25 Jahre CVEs 25 Jahre voller Schwachstellen

Anbieter zum Thema

Tenable Network Security GmbH

Fsas Technologies GmbH

FAST LTA GmbH

Während wir das 25-jährige Jubiläum des CVE-Programms feiern und einige der bedeutendsten Schwachstellen der letzten 25 Jahre Revue passieren lassen, stellen wir fest, dass sich viel und gleichzeitig auch sehr wenig geändert hat.

Einige von uns haben ihre Karriere in einer Zeit begonnen, in der es noch keine CVEs gab. Andere haben ausschließlich mit CVEs als De-facto-Kennung für Schwachstellen gearbeitet. Im Laufe der Jahre haben wir miterlebt, wie die Zahl der CVEs rasant auf über eine Viertelmillion Datensätze angestiegen ist. Während einige diesen Anstieg als CVE-Schwemme betrachten, sehen andere darin die neue Realität, in der alles digital, vernetzt und potenziell anfällig für Schwachstellen ist. Die Zeiten, in denen sich alle Risiken beseitigen und alle Schwachstellen beheben ließen, sind vorbei (wenn es sie denn je gab). Heute heißt es: patchen, wo immer dies möglich ist; nachbessern, wo immer Patchen nicht möglich ist; und Risiken mit allen Mitteln minimieren.

Eine kurze Geschichte der CVEs

Mit Technologie wandelte sich auch das CVE-Programm und dessen Regeln. Neue Geräte und neue Schwachstellen führten zu einer Art Liberalisierung bei der Vergabe von CVE-Kennungen: Anstatt der anfänglichen Handvoll CVE Numbering Authorities (CNAs) können heute mehr als 400 Organisationen CVE-Kennungen vergeben. Im Laufe der Jahre hat sich ein Trend hin zur Benennung von Schwachstellen – „Heartbleed“ (CVE-2014-0160), „Shellshock“ (CVE-2014-6271) und „BlueKeep“ (CVE-2019-0708) etwa, um nur einige zu nennen – etabliert, der mittlerweile allerdings etwas abgeflaut ist. CVEs wurden mitunter auch angepasst, wie im Fall CVE-2024-3094, bei der es sich nicht um eine traditionelle Schwachstelle handelt, sondern um eine Supply-Chain-Backdoor, die in der XZ Utils Bibliothek entdeckt wurde. Jede unserer Top 25 CVEs wurde aus verschiedensten Gründen ausgewählt – vor allem aber aufgrund ihrer tatsächlichen oder potenziellen Auswirkungen auf Unternehmen weltweit.

Security-Insider Podcast – Folge 86

Backdoor in xz-Tools erschüttert die IT-Welt

Die einzige Regel: Es gibt keine Regeln

Mit der zunehmenden Verbreitung von Cloud-Computing und den damit einhergehenden Fehlkonfigurationen mussten die CVE-Regeln erneut angepasst werden. Unternehmen wie Microsoft etwa haben sich dazu verpflichtet, CVE-Kennungen zu vergeben, auch wenn der Endanwender keine Maßnahmen ergreifen muss.

Wie eingangs erwähnt, hat sich viel und gleichzeitig auch sehr wenig geändert. Jedes Unternehmen hat unterschiedliche Standards und Formate, was die Herausgabe von Security Advisories angeht, und einige verzichten sogar gänzlich darauf – ganz nach dem Motto „Security through obscurity“: was man nicht weiß, macht einen nicht heiß. Ebenso wie es hier Unstimmigkeiten gibt, gibt es auch Unterschiede in der Art und Weise, wie Unternehmen CVEs vergeben.

Zwar gibt es CNA-Regeln. Diese bieten aufgrund ihrer Unschärfe aber einiges an Spielraum. Davon abgesehen, bringt ein Schwachstellenkatalog allein niemanden weiter, wenn die Betroffenen nicht in der Lage sind, diese erfolgreich zu beheben. Patchen kann Ausfallzeiten verursachen und unbeabsichtigte Folgen haben – weshalb manche Unternehmen Updates kritischer Endpunkt-Geräte aufschieben.

Nach 25 Jahren voller Schwachstellen, 25 Jahren immer komplexerer Geräte-Stacks und Protokolle und 25 Jahren, in denen böswillige Akteure Security-Teams abgehängt haben, sind wir an einem Punkt angelangt, an dem Sicherheit zwar an erster Stelle steht, viel zu oft aber auch nur eine Randnotiz ist. Wir befinden uns an einem Scheideweg: Geräte waren noch nie so sicher und gleichzeitig so unsicher.

Unsere Untersuchungen haben jedoch ergeben, dass unter den Hunderttausenden von CVEs nur ein geringer Bruchteil von etwa 3 Prozent tatsächlich ausgenutzt wurde oder es wahrscheinlich werden wird. Eine Priorisierung der für das Unternehmen relevantesten Schwachstellen kann helfen, den Überblick zu behalten und ermöglicht es Security-Teams, sich auf die wichtigsten zu konzentrieren. Und das ist von entscheidender Bedeutung in Zeiten, in denen Angreifer zwar immer schneller werden, aufseiten der Security-Teams aber nach wie vor Ressourcenknappheit herrscht.

Mit 25 Jahren CVEs im Gepäck gilt es wachsam zu bleiben im Kampf, Risiken zu minimieren und Systeme zu schützen. Die Cybersecurity-Probleme dieser Welt lassen sich nicht auf Knopfdruck lösen, ein Patentrezept gibt es nicht. Dennoch machen wir inmitten all der neu aufkommenden Bedrohungen kontinuierlich Fortschritte. Das CVE-Programm wird sich weiter verbessern und entwickeln – und das müssen wir als Security-Teams ebenfalls.

Über den Autor: Scott Caveza ist Staff Research Engineer bei Tenable.

(ID:50259702)