Thought Leadership
Ende Juli 2021 veröffentlichte die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) eine Cybersecurity-Warnung, in der die 30 bekanntesten Schwachstellen aufgeführt sind, die in den Jahren 2020 und 2021 regelmäßig von kriminellen Hackern ausgenutzt wurden.
Unternehmen wird empfohlen, diese Schwachstellen so schnell wie möglich zu beheben und Patches oder Umgehungslösungen anzuwenden.
In der Empfehlung heißt es: „Wenn eine Organisation nicht in der Lage ist, die gesamte Software kurz nach der Veröffentlichung eines Patches zu aktualisieren, sollten vorrangig Patches für CVEs implementiert werden, von denen bereits bekannt ist, dass sie ausgenutzt werden, oder die für die größte Anzahl potenzieller Angreifer zugänglich sind (z. B. Systeme mit Internetanschluss).“
Die CISA hat die Empfehlung in Zusammenarbeit mit dem Australian Cyber Security Centre (ACSC), dem National Cyber Security Centre (NCSC) des Vereinigten Königreichs und dem U.S. Federal Bureau of Investigation (FBI) veröffentlicht.
Die Warnung der CISA ähnelt in ihrem Umfang einer Warnung der Nationalen Sicherheitsbehörde der USA (NSA) vom Oktober 2020. Diese listet die 25 bekanntesten Schwachstellen auf, die aktiv von chinesischen, staatlich unterstützten kriminellen Hackern genutzt werden.
Top Schwachstellen
Nachfolgend aufgelistet sind die wichtigsten regelmäßig ausgenutzten Schwachstellen in den Jahren 2020 und 2021, sowie die betroffenen Produkte und zugehörigen VMDR QID(s) für jede Schwachstelle.
| CVE-IDs | Betroffene Produkte | Qualys Detections (QIDs) |
| CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 |
Microsoft Exchange | 50107, 50108 |
| CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900 |
Pulse Secure | 38838 |
| CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104 |
Accellion | 38830 |
| CVE-2021-21985 | VMware | 730102, 216261, 216260, 216259 |
| CVE-2018-13379, CVE-2020-12812, CVE-2019-5591 |
Fortinet | 43702, 43769, 43825 |
| CVE-2019-19781 | Citrix | 150273, 372305, 372685 |
| CVE-2019-11510 | Pulse | 38771 |
| CVE-2018-13379 | Fortinet | 43702 |
| CVE-2020-5902 | F5- Big IP | 38791, 373106 |
| CVE-2020-15505 | MobileIron | 13998 |
| CVE-2017-11882 | Microsoft | 110308 |
| CVE-2019-11580 | Atlassian | 13525 |
| CVE-2018-7600 | Drupal | 371954, 150218, 277288, 176337, 11942 |
| CVE-2019-18935 | Telerik | 150299, 372327 |
| CVE-2019-0604 | Microsoft | 110330 |
| CVE-2020-0787 | Microsoft | 91609 |
| CVE-2020-1472 | Netlogon | 91688 |
Gemäß den CISA-Richtlinien sind folgende Maßnahmen zu ergreifen, um Ressourcen vor Angriffen zu schützen:
- Minimierung von Lücken in der Personalverfügbarkeit und konsequente Nutzung relevanter Bedrohungsdaten.
- Das Überwachungsteam eines Unternehmens sollte Anzeichen für eine Kompromittierung (IOCs) sowie strenge Meldeverfahren genau im Auge behalten.
- Es werden regelmäßige Übungen zu Incident Responses auf Organisationsebene als proaktiver Ansatz empfohlen.
- Unternehmen sollten für den Fernzugriff auf Netzwerke von externen Quellen aus eine Multi-Faktor-Authentifizierung verlangen, insbesondere für Administrator- oder privilegierte Konten.
- Konzentration von Ressourcen für die Cyberabwehr auf die Behebung von Schwachstellen, die von Cyberakteuren am häufigsten genutzt werden.
Abhilfe und Schadensbegrenzung
- Systeme und Geräte umgehend und sorgfältig patchen.
- Strenge Konfigurationsverwaltungsprogramme implementieren.
- Unnötige Ports, Protokolle und Dienste deaktivieren.
- Die Überwachung des Netzwerk- und E-Mail-Verkehrs verbessern.
- Schutzfunktionen nutzen, um bösartige Aktivitäten zu stoppen.
Animesh Jain, Vulnerability Signatures Product Manager, Qualys
