Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

IT-Sicherheitsbehörden sammeln am häufigsten angegriffene Sicherheitslücken

Welche Sicherheitslücken Cyberkriminelle im vergangenen Jahr am häufigsten angegriffen haben, haben IT-Sicherheitsbehörden jetzt in einer Liste gesammelt.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Aufmacher Meist-missbrauchte Lücken 2021

(Bild: Gorodenkoff/Shutterstock.com)

Lesezeit: 4 Min.
Security
Von

In einer gemeinsam erstellten Liste haben internationale IT-Sicherheitsbehörden gesammelt, welche Schwachstellen Cyberkriminelle im vergangenen Jahr am häufigsten routinemäßig angegriffen haben. Die Sicherheitslücken auf der Liste stellen damit zugleich auch eine starke Bedrohung für Unternehmen, Behörden und Organisationen dar und sollten schleunigst von Administratoren abgedichtet werden.

An der Liste haben Behörden aus Australien, Kanada, Neuseeland, den USA und dem Vereinigten Königreich mitgearbeitet. Im vergangenen Jahr haben sie demnach beobachtet, dass bösartige Cyber-Akteure neu entdeckte Sicherheitslücken aggressiv bei Organisationen aus dem privaten und öffentlichen Bereich weltweit angegriffen haben. Attacken auf ältere und öffentlich bekannte Schwachstellen fanden in etwas geringerem Ausmaß statt, zielten aber auf ein breites Spektrum an Zielen.

Lücken werden schnell angegriffen

In der gemeinsamen Meldung erörtern die beteiligten staatlichen Einrichtungen, dass Cyberkriminelle im Jahr 2021 insbesondere offen im Internet stehende Systeme wie E-Mail- oder VPN-Server mit Exploits zu neu entdeckten Sicherheitslücken angegriffen haben. Für den Großteil der am häufigsten missbrauchten Schwachstellen hätten die IT-Sicherheitsforscher oder andere Akteure innerhalb von zwei Wochen nach Veröffentlichung Proof-of-Concept-Code bereitgestellt, der das Ausnutzen der Lücke demonstriert. Dies habe möglicherweise dazu beigetragen, dass eine größere Gruppe von Angreifern die Lücken auszunutzen versuchten.

Die "Hitliste" der 2021 am meisten ausgenutzten Schwachstellen führt die Log4Shell-Sicherheitslücke in Apache Log4j an (CVE-2021-44228). Darauf folgt an zweiter Stelle Zoho ManageEngine AD SelfService Plus (CVE-2021-40539). Erst an dritter Stelle standen Sicherheitslücken in Microsoft Exchange (ProxyShell: CVE-2021-34523, CVE-2021-34473, CVE-2021-31207).

Zudem waren auch die ProxyLogon-Lücken im Exchange von hohem Interesse für Angreifer (CVE-2021-27065, CVE-2021-26858, CVE-2021-26857, CVE-2021-26855). Weiter standen

  • Atlassian Confluence Server und Data Center (CVE-2021-26084),
  • VMware vSphere Client (CVE-2021-21972),
  • die ZeroLogon-Lücke in Microsoft Netlogon Remote Protocol (MS-NRPC) (CVE-2020-1472),
  • noch mal Exchange (CVE-2020-0688),
  • die VPN-Software Pulse Secure Pulse Connect Secure (CVE-2019-11510) und
  • Fortinet FortiOS sowie FortiProxy (CVE-2018-13379)

stark unter "Beschuss" durch Cybergangs.

Die IT-Sicherheitsbehörden haben aber noch weitere häufig angegriffene Schwachstellen gesammelt. Besonderes Interesse zogen demzufolge

  • Sitecore XP (CVE-2021-42237),
  • ForgeRock OpenAM Server (CVE-2021-35464),
  • Accellion FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104),
  • VMware vCenter Server (CVE-2021-21985),
  • SonicWall Secure Mobile Access (SMA) (CVE-2021-20038),
  • Microsoft MSHTML (CVE-2021-40444),
  • Microsoft Windows Print Spooler (CVE-2021-34527),
  • Sudo (CVE-2021-3156),
  • Checkbox Survey (CVE-2021-27852),
  • Pulse Secure Pulse Connect Secure (CVE-2021-22893),
  • SonicWall SSLVPN SMA100 (CVE-2021-20016),
  • Windows Print Spooler (CVE-2021-1675),
  • QNAP QTS und QuTS hero (CVE-2020-2509),
  • Citrix Application Delivery Controller (ADC) und Gateway (CVE-2019-19781),
  • Progress Telerik UI for ASP.NET AJAX (CVE-2019-18935),
  • Cisco IOS Software und IOS XE Software (CVE-2018-0171) sowie
  • Microsoft Office (CVE-2017-11882, CVE-2017-0199)

auf sich. Drei der Schwachstellen wurden bereits im Jahr 2020 oftmals angegriffen, ergänzen die Autoren in ihrer Meldung (CVE-2019-19781, CVE-2019-18935, CVE-2017-11882).

Die Liste schließen Empfehlungen ab, wie Administratoren die Bedrohungslage abmildern können. Darunter finden sich die üblichen Hinweise, dass verfügbare Software-Updates etwa priorisiert und auch installiert werden müssen. Die IT-Sicherheitsbehörden empfehlen, dafür etwa ein Patchmanagement einzurichten. Software, die vom Hersteller nicht mehr unterstützt wird, solle ausgemustert und deinstalliert werden. Auch Hinweise zur Verbesserung der Zugangssicherheit beispielsweise mit Multi-Faktor-Authentifizierung finden sich dort.

Lesen Sie auch:

Themenseite zu Cybercrime auf heise online

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten