Im Internet ist alles Alte wieder verwertbar
Teilen Sie
Es ist eine Sisyphusarbeit, mit dem ständigen Strom von Meldungen über Schwachstellen und Zero-Day-Exploits Schritt zu halten, und eine Aufgabe, die selbst die am besten ausgestatteten Sicherheitsteams realistischerweise nicht bewältigen können. Und während neue Bugs Aufmerksamkeit und Klicks auf sich ziehen, zeigen neue Daten zu Massenangriffen auf Sicherheitslücken, dass viele Angreifer ältere, bekannte Schwachstellen - viele von ihnen sind mehr als fünf Jahre alt - immer wieder ins Visier nehmen, und das mit großem Erfolg.
In ihrem neuen Mass Internet Exploitation Report haben unsere Freunde von GreyNoise herausgefunden, dass ältere Schwachstellen im Jahr 2024 zu den häufigsten Angriffszielen von Angreifern gehörten und einen erheblichen Teil der beobachteten Exploit-Aktivitäten gegen CVEs im vergangenen Jahr ausmachten. Viele dieser alten Schwachstellen stammen aus dem Jahr 2016 oder sind sogar noch älter, ein Datenpunkt, der sich mit dem deckt, was viele Sicherheitsforscher und Verteidiger bereits glauben: Alte Schwachstellen können genauso lästig sein wie neue.
Nehmen wir CVE-2017-9841 als Beispiel. Hierbei handelt es sich um eine recht einfache und leicht auszunutzende Schwachstelle für Remotecodeausführung im PHPUnit-PHP-Testframework, die seit mehreren Jahren bekannt ist. Aktualisierungen zur Behebung dieser Schwachstelle sind seit sieben Jahren verfügbar, und dennoch gehen die Versuche, diese Schwachstelle auszunutzen, unvermindert weiter.
"Obwohl es sich um eine sieben Jahre alte Sicherheitslücke handelt, wird PHPUnit RCE (CVE-2017-9841) auch im Jahr 2024 noch aktiv ausgenutzt, da es nur eine einfache HTTP-POST-Anfrage erfordert, um beliebigen PHP-Code auszuführen, was es ideal für automatisierte Angriffe macht. Seine Präsenz in weit verbreiteten Anwendungen wie WordPress-Plugins, Drupal-Modulen und Moodle sorgt für eine große Verbreitung im Internet. Die Persistenz der Schwachstelle wird durch ihre Integration in moderne Angriffsketten noch verstärkt, insbesondere durch die Androxgh0st-Malware, die diese alte Schwachstelle mit neueren Schwachstellen wie CVE-2024-4577 kombiniert", erklärt der GreyNoise-Bericht.
Einfach und effektiv sind höchst wünschenswerte Eigenschaften für Exploits, und wenn die Zielschwachstelle schon so lange bekannt ist, hatten Angreifer reichlich Gelegenheit, ihre Techniken zu verfeinern. Vor diesem Hintergrund ist es keine Überraschung, dass die beiden am häufigsten angegriffenen CVEs aus den Jahren 2014 bzw. 2018 stammen: CVE-2014-8361, die Realtek Miniigd UPnP-Schwachstelle, und CVE-2018-10561, der GPON-Router-Wurm.
"Während ein gut gemachter Single-Malt-Scotch mit dem Alter besser wird, kann das Gleiche nicht für CVEs gesagt werden. 40 % der beobachteten ausgenutzten CVEs im Jahr 2024 wurden im Jahr 2020 oder davor veröffentlicht, und etwa 10 % im Jahr 2016 oder davor, wobei CVE-1999-0526 fast jede CVE-Zeitlinie im Jahr 1997 dauerhaft verankert. Und etwas mehr als 13 % der CVEs mit Aktivität im Jahr 2024 wurden im Jahr 2024 veröffentlicht", heißt es in dem Bericht.
"Bedrohungsakteure nutzen weiterhin erfolgreich "alte" Schwachstellen als Waffe, wahrscheinlich weil sie wissen, dass viele Unternehmen mit umfassenden Programmen zur Verwaltung von Schwachstellen zu kämpfen haben. Die fortgesetzte Ausnutzung jahrzehntealter CVEs deutet darauf hin, dass die Strategie "Patch the new stuff" fehlgeschlagen ist und dass eine ordnungsgemäße Bestandsaufnahme, Konfigurationsverwaltung und systematische Schwachstellenbeseitigung Kernbestandteile jedes Cybersicherheitsprogramms sein müssen."
Während diese älteren Bugs weiterhin die Aufmerksamkeit von Angreifern auf sich ziehen, zeigen die Daten von GreyNoise, dass Angreifer auch nicht davor zurückschrecken, neue Schwachstellen auszunutzen, insbesondere in Edge-Security-Geräten. Wie wir im letzten Monat berichteten, sind Edge-Security-Geräte zu einem wichtigen Ziel für viele Angreifer geworden, wobei die Produkte Connect Secure und Pulse Secure von Ivanti wichtige Beispiele sind.
"Die Erfolgsbilanz von Ivanti im Jahr 2024 zeigt ein besorgniserregendes Muster von kritischen Schwachstellen im gesamten Produktportfolio des Unternehmens, wobei mehrere Zero-Day-Exploits in freier Wildbahn entdeckt wurden, bevor Patches verfügbar waren. Die VPN- und Sicherheitsprodukte des Unternehmens wurden sowohl von nationalen Akteuren als auch von Cyberkriminellen ins Visier genommen, was zu Kompromittierungen von Regierungsbehörden, Verteidigungsunternehmen und Fortune-500-Unternehmen führte", so GreyNoise in dem Bericht.
Die Ausnutzung von Schwachstellen ist nicht mehr nur eine Frage von Zufall und Zufall. Cyberkriminelle und APT-Teams nutzen Schwachstellen in großem Umfang aus, und der Umfang dieser Aktivitäten wird weiter zunehmen. Verteidiger von Unternehmen sollten sich darauf konzentrieren, öffentlich bekannt gewordene Schwachstellen so schnell wie möglich zu beheben und dabei auch die altbekannten Schwachstellen nicht zu vergessen.
