Netzwerke sind zunehmend Gefahren ausgesetzt und die Attacken werden immer schwerwiegender. Unit 42, das Forschungs- und Beratungsteam von Palo Alto Networks, hat in einem aktuellen Bericht die wichtigsten Trends in der Netzwerksicherheit zusammengefasst.
Durch den Einsatz von Palo Alto Networks Next-Generation Firewalls als Sensoren am Perimeter haben die Forscher potentiell schädliche Aktivitäten beobachtet und in diesem Quartal insgesamt mehr als 200 Millionen Sessions analysiert. Unit 42 hat davon 167,34 Millionen gefährliche Sessions herausgefiltert und anhand von Metriken wie IP-Adressen, Portnummern und Zeitstempeln weiterverarbeitet. Dadurch ist die Einzigartigkeit jeder Angriffssession sichergestellt und eine mögliche Datenverzerrung ausgeschlossen. Die Forscher korrelierten dann die verfeinerten Daten mit anderen Attributen, um Angriffstrends im Laufe der Zeit abzuleiten und ein Bild der Bedrohungslandschaft zu erhalten.
Um auf 167,34 Millionen Sessions zu kommen, schlossen die Forscher aus dem ursprünglichen Satz Signaturauslöser mit geringem Schweregrad aus, die zur Erkennung von Scan- und Brute-Force-Angriffen verwendet werden. Daher betrachteten sie ausnutzbare Schwachstellen mit einem Schweregrad von mittel und höher (basierend auf dem CVSS v3 Score) als einen verifizierten Angriff.
Cross-Site Scripting als häufig verwendete Technik
Enthalten im jüngsten Bericht ist eine Analyse der zuletzt veröffentlichten Schwachstellen, einschließlich der Schweregradverteilung. Außerdem klassifizierte Unit 42 die Schwachstellen, um Lesern einen klaren Überblick über die Häufigkeit von z. B. Cross-Site Scripting oder Denial-of-Service zu geben. So war Cross-Site Scripting im Beobachtungszeitraum eine häufig verwendete Technik. Unter den rund 6.443 neu veröffentlichten Schwachstellen fanden die Forscher heraus, dass ein großer Teil (fast 10,6 Prozent) immer noch diese Technik beinhaltet.
Die Auswertung von rund 167 Millionen Angriffssessions und die Fokussierung auf die neuesten Exploits in freier Wildbahn lassen zudem den Schluss zu, dass die Remote-Code-Ausführung nach wie vor ein großes Problem darstellt, während die Offenlegung und Traversierung von Informationen bei der Kategorisierung dieser Angriffe ganz oben stehen. Verteidiger sollten auf diese Trends achten und ihre Abwehrmethoden entsprechend anpassen.
Einblicke in Ausnutzung der Schwachstellen
Darüber hinaus gibt Unit 42 einen Einblick in die Art und Weise, wie die Schwachstellen in der freien Wildbahn aktiv ausgenutzt werden. Diese Angaben basieren auf realen Daten, erfasst von Palo Alto Networks Next-Generation Firewalls. Die Forscher stellen beispielsweise dar, wie oft die am häufigsten ausgenutzten Schwachstellen über Netzwerke angegriffen wurden und von welchen Standorten die Angriffe ausgingen. Dadurch ziehen sie Rückschlüsse auf die am häufigsten ausgenutzten Schwachstellen, die Angreifer verwenden, und auf den Schweregrad, die Kategorie und den Ursprung der einzelnen Angriffe.
Wie schwerwiegend waren die Netzwerkangriffe?
Verglichen mit der Verteilung der Schweregrade in den vorangegangenen Quartalen war im zuletzt analysierten Quartal ein deutlicher Anstieg der Angriffe mit hohem Schweregrad und ein Rückgang der Angriffe mit mittlerem Schweregrad zu verzeichnen. Zum ersten Mal machten Angriffe mit hohem Schweregrad mehr als die Hälfte der beobachteten Angriffe aus. Die Forscher konzentrierten sich jedoch nach wie vor mehr auf Angriffe mit kritischem Schweregrad, da daraus größere Auswirkungen resultieren können. Obwohl viele veröffentlichte Schwachstellen als mittelschwer eingestuft wurden, nutzten die Angreifer schwerwiegendere Schwachstellen für ihre Angriffe aus. Verteidiger sollten daher ihr Augenmerk auf die Verhinderung und Entschärfung von Netzwerkangriffen mit hohem und kritischem Schweregrad richten.
Wann fanden die Netzwerkangriffe statt?
Während des analysierten Zeitraums nutzten Angreifer immer wieder schwerwiegende Schwachstellen aus. Ab der Woche vom 6. Dezember waren große Mengen an Datenverkehr zu kritischen Schwachstellen im Zusammenhang mit der Apache log4j-Schwachstelle für Remotecodeausführung zu beobachten.
Schwachstellen, die häufig ausgenutzt werden, schienen im letzten Quartal relativ ähnlich vertreten zu sein. So stellten im vergangenen Quartal Versuche, kürzlich bekannt gewordene und schwerwiegende Schwachstellen auszunutzen, weiterhin die Mehrheit der beobachteten Bedrohungen dar. Die schnelle und ordnungsgemäße Anwendung von Patches ist hierbei sehr wichtig. Software und Systeme sollten auf den neuesten Stand gebracht werden, sobald Patches öffentlich verfügbar sind.
Fazit
Aufgrund der enormen Auswirkungen der Log4j-Schwachstelle (CVE-2021-44228, CVE-2021-45046) und des öffentlich zugänglichen Proof-of-Concept hat Unit 42 im untersuchten Quartal eine noch nie dagewesene Anzahl von Angriffen beobachtet. Die meisten Angriffe starteten dabei unmittelbar nach Bekanntwerden der Einzelheiten der Ausnutzung begannen. Diese Art von Proaktivität seitens der Cyberkriminellen legt nahe, dass schwerwiegenden Schwachstellenvorfällen mehr Aufmerksamkeit geschenkt werden sollte. Entsprechende Patches sollten umgehend aufgespielt und bewährte Sicherheitspraktiken umgesetzt werden.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…