Cross-Site-Scripting gefährdet Netzwerke

Netzwerke sind zunehmend Gefahren ausgesetzt und die Attacken werden immer schwerwiegender. Unit 42, das Forschungs- und Beratungsteam von Palo Alto Networks, hat in einem aktuellen Bericht die wichtigsten Trends in der Netzwerksicherheit zusammengefasst.

Durch den Einsatz von Palo Alto Networks Next-Generation Firewalls als Sensoren am Perimeter haben die Forscher potentiell schädliche Aktivitäten beobachtet und in diesem Quartal insgesamt mehr als 200 Millionen Sessions analysiert. Unit 42 hat davon 167,34 Millionen gefährliche Sessions herausgefiltert und anhand von Metriken wie IP-Adressen, Portnummern und Zeitstempeln weiterverarbeitet. Dadurch ist die Einzigartigkeit jeder Angriffssession sichergestellt und eine mögliche Datenverzerrung ausgeschlossen. Die Forscher korrelierten dann die verfeinerten Daten mit anderen Attributen, um Angriffstrends im Laufe der Zeit abzuleiten und ein Bild der Bedrohungslandschaft zu erhalten.

Um auf 167,34 Millionen Sessions zu kommen, schlossen die Forscher aus dem ursprünglichen Satz Signaturauslöser mit geringem Schweregrad aus, die zur Erkennung von Scan- und Brute-Force-Angriffen verwendet werden. Daher betrachteten sie ausnutzbare Schwachstellen mit einem Schweregrad von mittel und höher (basierend auf dem CVSS v3 Score) als einen verifizierten Angriff.

Cross-Site Scripting als häufig verwendete Technik

Enthalten im jüngsten Bericht ist eine Analyse der zuletzt veröffentlichten Schwachstellen, einschließlich der Schweregradverteilung. Außerdem klassifizierte Unit 42 die Schwachstellen, um Lesern einen klaren Überblick über die Häufigkeit von z. B. Cross-Site Scripting oder Denial-of-Service zu geben. So war Cross-Site Scripting im Beobachtungszeitraum eine häufig verwendete Technik. Unter den rund 6.443 neu veröffentlichten Schwachstellen fanden die Forscher heraus, dass ein großer Teil (fast 10,6 Prozent) immer noch diese Technik beinhaltet.

Die Auswertung von rund 167 Millionen Angriffssessions und die Fokussierung auf die neuesten Exploits in freier Wildbahn lassen zudem den Schluss zu, dass die Remote-Code-Ausführung nach wie vor ein großes Problem darstellt, während die Offenlegung und Traversierung von Informationen bei der Kategorisierung dieser Angriffe ganz oben stehen. Verteidiger sollten auf diese Trends achten und ihre Abwehrmethoden entsprechend anpassen.

Einblicke in Ausnutzung der Schwachstellen

Darüber hinaus gibt Unit 42 einen Einblick in die Art und Weise, wie die Schwachstellen in der freien Wildbahn aktiv ausgenutzt werden. Diese Angaben basieren auf realen Daten, erfasst von Palo Alto Networks Next-Generation Firewalls. Die Forscher stellen beispielsweise dar, wie oft die am häufigsten ausgenutzten Schwachstellen über Netzwerke angegriffen wurden und von welchen Standorten die Angriffe ausgingen. Dadurch ziehen sie Rückschlüsse auf die am häufigsten ausgenutzten Schwachstellen, die Angreifer verwenden, und auf den Schweregrad, die Kategorie und den Ursprung der einzelnen Angriffe.

Wie schwerwiegend waren die Netzwerkangriffe?

Verglichen mit der Verteilung der Schweregrade in den vorangegangenen Quartalen war im zuletzt analysierten Quartal ein deutlicher Anstieg der Angriffe mit hohem Schweregrad und ein Rückgang der Angriffe mit mittlerem Schweregrad zu verzeichnen. Zum ersten Mal machten Angriffe mit hohem Schweregrad mehr als die Hälfte der beobachteten Angriffe aus. Die Forscher konzentrierten sich jedoch nach wie vor mehr auf Angriffe mit kritischem Schweregrad, da daraus größere Auswirkungen resultieren können. Obwohl viele veröffentlichte Schwachstellen als mittelschwer eingestuft wurden, nutzten die Angreifer schwerwiegendere Schwachstellen für ihre Angriffe aus. Verteidiger sollten daher ihr Augenmerk auf die Verhinderung und Entschärfung von Netzwerkangriffen mit hohem und kritischem Schweregrad richten.

Wann fanden die Netzwerkangriffe statt?

Während des analysierten Zeitraums nutzten Angreifer immer wieder schwerwiegende Schwachstellen aus. Ab der Woche vom 6. Dezember waren große Mengen an Datenverkehr zu kritischen Schwachstellen im Zusammenhang mit der Apache log4j-Schwachstelle für Remotecodeausführung zu beobachten.

Schwachstellen, die häufig ausgenutzt werden, schienen im letzten Quartal relativ ähnlich vertreten zu sein. So stellten im vergangenen Quartal Versuche, kürzlich bekannt gewordene und schwerwiegende Schwachstellen auszunutzen, weiterhin die Mehrheit der beobachteten Bedrohungen dar. Die schnelle und ordnungsgemäße Anwendung von Patches ist hierbei sehr wichtig. Software und Systeme sollten auf den neuesten Stand gebracht werden, sobald Patches öffentlich verfügbar sind.

Fazit

Aufgrund der enormen Auswirkungen der Log4j-Schwachstelle (CVE-2021-44228, CVE-2021-45046) und des öffentlich zugänglichen Proof-of-Concept hat Unit 42 im untersuchten Quartal eine noch nie dagewesene Anzahl von Angriffen beobachtet. Die meisten Angriffe starteten dabei unmittelbar nach Bekanntwerden der Einzelheiten der Ausnutzung begannen. Diese Art von Proaktivität seitens der Cyberkriminellen legt nahe, dass schwerwiegenden Schwachstellenvorfällen mehr Aufmerksamkeit geschenkt werden sollte. Entsprechende Patches sollten umgehend aufgespielt und bewährte Sicherheitspraktiken umgesetzt werden.

Jakob Jung

Recent Posts

Bitdefender: Schwachstelle in Device42

Wegen einer mittlerweile behobenen Schwachstelle in Device42 gibt Bitdefender eine Empfehlung zum Update auf die…

8 Minuten ago

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

2 Tagen ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

2 Tagen ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

2 Tagen ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

2 Tagen ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

3 Tagen ago