Cyberkriminelle nutzen schon seit vielen Jahr mit großem Erfolg Sicherheitslücken aus. Ihre Ziele sind Unternehmen, Organisationen und Verwaltung in aller Welt. Die NSA veröffentlichte im November eine interessante Liste dazu. Darin werden die am meisten genutzten Angriffsmethoden, Exploits und Malware durch chinesische Hacker-Gruppen aufgelistet.

Jährlich steigt die Anzahl der Berichte über Cyber-Angriffe in aller Welt. Die Medien berichten über Ransomware-Attacken, Datendiebstahl mit Erpressungspotenzial und andere Angriffsarten. Ganz oben auf der Liste der Opfer sind Regierungs- und Militäreinrichtungen. Ihnen folgen der Einzel- und Großhandelsbereich sowie Herstellungsbetriebe. Mit einigem Abstand sind die Finanzbranche, die Gesundheitsindustrie und Softwarebetriebe Opfer von cyberkriminellen Machenschaften.

Ziel dieser Cyberangriffe sind vorgenannte Branchen in 161 Ländern. Allen voran werden Ziele in den USA, Großbritannien, Deutschland, Indonesien und den Niederlanden angegriffen. Die allermeisten dieser Angriffe nutzen bekannte Schwachstellen aus, für die längst Patches verfügbar sind.

Die aller-gefährlichsten Cyber-Bedrohungen der NSA

In ihrem Bericht listet die NSA die gefährlichsten Exploits in Softwareprodukten, Infrastrukturen und Netzwerkprodukten auf. Die meisten dieser Schwachstellen befinden sich in weitverbreiteten Produkten, was die Bedrohungslage entsprechend vergrößert. Chinesische Hackergruppen nutzen diese Schwachstellen ganz gezielt aus, und darüber ist die NSA sehr alarmiert.

Diese kritischsten Schwachstellen, die die chinesischen ATP-Gruppen wie Cactus Pete, TA413, Vicious Panda und Winniti ausnutzen, sind unter den Top sechs der Liste. Die ersten zwei Exploits haben einen Bedrohungswert von 10 und sind die beliebtesten und am meisten ausgenutzten Exploits. Die nächsten zwei Exploits haben einen Bedrohungswert von 9,8:

• CVE-2019-11510: Pulse Connect Secure File Disclosure – eine sehr kritische Schwachstelle in Pulse Connect Secure. (Pulse Secure SSL-VPN-Lösung) – Patch seit April 2019 verfügbar.
• CVE-2020-5902: F5 BIG-IP Remote Code Execution – diese kritische befindet sich in verschiedenen Versionen von BIG-IP
• CVE-2019-19781: Citrix Multiple Products Directory Traversal – eine Sicherheitslücke im Citrix Application Delivery Controller und Citrix Gateway
• CVE-2020-8193, CVE-2020-8195 und CVE-20208196: Citrix ADC und Gateway Schwachstellen

Cyber-Bedrohungen Bewertungsskala erklärt

Die Bewertungsskala für den qualitativen Schweregrad gibt es seit 2005. Sie staffelt sich von niedrig bis kritisch. Das CVSS bewertet und vergleicht Sicherheitslücken nach verschiedenen Kriterien. Diese werden Metrics genannt. Daraus ergibt sich eine Prioritätenliste für entsprechende Gegenmaßnahmen.

Niedrig 0,1 bis 3,9

Mittel 4,0 bis 6,9

Hoch 7,0 bis 8,9

Kritisch 9,0 bis 10

Weitere Schwachstellen in der Liste der Top 25 Cyber-Bedrohungen

In der Liste sind auch bekannte Exploits zu sehen wie BlueKeep, CurveBall und andere berühmt-berüchtigte Sicherheitslücken. Sie alle haben unterschiedlich hohe CVSS-Werte, werden aber sehr häufig ausgenutzt, sind aber nicht so bliebt wie die ersten fünf der Liste. Die Sicherheitslücken können in verschiedenen Angriffsphasen ausgenutzt werden. Hier die bekanntesten in ihrer Reihenfolge in der NSA-Liste:

• 7. CVE-2019-0708: BlueKeep – In Remote-Desktop-Diensten in Windows-Betriebssystemen liegt diese Sicherheitsanfälligkeit in der Remotecodeausführung.
• 9. CVE-2020-1350: SIGRed – Auf Windows Domain Name System-Servern liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn diese Anfragen nicht ordnungsgemäß verarbeiten.
• 10. CVE-2020-1472: Netlogon – die Sicherheitsanfälligkeit bei der Erhöhung von Berechtigungen liegt vor, wenn ein Angreifer mithilfe des Netlogon Remote Protocol (MS-NRPC) eine anfällige sichere Netlogon-Verbindung zu einem Domänencontroller herstellt.
• 11. CVE-2019-1040: Microsoft Windows NTLM-Authentifizierungsumgehung ist eine Schwachstelle in verschiedenen MS-Windows Versionen.
• 21. CVE-2020-0601: CurveBall – die Spoofing-Anfälligkeit besteht in der Art und Weise, wie Windows CryptoAPI ECC-Zertifikate validiert. Ein Angreifer kann sie ausnutzen, indem er ein gefälschtes Codesignaturzertifikat verwendet, um eine schädliche ausführbare Datei zu signieren. Damit entsteht der Eindruck, dass die Datei aus einer vertrauenswürdigen Quelle stammt.
• 25. CVE-2020-8515: Draytek Vigor Command Injection – ein kritischer Exploit in diversen Versionen des DrayTek Vigor VPN-Routers. CVSS 10,0

NSA Liste drängt aufs Patchen der Cyber-Bedrohungen

Nachdem die NSA die verstärkten Aktivitäten der chinesischen Hackergruppen festgestellt hat, liegt die Initiative nun in den Händen der Anwender. Die Vizepräsidentin für Strategie bei Point3 Security Chloé Messdaghi, ergänzte, dass genannten Sicherheitslücken zu einer anhaltenden Zunahme von Angriffen beitragen würden. Sie sagte:

„Wir haben definitiv eine Zunahme dieser Situation im letzten Jahr gesehen und sie dauert an. Es wird versucht, geistiges Eigentum zu stehlen. Die Angreifer könnten ein Nationalstaat sein, ein Unternehmen bzw. eine Unternehmensgruppe oder nur eine Gruppe von Hackern oder eine Einzelperson. Alle versuchen, proprietäre Informationen zu erhalten, um wettbewerbsfähige Unternehmen zu nutzen und aufzubauen… mit anderen Worten, um sie zu stehlen und für sich selbst zu nutzen dazugewinnen.“

In einer Medienerklärung sagte Anne Neuberger, Direktorin für Cybersicherheit bei der NSA:

„Wir hören laut und deutlich, dass es schwierig sein kann, Patching- und Minderungsmaßnahmen zu priorisieren. Wir hoffen, dass Cybersicherheitsexperten hiermit umsetzbare Informationen erhalten, um Prioritäten zu setzen und Systeme zu sichern (…)“

Es ist nicht vorhersehbar, ob Unternehmen eher von nationalstaatlichen Angreifern oder Cyberkriminellen angegriffen werden oder nicht. Die NSA-Liste gibt jedenfalls gute Hinweise, was vorrangig angegangen werden muss. Hackergruppen gehen meistens den einfachen Weg: Sie nutzen bekannte Schwachstellen aus, die in vielen Systemen ungepatcht schlummern. Zero-Day-Schwachstellen zu finden und auszunutzen ist deutlich teurer und aufwendiger.

Die NSA appelliert daher an alle Unternehmen, die genannten öffentlich bekannten Sicherheitslücken zu patchen oder entsprechende Maßnahmen zur Minderung der Gefahr vorzunehmen.

Artikel von threatpost.com, 21.10.2020: Bug Parade: NSA Warns on Cresting China-Backed Cyberattacks
Artikel von zdnet.com, 20.10.2020: NSA publishes list of top vulnerabilities currently targeted by Chinese hackers
Artikel von defense.gov, Oktober 2020: Chinese State-SponsoredActors Exploit Publicly Known Vulnerabilities
Artikel von duo.com, 20.10.2020: Enterprises Should Fix These 25 Flaws

Beitragsbild: Public Domain, Creative Commons CC0 von Michal Jarmoluk from pixabay.com.