Chinesische Cybergangs: Die meist-angegriffenen Sicherheitslücken

In einem gemeinsamen Bericht stellen die US-amerikanischen Behörden National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA) sowie das Federal Bureau of Investigation (FBI) die Liste der seit 2020 von chinesisch-staatlichen Cybergangs meist-angegriffenen Sicherheitslücken zusammen. Die staatlich gelenkten Cyber-Akteure setzen ihre Angriffe auf bekannte Sicherheitslücken in US-Netzwerken und Netzen von Alliierten sowie bei Software- und Hardware-Herstellern fort, um geistiges Eigentum zu stehlen und Zugriff auf sensible Netzwerke zu erlangen. Die NSA, CISA und das FBI drängen darauf, dass die Regierungen und privatwirtschaftlichen Organisationen die verfügbaren und bekannten Gegenmaßnahmen ergreifen.

Größte Gefahr durch chinesische Cyber-Akteure

Die Behörden schätzen die staatlich geförderten Cyber-Aktivitäten von China weiterhin als eine der größten und dynamischsten Bedrohungen für die Netzwerke der US-Regierung und der Zivilbevölkerung ein. Die chinesischen Cyber-Akteure zielen auf Regierungs- und kritische Infrastruktur-Netzwerke mit einer zunehmenden Anzahl neuer und angepasster Techniken ab, von denen einige ein erhebliches Risiko für Organisationen des IT-Sektors einschließlich der Telekommunikationsanbieter, Organisationen des militärisch-industriellen Komplexes und anderer kritischer Infrastrukturorganisationen darstellen.

Die staatlich gelenkten Cybergangs nutzen bekannte Schwachstellen aus und verwenden unter anderem öffentlich zugängliche Tools, um interessante Netzwerke anzugreifen. Damit greifen sie die Sicherheitslücken an und nisten sich in kompromittierte Netzwerke ein.

In absteigender Reihenfolge greifen die chinesischen Cyberkriminellen folgende Schwachstellen am häufigsten an:

Anbieter	CVE	Schwachstellentyp
Apache Log4j	CVE-2021-44228	Remote Code Execution
Pulse Connect Secure	CVE-2019-11510	Arbitrary File Read
GitLab CE/EE	CVE-2021-22205	Remote Code Execution
Atlassian	CVE-2022-26134	Remote Code Execution
Microsoft Exchange	CVE-2021-26855	Remote Code Execution
F5 Big-IP	CVE-2020-5902	Remote Code Execution
VMware vCenter Server	CVE-2021-22005	Arbitrary File Upload
Citrix ADC	CVE-2019-19781	Path Traversal
Cisco Hyperflex	CVE-2021-1497	Command Line Execution
Buffalo WSR	CVE-2021-20090	Relative Path Traversal
Atlassian Confluence Server and Data Center	CVE-2021-26084	Remote Code Execution
Hikvision Webserver	CVE-2021-36260	Command Injection
Sitecore XP	CVE-2021-42237	Remote Code Execution
F5 Big-IP	CVE-2022-1388	Remote Code Execution
Apache	CVE-2022-24112	Authentication Bypass by Spoofing
ZOHO	CVE-2021-40539	Remote Code Execution
Microsoft	CVE-2021-26857	Remote Code Execution
Microsoft	CVE-2021-26858	Remote Code Execution
Microsoft	CVE-2021-27065	Remote Code Execution
Apache HTTP Server	CVE-2021-41773	Path Traversal

Dabei setzen die Angreifer auf virtuelle private Netzwerke (VPNs), um ihre Aktivitäten zu verschleiern. Sie richten ihre Attacken vorrangig gegen Webanwendungen, um sich einen ersten Zugang zu verschaffen. Viele der in Tabelle aufgeführten CVEs ermöglichen es den bösartigen Akteuren, sich heimlich unbefugten Zugang zu sensiblen Netzwerken zu verschaffen. Im Anschluss versuchen sie in der Regel, sich einzunisten und sich im Netzwerk und weiteren angebundenen Netzen weiter auszubreiten.

Am Ende des Beitrags haben die US-Behörden Erläuterungen der einzelnen Schwachstellen und mögliche Gegenmaßnahmen aufgelistet. IT-Verantwortliche sollten die Liste einmal prüfen und schauen, ob im eigenen Netzwerk noch abzusichernde Dienste lauern. Zuletzt hatten Cyber-Sicherheitsbehörden im April dieses Jahres eine Übersicht an Schwachstellen erstellt, die im vergangenen Jahr allgemein am häufigsten für Angriffe missbraucht wurden. Auch diese Liste sollten Administratoren einmal prüfen.

(dmk)