Vergangenes Jahr gab es laut einer Analyse von Cisco Talos besonders viele Cyberangriffe, die der Anbieter als Identitäts-basiert beschreibt. Sprich: Angriffe über gestohlene Anmeldedaten, API-Schlüssel, digitale Zertifikate und Ähnliches. Da solche Zugriffe legitim aussehen, seien sie nicht nur schwer zu verhindern, sondern auch kaum zu erkennen. 44% der Identitätsangriffe zielen demnach auf das Active Directory ab, 20% betrafen Cloud-Anwendungen, wobei APIs aufgrund ihres Zugangs zu sensiblen Daten ein attraktives Ziel darstellen.
"Einfachen Zugang" zu den Netzwerken ihrer Opfer finden die Angreifer aber vor allem auch über bekannte Schwachstellen, heisst es im Bericht weiter. Darunter auch solche, die sehr alt und längst gepatcht seien. Vor allem Ransomware-Angreifer nutzten diese erfolgreich aus. Im Visier stehen Unternehmen, die Schwierigkeiten haben, ihre Systeme und Cyberabwehr auf dem neusten Stand zu halten, etwa wegen zu geringer IT-Budgets oder zu viel Bürokratie.
Log4j und Shellshock
Cyberkriminelle hätten sich 2024 somit auf eine Reihe von bekannten Schwachstellen fokussiert, heisst es im Report. Vier der zwölf CVEs, die laut der Analyse vergangenes Jahr am häufigsten ausgenutzt wurden, sind bereits seit zehn Jahren bekannt. "Dies ist ein deutlicher Hinweis darauf, dass Bedrohungsakteure häufig auf ungepatchte Systeme abzielen und dass das Versäumnis, Sicherheitsupdates zu installieren, Unternehmen anfällig für viele Angriffe macht, die verhindert werden könnten", heisst es im Report.
Auf der Top-CVE-Liste findet sich auch die berüchtigten
Schwachstellen in Log4j, die 2021 bekannt wurden. Diese seien zwar rasch gepatcht worden, stellen aber immer noch ein Risiko dar, da Log4j weit verbreitet und tief in die Software-Lieferketten eingebettet ist. Zwei weitere häufig ausgenutzte
Lücken betreffen PHP, eine weit verbreitete Skriptsprache. Schätzungen der Reportautoren zufolge basieren bis zu 80% aller Websites weltweit auf PHP, darunter Facebook und Wikipedia.
Ebenfalls auf der Liste vertreten ist eine Lücke in Cisco Meraki aus dem Jahr 2022 sowie die als
Shellshock bekannten Lücken, die die Skriptsprache Bash betreffen. Letztere seien auch ein Jahrzehnt nach ihrer Entdeckung ein Problem, denn Bash sei tief in Anwendungen und Systemprozesse integriert, führt Cisco Talos aus. Bash ist die gängige Shell, die in vielen Linux/Unix-Systemen und älteren MacOS-Versionen verwendet wird.
Veraltete Netzwerkgeräte
Weitere Angriffsflächen erhalten Cyberkriminelle durch veraltete Netzwerkgeräte, wie Router, Firewalls oder NAS. Bemerkenswert sei, dass einige dieser "populären" Schwachstellen Geräte betreffen, die ihr Lebensende erreicht haben und für die daher keine Patches zur Verfügung stehen.
Aufgrund des Zugriffs, den diese Geräte bieten, kann ihre Kompromittierung es einem Angreifer ermöglichen, sich auszubreiten und möglicherweise ganze Netzwerke zu übernehmen. Viele der Schwachstellen werden laut Cisco Talos auch von bekannten Botnets wie Mirai ausgenutzt, um die Kontrolle über die kompromittierten Geräte zu übernehmen und sie anzuweisen, DDoS-Angriffe durchzuführen.