Die Netzwerkangriffstrends der vergangenen Monate hat Unit42 analysiert. Dabei haben die Security-Experten viele interessante Exploits in freier Wildbahn entdeckt. Die Mehrheit der von November 2020 bis Januar 2021 beobachteten Angriffe (75 Prozent) haben die Forscher als kritisch eingestuft, verglichen mit knapp über der Hälfte (50,4 Prozent) im Herbst 2020.
Mehrere neu beobachtete Exploits, darunter CVE-2020-28188, CVE-2020-17519 und CVE-2020-29227, sind aufgetaucht und wurden von Ende 2020 bis Anfang 2021 kontinuierlich in freier Wildbahn ausgenutzt.
Datenerfassung
Durch den Einsatz von Next-Generation-Firewalls als Sensoren am Perimeter isolierten die Forscher im festgelegten Zeitraum gefährliche Aktivitäten von gutartigem Datenverkehr. Den unzulässigen Datenverkehr hat das Team dann anhand von Metriken wie IP-Adressen, Ports und Zeitstempeln weiterverarbeitet.
Dies identifiziert die Einzigartigkeit jeder Angriffssitzung und eliminiert so mögliche Datenverzerrungen. Palo Alto Networks korrelierte dann die verfeinerten Daten mit anderen Attributen wie Angriffskategorien und Herstelleranalysen, um Angriffstrends im Laufe der Zeit abzuleiten und sich ein Bild von der Bedrohungslandschaft zu machen.
Wie schwerwiegend waren die Netzwerkangriffe im Winter?
Die Forscher haben Signaturen mit den Kategorien „informativ“ und „niedriger Schweregrad“ zur Erkennung von Scan- und Brute-Forcing-Versuchen verwendet. Unit 42 betrachtet ausnutzbare Schwachstellen mit einem Schweregrad von mittel und höher (basierend auf dem CVSS v3 Score) als einen verifizierten Angriff.
Von den 6,09 Millionen Triggern für den Netzwerkverkehr waren insgesamt 3,47 Millionen Sitzungen echte Angriffe. In Übereinstimmung mit der vorherigen Analyse zeigte die Ausnutzung von Schwachstellen mit kritischem Schweregrad eine steigende Tendenz.
Wann erfolgten die Netzwerkangriffe?
Anhand der Daten aus dem Beobachtungszeitraum hat Palo Alto Networks die meisten Angriffe als kritisch eingestuft. Angreifer nutzten außerdem häufig neuere Schwachstellen, die im vergangenen Jahr bekannt wurden, ebenso wie Schwachstellen, die zwischen 2017 und 2020 in freier Wildbahn ausgenutzt wurden. Dies unterstreicht, wie wichtig es ist, Sicherheits-Patches anzuwenden, sobald sie verfügbar sind, um Schutz vor den zuletzt entdeckten Schwachstellen zu bieten.
Verteilung relevanter Netzwerkangriffskategorien
Codeausführung machte 46,6 Prozent der Angriffe aus, was bedeutet, dass diese Kategorie ein hohes Risiko für das Netzwerk darstellt. Sowohl Code-Ausführung als auch Privilegien-Erweiterung machten 17,3 Prozent der Angriffe aus, was eine schwerwiegende Gefährdung ist, wenn der Angreifer Root-Rechte erlangen kann. Bei 9,9 Prozent der Angriffe fand SQL-Injektion statt. Die Angreifer versuchen dabei kontinuierlich an sensible Daten zu gelangen, größeren Zugriff zu erlangen und eine Exploit-Kette aufzubauen, die zu stärkeren Angriffen wie Remote-Code-Ausführung führt.
Von wo aus erfolgten die Angriffe?
Nachdem Unit 42 zunächst die Region identifiziert hat, aus der die einzelnen Netzwerkangriffe stammen, hat sich in der detaillierten Nachverfolgung gezeigt, dass die meisten Angriffe aus Russland zu kommen scheinen, gefolgt von den USA und China. Die Forscher sind sich jedoch bewusst, dass die Angreifer möglicherweise Proxy-Server und VPNs in diesen Ländern nutzen, um ihren tatsächlichen Standort zu verschleiern.
Die Daten von Unit 42 zu den Netzwerkangriffstrends aus den vergangenen Monaten zeigen, dass Angreifer Exploits bevorzugen, die leicht zu implementieren sind. Während sie fertige, bewaffnete Exploits bereithalten, werden Angreifer ihr Arsenal kontinuierlich mit neu veröffentlichten Schwachstellen und den dazugehörigen Proofs-of-Concept erweitern. Dies unterstreicht die Notwendigkeit für Unternehmen, regelmäßig Patches zu installieren und bewährte Sicherheitsverfahren zu implementieren. (rhh)