logo SOS Ransomware
Kontakt 24/7

Top 15 der am häufigsten ausgenutzten Schwachstellen im Jahr 2023: Bericht von CISA, NSA und Partnern

Ein gemeinsamer Bericht der CISA, des FBI und der NSA, der von den Mitgliedern der Five Eyes Alliance (USA, Australien, Kanada, Neuseeland und Großbritannien) unterstützt wurde, zeigt, welche Schwachstellen im Jahr 2023 am häufigsten von Cyberkriminellen ausgenutzt werden. Darunter nehmen Zero-Day-Schwachstellen, die noch vor der Veröffentlichung von Patches ausgenutzt werden, eine herausragende Stellung ein. Diese Ransomware-Angriffe, die auf kritische Infrastrukturen und weit verbreitete Software abzielen, gefährden die Daten und Systeme von Organisationen auf der ganzen Welt.

Eine beispiellose Ausnutzung von Zero-Day-Schwachstellen.

Im Jahr 2023 haben die Angriffe, die bekannte Schwachstellen ausnutzen, einen neuen Höhepunkt erreicht. Dieser alarmierende Trend wurde von führenden Cybersicherheitsbehörden wie CISA, FBI und NSA aufgezeigt, die eine umfassende Analyse der von Cyberkriminellen am häufigsten genutzten Schwachstellen veröffentlicht haben. Diese Angriffe stützen sich hauptsächlich auf ungepatchte Schwachstellen oder unangemessene Konfigurationen und ermöglichen es Angreifern, in kritische Systeme einzudringen und auf sensible Daten zuzugreifen.

Dem Bericht zufolge machten Zero-Day-Lücken, die vor der Veröffentlichung von Patches ausgenutzt wurden, im Jahr 2023 einen erheblichen Teil der Angriffe aus. „Im Jahr 2023 wurde die Mehrheit der am häufigsten ausgenutzten Schwachstellen als Zero-Day-Schwachstellen ausgenutzt, was einen Anstieg gegenüber 2022 darstellt, als weniger als die Hälfte der am häufigsten ausgenutzten Schwachstellen als Zero-Day-Schwachstellen ausgenutzt wurden“, heißt es zu Beginn des Berichts.

Noch beunruhigender ist, dass Schwachstellen, die ursprünglich mehrere Jahre zuvor erkannt wurden, weiterhin aktiv ausgenutzt werden: „Böswillige Cyberangreifer sind weiterhin am erfolgreichsten bei der Ausnutzung von Schwachstellen innerhalb von zwei Jahren nach der öffentlichen Bekanntmachung der Schwach stelle . Der Nutzen dieser Schwachstellen nimmt mit der Zeit ab, da die Systeme gepatcht oder ersetzt werden.“ Dies unterstreicht ein Missverhältnis zwischen der Geschwindigkeit der Bereitstellung von Patches und der Agilität der Angreifer. Dies verdeutlicht eine mangelnde Priorisierung der Sicherheit in vielen Organisationen.

Top 15 der am häufigsten ausgenutzten Schwachstellen im Jahr 2023.

1. CVE-2023-3519: Citrix netscaler ADC und Gateway.

Diese von den Forschern als CitrixBleed bezeichnete Schwachstelle, eine der am häufigsten ausgenutzten Schwachstellen im Jahr 2023, ermöglicht eine Codeeinspeisung in ungepatchte Citrix-Systeme. Ein nicht authentifizierter Angreifer kann eine bösartige HTTP-GET-Anfrage ausnutzen, um einen Pufferüberlauf zu verursachen und aus der Ferne Code auszuführen. Diese Art von Angriff ist besonders gefährlich für Unternehmen, die Citrix-Lösungen zur Verwaltung ihrer Cloud-Infrastrukturen und Unternehmensnetzwerke einsetzen. Diese kritische Sicherheitslücke (CVSS-Wert 9,8) wurde unter anderem von Lockbit bei seinem Angriff auf Boeing im November 2023 ausgenutzt , wodurch 43 GB an sensiblen Daten gestohlen und veröffentlicht wurden. Darüber hinaus waren auch Regierungsbehörden von dieser Sicherheitslücke betroffen, was zu 13 größeren Vorfällen in Großbritannien führte.

Art der Sicherheitslücke: Code-Injektion.

2. CVE-2023-4966: Citrix netscaler ADC und Gateway.

Diese Sicherheitslücke (CVSS-Wert 9.4) erleichtert die Umgehung von Authentifizierungskontrollen und MFA. Sie wurde von LockBit 3.0 gegen wichtige Ziele wie dieIndustrial and Commercial Bank of China (ICBC) und die Anwaltskanzlei Allen & Overy ausgenutzt und gefährdete im Rahmen koordinierter Angriffe kritische und strategische Daten. Im Oktober 2023 wurde ein POC (Proof of Concept) veröffentlicht, der den Diebstahl von Sitzungstokens demonstrierte und Angriffe auf ungepatchte Systeme erleichterte.

Art der Sicherheitslücke: Buffer Overflow.

3. CVE-2023-20198: Cisco IOS XE Web UI.

Bei Ausnutzung dieser Sicherheitslücke (CVSS-Wert von 10) , die die Cisco IOS XE-Software betrifft, kann ein nicht autorisierter Benutzer ein lokales Konto mit grundlegenden Rechten erstellen und die Systemintegrität gefährden.

Art der Sicherheitsanfälligkeit: Erhöhung von Berechtigungen.

4. CVE-2023-20273: Cisco IOS XE.

Diese Sicherheitslücke (CVSS-Score 7.2), die mit der vorherigen in Zusammenhang steht, ermöglicht eine Erhöhung von Berechtigungen bis zur Administratorebene. Wird sie ausgenutzt, ermöglicht sie die vollständige Kontrolle über die betroffenen Systeme.

Art der Sicherheitslücke: Web UI-Befehlsinjektion.

5. CVE-2023-27997: Fortinet FortiOS SSL-VPN.

Angreifer können durch das Senden bestimmter Anfragen beliebigen Code oder Befehle ausführen. Die Sicherheitslücke (CVSS-Wert 9.2) wurde aktiv ausgenutzt, um in sichere Netzwerke einzudringen.

Art der Sicherheitslücke: Heap-Based Buffer Overflow.

6. CVE-2023-34362: MOVEit Transfer

Durch Missbrauch einer SQL-Injection-Schwachstelle kann als Systemadministrator Zugriff auf APIs erlangt werden. Sobald sie dieses Token erhalten haben, missbrauchen Cyberkriminelle Deserialisierungsaufrufe, um Schadcode auszuführen. Im Mai 2023 nutzte die Ransomware-Gruppe CL0P, diese SQLi-Zero-Day-Schwachstelle, um Daten von über 2.700 Organisationen zu stehlen und 93 Millionen Datensätze zu kompromittieren. Die Sicherheitslücke ermöglichte die Implementierung einer benutzerdefinierten Webshell (LEMURLOOT), die die Exfiltration von Daten erleichterte. Cyberkriminelle nutzen diese Informationen, um Kettenangriffe durchzuführen, bei denen nicht nur Daten, sondern auch die zugehörigen Sicherungssysteme kompromittiert werden.

Art der Sicherheitslücke: SQL-Injektion.

7. CVE-2023-22515: Atlassian Confluence.

Die Sicherheitslücke CVE-2023-22515 in Atlassian Confluence(CVSS-Score 10) nutzt eine fehlerhafte Validierung von Eingaben aus, um initialen Zugriff auf Netzwerke zu erhalten. Der Exploit ermöglicht außerdem die Erstellung eines neuen Administratorkontos und installiert ein bösartiges Plugin zur Ausführung beliebigen Codes.

Art der Sicherheitslücke: Fehlerhafte Zugriffskontrolle.

8. CVE-2021-44228: Apache Log4j.

Diese im Dezember 2021 entdeckte Log4Shell-Sicherheitslücke, die die Apache Log4j-Bibliothek betrifft, ist nach wie vor ein beliebtes Werkzeug von Cyberkriminellen. Die Sicherheitslücke ermöglicht Remotecodeausführung und eröffnet damit eine Reihe von Angriffsmöglichkeiten, die von Datendiebstahl bis hin zur Verbreitung von Ransomware reichen.

Art der Sicherheitslücke: Remotecodeausführung.

9. CVE-2023-2868: Barracuda Email Security Gateway.

Diese Sicherheitslücke bei der Eingabevalidierung (CVSS-Wert 9.4) im Barracuda Email Security Gateway ermöglicht die Ausführung von Befehlen aus der Ferne, wodurch E-Mail-Umgebungen kompromittiert werden können.

Art der Sicherheitslücke: Falsche Validierung von Eingaben.

10. CVE-2022-47966: Zoho ManageEngine.

Über diese Sicherheitslücke, die Codeausführung ohne Authentifizierung ermöglicht, kann ein Angreifer eine gefälschte SAML-Anforderung senden, um Zoho ManageEngine-Anwendungen zu kompromittieren.

Art der Sicherheitsanfälligkeit: Remotecodeausführung.

11. CVE-2023-27350: PaperCut MF/NG

Durch eine Kombination aus Authentifizierungsumgehung und Ausnutzung eingebetteter Skripte ermöglicht diese Sicherheitslücke (CVSS-Wert 9.8) Cyberkriminellen, beliebige Befehle auf anfälligen Systemen auszuführen.

Art der Sicherheitslücke: Fehlerhafte Zugriffskontrolle.

12. CVE-2020-1472: Microsoft Netlogon.

Über eine anfällige Standardkonfiguration kann ein Angreifer eine sichere Verbindung zum Netlogon-Protokoll herstellen und seine Berechtigungen eskalieren, um die Fernsteuerung betroffener Systeme zu übernehmen.

Art der Sicherheitsanfälligkeit: Erhöhung von Berechtigungen.

13. CVE-2023-42793: JetBrains TeamCity.

Diese Authentifizierungslücke (CVSS-Score 9.8) ermöglicht es unbefugten Benutzern, aus der Ferne Code auf TeamCity-Servern auszuführen und so Entwicklungsumgebungen zu kompromittieren.

Art der Sicherheitsanfälligkeit: Authentifizierungsbypass.

14. CVE-2023-23397: Microsoft Office Outlook.

Eine Erhöhung von Berechtigungen kann durch das Versenden einer schädlichen E-Mail erreicht werden. Die Sicherheitslücke (CVSS-Wert 9.8) wird automatisch aktiviert, wenn der Outlook-Client die E-Mail verarbeitet, ohne dass eine Benutzerinteraktion erforderlich ist.

Art der Sicherheitsanfälligkeit: Erhöhung von Berechtigungen.

15. CVE-2023-49103: OwnCloud graphapi.

Diese Sicherheitslücke (CVSS-Wert von 10) legt sensible Informationen wie Administratorpasswörter oder Lizenzschlüssel offen, auf die ohne vorherige Authentifizierung zugegriffen werden kann.

Art der Sicherheitslücke: Offenlegung von Informationen.

Warum sind diese Schwachstellen weiterhin ein beliebtes Ziel?

Die Hartnäckigkeit der ausgenutzten Schwachstellen lässt sich durch mehrere Faktoren erklären:

  1. Verspätete oder nicht vorhandene Pat ches: Einige Organisationen verfügen nicht über ein effektives Patch-Management-Verfahren. Angriffe, die Schwachstellen ausnutzen, die vor zwei oder mehr Jahren veröffentlicht wurden, sind nach wie vor häufig – ein Zeichen dafür, dass Updates nur langsam angenommen werden.
  2. Systemkomplexität: Die zunehmende Vernetzung von Systemen und die Verwendung von Software von Drittanbietern vervielfachen die potenziellen Einfallstore für Angreifer. Beispielsweise sind hybride Cloud-Umgebungen häufig Angriffen über schlecht gesicherte Verwaltungstools ausgesetzt.
  3. Fortgeschrittene Techniken der Angreifer: Cyberkriminelle nutzen automatisierte Tools, um ungepatchte Systeme zu scannen. Darüber hinaus arbeiten sie über Untergrundforen zusammen, um Exploits und Informationen über verwundbare Ziele auszutauschen.

Stärkung der Widerstandsfähigkeit: Bewährte Strategien für CISOs

Um die Auswirkungen von Schwachstellen zu begrenzen, ist es entscheidend, robuste Präventivmaßnahmen zu ergreifen. Hier sind einige Schlüsselempfehlungen zum Schutz Ihrer Systeme :

Setzen Sie Prioritäten beim Patch-Management.

Durch die Implementierung eines zentralen Patch-Management-Systems können kritische Schwachstellen schnell identifiziert und die erforderlichen Updates eingespielt werden. Organisationen sollten außerdem strenge Richtlinien für den Austausch von Software am Ende ihrer Lebensdauer festlegen, die häufig ohne Sicherheitsunterstützung zurückgelassen wird.

Verstärken Sie die Netzwerküberwachung.

Tools zur Verhaltensanalyse und Anomalieerkennung, wie EDR-Lösungen (Endpoint Detection and Response), spielen eine herausragende Rolle bei der Erkennung verdächtiger Aktivitäten. Mit ihrer Hilfe können Versuche, bekannte Schwachstellen auszunutzen, schnell blockiert werden.

Führen Sie eine segmentierte Netzwerkarchitektur ein.

Die Einschränkung der Seitwärtsbewegungen von Angreifern durch die Segmentierung interner Netzwerke ist eine wesentliche Praxis. Indem Sie kritische Systeme isolieren, verringern Sie das Risiko, dass ein Angreifer Ihre gesamte Infrastruktur kompromittiert.

Fördern Sie eine Kultur der Cybersicherheit.

Die Mitarbeiter sind oft der erste Verteidigungspunkt gegen Cyberangriffe. Regelmäßige Schulungen zu bewährten Sicherheitspraktiken, z. B. zum Erkennen von Phishing-E-Mails, können das Risiko deutlich senken.

Sofortige Maßnahmen zur Abwehr von Bedrohungen

Auch 2024 ist schnelles Handeln ein entscheidender Faktor bei der Abwehr von Cyberbedrohungen. Hier ist ein Plan für Sofortmaßnahmen:

  1. Überprüfen Sie Ihre Systeme, um exponierte Schwachstellen zu identifizieren.
  2. Patchen Sie alle kritischen Schwachstellen, die in diesem Bericht erwähnt werden.
  3. Implementieren Sie fortschrittliche Sicherheitslösungen wie Anwendungsfirewalls und Schwachstellenscanner.
  4. Arbeiten Sie mit Ihren Anbietern zusammen, um sicherzustellen, dass deren Produkte sichere Designprinzipien einhalten.

Alle diese Schwachstellen sind öffentlich bekannt, aber viele sind zum ersten Mal in den Top 15 aufgeführt „, sagte Jeffrey Dickerson, technischer Direktor für Cybersicherheit bei der NSA. „Netzwerkverteidiger sollten den Trends besondere Aufmerksamkeit schenken und umgehend Maßnahmen ergreifen, um sicherzustellen, dass die Schwachstellen behoben und abgeschwächt werden. Die Ausnutzung wird wahrscheinlich in den Jahren 2024 und 2025 fortgesetzt“.

Wenn Ihre Organisation diese Maßnahmen ergreift, kann sie das Risiko von Angriffen, die bekannte Schwachstellen ausnutzen, verringern und gleichzeitig das Vertrauen ihrer Partner und Kunden stärken.

Quellen (auf Englisch) :

2023 Top Routinely Exploited Vulnerabilities (2023 Top Routinely Exploited Vulnerabilities).

Bericht „2023 Top Routinely Exploited Vulnerabilities“ zum Herunterladen (pdf)

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It