15 Minuten nach Bekanntwerden einer LĂĽcke starten Scans nach verwundbaren PCs

Einem aktuellen Bericht über IT-Sicherheitsvorfälle zufolge verschärft sich das Katz-und-Maus-Spiel zwischen Admins und Cyberkriminellen.

In Pocket speichern vorlesen Druckansicht 210 Kommentare lesen

(Bild: Dmitry Demidovich/Shutterstock.com)

Lesezeit: 2 Min.

Die Sicherheitsforscher von Unit 42 des IT-Sicherheitsunternehmens Palo Alto Networks warnen davor, dass Angreifer stets ein Auge auf aktuelle SicherheitslĂĽcken haben und Attacken immer schneller ausgefĂĽhrt werden. Da kommen Admins mit dem Patchen oft kaum hinterher.

Außerdem zeigen sie in ihrem "Incident Response Report 2022" unter anderem auf, über welche Wege Angreifer am häufigsten in Firmen-Netzwerke schlüpfen und welche Lücken in den vergangenen Monaten besonders beliebt waren.

Die Sicherheitsforscher geben an, dass Cyberkriminelle dauerhaft Portale zum AnkĂĽndigen von SicherheitslĂĽcken beobachten. LĂĽcken werden mit einer CVE-Nummer gekennzeichnet und sind darĂĽber identifizierbar. Taucht eine neue Nummer auf, starten ihnen zufolge typischerweise nach 15 Minuten die ersten Scans nach ungepatchten und somit verwundbaren Systemen.

Als Beispiel nehmen sie eine "kritische" LĂĽcke (CVE-2022-1388) in BIG-IP-Systemen von F5. In diesem Fall soll es innerhalb von zehn Stunden nach Bekanntwerden der Schwachstelle zu 2552 Scans und Exploit-Versuchen gekommen sein.

Zudem warnen die Forscher vor dem Einsatz von End-of-Life-Software (EoL), die keinen Support mehr in Form von Sicherheitsupdates bekommt. Sie schreiben, dass 32 Prozent der gefährdeten Unternehmen eine veraltete und angreifbare Version von Apache Web Server einsetzen.

Um einen Fuß in Netzwerke von Firmen zu bekommen, setzen Angreifer in 37 Prozent der Fälle auf Phishing. Darüber gelangen sie etwa über gefälschte Mails an Zugangsdaten von Mitarbeitern. In 31 Prozent der Fälle gelingt der unbefugte Zugriff über das erfolgreiche Ausnutzen von Sicherheitslücken, führen die Forscher aus.

Ihnen zufolge wurden 2022 bislang die ProxyShell-LĂĽcken (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) in Exchange Server mit 55 Prozent am meisten ausgenutzt. Die "kritische" LĂĽcke in der Java-Logging-Bibliothek Log4j folgt mit 14 Prozent.

Unternehmen sollten diese Zahlen ernst nehmen und sich ĂĽber den Ausbau einer Sicherheitsabteilung inklusive Patch-Management Gedanken machen. Im Grunde ist es oft nur eine Frage der Zeit, bis es in einer Firma zu einem IT-Sicherheitsvorfall kommt.

(des)