Im Jahr 2023 wurden fast 29.000 Schwachstellen veröffentlicht, 3.800 mehr als im Jahr 2022. Noch beunruhigender als die schiere Menge der Schwachstellen im Jahr 2023 ist, dass mehr als die Hälfte von ihnen mit einem CVSS-Score bewertet wurden, der auf einen hohen oder kritischen Schweregrad hinweist – ein Anstieg von 57 % im Vergleich zum Vorjahr.
Allerdings werden nicht alle Schwachstellen zu bevorzugten Angriffsvektoren für Cyberkriminelle, und Sicherheitsexperten können nicht jede veröffentlichte Schwachstelle beheben. Das Ziel ist es, Prioritäten zu setzen und die gefährlichsten und potenziell schädlichsten zu identifizieren.
Und eine Schwachstelle hat sich an die Spitze gesetzt: Remote-Code-Ausführung (RCE).
Laut Arctic Wolf Labs handelte es sich bei neun der zehn größten Schwachstellen des Jahres 2023 um RCEs. Diese neun Schwachstellen wurden bei 42 % aller Einsätze von Arctic Wolf Incident Response gefunden. Mit der fortschreitenden Verbreitung der Cloud und der Allgegenwart von hybriden Arbeitsmodellen erwarten wir, dass diese Art von Schwachstellen sowohl in ihrer Häufigkeit als auch Schweregrad weiter zunehmen wird.
RCEs haben Hochkonjunktur – ihr kontinuierlicher Anstieg stellt ein echtes Cyberrisiko für Unternehmen auf der ganzen Welt dar.
Was ist die Remote-Code-Ausführung?
Die häufig direkt aus dem Internet gestartete Remote-Code-Ausführung gibt Angreifern die Möglichkeit, die Kontrolle über einen Prozess oder ein Gerät zu übernehmen und den eigenen Code aus der Ferne auszuführen, ohne dass er sich am selben Ort wie das System oder Gerät befinden muss. Dies unterscheidet ihn von einer beliebigen Code-Ausführung (Arbitrary Code Execution, ACE), die aus dem lokalen Netzwerk (LAN) eines Systems gestartet wird. Mit Hilfe von Remote-Code-Ausführung kann ein Angreifer Code von außerhalb des Systems ausführen, der dann einen internen ACE auslöst.
Sobald ein Angreifer eine RCE-Schwachstelle erfolgreich ausnutzt, kann er potenziell die vollständige Kontrolle über das Zielsystem erlangen, wodurch er vertrauliche Daten stehlen, den Betrieb stören oder weitere Angriffe starten kann.
Berüchtigte RCE-Angriffe
WannaCry
Der vielleicht heimtückischste aller Ransomware-Varianten, WannaCry brachte Ransomware im Jahr 2017 in den Mainstream. Der WannaCry-Ransomware-Wurm verbreitete sich durch die Ausnutzung einer Schwachstelle im Server Message Block Protocol (SMB). Diese Schwachstelle ermöglichte es einem Angreifer, bösartigen Code auf anfälligen Computern auszuführen, wodurch die Ransomware auf wertvolle Dateien zugreifen und diese verschlüsseln konnte. WannaCry konnte so mehr als 200.000 Windows-Computer in 150 Ländern befallen. Diese Variante war besonders gefährlich – und unter Umständen tödlich –, da auch die Krankenhäuser des National Health Service im Vereinigten Königreich zu den am stärksten betroffenen Opfern zählten. Die Five Eyes Alliance – ein Geheimdienstbündnis bestehend aus Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den Vereinigten Staaten – hat den Angriff nordkoreanischen Bedrohungsakteuren zugeschrieben.
SolarWinds
Bei einem der katastrophalsten Datenschutzverstöße des Jahres 2020 nutzte der russische SVR eine Zero-Day-Schwachstelle für die Remote Code-Ausführung in der SolarWinds Orion-Plattform, um Malware in schätzungsweise 18.000 privaten und staatlichen Netzwerken zu verteilen und so Zugang zu einer Fülle von identifizierbaren Informationen zu erhalten, darunter Quellcode, Passwörter, finanzielle Daten und Benutzernamen.
Log4j / Log4Shell
Anfang Dezember 2021 wurde Log4Shell (CVE-2021-44228) erstmals als Zero-Day-Schwachstelle für die Remote-Code-Ausführung in Apache Log4j 2 identifiziert. Ein nicht authentifizierter, entfernter Bedrohungsakteur könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Anfrage an einen Server sendet, auf dem eine anfällige Version von Log4j läuft. Arctic Wolf Labs beobachtete, dass eine von vier Organisationen in unserem Kundenstamm zwischen Januar und Dezember 2022 Ziel von Log4Shell-Angriffen war. Die Ausnutzung der Log4Shell war in 11 % aller Arctic Wolf® Incident Response Fällen im Jahr 2022 die Ursache für die Kompromittierung bei Kunden, bei denen die Incident Reponse Services die erste Zusammenarbeit des Kunden mit Arctic Wolf waren.
Spring4Shell
Ende März 2022 veröffentlichte Spring einen Sicherheitshinweis, der Spring4Shell bestätigte, eine Schwachstelle für die Remote-Code-Ausführung (RCE) im Spring Framework. Zusätzlich zu dem Sicherheitshinweis hat Spring Patches veröffentlicht, die die Schwachstelle beheben. Die Schwachstelle mit der Bezeichnung CVE-2022-22965 wurde mit einem kritischen Schweregrad eingestuft. Insbesondere betraf die Schwachstelle nicht nur Spring MVC, sondern auch Spring WebFlux-Anwendungen, die mit JDK 9+ ausgeführt wurden. Bedrohungsakteure konnten diese Schwachstelle ausnutzen, um Cryptominer und Botnetz-Malware in Umgebungen einzuschleusen.
RCE-Angriffe nehmen in alarmierendem Maße zu. Im September 2024 beobachtete Arctic Wolf Labs, dass die berüchtigte Ransomware-Gruppe Akira einen bestimmten RCE-Schwachstellen-Exploit (CVE-2024-40766) als erste Zugriffsmethode für Ransomware-Angriffe auf mehrere Unternehmen nutzte.
So funktioniert die Remote-Code-Ausführung
RCE-Schwachstellen erlauben einem Angreifer die Ausführung von beliebigem Code auf einem entfernten System. Das bedeutet, dass ein Angreifer unbefugten Zugriff auf ein System erlangen und Befehle oder Programme aus der Ferne ausführen kann, ohne physischen Zugriff auf das Zielsystem zu haben oder zu benötigen.
Diese Schwachstelle ist deshalb so beliebt, weil sie Angreifern den Erstzugang zu einem Zielnetzwerk verschafft, ohne dass sie beispielsweise einen identitätsbasierten Angriff wie Social Engineering durchführen müssen, der ihnen gültige Anmeldedaten verschaffen könnte, um denselben Erstzugang zu erhalten. Mit RCE können Bedrohungsakteure aus der Ferne in ein Netzwerk eindringen, ohne Anmeldedaten zu benötigen.
Es gibt mehrere Möglichkeiten, wie ein Angreifer die Remote-Code-Ausführung durchführen kann, darunter:
Injection
Ein Injection Exploit führt böswillige Abfragen aus, um die Kontrolle über einen Datenbankserver zu übernehmen, auf dem eine Webanwendung läuft. Bei einer SQL-Injection beispielsweise injiziert der Bedrohungsakteur bösartige Daten, die das System als Befehl interpretiert, wodurch er die Authentifizierung und Autorisierung der Anwendung umgehen und Daten aus der gesamten SQL-Datenbank abrufen kann. Dies kann ebenso zum Hinzufügen, Ändern oder Löschen von Daten in der Datenbank verwendet werden.
SQL-Injections werden häufig verwendet. Arctic Wolf sah einen 125%igen Anstieg der Indikatoren für SQL-Aktivitäten im November 2023, da Tools wie sqlmap einen legitimen Weg in eine Umgebung mit wenig Widerstand oder Möglichkeit der Erkennung bieten.
Deserialisierung
Serialisierung ist die Umwandlung eines Objekts – z. B. eines Dateiordners – in ein Format, das aufbewahrt, gespeichert und übertragen werden kann, ähnlich wie eine .zip-Datei es ermöglicht, einen Ordner mit mehreren Dateien als eine Einheit zu versenden. Bei der Deserialisierung wird diese Umwandlung rückgängig gemacht, sodass das Objekt gelesen und/oder ausgeführt werden kann. Wenn das deserialisierte Objekt jedoch unverschlüsselt ist, können Angreifer es mit bösartigem Code verändern, was zu einer nicht authentifizierten Remote-Code-Ausführung führt.
Schreiben außerhalb der Grenzen
Bei diesem Exploit nutzt ein Bedrohungsakteur die falsch formatierte Speicherzuweisung einer Software aus, um Daten über die Grenzen eines Puffers hinaus zu schreiben – ein temporärer Datenspeicher, der verwendet wird, während Daten übertragen werden – was zur Ausführung von beliebigem Code führt.
Fehlerhafte Eingabeüberprüfung
Wenn Softwareanwendungen Benutzereingaben nicht ordnungsgemäß säubern, können Angreifer eine Datei mit bösartigem Code hochladen, die dann von der Anwendung ausgeführt wird, weil sie diese für gültig hält.
Wichtig ist, dass die Remote-Code-Ausführung in jeder Computersoftware oder Anwendung möglich ist und nicht durch Programmiersprachen oder Betriebssysteme eingeschränkt ist. Dies ist ein weiterer Grund, warum RCE-Exploits in den letzten Jahren so stark zugenommen haben, und es keine Anzeichen für eine Verlangsamung gibt.
Keine zwei RCEs sind gleich. Einige Schwachstellen, wie Spring4Shell, bieten Bedrohungsakteuren mehr als einen Weg für die Remote-Code-Ausführung. Dies hängt von den Besonderheiten der Schwachstelle und der betroffenen Anwendung ab.
So schützen Sie sich vor der Remote-Code-Ausführung
Eine der wichtigsten Möglichkeiten, RCE zu verhindern, sind rechtzeitige Software-Updates und Patches. Wenn eine Schwachstelle in einer Software oder einer Anwendung entdeckt wird, veröffentlichen die Unternehmen, die dahinter stehen, Updates oder Patches für die Benutzer. Wenn Sie sicherstellen, dass Sie auf dem Laufenden bleiben und Ihre Software und Anwendungen auf dem neuesten Stand halten, können Sie das Risiko von RCE-Angriffen verringern.
Eine weitere wirksame – und proaktivere – Methode zur Verhinderung von RCE ist ein risikobasiertes Programm zum Vulnerability Management. Die meisten CVEs mit kritischem Schweregrad, die entdeckt werden, führen zu RCE. Daher ist es wichtig, dass Sie Ihre Umgebung nach Schwachstellen durchsuchen und Ihren Patching-Zeitplan im Auge behalten.
Da jedes Unternehmen andere Sicherheits- und Geschäftsanforderungen hat, die sich ändern können, sollte das Ziel des Vulnerability Managements nicht darin bestehen, jede mögliche Schwachstelle zu beseitigen, sondern einen risikobasierten Ansatz zu verfolgen, der das Risiko im Laufe der Zeit reduziert.
Erfahren Sie, wie Arctic Wolf, und Arctic Wolf Labs, Unternehmen hilft, den Überblick über CVEs und andere, auf Schwachstellen ausgerichtete Bedrohungen zu behalten.
Darüber hinaus ist die Fähigkeit, bösartige Aktionen, einschließlich möglicher RCE-Exploits, in Echtzeit zu erkennen und schnell darauf zu reagieren, für den Gesamtschutz von entscheidender Bedeutung. Da nicht jede Schwachstelle behoben werden kann, kann ein Überwachungssystem Ihrem Unternehmen dabei helfen, einen Angriffsversuch zu erkennen, bevor er sich ausbreitet und ein tatsächlicher Cyberangriff beginnt.
Wann eine Partnerschaft mit einem Drittanbieter sinnvoll ist
Viele IT- und Sicherheitsteams haben mit fehlenden Budgets und einem Mangel an verfügbaren Sicherheitsexperten zu kämpfen, was bedeutet, dass eine rund-um-die-Uhr-Überwachung der gesamten Umgebung sowie eine schnelle Erkennung und Reaktion bereits intern eine Herausforderung darstellen. Aus dieser Perpektive betrachtet, ist das Hinzufügen eines proaktiven Vulnerability- und Risiko-Managements zu dieser Arbeitsbelastung eine weitere Belastung, die oft auf der Strecke bleibt.
In diesem Fall kann die Zusammenarbeit mit einem Anbieter von Sicherheitslösungen eine wertvolle Unterstützung bei der Ermittlung der Risikobereitschaft Ihres Unternehmens bieten – also des Risikos, das Sie bereit sind, für Ihre Geschäftstätigkeit einzugehen – sowie beim Patchen und Entschärfen der für Ihr Unternehmen gefährlichsten Schwachstellen und der Bereitstellung von Lösungen für die Überwachung, Erkennung und Reaktion rund um die Uhr.
Ein Anbieter für Managed Security Operations wie Arctic Wolf bietet nicht nur Transparenz und Reaktionsfähigkeit durch ein erfahrenes Team von Sicherheitsexperten, sondern arbeitet auch daran, die Risiken, einschließlich der Schwachstellen, zu entdecken und zu bewerten, indem er die Angriffsfläche in Ihren verschiedenen Umgebungen in einen Zusammenhang bringt. Des Weiteren wird Ihnen geholfen, ein effektives Vulnerability Management zu implementieren und gleichzeitig Ihr allgemeines Sicherheitsniveau zu verbessern und Ihr Risiko zu reduzieren.
Erfahren Sie mehr über die Schwachstellen, auf die Ihr Unternehmen achten muss, im Arctic Wolf 2024 Security Operations Report.
Erfahren Sie, worüber sich andere Unternehmen Sorgen machen und welche Schritte sie unternehmen, um das Risiko zu verringern im State of Cybersecurity: 2024 Trends Report.
