Im Jahr 2023 wurden fast 29.000 Schwachstellen ver?ffentlicht, 3.800 mehr als im Jahr 2022. Noch beunruhigender als die schiere Menge der Schwachstellen im Jahr 2023 ist, dass mehr als die H?lfte von ihnen mit einem CVSS-Score bewertet wurden, der auf einen hohen oder kritischen Schweregrad hinweist ¨C ein Anstieg von 57 % im Vergleich zum Vorjahr.
Allerdings werden nicht alle Schwachstellen zu bevorzugten Angriffsvektoren f¨¹r Cyberkriminelle, und Sicherheitsexperten k?nnen nicht jede ver?ffentlichte Schwachstelle beheben. Das Ziel ist es, Priorit?ten zu setzen und die gef?hrlichsten und potenziell sch?dlichsten zu identifizieren.
Und eine Schwachstelle hat sich an die Spitze gesetzt: Remote-Code-Ausf¨¹hrung (RCE).
Laut Arctic Wolf Labs handelte es sich bei neun der zehn gr??ten Schwachstellen des Jahres 2023 um RCEs. Diese neun Schwachstellen wurden bei 42 % aller Eins?tze von Arctic Wolf Incident Response gefunden. Mit der fortschreitenden Verbreitung der Cloud und der Allgegenwart von hybriden Arbeitsmodellen erwarten wir, dass diese Art von Schwachstellen sowohl in ihrer H?ufigkeit als auch Schweregrad weiter zunehmen wird.
RCEs haben Hochkonjunktur ¨C ihr kontinuierlicher Anstieg stellt ein echtes Cyberrisiko f¨¹r Unternehmen auf der ganzen Welt dar.
Was ist die Remote-Code-Ausf¨¹hrung?
Die h?ufig direkt aus dem Internet gestartete Remote-Code-Ausf¨¹hrung gibt Angreifern die M?glichkeit, die Kontrolle ¨¹ber einen Prozess oder ein Ger?t zu ¨¹bernehmen und den eigenen Code aus der Ferne auszuf¨¹hren, ohne dass er sich am selben Ort wie das System oder Ger?t befinden muss. Dies unterscheidet ihn von einer beliebigen Code-Ausf¨¹hrung (Arbitrary Code Execution, ACE), die aus dem lokalen Netzwerk (LAN) eines Systems gestartet wird. Mit Hilfe von Remote-Code-Ausf¨¹hrung kann ein Angreifer Code von au?erhalb des Systems ausf¨¹hren, der dann einen internen ACE ausl?st.
Sobald ein Angreifer eine RCE-Schwachstelle erfolgreich ausnutzt, kann er potenziell die vollst?ndige Kontrolle ¨¹ber das Zielsystem erlangen, wodurch er vertrauliche Daten stehlen, den Betrieb st?ren oder weitere Angriffe starten kann.
Ber¨¹chtigte RCE-Angriffe
WannaCry
Der vielleicht heimt¨¹ckischste aller Ransomware-Varianten, WannaCry brachte Ransomware im Jahr 2017 in den Mainstream. Der WannaCry-Ransomware-Wurm verbreitete sich durch die Ausnutzung einer Schwachstelle im Server Message Block Protocol (SMB). Diese Schwachstelle erm?glichte es einem Angreifer, b?sartigen Code auf anf?lligen Computern auszuf¨¹hren, wodurch die Ransomware auf wertvolle Dateien zugreifen und diese verschl¨¹sseln konnte. WannaCry konnte so mehr als 200.000 Windows-Computer in 150 L?ndern befallen. Diese Variante war besonders gef?hrlich?¨C und unter Umst?nden t?dlich?¨C, da auch die Krankenh?user des National Health Service im Vereinigten K?nigreich zu den am st?rksten betroffenen Opfern z?hlten. Die Five Eyes Alliance ¨C ein Geheimdienstb¨¹ndnis bestehend aus Australien, Kanada, Neuseeland, dem Vereinigten K?nigreich und den Vereinigten Staaten ¨C hat den Angriff nordkoreanischen Bedrohungsakteuren zugeschrieben.
SolarWinds
Bei einem der katastrophalsten Datenschutzverst??e des Jahres 2020 nutzte der russische SVR eine Zero-Day-Schwachstelle f¨¹r die Remote Code-Ausf¨¹hrung in der SolarWinds Orion-Plattform, um Malware in sch?tzungsweise 18.000 privaten und staatlichen Netzwerken zu verteilen und so Zugang zu einer F¨¹lle von identifizierbaren Informationen zu erhalten, darunter Quellcode, Passw?rter, finanzielle Daten und Benutzernamen.
Log4j / Log4Shell
Anfang Dezember 2021 wurde Log4Shell (CVE-2021-44228) erstmals als Zero-Day-Schwachstelle f¨¹r die Remote-Code-Ausf¨¹hrung in Apache Log4j 2 identifiziert. Ein nicht authentifizierter, entfernter Bedrohungsakteur k?nnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Anfrage an einen Server sendet, auf dem eine anf?llige Version von Log4j l?uft. Arctic Wolf Labs beobachtete, dass eine von vier Organisationen in unserem Kundenstamm zwischen Januar und Dezember 2022 Ziel von Log4Shell-Angriffen war. Die Ausnutzung der Log4Shell war in 11 % aller Arctic Wolf? Incident Response F?llen im Jahr 2022 die Ursache f¨¹r die Kompromittierung bei Kunden, bei denen die Incident Reponse Services die erste Zusammenarbeit des Kunden mit Arctic Wolf waren.
Spring4Shell
Ende M?rz 2022 ver?ffentlichte Spring einen Sicherheitshinweis, der Spring4Shell best?tigte, eine Schwachstelle f¨¹r die Remote-Code-Ausf¨¹hrung (RCE) im Spring Framework. Zus?tzlich zu dem Sicherheitshinweis hat Spring Patches ver?ffentlicht, die die Schwachstelle beheben. Die Schwachstelle mit der Bezeichnung CVE-2022-22965 wurde mit einem kritischen Schweregrad eingestuft. Insbesondere betraf die Schwachstelle nicht nur Spring MVC, sondern auch Spring WebFlux-Anwendungen, die mit JDK 9+ ausgef¨¹hrt wurden. Bedrohungsakteure konnten diese Schwachstelle ausnutzen, um Cryptominer und Botnetz-Malware in Umgebungen einzuschleusen.
RCE-Angriffe nehmen in alarmierendem Ma?e zu. Im September 2024 beobachtete Arctic Wolf Labs, dass die ber¨¹chtigte Ransomware-Gruppe Akira einen bestimmten RCE-Schwachstellen-Exploit (CVE-2024-40766) als erste Zugriffsmethode f¨¹r Ransomware-Angriffe auf mehrere Unternehmen nutzte.
So funktioniert die Remote-Code-Ausf¨¹hrung
RCE-Schwachstellen erlauben einem Angreifer die Ausf¨¹hrung von beliebigem Code auf einem entfernten System. Das bedeutet, dass ein Angreifer unbefugten Zugriff auf ein System erlangen und Befehle oder Programme aus der Ferne ausf¨¹hren kann, ohne physischen Zugriff auf das Zielsystem zu haben oder zu ben?tigen.
Diese Schwachstelle ist deshalb so beliebt, weil sie Angreifern den Erstzugang zu einem Zielnetzwerk verschafft, ohne dass sie beispielsweise einen identit?tsbasierten Angriff wie Social Engineering durchf¨¹hren m¨¹ssen, der ihnen g¨¹ltige Anmeldedaten verschaffen k?nnte, um denselben Erstzugang zu erhalten. Mit RCE k?nnen Bedrohungsakteure aus der Ferne in ein Netzwerk eindringen, ohne Anmeldedaten zu ben?tigen.
Es gibt mehrere M?glichkeiten, wie ein Angreifer die Remote-Code-Ausf¨¹hrung durchf¨¹hren kann, darunter:
Injection
Ein Injection Exploit f¨¹hrt b?swillige Abfragen aus, um die Kontrolle ¨¹ber einen Datenbankserver zu ¨¹bernehmen, auf dem eine Webanwendung l?uft. Bei einer SQL-Injection beispielsweise injiziert der Bedrohungsakteur b?sartige Daten, die das System als Befehl interpretiert, wodurch er die Authentifizierung und Autorisierung der Anwendung umgehen und Daten aus der gesamten SQL-Datenbank abrufen kann. Dies kann ebenso zum Hinzuf¨¹gen, ?ndern oder L?schen von Daten in der Datenbank verwendet werden.
SQL-Injections werden h?ufig verwendet. Arctic Wolf sah einen 125%igen Anstieg der Indikatoren f¨¹r SQL-Aktivit?ten im November 2023, da Tools wie sqlmap einen legitimen Weg in eine Umgebung mit wenig Widerstand oder M?glichkeit der Erkennung bieten.
Deserialisierung
Serialisierung ist die Umwandlung eines Objekts ¨C z. B. eines Dateiordners ¨C in ein Format, das aufbewahrt, gespeichert und ¨¹bertragen werden kann, ?hnlich wie eine .zip-Datei es erm?glicht, einen Ordner mit mehreren Dateien als eine Einheit zu versenden. Bei der Deserialisierung wird diese Umwandlung r¨¹ckg?ngig gemacht, sodass das Objekt gelesen und/oder ausgef¨¹hrt werden kann. Wenn das deserialisierte Objekt jedoch unverschl¨¹sselt ist, k?nnen Angreifer es mit b?sartigem Code ver?ndern, was zu einer nicht authentifizierten Remote-Code-Ausf¨¹hrung f¨¹hrt.
Schreiben au?erhalb der Grenzen
Bei diesem Exploit nutzt ein Bedrohungsakteur die falsch formatierte Speicherzuweisung einer Software aus, um Daten ¨¹ber die Grenzen eines Puffers hinaus zu schreiben ¨C ein tempor?rer Datenspeicher, der verwendet wird, w?hrend Daten ¨¹bertragen werden ¨C was zur Ausf¨¹hrung von beliebigem Code f¨¹hrt.
Fehlerhafte Eingabe¨¹berpr¨¹fung
Wenn Softwareanwendungen Benutzereingaben nicht ordnungsgem?? s?ubern, k?nnen Angreifer eine Datei mit b?sartigem Code hochladen, die dann von der Anwendung ausgef¨¹hrt wird, weil sie diese f¨¹r g¨¹ltig h?lt.
Wichtig ist, dass die Remote-Code-Ausf¨¹hrung in jeder Computersoftware oder Anwendung m?glich ist und nicht durch Programmiersprachen oder Betriebssysteme eingeschr?nkt ist. Dies ist ein weiterer Grund, warum RCE-Exploits in den letzten Jahren so stark zugenommen haben, und es keine Anzeichen f¨¹r eine Verlangsamung gibt.
Keine zwei RCEs sind gleich. Einige Schwachstellen, wie Spring4Shell, bieten Bedrohungsakteuren mehr als einen Weg f¨¹r die Remote-Code-Ausf¨¹hrung. Dies h?ngt von den Besonderheiten der Schwachstelle und der betroffenen Anwendung ab.
So sch¨¹tzen Sie sich vor der Remote-Code-Ausf¨¹hrung
Eine der wichtigsten M?glichkeiten, RCE zu verhindern, sind rechtzeitige Software-Updates und Patches. Wenn eine Schwachstelle in einer Software oder einer Anwendung entdeckt wird, ver?ffentlichen die Unternehmen, die dahinter stehen, Updates oder Patches f¨¹r die Benutzer. Wenn Sie sicherstellen, dass Sie auf dem Laufenden bleiben und Ihre Software und Anwendungen auf dem neuesten Stand halten, k?nnen Sie das Risiko von RCE-Angriffen verringern.
Eine weitere wirksame ¨C und proaktivere ¨C Methode zur Verhinderung von RCE ist ein risikobasiertes Programm zum Vulnerability Management. Die meisten CVEs mit kritischem Schweregrad, die entdeckt werden, f¨¹hren zu RCE. Daher ist es wichtig, dass Sie Ihre Umgebung nach Schwachstellen durchsuchen und Ihren Patching-Zeitplan im Auge behalten.
Da jedes Unternehmen andere Sicherheits- und Gesch?ftsanforderungen hat, die sich ?ndern k?nnen, sollte das Ziel des Vulnerability Managements nicht darin bestehen, jede m?gliche Schwachstelle zu beseitigen, sondern einen risikobasierten Ansatz zu verfolgen, der das Risiko im Laufe der Zeit reduziert.
Erfahren Sie, wie Arctic Wolf, und Arctic Wolf Labs, Unternehmen hilft, den ?berblick ¨¹ber CVEs und andere, auf Schwachstellen ausgerichtete Bedrohungen zu behalten.
Dar¨¹ber hinaus ist die F?higkeit, b?sartige Aktionen, einschlie?lich m?glicher RCE-Exploits, in Echtzeit zu erkennen und schnell darauf zu reagieren, f¨¹r den Gesamtschutz von entscheidender Bedeutung. Da nicht jede Schwachstelle behoben werden kann, kann ein ?berwachungssystem Ihrem Unternehmen dabei helfen, einen Angriffsversuch zu erkennen, bevor er sich ausbreitet und ein tats?chlicher Cyberangriff beginnt.
Wann eine Partnerschaft mit einem Drittanbieter sinnvoll ist
Viele IT- und Sicherheitsteams haben mit fehlenden Budgets und einem Mangel an verf¨¹gbaren Sicherheitsexperten zu k?mpfen, was bedeutet, dass eine rund-um-die-Uhr-?berwachung der gesamten Umgebung sowie eine schnelle Erkennung und Reaktion bereits intern eine Herausforderung darstellen. Aus dieser Perpektive betrachtet, ist das Hinzuf¨¹gen eines proaktiven Vulnerability- und Risiko-Managements zu dieser Arbeitsbelastung eine weitere Belastung, die oft auf der Strecke bleibt.
In diesem Fall kann die Zusammenarbeit mit einem Anbieter von Sicherheitsl?sungen eine wertvolle Unterst¨¹tzung bei der Ermittlung der Risikobereitschaft Ihres Unternehmens bieten ¨C also des Risikos, das Sie bereit sind, f¨¹r Ihre Gesch?ftst?tigkeit einzugehen ¨C sowie beim Patchen und Entsch?rfen der f¨¹r Ihr Unternehmen gef?hrlichsten Schwachstellen und der Bereitstellung von L?sungen f¨¹r die ?berwachung, Erkennung und Reaktion rund um die Uhr.
Ein Anbieter f¨¹r Managed Security Operations wie Arctic Wolf bietet nicht nur Transparenz und Reaktionsf?higkeit durch ein erfahrenes Team von Sicherheitsexperten, sondern arbeitet auch daran, die Risiken, einschlie?lich der Schwachstellen, zu entdecken und zu bewerten, indem er die Angriffsfl?che in Ihren verschiedenen Umgebungen in einen Zusammenhang bringt. Des Weiteren wird Ihnen geholfen, ein effektives Vulnerability Management zu implementieren und gleichzeitig Ihr allgemeines Sicherheitsniveau zu verbessern und Ihr Risiko zu reduzieren.
Erfahren Sie mehr ¨¹ber die Schwachstellen, auf die Ihr Unternehmen achten muss, im Arctic Wolf 2024 Security Operations Report.
Erfahren Sie, wor¨¹ber sich andere Unternehmen Sorgen machen und welche Schritte sie unternehmen, um das Risiko zu verringern im State of Cybersecurity: 2024 Trends Report.
