Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Die 2022 am häufigsten ausgenutzten Sicherheitslücken

2023-08-04

Lesezeit: 7 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, und 简体中文 verfügbar.

Die US-amerikanische IT-Sicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat gerade einen Bericht zu den im Jahr 2022 am häufigsten ausgenutzten Sicherheitslücken veröffentlicht. Cloudflare fungiert als Reverse Proxy für einen großen Teil des Internets. Das erlaubt uns einzigartige Einblicke in die Art und Weise, wie die von der CISA aufgeführten Schwachstellen (Common Vulnerabilities and Exposures – CVEs) im Internet ausgenutzt werden.

Wir möchten Sie hier an den von uns gewonnenen Erkenntnissen teilhaben lassen.

Unserer Analyse zufolge sind in erster Linie zwei der in dem CISA-Bericht genannten CVEs für den „in freier Wildbahn“ beobachteten Angriffstraffic verantwortlich: Log4J und Code-Injektion über Atlassian Confluence.Der Bericht befasst sich zwar noch mit vielen weiteren Schwachstellen, doch unsere Daten legen nahe, dass die ersten beiden Sicherheitslücken auf der Liste gemessen am Datenverkehrsvolumen mit großem Abstand führen.

Die wichtigsten CVEs im Jahr 2022

Um die im CISA-Bericht aufgelisteten CVEs aufzuspüren, haben wir entsprechende Managed Rules für unsere WAF erstellt. Für die dadurch erkannten, auf eine solche Schwachstelle zurückgehenden Anfragen haben wir folgende Rangliste auf Grundlage ihrer Häufigkeit erstellt.

Häufigkeit

Popularity rank

Description

CVEs

1. Improper Input Validation caused Remote Code execution in Apache Log4j logging library

Log4J

CVE-2021-44228

2. Atlassian Confluence Server and Data Center Remote Code Execution Vulnerability

Atlassian Confluence Code Injection

CVE-2022-26134

3. 3 issues were combined together to achieve Remote Code execution also known as ProxyShell

Microsoft Exchange servers

CVE-2021-34473, CVE-2021-31207, CVE-2021-34523

4. undisclosed requests may bypass iControl REST authentication and run arbitrary code

BIG-IP F5

CVE-2022-1388

5. 2 issues were combined to together to achieve remote Root

VMware

CVE-2022-22954

CVE-2022-22960

6. Remote Code execution Issue in Confluence Server and Data Center

Atlassian Confluence 0-day

CVE-2021-26084

Beschreibung

CVEs

1. Unsachgemäße Eingabevalidierung erlaubt Remote-Code-Ausführung in der Apache Log4j-Protokollierungsbibliothek

Log4J

Number of requests blocked across the Cloudflare network for each CVE. The blocks are triggered by managed rules created to protect Cloudflare users.

CVE-2021-44228

2. Server und Rechenzentrum von Atlassian Confluence ist anfällig für Remote-Code-Ausführung

Code-Injektion bei Atlassian Confluence

CVE-2022-26134

3. Drei Sicherheitsprobleme werden zur Remote-Code-Ausführung ausgenutzt, auch bekannt als ProxyShell

Microsoft Exchange-Server

CVE-2021-34473, CVE-2021-31207, CVE-2021-34523

Log4j exploit attempt trend over the last year

4. Unangekündigte Anfragen können die iControl REST-Authentifizierung umgehen und beliebigen Code ausführen

BIG-IP F5

CVE-2022-1388

5. Zwei Sicherheitsprobleme werden ausgenutzt, um aus der Ferne als Root-Administrator zu fungieren

VMware

CVE-2022-22954

CVE-2022-22960

6. Bei Confluence-Server und -Rechenzentrum besteht ein Problem mit Remote-Code-Ausführung

Zero-Day-Exploit bei Atlassian Confluence

CVE-2022-26134 exploit attempt trend over the last year

CVE-2021-26084

Ganz oben auf der Liste steht Log4J (CVE-2021-44228). Das ist nicht weiter überraschend, denn da diese Schwachstelle zu einer vollständigen Remote-Kompromittierung führt, dürfte es sich um eine der folgenreichsten Sicherheitslücken der letzten Jahrzehnte handeln. Die am zweithäufigsten ausgenutzte Schwachstelle ist Code-Injkektion über Atlassian Confluence (CVE-2022-26134).

Auf Rang drei folgt eine Kombination aus drei CVEs, die auf Microsoft Exchange-Server abzielen (CVE-2021-34473, CVE-2021-31207 und CVE-2021-34523). An vierter Stelle steht ein BIG-IP F5-Exploit (CVE-2022-1388), gefolgt von einer Kombination aus zwei VMware-Schwachstellen (CVE-2022-22954 und CVE-2022-22960). Unsere Liste endet mit einem weiteren Zero-Day-Exploit bei Atlassian Confluence (CVE-2021-26084).

Beim Vergleich des Angriffsvolumens dieser fünf Gruppen sticht eine Sicherheitslücke sofort heraus.Log4J wird mehr als zehnmal so häufig ausgenutzt wie die zweitplatzierte Schwachstelle (Code-Injektion bei Atlassian Confluence). Alle übrigen CVEs liegen sogar noch darunter.In dem CISA-Bericht werden all diese Schwachstellen zwar in einer Gruppe zusammenfasst, doch wir sind der Meinung, dass es sich eigentlich um zwei Gruppen handelt: eine dominierende CVE (Log4J) und eine sekundäre Gruppe mit untereinander vergleichbaren Zero-Day-Sicherheitslücken.Beiden Gruppen weisen ein ähnliches Angriffsvolumen auf.

Das folgende Diagramm im logarithmischen Maßstab zeigt deutlich den Unterschied bei der Häufigkeit, mit der die jeweiligen Sicherheitslücken ausgenutzt wurden.

Microsoft Exchange exploit attempt trend over the last year

[Anzahl der über das Cloudflare-Netzwerk blockierten Anfragen für jede CVE. Die Blockierung wird durch Managed Rules ausgelöst, die zum Schutz der Cloudflare-Nutzer erstellt wurden.]

CVE-2021-44228: Log4J

Angeführt wurde unsere Liste von der berüchtigten Sicherheitslücke CVE-2021-44228 – besser bekannt als die Log4j-Schwachstelle.Sie hat im Jahr 2021 für beträchtliches Aufsehen im Cyberspace gesorgt und wird auch weiterhin in großem Umfang ausgenutzt.

Cloudflare hat bereits wenige Stunden nach Bekanntwerden der Sicherheitslücke neue Managed Rules veröffentlicht. In den darauffolgenden Tagen haben wir über verwandte Schwachstellen informiert (hier der zugehörige Blogbeitrag). Insgesamt haben wir die Regeln in drei Stufen veröffentlicht:

BIG-IP F5 exploit attempt trend over the last year

Mit den von uns implementierten Regeln wird die Schwachstelle in vier Kategorien erkannt:

  • Log4j-Header: Angriffsmuster im HTTP-Header

  • Log4j-Body: Angriffsmuster im HTTP-Body

  • Log4j-URI: Angriffsmuster im URI

  • Log4j-Body-Verschleierung: verschleiertes Angriffsmuster

Wir haben festgestellt, dass Log4J-Angriffe häufiger über HTTP-Header als über HTTP-Bodys ausgeführt werden. Die nachstehende Grafik zeigt, wie oft über einen bestimmten Zeitraum versucht wurde, diese Schwachstelle auszunutzen. Es sind deutliche Spitzenwerte und ein Anstieg bis Juli 2023 (dem Zeitpunkt der Erstellung dieses Berichts) erkennbar.

[Trend bei den Versuchen, die Log4j-Schwachstelle auszunutzen, in den vergangenen zwölf Monaten]

Aufgrund der schwerwiegenden Auswirkungen dieser Sicherheitslücke und um die Initiative für ein sichereres und besseres Internet zu ergreifen, hat Cloudflare am 15. März 2022 angekündigt, dass bei allen unseren Tarifoptionen (einschließlich der kostenlosen) die Managed Rules unserer WAF für hochgefährliche Schwachstellen eingesetzt werden. Diese kostenlosen Regeln richten sich gegen Sicherheitslücken mit erheblichen Konsequenzen, etwa Log4J, Shellshock und verschiedene weit verbreitete WordPress-Schwachstellen. Somit kann jedes Unternehmen und jede private Website, unabhängig von Größe und Budget, die eigenen digitalen Assets mit der WAF von Cloudflare schützen.

VMware exploit attempt trend over the last year

Die vollständige Sicherheitsempfehlung für Log4J, die von der Apache Software Foundation veröffentlicht wurde, finden Sie hier.

CVE-2022-26134: Code-Injektion bei Atlassian Confluence

Die 2022 am zweithäufigsten ausgenutzte CVE war eine Code-Injektion-Schwachstelle, die Atlassian Confluence betraf.Diese Sicherheitslücke stellte eine Bedrohung für ganze Systeme dar und hatte zur Folge, dass viele Unternehmen Angriffen hilflos ausgesetzt waren.Das macht deutlich, wie wichtig wissensbasierte Systeme inzwischen für die Informationsverwaltung in Unternehmen sind. Angreifer haben diese Bedeutung erkannt und nehmen diese Systeme deshalb ins Visier. Als Reaktion darauf hat das WAF-Team von Cloudflare zwei Emergency Releases zum Schutz unserer Kunden veröffentlicht:

Confluence OGNL exploit attempt trend over the last year

Im Rahmen dieser Releases wurden zwei Regeln für alle WAF-Nutzer verfügbar gemacht:

  • Atlassian Confluence – Code Injection – CVE:CVE-2022-26134

  • Atlassian Confluence – Code Injection – Extended – CVE:CVE-2022-26134

Die folgende Grafik zeigt die Anzahl der pro Tag verzeichneten Treffer. Dabei ist zunächst ein klarer Höhepunkt zu verzeichnen, auf den ein schrittweiser Rückgang folgt, weil die Systeme gepatcht und abgesichert wurden.

Sowohl Log4J als auch die Code-Injektion bei Confluence weisen ein gewisses saisonales Muster auf, denn zwischen September/November 2022 und März 2023 wird ein höheres Angriffsvolumen verzeichnet. Das spiegelt wahrscheinlich Kampagnen von Angreifern wider, die immer noch versuchen, diese Sicherheitslücke auszunutzen (eine laufende Kampagne ist Ende Juli 2023 zu beobachten).

[Trend bei den Versuchen, CVE-2022-26134 auszunutzen, in den vergangenen zwölf Monaten]

Sicherheitshinweis.

CVE-2021-34473, CVE-2021-31207 und CVE-2021-34523: Microsoft Exchange SSRF- und RCE-Schwachstellen

Drei bisher unbekannte Bugs wurden miteinander verkettet, um einen Zero-Day-Angriff mit Remote-Code-Ausführung Execution (Remote Code Execution – RCE) durchzuführen. Angesichts der starken Verbreitung von Microsoft Exchange-Servern stellen diese Schwachstellen eine ernsthafte Bedrohung für die Datensicherheit und die Geschäftsaktivitäten in allen Branchen und Weltregionen dar.

Die Cloudflare-WAF hat mit dem Emergency Release vom 3. März 2022 eine Regel für diese Sicherheitslücke veröffentlicht, die die Regel Microsoft Exchange SSRF and RCE vulnerability – CVE:CVE-2022-41040, CVE:CVE-2022-41082 enthielt.

Der Trend bei diesen Angriffen für die vergangenen zwölf Monate ist in der folgenden Grafik abgebildet.

[Trend bei den Versuchen, Microsoft Exchange-Schwachstellen auszunutzen, in den vergangenen zwölf Monaten]

Sicherheitshinweis: CVE-2021-34473, CVE-2021-31207 und CVE-2021-34523.

CVE-2022-1388: RCE in BIG-IP F5

Diese spezielle Sicherheitslücke kann ausgenutzt werden, wenn ein nicht authentifizierter Angreifer eine Netzwerkverbindung zum BIG-IP-System (F5-Produktname einer Gruppe von Lösungen für Anwendungssicherheit und -performance) herstellen konnte.Der Angreifer kann entweder über die Verwaltungsschnittstelle oder über selbst zugewiesene IP-Adressen uneingeschränkt Systembefehle ausführen.

Zum Aufspüren dieses Problems hat Cloudflare ein Emergency Release (Emergency Release: 5. Mai 2022) mit der Regel Command Injection – RCE in BIG-IP – CVE:CVE-2022-1388 veröffentlicht.

Es ist ein relativ beständiges Ausnutzungsmuster ohne Anzeichen für spezifische Kampagnen – mit Ausnahme eines Spitzenwerts Ende Juni 2023 – zu erkennen.

[Trend bei Versuchen, die BIG-IP-Schwachstelle von F5 auszunutzen, in den vergangenen zwölf Monaten]

Sicherheitshinweis von F5.

CVE-2022-22954: Ausführung von Remote-Code durch serverseitige Template-Injektion-Sicherheitslücke bei Workspace ONE Access und Identity Manager von VMware

Diese Schwachstelle erlaubt es einem Angreifer, aus der Ferne eine serverseitige Template-Injektion auszulösen, die zur Ausführung von Remote-Code führen kann.Bei erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf das Webinterface einen beliebigen Shell-Befehl als VMware-Nutzer ausführen. Später wurde diese Sicherheitslücke mit CVE-2022-22960 (einer Schwachstelle, die eine lokale Rechteausweitung erlaubt) verknüpft. In Kombination erlauben es diese beiden Schwachstellen Angreifern, Befehle mit Root-Rechten aus der Ferne auszuführen.

Die Cloudflare-WAF hat eine Regel für diese Sicherheitslücke veröffentlicht: Release: 5. Mai 2022. Die folgende Grafik zeigt die entsprechenden Ausnutzungsversuche über einen bestimmten Zeitraum.

[Trend bei den Versuchen, die VMware-Schwachstelle auszunutzen, in den vergangenen zwölf Monaten]

Sicherheitshinweis von VMware.

CVE-2021-26084: Confluence Server Webwork OGNL-Injektion

Es wurde eine OGNL-Injektion-Schwachstelle gefunden, die es einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code auf einer Confluence Server- oder Rechenzentrums-Instanz auszuführen. Die Cloudflare-WAF hat am 9. September 2022 ein Emergency Release für diese Schwachstelle veröffentlicht. Im Vergleich zu den anderen CVEs, die in diesem Blogbeitrag besprochen werden, haben wir in den vergangenen zwölf Monaten für diese Schwachstelle nicht besonders viele Ausnutzungsversuche registriert.

[Trend bei den Versuchen, die Confluence OGNL-Schwachstelle auszunutzen, in den vergangenen zwölf Monaten]

Offizieller Sicherheitshinweis.

Empfehlungen für erhöhten Schutz

Wir empfehlen allen Server-Administratoren, ihre Software auf dem neuesten Stand zu halten, sobald Lösungen zur Fehlerbehebung verfügbar sind. Cloudflare-Kunden – einschließlich derjenigen, die unser kostenloses Angebot nutzen – können neue Regeln anwenden, die CVEs und Zero-Day-Bedrohungen betreffen und wöchentlich im Managed Ruleset aktualisiert werden. Bei besonders gefährlichen CVEs werden gegebenenfalls Emergency Releases bereitgestellt. Darüber hinaus haben Enterprise-Kunden Zugriff auf den WAF-Angriffs-Score. Dabei handelt es sich um eine KI-gestützte Erkennungsfunktion, die herkömmliche signaturbasierte Regeln ergänzt und unbekannte Bedrohungen und Umgehungsversuche identifiziert. Mit der kombinierten Stärke von regelbasierter und KI-gestützter Erkennung bietet Cloudflare einen robusten Schutz vor bekannten und neuen Bedrohungen.

Fazit

Die Daten von Cloudflare bieten eine Ergänzung des Schwachstellenberichts der CISA. Hervorzuheben ist, dass bei den beiden größten Schwachstellen die Häufigkeit der Ausnutzungsversuche um ein Vielfaches höher ist als bei den übrigen Sicherheitslücken auf der Liste. In jedem Fall sollten sich Unternehmen bei ihren Bemühungen um Software-Patches auf die in dieser Liste aufgeführten Bedrohungen konzentrieren. Aber selbstverständlich sollte jede Software gepatcht werden. Eine gut funktionierende WAF sorgt außerdem für zusätzliche Sicherheit und verschafft Zeit, um die zugrundeliegende Systeme sowohl vor bestehenden als auch vor künftigen Schwachstellen zu schützen.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
WAFSicherheitCISA (DE)Vulnerabilities

Folgen auf X

Himanshu Anand|@anand_himanshu
Cloudflare|@cloudflare

Verwandte Beiträge