Share
Beitragsbild zu Aggressivere Trends bei der Ausnutzungsdauer von Sicherheitslücken betreffen auch die Sicherheit von Oracle und SAP

Aggressivere Trends bei der Ausnutzungsdauer von Sicherheitslücken betreffen auch die Sicherheit von Oracle und SAP

Am 28. September veröffentlichte Mandiant seinen Time-To-Exploit-Trends-Bericht, der einige sehr aufschlussreiche Statistiken zu den zwischen 2021 und 2022 ausgenutzten Schwachstellen enthält. (Hier in den Labs dachten wir, es wäre eine gute Idee, die Erkenntnisse aus diesem Bericht in Beziehung zu setzen und hervorzuheben, wie sie sich auf die Beobachtungen der Onapsis Research Labs („ORL“) zu Schwachstellen in ERP-Anwendungen beziehen.

Zahl der ausgenutzten CVE(s) nimmt weiter zu

Wenn wir uns die National Vulnerability Database („NVD“) ansehen, wird sehr schnell deutlich, dass die Zahl der CVEs Jahr für Jahr weiter steigt. Betrachtet man die Gesamtzahl der CVEs und prognostiziert sie bis zum Ende des Jahres, so ergibt sich ein klarer Wachstumstrend.

Dieser Trend gilt auch für die größten Anbieter von ERP-Anwendungen (d. h. SAP und Oracle). Die Onapsis Research Labs sehen weiterhin steigende Trends, wenn auch mit unterschiedlichen Raten für jeden Anbieter.

Image 1: Evolution of released CVE(s) over the years

Image 1: Evolution of released CVE(s) over the years

Image 2: Evolution of released Patches for SAP over the years (1 Patch fixes 1 or more vulnerabilities)

Image 2: Evolution of released Patches for SAP over the years (1 Patch fixes 1 or more vulnerabilities)

Image 3: Evolution of released CVE(s) for Oracle over the years

Image 3: Evolution of released CVE(s) for Oracle over the years

Nun, bei diesen steigenden CVE-Zahlen sollte es nicht überraschen, dass diese steigende Anzahl von CVEs einen Wachstumseffekt auf die Anzahl der tatsächlich in freier Wildbahn ausgenutzten Sicherheitslücken hat.

Die Zeit bis zur Ausnutzung sinkt weiter

Darüber hinaus stellt Mandiant fest, dass die Zeit bis zum Ausnutzen aktiv ausgenutzter Schwachstellen immer kürzer wird. Das bedeutet, dass Verteidiger weniger Zeit haben, auf Schwachstellen zu reagieren, da diese schneller als je zuvor aktiv ausgenutzt werden, wenn man frühere Zeiträume zugrunde legt.

 

Image 4: Evolution of Time To Exploit over the years

Image 4: Evolution of Time To Exploit over the years

N-Day-Schwachstellen sind veröffentlichte, bekannte Sicherheitsschwachstellen, für die es vom Hersteller bereitgestellte Sicherheits-Patches (z. B. von SAP oder Oracle) geben kann oder auch nicht. Was diese N-Day-Schwachstellen betrifft, so zeigen die Daten, dass die erste Ausnutzung einer Schwachstelle immer noch mit größerer Wahrscheinlichkeit innerhalb des ersten Monats nach Bekanntwerden der Schwachstelle erfolgt, selbst wenn die erste Ausnutzung breit über den Zeitraum von sechs Monaten verteilt war.

Obwohl diese Daten die durchschnittliche Zeit bis zum Ausnutzen mehrerer Schwachstellen verwenden, stimmen sie dennoch gut mit unseren eigenen Beobachtungen zu den typischen SAP- oder Oracle-Schwachstellen überein, über die wir in der Vergangenheit berichtet haben, wie z. B. die RECON-Schwachstelle. Im Fall von RECON haben wir bereits 72 Stunden nach der Veröffentlichung des Patches durch SAP eine aktive Ausnutzung festgestellt (weitere Informationen hier).

Die Anzahl und Vielfalt der von Bedrohungsakteuren ausgenutzten Ziele nimmt rapide zu

Laut Mandiant sind Microsoft, Google und Apple im Jahresvergleich weiterhin die am häufigsten ausgenutzten Anbieter. Interessant an den von Mandiant vorgelegten Daten ist jedoch, dass mehr als 50 Prozent der insgesamt ausgenutzten Schwachstellen auf andere Anbieter als diese drei entfallen. Dies ist historisch gesehen das erste Mal, dass dies der Fall ist, und es deutet auf ein gesteigertes Interesse an der Ausnutzung von Anwendungen und Software hin, die nicht von drei großen Betriebssystem- und Anwendungssoftwareanbietern mit dynamischen, gut finanzierten Bedrohungsforschungs- und Produktsicherheitsteams verwaltet werden.

In dem Bericht heißt es: „Die Akteure zielen zunehmend auf eine breitere Palette von Software ab, auch auf solche, die nicht so häufig für eine schnelle Behebung in Frage kommt. Infolgedessen ist die Wahrscheinlichkeit, dass Angreifer mit weniger verbreiteter Software Erfolg haben, potenziell höher, als wenn sie auf gängigere Produkte wie Microsoft-Betriebssysteme oder verschiedene Browser abzielen würden.

Onapsis Research Labs unterhält eine Threat Intel Cloud, die verschiedene ERP-Systeme und Softwareanwendungen in Echtzeit verfolgt und das Verhalten von Bedrohungsakteuren beobachtet, um die zugrunde liegenden Taktiken, Techniken und Verfahren für Angriffe auf geschäftskritische Anwendungssoftware besser zu verstehen. Wie bereits erwähnt, beobachten die Labore aufgrund der Zunahme von CVEs und Patches, die von einigen der von uns verfolgten ERP-Anbieter veröffentlicht werden, immer aggressivere und zahlreichere Angriffe auf die kritische Anwendungsebene von diesen ERP-Anbietern in unserem Honeypot-Netzwerk. Letztlich deckt sich dies mit den Daten von Mandiant und zeigt, dass Bedrohungsakteure einen größeren Zugang zu kritischen Systemen haben (z. B. durch digitale Transformation und Cloud-Unternehmensportale) sowie ein größeres Wissen und mehr Raffinesse, um ihr Angriffsarsenal über Microsoft Windows oder einen Chrome-Browser hinaus zu erweitern.

Erwähnenswert ist auch, dass die CISA im August dieses Jahres SAP- und Oracle-Schwachstellen in ihr Cybersecurity Advisory für die am häufigsten ausgenutzten Schwachstellen des Jahres 2022 aufgenommen hat. Dies war zwar das erste Auftauchen dieser Schwachstellen in dieser Liste, aber wir von den Onapsis Research Labs befürchten, dass es nicht das letzte Mal sein wird. Wir gehen sogar davon aus, dass diese Zahl in den kommenden Jahren noch steigen wird.

Ältere Schwachstellen sind immer noch wertvolle Ziele für Bedrohungsakteure

Es überrascht nicht, dass auch sechs Monate nach dem Bekanntwerden noch eine beträchtliche Anzahl von Schwachstellen als ausgenutzt erkannt wurde; einige von ihnen wurden erst Jahre später als Angriffsziele entdeckt. Zwar werden Zero-Day-Schwachstellen oder sogar erst kürzlich veröffentlichte N-Day-Schwachstellen bevorzugt, doch finden Bedrohungsakteure auch Gelegenheiten, um ältere und bekannte Schwachstellen auszunutzen. Mandiant erklärt: „Eine wichtige Erkenntnis daraus ist, dass Bedrohungsakteure zwar im Allgemeinen neuere Schwachstellen bevorzugen, sie aber nicht völlig vor Schwachstellen aufgrund ihres Alters und ihres öffentlichen Wissens zurückschrecken; Bedrohungsakteure schätzen es immer noch, bereits bekannte und dokumentierte Schwachstellen zu nutzen, anstatt neue zu entdecken.“

Die Onapsis Research Labs haben die aktive Ausnutzung dieser älteren, bekannten und oft gut publizierten Schwachstellen über mehrere Jahre hinweg kontinuierlich beobachtet – von ICMAD (CVE-2022-22536, gepatcht im Jahr 2022) über RECON (CVE-2020-6287, gepatcht im Jahr 2020) bis hin zur Invoker Servlet-Schwachstelle (CVE-2010-5326, gepatcht vor 13 Jahren).

Was machen wir also jetzt mit diesen Daten?

Der Bericht von Mandiant und seine Fülle an Daten in Kombination mit unseren eigenen Beobachtungen und der Bedrohungsforschung der Onapsis Research Labs zeigen, dass sowohl Softwareanbieter als auch die Unternehmen, die sie einsetzen, noch viel Arbeit vor sich haben. Für Software-Anbieter stellen die zunehmende Komplexität der Anwendungen, die digitale Transformation in der Cloud (die einen größeren Zugang bietet) und das boomende „Black-Hat-Geschäft“ (z. B. Ransomware) eine immer größere Herausforderung dar, wenn es darum geht, die Sicherheit zu gewährleisten und die wachsende Zahl der entdeckten Schwachstellen zu verwalten. Für Unternehmen und Benutzer kann es eine große Herausforderung sein, mit diesen Schwachstellen Schritt zu halten, was noch schwieriger wird, wenn Sie Patch-Management für kritische ERP-Systeme anbieten, die nicht ausfallen dürfen.

Wie lösen wir dieses Problem? Bedrohungsdaten, Technologie und Automatisierung für eine bessere Sichtbarkeit der Angriffsfläche und effizientere und effektivere risikoorientierte Schwachstellenmanagementprogramme.

Wenn wir uns kurz auf unsere ERP-Ziele konzentrieren, müssen unsere Verteidiger aufgrund des aggressiveren Bestrebens von Bedrohungsakteuren, Schwachstellen in diesen Systemen auszunutzen (anstatt Microsoft, Google oder Apple ins Visier zu nehmen), besser darauf vorbereitet sein, Kompromittierungen zu verhindern, da die Wahrscheinlichkeit, dass bekannte Schwachstellen ausgenutzt werden, höher ist.

Im Allgemeinen raten die Onapsis Research Labs unseren Kunden häufig zu…

  • Identifizieren Sie Ihre ERP-Anwendungen, -Module und -Komponenten, um Ihre Angriffsfläche und Bedrohungslandschaft besser zu verstehen. (Für SAP haben wir einen Open-Source Java Endpoint Analyzer veröffentlicht, der dabei hilft, offene Endpunkte zu identifizieren. Probieren Sie es aus!)
  • Verstehen Sie, welche Schwachstellen vorhanden sind und welche Patch-Hinweise auf Ihre Umgebung zutreffen. Stellen Sie einen Plan auf, um Prioritäten zu setzen und diese Sicherheitsschwachstellen so effektiv wie möglich zu beheben. (Die Onapsis-Plattform eignet sich hervorragend, um Teams dabei zu helfen, zu verstehen, wo sie verwundbar sind und was sie zuerst patchen sollten).
  • Erkennen Sie, dass Schwachstellen, die andere Anbieter als Microsoft, Apple oder Google betreffen, ein wachsendes Ziel für Bedrohungsakteure darstellen und in den meisten Fällen ein blinder Fleck für Unternehmen sind. (Dies ist häufig bei Schwachstellen der Fall, die SAP- und Oracle-Geschäftsanwendungen betreffen.)
  • Ziehen Sie in Erwägung, die Sicherheit geschäftskritischer Anwendungen enger in Ihre bestehenden Sicherheitsprogramme für Schwachstellenmanagement, -erkennung und -reaktion einzubinden. Auf diese Weise erhalten Sie einen wichtigen Einblick in die direkten Bedrohungen Ihrer wichtigsten ERP-Systeme. (Die Onapsis-Plattform ist die einzige von SAP unterstützte Lösung, die diese Prozesse auf integrierte Weise mit Ihrem bestehenden Stack angeht).
Source: Onapsis-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Thomas Fritsch, Onapsis

Firma zum Thema

onapsis