15 Minuten nach Bekanntwerden einer Lücke starten Scans nach verwundbaren PCs
Einem aktuellen Bericht über IT-Sicherheitsvorfälle zufolge verschärft sich das Katz-und-Maus-Spiel zwischen Admins und Cyberkriminellen.
(Bild: Dmitry Demidovich/Shutterstock.com)
Die Sicherheitsforscher von Unit 42 des IT-Sicherheitsunternehmens Palo Alto Networks warnen davor, dass Angreifer stets ein Auge auf aktuelle Sicherheitslücken haben und Attacken immer schneller ausgeführt werden. Da kommen Admins mit dem Patchen oft kaum hinterher.
Außerdem zeigen sie in ihrem "Incident Response Report 2022" unter anderem auf, über welche Wege Angreifer am häufigsten in Firmen-Netzwerke schlüpfen und welche Lücken in den vergangenen Monaten besonders beliebt waren.
Verkürztes Zeitfenster zum Patchen
Die Sicherheitsforscher geben an, dass Cyberkriminelle dauerhaft Portale zum Ankündigen von Sicherheitslücken beobachten. Lücken werden mit einer CVE-Nummer gekennzeichnet und sind darüber identifizierbar. Taucht eine neue Nummer auf, starten ihnen zufolge typischerweise nach 15 Minuten die ersten Scans nach ungepatchten und somit verwundbaren Systemen.
Als Beispiel nehmen sie eine "kritische" Lücke (CVE-2022-1388) in BIG-IP-Systemen von F5. In diesem Fall soll es innerhalb von zehn Stunden nach Bekanntwerden der Schwachstelle zu 2552 Scans und Exploit-Versuchen gekommen sein.
Zudem warnen die Forscher vor dem Einsatz von End-of-Life-Software (EoL), die keinen Support mehr in Form von Sicherheitsupdates bekommt. Sie schreiben, dass 32 Prozent der gefährdeten Unternehmen eine veraltete und angreifbare Version von Apache Web Server einsetzen.
Beliebte Methoden und Lücken
Um einen Fuß in Netzwerke von Firmen zu bekommen, setzen Angreifer in 37 Prozent der Fälle auf Phishing. Darüber gelangen sie etwa über gefälschte Mails an Zugangsdaten von Mitarbeitern. In 31 Prozent der Fälle gelingt der unbefugte Zugriff über das erfolgreiche Ausnutzen von Sicherheitslücken, führen die Forscher aus.
Ihnen zufolge wurden 2022 bislang die ProxyShell-Lücken (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) in Exchange Server mit 55 Prozent am meisten ausgenutzt. Die "kritische" Lücke in der Java-Logging-Bibliothek Log4j folgt mit 14 Prozent.
Unternehmen sollten diese Zahlen ernst nehmen und sich über den Ausbau einer Sicherheitsabteilung inklusive Patch-Management Gedanken machen. Im Grunde ist es oft nur eine Frage der Zeit, bis es in einer Firma zu einem IT-Sicherheitsvorfall kommt.
(des)