Rückblick auf die Bedrohungslandschaft 2020 Welche Sicherheitslücken soll man patchen?

Autor / Redakteur: Jens Freitag / Peter Schmitz

In vielen Unternehmen stellt sich die Frage, wie sich im Jahr 2021 die Herausforderungen der Cybersicherheit bewältigen lassen. Ein Rückblick auf die wichtigsten Sicherheitslücken im vergangenen Jahr ist hilfreich, um die aktuellen Risiken zu verstehen, die Sicherheitsfachkräfte mit hoher Wahrscheinlichkeit auch in den nächsten Monaten beschäftigen werden.

Firmen zum Thema

Eine aktuelle Studie von Tenable zur Bedrohungslandschaft und den wichtigsten Sicherheitslücken im Jahr 2020 liefert wertvolle Erkenntnisse für die Sicherheitsstrategie in diesem Jahr.
Eine aktuelle Studie von Tenable zur Bedrohungslandschaft und den wichtigsten Sicherheitslücken im Jahr 2020 liefert wertvolle Erkenntnisse für die Sicherheitsstrategie in diesem Jahr.
(© Sergey Nivens - stock.adobe.com)

Tenable hat Datensicherheitsverletzungen im Verlauf des vergangenen Jahres analysiert und kürzlich die Ergebnisse in einem Report veröffentlicht. Dieser bietet einen Überblick über die wichtigsten Sicherheitslücken, die im vergangen Jahr 2020 aufgedeckt oder ausgenutzt wurden. Die Bedrohungslandschaft war zuletzt insbesondere dadurch gekennzeichnet, dass die Bedrohungsakteure auf ungepatchte Sicherheitslücken und die Kombination mehrerer Sicherheitslücken bei ihren Angriffen setzen.

Gemeldete Sicherheitslücken nehmen weiter zu

Die Zahl der gemeldeten CVEs von 2015 bis 2020 wies eine durchschnittliche jährliche Wachstumsrate von 36,6 Prozent auf. Die 18.358 im Jahr 2020 gemeldeten CVEs stellten einen Anstieg von sechs Prozent gegenüber 17.305 im Jahr 2019 und einen Anstieg von 183 Prozent gegenüber den 6.487 im Jahr 2015 gemeldeten CVEs dar. In den letzten drei Jahren wurden jährlich über 16.000 CVEs gemeldet. Für Sicherheitsfachkräfte ist es schwieriger denn je, Prioritäten zu setzen, welche dieser Sicherheitslücken Aufmerksamkeit verdienen.

Die Top Fünf Sicherheitslücken im Jahr 2020 waren:

  • 2. CVE-2019-19781 in Citrix ADC, Citrix Gateway und Citrix SDWAN WAN Optimization Edition (WANOP)

Aktuell: Gravierende Schwachstellen in Exchange Server

Sehr viel Aufsehen erregt haben kürzlich, im März 2021, vier Zero-Day-Schwachstellen in Exchange Server, die von einem nationalstaatlichen Bedrohungsakteur namens HAFNIUM ausgenutzt wurden. Diese betreffen die On-Premises-Version von Microsoft Exchange Server, während Microsoft Exchange Online nicht betroffen ist. Die Tatsache, dass Microsoft sich dazu entschlossen hatte, die Schwachstellen „out-of-band“ zu patchen, statt regulär zum nächsten Patch Tuesday Release, deutete bereits darauf hin, dass diese schwerwiegend sind.

CVE-2021-26855 ist eine SSRF-Schwachstelle (Server-Side Request Forgery) in Microsoft Exchange Server. Ein nicht authentifizierter, entfernter Angreifer kann diese ausnutzen, indem er eine speziell gestaltete HTTP-Anfrage an einen anfälligen Exchange Server sendet, um sich zu authentifizieren. CVE-2021-26857 betrifft die Deserialisierung in Microsoft Exchange, insbesondere im Exchange Unified Messaging Service, der neben anderen Funktionen auch die Voicemail-Funktionalität ermöglicht. Hierbei könnte ein Angreifer beliebige Code-Ausführungsrechte erlangen. CVE-2021-26858 und CVE-2021-27065 wiederum sind beides Schwachstellen für das Schreiben beliebiger Daten in Microsoft Exchange und treten nach der Authentifizierung auf. Ein Angreifer müsste sich zunächst am anfälligen Exchange Server authentifizieren, durch Ausnutzung von CVE-2021-26855 oder gestohlene Admin-Zugangsdaten, um dann willkürlich in beliebige Pfade auf dem verwundbaren Server schreiben zu können.

Datendiebstahl bleibt ein Problem – Gesundheitswesen im Visier

Datensicherheitsverletzungen sind weiterhin ein großes Problem. Tenable hat – mit den verfügbaren Daten von 1. Januar bis 31. Oktober 2020 – weltweit insgesamt 730 öffentlich bekannt gewordene Fälle von Datendiebstahl festgestellt. Hierbei wurden über 22 Milliarden Datensätze offengelegt. 35 Prozent der im gesamten Jahr 2020 analysierten Datensicherheitsverletzungen waren mit Ransomware-Angriffen verbunden, 14 Prozent mit E-Mail-Kompromittierungen. Sechs Prozent der analysierten Sicherheitsverletzungen gingen auf falsch konfigurierte Datenbanken und Server zurück.

Der größte Anteil der analysierten Datensicherheitsverletzungen entfiel auf das Gesundheitswesen (25 Prozent), mit fast acht Millionen gestohlenen Datensätzen. Technologieunternehmen (15,5 Prozent), das Bildungswesen (13 Prozent) und Behörden (12,5 Prozent) waren ebenfalls im Visier der Cyberkriminellen.

Cybersicherheit 2021: Herausforderungen und Maßnahmen

  • Sicherheitslücken richtig beurteilen: Seit der Entdeckung von Heartbleed im Jahr 2014 ist es üblich, Sicherheitslücken zu benennen und sie mit einem Logo zu versehen, was aber nichts über die Schwere einer Sicherheitslücke aussagt. Hilfreicher ist ein genauerer Blick in den CVSS-Score und andere Risikobewertungen, einschließlich Proof-of-Concept-Exploits und Bewertungen, wie einfach Angreifer die Sicherheitslücke ausnutzen können. Der Gesamtkontext ist entscheidend.
  • Flut an Sicherheitslücken bewältigen: Angesichts Hunderter von Sicherheitslücken, die regelmäßig veröffentlicht werden, ist es nicht einfach, Prioritäten zu setzen. Hinzu kommt die vergrößerte Angriffsfläche durch die großangelegte Umstellung auf Fernarbeit infolge der COVID-19-Pandemie. Unternehmen müssen ihre gesamte Geschäftsumgebung inventarisieren, ihre kritischsten Assets identifizieren und diese möglichst schnell mit Patches versorgen.
  • Nicht gepatchte Sicherheitslücken beheben: Während Zero-Day-Sicherheitslücken oft als Teil gezielter Angriffe ausgenutzt werden, sind ungepatchte Sicherheitslücken aufgrund ihrer weit verbreiteten Nutzung durch Bedrohungsakteure ein weitaus größeres Problem. Anwendungen und Protokolle, die Sicherheitslücken aufweisen, die Monate oder sogar Jahre alt sind, sollten identifiziert werden. Wenn kritische Systeme oder Assets betroffen sind, sollten diese auf die neueste Version aktualisiert oder Patches angewendet werden, falls verfügbar. Ältere Software, die herstellerseitig nicht mehr mit Sicherheitsupdates versorgt wird, gilt es schnellstmöglich zu ersetzen.
  • VPN-Sicherheit nicht vergessen: Bereits existierende Sicherheitslücken in Virtual Private Network (VPN)-Lösungen bleiben weiterhin ein beliebtes Ziel für Cyberkriminelle und nationalstaatliche Akteure. Die Umstellung auf Fernarbeit macht die Sache nicht besser. Ransomware-Gruppen nutzen häufig zwei VPN-Sicherheitslücken aus: CVE-2019-11510 in Pulse Connect Secure SSL VPN und CVE-2018-13379 in Fortinet Fortigate SSL VPN. Das Patchen dieser ins Visier geratenen Sicherheitslücken sollte oberste Priorität haben.
  • Ransomware bleibt ein Problem: Ransomware ist nach wie vor die größte Bedrohung für Unternehmen, daher sind präventive Maßnahmen unverzichtbar. Neben technischen Sicherheitsmaßnahmen sind Schulungen zur Verbesserung des Sicherheitsbewusstseins und die Einführung einer Lösung zur Priorisierung von Sicherheitslücken sinnvoll.
  • Datendiebstahl verhindern: Datensicherheitsverletzungen sind meist auf Ransomware und E-Mail-Kompromittierung zurückzuführen. Das Patchen von Sicherheitslücken, die Implementierung starker Sicherheitskontrollen für RDP (Remote Desktop Protocol) und die Umsetzung einer aktuellen Endpunktsicherheit können die Risiken deutlich reduzieren. Ebenso gilt es für Datenbanken und Server effektive Sicherheitskontrollen durchzusetzen und die richtige Sicherheitskonfiguration von cloudbasierten Diensten zu gewährleisten.

Schwachstellenmanagement und Risikobewusstsein sind entscheidend

Da sich die Angriffsfläche vergrößert, kommt dem Schwachstellenmanagement eine zentrale Rolle in modernen Cybersicherheitsstrategien zu. Ungepatchte Schwachstellen lassen sensible Daten und kritische Geschäftssysteme ungeschützt und stellen lukrative Möglichkeiten für Ransomware-Akteure dar. Modernes Schwachstellenmanagement umfasst die Identifizierung unnötiger Dienste und Software, die Einschränkung von Drittanbietercode und die Implementierung eines sicheren Softwareentwicklungslebenszyklus.

Zeitgemäße Cybersicherheit setzt die genaue Erkennung von Schwachstellen in der gesamten Angriffsfläche – einschließlich IT, OT und IoT – voraus, unabhängig davon, ob es sich um Cloud- oder On-Premises-Ressourcen handelt. Dies erfordert ein breites Verständnis der Bedrohungslandschaft, die richtigen Tools, ausgeprägtes Risikobewusstsein und die nötigen Erkenntnisse für eine effektive Risikominderung. Aus der Vergangenheit zu lernen, trägt dazu bei, effektive Cybersicherheitsstrategien zu entwickeln, die kritische Infrastrukturen, Lieferketten und Daten schützen und gleichzeitig die Privatsphäre respektieren.

Über den Autor: Jens Freitag ist Senior Security Engineer bei Tenable.

(ID:47307518)