Um zu erklären, wie schnell Hacker öffentlich bekannt gewordene Schwachstellen ausnutzen, Die Forscher von Unit 42 in Palo Alto berichteten von einem Beispiel eines kritischen RCE-Fehlers in F5 BIG-IP-Produkten. Sie stellten fest, dass Hacker innerhalb von 15 Minuten nach der Entdeckung aktiv werden.
Sie warnten, dass Softwareanbieter und Systemadministratoren sehr wenig Zeit hätten, etwaige Fehler in ihren Produkten zu beheben, da Hacker aktiv darauf aus seien, diese Fehler auszunutzen.
Direkt zur Aktion
Forscher des Unit 42-Teams von Palo Alto stellten in ihrem Incident Response Report 2022 fest, dass Black Hats Sicherheitslücken sehr schnell ausnutzen, wenn sie öffentlich bekannt werden. Sie suchen ständig nach Ankündigungen neuer Schwachstellen auf den Bulletin Boards der Softwareanbieter und nutzen diese sofort aus.
Bei jeder Entdeckung werden sie sofort aktiv und scannen zunächst das Internet. Das gilt sogar für Angreifer mit wenig Erfahrung, die ihre Funde dann auf Darknet-Märkten teilen – die von professionellen Hackern gekauft wurden, um sie auszunutzen.
Die Forscher erklärten das Szenario anhand eines Beispiels von CVE-2022-1388 – eine kritische, nicht authentifizierte Sicherheitslücke bei der Remote-Befehlsausführung in F5 BIG-IP-Produkten, offengelegt am 4. Mai 2022. Zehn Stunden nach der Veröffentlichung des CVE verzeichneten die Forscher von Unit 42 2.552 Scan- und Ausnutzungsversuche.
Mit jedem Jahr wird dieser Wettlauf härter, da immer weniger Zeit zwischen den Softwareanbietern, die Patches bereitstellen, und den Hackern, die diese Patches ausnutzen, vergeht.
Die Forscher stellten außerdem fest, dass die ProxyShell-Exploit-Kette für 55 % aller registrierten Exploit-Vorfälle im ersten Halbjahr 2022 verantwortlich war, gefolgt von Log4Shell mit 14 %, mehreren SonicWall CVEs mit 7 %, ProxyLogon mit 5 % und den RCE-Bugs in Zoho ManageEngine ADSelfService Plus mit 3 %.
Die Forscher warnten die Anbieter und Systemadministratoren und stellten fest, dass es nur wenige Maßnahmen gibt, um die Netzwerke und Geräte vor jeglicher Ausnutzung zu schützen. Viele Angriffe lassen sich möglicherweise verhindern, indem Sie Tipps befolgen, wie z. B. die benötigten Rechner nur über VPNs zugänglich zu machen, den Zugriff auf die benötigten Personen stark einzuschränken und die Systeme regelmäßig zu aktualisieren.