Die US-amerikanische IT-Sicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat gerade einen Bericht zu den im Jahr 2022 am häufigsten ausgenutzten Sicherheitslücken veröffentlicht. Cloudflare fungiert als Reverse Proxy für einen großen Teil des Internets. Das erlaubt uns einzigartige Einblicke in die Art und Weise, wie die von der CISA aufgeführten Schwachstellen (Common Vulnerabilities and Exposures – CVEs) im Internet ausgenutzt werden.
Wir möchten Sie hier an den von uns gewonnenen Erkenntnissen teilhaben lassen.
Unserer Analyse zufolge sind in erster Linie zwei der in dem CISA-Bericht genannten CVEs für den „in freier Wildbahn“ beobachteten Angriffstraffic verantwortlich: Log4J und Code-Injektion über Atlassian Confluence.Der Bericht befasst sich zwar noch mit vielen weiteren Schwachstellen, doch unsere Daten legen nahe, dass die ersten beiden Sicherheitslücken auf der Liste gemessen am Datenverkehrsvolumen mit großem Abstand führen.
Die wichtigsten CVEs im Jahr 2022
Um die im CISA-Bericht aufgelisteten CVEs aufzuspüren, haben wir entsprechende Managed Rules für unsere WAF erstellt. Für die dadurch erkannten, auf eine solche Schwachstelle zurückgehenden Anfragen haben wir folgende Rangliste auf Grundlage ihrer Häufigkeit erstellt.
Häufigkeit
Beschreibung
CVEs
1. Unsachgemäße Eingabevalidierung erlaubt Remote-Code-Ausführung in der Apache Log4j-Protokollierungsbibliothek
Log4J
2. Server und Rechenzentrum von Atlassian Confluence ist anfällig für Remote-Code-Ausführung
Code-Injektion bei Atlassian Confluence
3. Drei Sicherheitsprobleme werden zur Remote-Code-Ausführung ausgenutzt, auch bekannt als ProxyShell
Microsoft Exchange-Server
CVE-2021-34473, CVE-2021-31207, CVE-2021-34523
4. Unangekündigte Anfragen können die iControl REST-Authentifizierung umgehen und beliebigen Code ausführen
BIG-IP F5
5. Zwei Sicherheitsprobleme werden ausgenutzt, um aus der Ferne als Root-Administrator zu fungieren
VMware
6. Bei Confluence-Server und -Rechenzentrum besteht ein Problem mit Remote-Code-Ausführung
Zero-Day-Exploit bei Atlassian Confluence
Ganz oben auf der Liste steht Log4J (CVE-2021-44228). Das ist nicht weiter überraschend, denn da diese Schwachstelle zu einer vollständigen Remote-Kompromittierung führt, dürfte es sich um eine der folgenreichsten Sicherheitslücken der letzten Jahrzehnte handeln. Die am zweithäufigsten ausgenutzte Schwachstelle ist Code-Injkektion über Atlassian Confluence (CVE-2022-26134).
Auf Rang drei folgt eine Kombination aus drei CVEs, die auf Microsoft Exchange-Server abzielen (CVE-2021-34473, CVE-2021-31207 und CVE-2021-34523). An vierter Stelle steht ein BIG-IP F5-Exploit (CVE-2022-1388), gefolgt von einer Kombination aus zwei VMware-Schwachstellen (CVE-2022-22954 und CVE-2022-22960). Unsere Liste endet mit einem weiteren Zero-Day-Exploit bei Atlassian Confluence (CVE-2021-26084).
Beim Vergleich des Angriffsvolumens dieser fünf Gruppen sticht eine Sicherheitslücke sofort heraus.Log4J wird mehr als zehnmal so häufig ausgenutzt wie die zweitplatzierte Schwachstelle (Code-Injektion bei Atlassian Confluence). Alle übrigen CVEs liegen sogar noch darunter.In dem CISA-Bericht werden all diese Schwachstellen zwar in einer Gruppe zusammenfasst, doch wir sind der Meinung, dass es sich eigentlich um zwei Gruppen handelt: eine dominierende CVE (Log4J) und eine sekundäre Gruppe mit untereinander vergleichbaren Zero-Day-Sicherheitslücken.Beiden Gruppen weisen ein ähnliches Angriffsvolumen auf.
Das folgende Diagramm im logarithmischen Maßstab zeigt deutlich den Unterschied bei der Häufigkeit, mit der die jeweiligen Sicherheitslücken ausgenutzt wurden.
[Anzahl der über das Cloudflare-Netzwerk blockierten Anfragen für jede CVE. Die Blockierung wird durch Managed Rules ausgelöst, die zum Schutz der Cloudflare-Nutzer erstellt wurden.]
CVE-2021-44228: Log4J
Angeführt wurde unsere Liste von der berüchtigten Sicherheitslücke CVE-2021-44228 – besser bekannt als die Log4j-Schwachstelle.Sie hat im Jahr 2021 für beträchtliches Aufsehen im Cyberspace gesorgt und wird auch weiterhin in großem Umfang ausgenutzt.
Cloudflare hat bereits wenige Stunden nach Bekanntwerden der Sicherheitslücke neue Managed Rules veröffentlicht. In den darauffolgenden Tagen haben wir über verwandte Schwachstellen informiert (hier der zugehörige Blogbeitrag). Insgesamt haben wir die Regeln in drei Stufen veröffentlicht:
Mit den von uns implementierten Regeln wird die Schwachstelle in vier Kategorien erkannt:
Log4j-Header: Angriffsmuster im HTTP-Header
Log4j-Body: Angriffsmuster im HTTP-Body
Log4j-URI: Angriffsmuster im URI
Log4j-Body-Verschleierung: verschleiertes Angriffsmuster
Wir haben festgestellt, dass Log4J-Angriffe häufiger über HTTP-Header als über HTTP-Bodys ausgeführt werden. Die nachstehende Grafik zeigt, wie oft über einen bestimmten Zeitraum versucht wurde, diese Schwachstelle auszunutzen. Es sind deutliche Spitzenwerte und ein Anstieg bis Juli 2023 (dem Zeitpunkt der Erstellung dieses Berichts) erkennbar.
[Trend bei den Versuchen, die Log4j-Schwachstelle auszunutzen, in den vergangenen zwölf Monaten]
Aufgrund der schwerwiegenden Auswirkungen dieser Sicherheitslücke und um die Initiative für ein sichereres und besseres Internet zu ergreifen, hat Cloudflare am 15. März 2022 angekündigt, dass bei allen unseren Tarifoptionen (einschließlich der kostenlosen) die Managed Rules unserer WAF für hochgefährliche Schwachstellen eingesetzt werden. Diese kostenlosen Regeln richten sich gegen Sicherheitslücken mit erheblichen Konsequenzen, etwa Log4J, Shellshock und verschiedene weit verbreitete WordPress-Schwachstellen. Somit kann jedes Unternehmen und jede private Website, unabhängig von Größe und Budget, die eigenen digitalen Assets mit der WAF von Cloudflare schützen.
CVE-2022-26134: Code-Injektion bei Atlassian Confluence
Die 2022 am zweithäufigsten ausgenutzte CVE war eine Code-Injektion-Schwachstelle, die Atlassian Confluence betraf.Diese Sicherheitslücke stellte eine Bedrohung für ganze Systeme dar und hatte zur Folge, dass viele Unternehmen Angriffen hilflos ausgesetzt waren.Das macht deutlich, wie wichtig wissensbasierte Systeme inzwischen für die Informationsverwaltung in Unternehmen sind. Angreifer haben diese Bedeutung erkannt und nehmen diese Systeme deshalb ins Visier. Als Reaktion darauf hat das WAF-Team von Cloudflare zwei Emergency Releases zum Schutz unserer Kunden veröffentlicht:
Im Rahmen dieser Releases wurden zwei Regeln für alle WAF-Nutzer verfügbar gemacht:
Atlassian Confluence – Code Injection – CVE:CVE-2022-26134
Atlassian Confluence – Code Injection – Extended – CVE:CVE-2022-26134
Die folgende Grafik zeigt die Anzahl der pro Tag verzeichneten Treffer. Dabei ist zunächst ein klarer Höhepunkt zu verzeichnen, auf den ein schrittweiser Rückgang folgt, weil die Systeme gepatcht und abgesichert wurden.
Sowohl Log4J als auch die Code-Injektion bei Confluence weisen ein gewisses saisonales Muster auf, denn zwischen September/November 2022 und März 2023 wird ein höheres Angriffsvolumen verzeichnet. Das spiegelt wahrscheinlich Kampagnen von Angreifern wider, die immer noch versuchen, diese Sicherheitslücke auszunutzen (eine laufende Kampagne ist Ende Juli 2023 zu beobachten).
[Trend bei den Versuchen, CVE-2022-26134 auszunutzen, in den vergangenen zwölf Monaten]
CVE-2021-34473, CVE-2021-31207 und CVE-2021-34523: Microsoft Exchange SSRF- und RCE-Schwachstellen
Drei bisher unbekannte Bugs wurden miteinander verkettet, um einen Zero-Day-Angriff mit Remote-Code-Ausführung Execution (Remote Code Execution – RCE) durchzuführen. Angesichts der starken Verbreitung von Microsoft Exchange-Servern stellen diese Schwachstellen eine ernsthafte Bedrohung für die Datensicherheit und die Geschäftsaktivitäten in allen Branchen und Weltregionen dar.
Die Cloudflare-WAF hat mit dem Emergency Release vom 3. März 2022 eine Regel für diese Sicherheitslücke veröffentlicht, die die Regel Microsoft Exchange SSRF and RCE vulnerability – CVE:CVE-2022-41040, CVE:CVE-2022-41082 enthielt.
Der Trend bei diesen Angriffen für die vergangenen zwölf Monate ist in der folgenden Grafik abgebildet.
[Trend bei den Versuchen, Microsoft Exchange-Schwachstellen auszunutzen, in den vergangenen zwölf Monaten]
Sicherheitshinweis: CVE-2021-34473, CVE-2021-31207 und CVE-2021-34523.
CVE-2022-1388: RCE in BIG-IP F5
Diese spezielle Sicherheitslücke kann ausgenutzt werden, wenn ein nicht authentifizierter Angreifer eine Netzwerkverbindung zum BIG-IP-System (F5-Produktname einer Gruppe von Lösungen für Anwendungssicherheit und -performance) herstellen konnte.Der Angreifer kann entweder über die Verwaltungsschnittstelle oder über selbst zugewiesene IP-Adressen uneingeschränkt Systembefehle ausführen.
Zum Aufspüren dieses Problems hat Cloudflare ein Emergency Release (Emergency Release: 5. Mai 2022) mit der Regel Command Injection – RCE in BIG-IP – CVE:CVE-2022-1388 veröffentlicht.
Es ist ein relativ beständiges Ausnutzungsmuster ohne Anzeichen für spezifische Kampagnen – mit Ausnahme eines Spitzenwerts Ende Juni 2023 – zu erkennen.
[Trend bei Versuchen, die BIG-IP-Schwachstelle von F5 auszunutzen, in den vergangenen zwölf Monaten]
CVE-2022-22954: Ausführung von Remote-Code durch serverseitige Template-Injektion-Sicherheitslücke bei Workspace ONE Access und Identity Manager von VMware
Diese Schwachstelle erlaubt es einem Angreifer, aus der Ferne eine serverseitige Template-Injektion auszulösen, die zur Ausführung von Remote-Code führen kann.Bei erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf das Webinterface einen beliebigen Shell-Befehl als VMware-Nutzer ausführen. Später wurde diese Sicherheitslücke mit CVE-2022-22960 (einer Schwachstelle, die eine lokale Rechteausweitung erlaubt) verknüpft. In Kombination erlauben es diese beiden Schwachstellen Angreifern, Befehle mit Root-Rechten aus der Ferne auszuführen.
Die Cloudflare-WAF hat eine Regel für diese Sicherheitslücke veröffentlicht: Release: 5. Mai 2022. Die folgende Grafik zeigt die entsprechenden Ausnutzungsversuche über einen bestimmten Zeitraum.
[Trend bei den Versuchen, die VMware-Schwachstelle auszunutzen, in den vergangenen zwölf Monaten]
Sicherheitshinweis von VMware.
CVE-2021-26084: Confluence Server Webwork OGNL-Injektion
Es wurde eine OGNL-Injektion-Schwachstelle gefunden, die es einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code auf einer Confluence Server- oder Rechenzentrums-Instanz auszuführen. Die Cloudflare-WAF hat am 9. September 2022 ein Emergency Release für diese Schwachstelle veröffentlicht. Im Vergleich zu den anderen CVEs, die in diesem Blogbeitrag besprochen werden, haben wir in den vergangenen zwölf Monaten für diese Schwachstelle nicht besonders viele Ausnutzungsversuche registriert.
[Trend bei den Versuchen, die Confluence OGNL-Schwachstelle auszunutzen, in den vergangenen zwölf Monaten]
Offizieller Sicherheitshinweis.
Empfehlungen für erhöhten Schutz
Wir empfehlen allen Server-Administratoren, ihre Software auf dem neuesten Stand zu halten, sobald Lösungen zur Fehlerbehebung verfügbar sind. Cloudflare-Kunden – einschließlich derjenigen, die unser kostenloses Angebot nutzen – können neue Regeln anwenden, die CVEs und Zero-Day-Bedrohungen betreffen und wöchentlich im Managed Ruleset aktualisiert werden. Bei besonders gefährlichen CVEs werden gegebenenfalls Emergency Releases bereitgestellt. Darüber hinaus haben Enterprise-Kunden Zugriff auf den WAF-Angriffs-Score. Dabei handelt es sich um eine KI-gestützte Erkennungsfunktion, die herkömmliche signaturbasierte Regeln ergänzt und unbekannte Bedrohungen und Umgehungsversuche identifiziert. Mit der kombinierten Stärke von regelbasierter und KI-gestützter Erkennung bietet Cloudflare einen robusten Schutz vor bekannten und neuen Bedrohungen.
Fazit
Die Daten von Cloudflare bieten eine Ergänzung des Schwachstellenberichts der CISA. Hervorzuheben ist, dass bei den beiden größten Schwachstellen die Häufigkeit der Ausnutzungsversuche um ein Vielfaches höher ist als bei den übrigen Sicherheitslücken auf der Liste. In jedem Fall sollten sich Unternehmen bei ihren Bemühungen um Software-Patches auf die in dieser Liste aufgeführten Bedrohungen konzentrieren. Aber selbstverständlich sollte jede Software gepatcht werden. Eine gut funktionierende WAF sorgt außerdem für zusätzliche Sicherheit und verschafft Zeit, um die zugrundeliegende Systeme sowohl vor bestehenden als auch vor künftigen Schwachstellen zu schützen.