trend, der sich anhand von Quellen wie der National Vulnerability Database, Exploit-DB, VulnIQ und den Sicherheitsdaten von Trustwave ablesen lässt, ist, dass Sicherheitsvorfälle und Schwachstellen in ihrer Gesamtheit zugenommen haben und immer ausgefeilter werden.

Hier sind die 10 Sicherheitsvorfälle, die das vergangene Jahrzehnt maßgeblich geprägt haben. Die Liste folgt keiner bestimmten Reihenfolge.

1. SolarWinds-Hack und FireEye-Schwachstelle

  • Entdeckt am: 8. Dezember 2020

  • Patch veröffentlicht am: 13. Dezember 2020

  • Status: aktiv

  • CVE-2021-35211

Trustwave spricht vom "lähmendsten und verheerendsten Breach des Jahrzehnts": Ein Supply-Chain-Angriff auf das Netzwerküberwachungstool SolarWinds Orion hatte im Dezember 2020 Schockwellen auf der ganzen Welt ausgelöst. Große Unternehmen und US-Regierungsbehörden fielen dem Angriffzum Opfer. Die Cyberkriminellen nutzten die Red-Team-Tools von FireEye sowie interne Threat-Intelligence-Daten des Herstellers aus, um ein bösartiges Backdoor-Update namens Sunburst zu installieren, das rund 18.000 Kunden betraf. Die Hintertür erlaubte es Angreifern, Daten in Netzwerken zu ändern, zu stehlen und zu zerstören.

SolarWinds erklärte später, dass zwar Tausende von Organisationen die Malware heruntergeladen hatten, die tatsächliche Anzahl der Kunden, die mithilfe von Sunburst gehackt worden waren, jedoch weniger als 100 betrug. Diese Zahl stimmt mit den vom Weißen Haus veröffentlichten Schätzungen überein.

Trotz eines Patches, der am 13. Dezember 2020 veröffentlicht wurde, sind auch heute noch Server infiziert. Da Unternehmen oftmals nicht von den inaktiven Angriffsvektoren wissen, die Hacker in ihren noch ungepatchten Systemen eingerichtet haben, finden immer noch Angriffe über diese Sicherheitslücke statt.

Im Gespräch mit CSO im Dezember 2021 sagte David Kennedy, ehemaliger NSA-Hacker und Gründer der Sicherheitsberatungsfirma TrustedSec: "Angreifer können sich buchstäblich jedes Ziel auswählen, das dieses Produkt nutzt. Und das betrifft eine große Anzahl von Unternehmen auf der ganzen Welt."

Im Juni 2021 sagte Shital Thekdi, Managementprofessor an der University of Richmond und Experte für Risikomanagement und Industrie- und Betriebstechnik, dass der SolarWinds-Angriff beispiellos sei, weil "er in der Lage ist, erhebliche physische Folgen zu verursachen und auch kritische Infrastrukturen zu beeinträchtigen".

2. EternalBlue-Exploit, WannaCry und NotPetya

  • Entdeckt am: 14. April 2017

  • Patch veröffentlicht am: 14. März 2017

  • Status: aktiv

  • CVE-2017-0144

Als nächstes auf der Liste stehen der EternalBlue-Exploit und die nachfolgenden Ransomware-Vorfälle von 2017. Die , die sie zuvor vom US-Geheimdienst National Security Agency (NSA) gestohlen hatte. Bereits einen Monat zuvor hatte Microsoft die Schwachstelle, auf die der Exploit abzielte, gepatcht. Laut Trustwave ist EternalBlue jedoch nach wie vor aktiv. Derzeit listet die Suchmaschine Shodan mehr als 7.500 für den Exploit anfällige Systeme auf.

Die beiden bekanntesten und am meisten gefürchteten Ransomware-Typen, die sich über EternalBlue verbreiten, sind WannaCry und NotPetya. Sie haben bereits viele Tausende Systeme auf der ganzen Welt angegriffen und insbesondere den Gesundheitsdiensten in Großbritannien und der Ukraine schweren Schaden zugefügt.

Im Jahr 2017 sagten Cyberanalysten von RiskSense: "Der EternalBlue-Exploit ist so gefährlich, weil er einen sofortigen Remote- und nicht authentifizierten Zugriff auf fast jedes ungepatchte Microsoft-Windows-System ermöglicht. Windows ist eines der am weitesten verbreiteten Betriebssystem und wird sowohl in der Privat- als auch in der Geschäftswelt genutzt."

3. Heartbleed-Fehler in OpenSSL

  • Entdeckt am: 21. März 2014

  • Patch veröffentlicht am: 7. April 2014

  • Status: aktiv

  • CVE-2014-0160

Auch die Heartbleed-Schwachstelle von 2014 wird weiterhin ausgenutzt und bedroht bis heute mehr als 200.000 dafür anfällige Systeme, heißt es im Blog von Trustwave. Bei dem Fehler handelt es sich um eine Sicherheitslücke in OpenSSL, der Verschlüsselungstechnologie, die das Web absichert. Im Detail betrifft er die Heartbleed-Erweiterung der Implementierung von TLS/DTLS (Transport Layer Security Protocols). Angreifer konnten über das Internet den RAM-Speicher von Systemen auslesen.

Heartbleed verursachte große Panik und wurde schnell als einer der schlimmsten Sicherheitsfehler in der Geschichte des Internets bezeichnet. Bruce Schneier, ein Pionier der Informationssicherheit, erklärte die Sicherheitslücke in seinem Blog für katastrophal. "Auf der Skala von 1 bis 10 ist Heartbleed eine 11." Der Sicherheitsberater Roger Grimes erklärte damals, OpenSSL laufe wahrscheinlich auf 60 Prozent der Websites, die HTTPS-Verbindungen anbieten.

4. Sicherheitslücke Shellshock in Bash-Shell

  • Entdeckt am: 12. September 2014

  • Patch veröffentlicht am: 24. September 2014

  • Status: inaktiv

  • CVE-2014-7196

Shellshock ist ein Fehler in der "Bourne again Shell" (Bash) , der bereits 30 Jahre existierte, bevor er 2014 entdeckt wurde. "Die Schwachstelle wurde als noch schwerwiegender als Heartbleed angesehen, da sie es Angreifern ermöglichte, die vollständige Kontrolle über ein System zu übernehmen, ohne dafür einen Benutzernamen und ein Passwort zu benötigen", schreiben die Analysten. Ein Patch wurde im September 2014 veröffentlicht. Shellshock gilt derzeit als inaktiv.

Zuletzt war die Schwachstelle Teil der breit angelegten Kampagne "Sea Turtle" im Jahr 2019. Dabei verwendeten Hacker DNS Hijacking, um sich Zugang zu sensiblen Systemen zu verschaffen.

Daniel Ingevaldson, CTO von Easy Solutions, sagte 2014 gegenüber CSO: "Das Problem mit Bash ist, dass diese Shell für alles verwendet wird. Auf einem Linux-basierten System ist sie die Standard-Shell, und jedes Mal, wenn ein webfähiger Prozess eine Shell aufrufen muss, um Eingaben zu verarbeiten oder einen Befehl auszuführen, ruft er Bash auf."

5. Zero Day im Framework Apache Struts 2

  • Entdeckt am: 6. März 2017

  • Patch veröffentlicht am: 5. September 2017

  • Status: inaktiv

  • CVE-2017-5638

Diese kritische Zero-Day-Schwachstelle betrifft den Multipart-Parser von Jakarta im Anwendungs-Entwicklungs-Framework Apache Struts 2. Ein Parser ist ein Programm, das den Quelltext analysiert und zerlegt, damit der Code von anderen Programmen wie Compiler und HTML-Renderer verwendet werden kann.

Die Sicherheitslücke ermöglichte Angreifern eine sogenannte Remote Command Injection. Zwar wird diese Funktion standardmäßig genutzt, um Systembefehle auszuführen, Anwendungen in anderen Sprachen zu starten oder Skripte auszuführen, kann aber auch für Cyberangriffe missbraucht werden. Dabei werden Eingaben des kompromittierten Users in Anwendungen nicht validiert. So können Angreifer beliebige Kommandos ausführen und Daten einsehen, manipulieren oder sogar löschen.

Monate nach Bekanntwerden der Lücke gab das Finanzdienstleistungsunternehmen Equifax bekannt, dass Hacker sich Zugang zu internen Daten verschafft haben. Von der Datenschutzverletzung seien etwa 143 Millionen Menschen in den USA, Großbritannien und Kanada betroffen gewesen. Weitere Analysen des Vorfalls ergaben, dass Angreifer die Sicherheitsanfälligkeit von Apache Struts 2 als ersten Angriffsvektor ausgenutzt hatten. Trustwave stuft diese Schwachstelle als derzeit inaktiv ein.

6. CPU-Sicherheitslücken Meltdown und Spectre

Als Meltdown und Spectre sind die CPU-Schwachstellen aus dem Jahr 2018 bekannt, über die Hacker auf geschützte Speicherbereiche zugreifen können. "Meltdown unterbricht den Mechanismus, der Anwendungen daran hindert, auf beliebigen Systemspeicher zuzugreifen", schreiben die Forscher von Trustwave. "Spectre bringt Anwendungen dazu, auf beliebige Speicherorte in Ihrem Speicher zuzugreifen. Beide Angriffe verwenden Seitenkanäle, um Informationen vom Zielspeicherort zu erhalten."

Beide Schwachstellen sind von Bedeutung, da sie Möglichkeiten für gefährliche Angriffe eröffneten. Anfang 2018 schrieb CSO-Redakteur Josh Fruhlinger: "Zum Beispiel könnte JavaScript-Code auf einer Website Spectre verwenden, um einen Webbrowser dazu zu bringen, Benutzer- und Passwortinformationen preiszugeben. Angreifer könnten Meltdown ausnutzen, um Daten anderer Benutzer und sogar anderer virtueller Server anzuzeigen, die auf derselben Hardware gehostet werden, was für Cloud-Computing-Hosts katastrophal wäre."

Wie Trustwave schreibt, resultieren die Sicherheitslücken aus grundlegend schlechtem Prozessordesign und nicht aus schlampig geschriebenem Code. Deshalb sei es nicht möglich, die Lücken in der Software zu schließen, ohne die Leistung der Prozessoren zu beeinträchtigen. Zwar seien Mikrocode-Fixes für die Schwachstellen verfügbar, doch sie beeinträchtigten die Leistung der CPU.

Betroffen von dem Sicherheitsfehler waren die Hersteller Apple, ARM, IBM, Intel und Qualcomm. Trustwave erklärte, dass Meltdown und Spectre derzeit als inaktiv gelten, da kein Exploit gefunden wurde.

7. BlueKeep und Remote-Desktops als Zugriffsvektor

  • Entdeckt am: Januar 2018

  • Patch veröffentlicht am: April 2018

  • Status: aktiv

  • CVE-2019-0708

Jahre vor dem Corona-bedingten Übergang zu Remote Work und den damit entstandenen Sicherheitsrisiken war bereits bekannt, dass Cyberkriminelle Remote-Desktops als Angriffsziele auserkoren hatten und RDP-Schwachstellen ausnutzen, um persönliche Daten und Anmeldeinformationen zu stehlen und Ransomware zu installieren. Im Jahr 2019 ging die Bedrohung durch Remote Desktops als Angriffsvektor durch die Medien, dabei stand die Entdeckung von BlueKeep im Vordergrund.

In die Liste von Trustwave hat BlueKeep es geschafft, weil die Sicherheitslücke "wurmfähig" sei. Laut den Analysten bedeutet das, dass Cyberangreifer die Schwachstelle nutzen können, um Malware ohne das Zutun von Menschen zu verbreiten.

Das Problem war so ernst, dass die amerikanische National Security Agency (NSA) eine Sicherheitsempfehlung zu BlueKeep folgenden Inhalts herausgab: "Obwohl Microsoft einen Patch veröffentlicht hat, sind potenziell Millionen von Computern immer noch anfällig. Dies ist die Art von Sicherheitslücke, die böswillige Cyberakteure häufig durch die Verwendung von Softwarecode ausnutzen, der speziell auf die Schwachstelle abzielt. Beispielsweise könnte die Schwachstelle ausgenutzt werden, um Denial-of-Service-Angriffedurchzuführen. Es ist wahrscheinlich nur eine Frage der Zeit, bis Tools für die Remote-Ausnutzung dieser Sicherheitsanfälligkeit allgemein verfügbar sind. Die NSA ist besorgt, dass böswillige Cyberakteure die Schwachstelle in Ransomware und Exploit-Kits mit anderen bekannten Exploits nutzen und die Fähigkeiten gegen andere ungepatchte Systeme erhöhen werden."

Laut Trustwave ist BlueKeep immer noch aktiv und auf Shodan gibt es über 30.000 anfällige Systeme.

8. Drupalgeddon und CMS-Schwachstellen

Die Drupalgeddon-Serie besteht aus zwei kritischen Schwachstellen, die das FBI laut Trustwave noch heute als aktiv ansieht. Die erste Lücke wurde 2014 entdeckt und nimmt die Form einer SQL-Injection-Schwachstelle im quelloffenen Content-Management-System Drupal Core an. Bedrohungsakteure nutzten sie, um eine große Anzahl von Websites zu hacken.

Vier Jahre später enthüllte das Drupal-Sicherheitsteam eine zweite äußerst kritische Schwachstelle, die sie Drupalgeddon2 nannten. Der Fehler war auf eine unzureichende Eingabevalidierung der Drupal 7-Formular-API zurückzuführen. So konnten nicht authentifizierten Angreifer remote Codes bei Standard- oder gängigen Drupal-Installationen ausführen. "Angreifer nutzten die Drupalgeddon2-Schwachstelle beispielsweise, um auf Servern mit kompromittierten Drupal-Installationen das Mining der Kryptowährung Monero durchzuführen", schreibt Trustwave.

9. OLE-Schwachstelle Sandworm in Microsoft Windows

  • Entdeckt am: 3. September 2014

  • Patch veröffentlicht am: 15. Oktober 2014

  • Status: inaktiv

  • CVE-2014-4114

2014 wurde eine Schwachstelle in Microsofts Object Linking and Embedding in Windows entdeckt. "Der Fehler wurde in russischen Cyberspionagekampagnen gegen die Nato und gegen ukrainische und westliche Regierungsorganisationen und Unternehmen im Energiesektor ausgenutzt", schreibt Trustwave.

Die Schwachstelle wurde nach der Hackergruppe benannt, die die Kampagne gestartet hat: Sandworm. Aktuell gilt die Sicherheitslücke jedoch als inaktiv.

10. Ripple20 und die wachsende IoT-Landschaft

An letzter Stelle auf der Liste von Trustwave stehen die Ripple20-Schwachstellen, die die neuen Risiken im Zusammenhang mit der expandierenden IoT-Landschaft zeigen. Im Juni 2020 veröffentlichte das israelische IoT-Sicherheitsunternehmen JSOF insgesamt 19 Schwachstellen, die als Ripple20 zusammengefasst werden, um den "Welleneffekt" zu veranschaulichen, den sie in den kommenden Jahren auf angeschlossene Geräte haben dürften. "Die Schwachstellen waren im Netzwerk-Stack des Herstellers Treck vorhanden, der von mehr als 50 Anbietern und Millionen von Geräten verwendet wird. Darunter befinden sich auch geschäftskritische Devices im Gesundheitswesen, in Rechenzentren, Stromnetzen und kritischen Infrastrukturen", schreibt Trustwave.

Wie von CSO im Jahr 2020 beschrieben, könnten einige der ungepatchten Mängel eine Remote-Code-Ausführung über das Netzwerk ermöglichen und auch heute noch zu einer vollständigen Kompromittierung der betroffenen Geräte führen.

Viele Schwachstellen bleiben riskant

Es ist schon fast ein Jahrzehnt her, dass manche Schwachstellen in der Trustwave-Liste entdeckt wurden. Dennoch stellen einige von ihnen nach wie vor Risiken dar, obwohl mittlerweile Patches und Fixes verfügbar sind. Die Gründe dafür sind dem Sicherheitsexperten zufolge die folgenden:

  • Unternehmen sind nicht in der Lage, verschiedene in einem Netzwerk ausgeführte Dienste zu verfolgen und zu protokollieren.

  • Der Umstand, die Patches auf Assets anzuwenden, ohne den Workflow zu unterbrechen, ist manchen Betrieben zu groß.

  • Unternehmen reagieren nur langsam auf entdeckte Zero-Days.

Vor allem der letzte Punkt dürfte angesichts des starken Anstiegs der im Jahr 2021 entdeckten Zero-Day-Exploits an Bedeutung gewinnen, fügt Trustwave hinzu.

Alex Rothacker, Security Research Director bei Trustwave Spiderlabs, sagt gegenüber CSO, dass Unternehmen ständig versuchen würden aufzuholen, um die neuesten Schwachstellen zu patchen. "Dies ist eine extreme Herausforderung, insbesondere für kleinere Organisationen mit begrenztem oder keinem dedizierten Personal. Selbst für größere Organisationen gibt es nicht immer einen Patch, der leicht verfügbar ist. Nehmen Sie Log4j als Beispiel. Die meisten der anfälligen Log4j-Versionen sind Teil größerer Softwarepakete von Drittanbietern, und viele dieser Drittanbieter haben immer noch Schwierigkeiten, ihre komplexen Anwendungen vollständig zu aktualisieren."

Darüber hinaus verlagere sich der Fokus im Laufe der Zeit auf neue Schwachstellen, was dazu führe, dass ältere Patches manchmal durchfallen, fügt Rothacker hinzu. "Je älter eine Schwachstelle ist, desto mehr Informationen darüber gibt es, wie sie ausgenutzt werden kann. Dies macht die Sicherheitsanfälligkeit im Grunde zu einer 'Lowhanging Fruit', die nur geringe Fähigkeiten der Angreifer erfordert. Für erfahrene Hacker sind solche Lücken leichte Ziele." (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.