Mehr CVEs in diesem Jahr als im Vorjahr

Einer aktuellen Studie von Trustwave SpiderLabs zufolge fällt die Zahl der bislang in diesem Jahr veröffentlichten CVEs (Common Vulnerabilities and Exposures, ein Industriestandard zur Benennung von Sicherheitslücken in Computersystemen) um bis zu 35 Prozent höher sein aus als im gleichen Zeitraum des Jahres 2021. Das IT-Sicherheitsunternehmen berichtet in seinem Telemetrie-Bericht 2022, dass die Unternehmen zwar scheinbar im Vergleich zum vergangenen Jahr ein größeres Bewusstsein für ein effektives Patch-Management entwickeln. Wenn sich die aktuellen Trends jedoch fortsetzen, werde die Gesamtzahl der im Jahr 2022 veröffentlichten CVEs die des Jahres 2021 übersteigen.

Lesetipp: CVE Top 15 Die beliebtesten Schwachstellen 2021

Kritische Schwachstellen weiterhin verbreitet

Die Security-Forscher stellten außerdem fest, dass mehrere schwerwiegende - bekannte - Schwachstellen weiterhin stark verbreitet sind. In seinem Bericht schätzt SpiderLabs, dass die Zahl der im Jahr 2022 veröffentlichten CVEs um sechs bis 35 Prozent höher ist als im vergangenen Jahr (Stand: 16. Juni).

"Die drei wichtigsten Common Weakness Enumeration-Klassifizierungen für die CVEs des Jahres 2022 sind CWE-79, CWE-89 und CWE-787", heißt es weiter. "Diese drei Schwachstellen sind häufig in den Bereichen Befehlsinjektion und Remotecodeausführung (RCE) zu finden."Die Daten der Suchmaschine Shodan hätten zudem gezeigt, dass einige hochkarätige Schwachstellen immer noch weit verbreitet sind, so SpiderLabs, wobei sowohl White Hats als auch Black Hats weiterhin das Internet scannen, um Informationen über diese Schwachstellen zu sammeln.

Hochkarätige Sicherheitslücken werden noch immer ausgenutzt

Obwohl die Schwachstelle bereits sechs Monate alt ist, fanden die Sicherheitsforscher 1.467 Instanzen, die für Log4Shell (CVE-2021-44228) anfällig sind (Stand: 9. Juni 2022). Diese anfälligen Instanzen stammen aus der Russischen Föderation, den Vereinigten Staaten und Deutschland mit 266 (18 Prozent), 215 (15 Prozent) bzw. 205 (15 Prozent) Hosts.

SpiderLabs erklärte, dass "nicht alle betroffenen Produkte in diesem Bericht behandelt werden" und das Unternehmen nur Stichproben der am häufigsten betroffenen Produkte untersucht hat. "Es gibt immer noch Akteure, die versuchen, diese Schwachstelle auszunutzen", so das Security-Unternehmen. Über das internetweite Sensornetzwerk GreyNoise6 habe man einen 30-Tage-Trend von 667 einzelnen IP-Adressen entdeckt, die versuchten, Log4Shell im Internet zu verwenden.

Die Zahl der anfälligen Instanzen der Spring4Shell-Schwachstelle (CVE-2022-22965), die Ende des ersten Quartals 2022 auftrat, ist laut SpiderLabs dagegen derzeit gering. "Von 452.520 überprüften Instanzen sind nur 0,0758 Prozent verwundbar. Mit Stand vom 12. Juni 2022 waren die Länder mit der größten Anzahl an gefährdeten Instanzen China, die Vereinigten Staaten und Irland mit 122 (36 Prozent), 93 (27 Prozent) bzw. 18 (5 Prozent)." Spring4Shell wird immer noch ausgenutzt, aber nicht so aktiv wie Log4Shell, mit durchschnittlich 15 bis 20 IPs, die versuchen, Spring4Shell pro Tag auszunutzen, so der Bericht weiter.

SpiderLabs hat zudem anfällige Instanzen im Zusammenhang mit der Befehlsausführungsschwachstelle in der F5 BIG-IP iControl REST-Schnittstelle (CVE-2022-1388) entdeckt, die im Mai 2022 veröffentlicht wurde. "Glücklicherweise sind nur 2,73 Prozent von 1.719 angreifbar", schrieb das Unternehmen und fügte hinzu, dass die USA mit mehr als ein Viertel der Gesamtzahl die meisten angreifbaren Instanzen aufwiesen. "Diese Schwachstelle wird von Zeit zu Zeit überprüft, aber es gibt Tage, an denen kein Ausnutzungsversuch verzeichnet wird", heißt es in dem Bericht.

Die Schwachstelle in Confluence Server und Data Center von Atlassian (CVE-2022-26134) wurde Anfang Juni 2022 veröffentlicht, und bis zum 11. Juni waren nur 4,44 Prozent der 7.074 auf Shodan gefundenen Hosts anfällig, so SpiderLabs. "China, die USA und die Russische Föderation weisen mit 120 (38 Prozent), 37 (12 Prozent) und 27 (9 Prozent) verwundbaren Instanzen die höchste Anzahl auf. Bis zum 19. Juni wurden 2.398 eindeutige IP-Adressen entdeckt, die versuchten, CVE-2022-26134 auszunutzen, mit einem Spitzenwert von 607 eindeutigen IP-Adressen, die dies am 6. Juni taten, so die Sicherheitsexperten.

Interessanterweise identifizierte SpiderLabs eindeutige IP-Adressen, die versuchten, drei der vier oben genannten Schwachstellen auszunutzen, wobei sich 525 IP-Adressen überschnitten, die versuchten, sowohl Log4Shell als auch Atlassian Confluence RCE auszunutzen.

Die Risiken ungepatchter Sicherheitslücken variieren

Darüber hinaus fand SpiderLabs bei der Bewertung von Instanzen, die entweder für CVE-2021-44228, CVE-2022-22965, CVE-2022-1388 oder CVE-2022-26134 anfällig sind, heraus, dass einige immer noch für CVEs aus dem Jahr 2016 anfällig sind, wobei die häufigste CVE-2017-15906 ist, eine Sicherheitslücke in OpenSSH. Dies deutet darauf hin, dass Unternehmen, die für neuere Schwachstellen anfällig sind, es auch versäumt haben könnten, Sicherheitslücken zu schließen, die schon Jahre alt sind.

Lesetipp: Unternehmen sind nachlässig - Log4Shell ist immer noch gefährlich

Ziv Mador, VP Security Research bei Trustwave SpiderLabs, erklärt im Gespräch mit CSO, dass es einige Szenarien gibt, die erklären, warum manche Unternehmen Schwachstellen nicht schnell oder gar nicht patchen. "Einige Unternehmen patchen zwar, aber es kostet sie Zeit. So kann es beispielsweise sein, dass sie die Patches erst in ihrer Vorproduktionsumgebung testen wollen, bevor sie sie in der Produktion einsetzen." Einige Unternehmen seien vielleicht einfach deshalb so langsam, weil sie die Dringlichkeit der Installation von Patches nicht verstehen würden.

"Umgekehrt installieren manche Unternehmen vielleicht gar keine Patches, weil der Patch eine Schwachstelle behebt, die ihrer Meinung nach in ihrer spezifischen Konfiguration/Umgebung nicht ausgenutzt werden kann", fügt Mador hinzu. "Es kann aber auch sein, dass ein Unternehmen einen Patch nicht installiert, weil sein Prozess fehlerhaft ist oder weil es das Risiko nicht kennt."

Darüber hinaus verzichten manche auf Patches in bestimmten Umgebungen, weil dadurch die Zertifizierung bestimmter Systeme ungültig werden könnte, so Mador. Dies sei bei Geräten im Gesundheitswesen häufig der Fall, wenn die Bedrohung als nicht groß genug eingeschätzt wird. "In der Tat sind einige Schwachstellen in bestimmten Konfigurationen nicht ausnutzbar, und es kann eine legitime Entscheidung sein, in diesen Fällen keine Patches zu installieren", räumt Mador ein. "Allerdings muss das Sicherheitsteam eines Unternehmens die Details sorgfältig prüfen und bestätigen." (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.