Millionen verwundbare Systeme stehen offen im Netz
IT-Forscher haben den Known-Exploited-Vulnerabilities-Catalog der CISA mit der Datenbank Sh0dan abgeglichen und Millionen verwundbarer Systeme gefunden.
(Bild: AFANASEV IVAN/Shutterstock.com)
Mehr als 15 Millionen verwundbare Systeme mit Schwachstellen aus dem Known-Exploited-Vulnerabilities-Catalog (KEV) der US-Cyber-Sicherheitsbehörde CISA haben IT-Sicherheitsforscher von Rezilion mit der Datenbank Shodan aufgespürt. Für die Schwachstellen im KEV stehen in der Regel Updates vom Software-Hersteller bereit, um sie auszubessern.
Für ihre Analyse haben die IT-Forscher den KEV-Katalog, der bekannte Sicherheitslücken enthält, die von bösartigen Akteuren angegriffen werden, als Basis zur Suche verwundbarer Dienste in der Shodan-Datenbank verwendet. Shodan enthält Daten aus Scans im Internet und liefert etwa Informationen zu auf den untersuchten Maschinen laufenden Diensten und deren Versionen. Es handelt sich dabei jedoch um Schnappschüsse zu bestimmten Zeitpunkten und keine Echtzeitdaten. Daher weisen die Ergebnisse lediglich in eine Richtung und liefern keine in Stein gemeißelten Aussagen.
Weitere Analysesysteme
Ein weiteres System, das die Rezilion-Mitarbeiter genutzt haben, ist GreyNoise. Die Datenbank untersucht Internetverkehr auf einem Sensornetzwerk und ordnet diesen Angriffen auf bestimmte Schwachstellen zu. Diese Daten haben die IT-Forscher verknüpft, ausgewertet und dabei einige interessante Beobachtungen gemacht,
Der CISA-KEV-Katalog umfasste zum Untersuchungszeitpunkt 896 bekannt missbrauchte Sicherheitslücken. Im Vergleich zu den gefundenen und gemeldeten Schwachstellen in der NIST-CVE-Datenbank handelt es sich um einen kleinen Bruchteil, weniger als ein Prozent, erläutern die Forscher in ihrer Publikation. Den eigenen Forschungen zufolge würden insbesondere Angreifer und Cybergangs aus Russland, Iran, China und Nordkorea – oftmals mit Verbindungen zum Staat – diese Sicherheitslücken missbrauchen. Am häufigsten würden Schwachstellen in absteigender Reihenfolge in Microsoft Windows, Adobe Flash Player, Internet Explorer, Chromium V8 Javascript-Engine, Microsoft Office, Microsoft Win32k, Google Chrome, Apple iOS und Cisco IOS und IOS XE unter Attacke genommen.
In der Shodan-Datenbank haben die IT-Forscher mehr als 15 Millionen öffentlich zugreifbare Systeme mit verwundbarer Software zu über 200 der Schwachstellen aus dem KEV-Katalog gefunden. Der Großteil dieser Instanzen seien Microsoft-Windows-Systeme gewesen, die für 137 CVEs anfällig waren. Diese Gruppe hatte auch das höchste Risiko als Angriffsoberfläche und umfasste mehr als sieben Millionen Systeme. Von den zehn meist entdeckten CVEs in Shodan waren 40 Prozent schon über fünf Jahre alt – mehr als 800.000 Systeme waren für diese alten Sicherheitslücken anfällig.
Die laut GreyNoise am häufigsten in den vergangenen 30 Tagen angegriffene Lücke war den Forschern zufolge eine Schwachstelle in Atlassian Confluence Server und Data Center, die das Einschleusen von Schadcode erlaubte (CVE-2022-26134, CVSS 9.8, Risiko "kritisch"). Vorrangig chinesische Cybergangs hätten demnach 816 Angriffe auf die Lücke gestartet.
Die CISA fügt ständig neue Schwachstellen zum Known-Exploited-Vulnerabilities-Catalog hinzu. IT-Verantwortliche sollten diesen Katalog im Auge behalten, da spätestens bei bekannten Angriffen die verwundbare Software auf aktuellen Stand gebracht oder Gegenmaßnahmen zum Schutz vor Angriffen ergriffen werden sollten. So warnte die CISA etwa Mitte Februar vor Attacken auf eine Sicherheitslücke in GoAnywhere MFT. Zahlreiche Firmen wurden daraufhin Opfer der Clop-Ransomware, deren Drahtzieher die Schwachstelle zur Verbreitung ihrer Erpressersoftware missbraucht haben.
(dmk)