Kürzlich haben wir bereits darüber berichtet, dass die Veröffentlichung eines Security-Patches durch Software- und auch Hardware-Anbieter mittlerweile ein Signal für professionelle Hacker ist, sofort nach Möglichkeiten zu suchen, die dadurch behobene Schwachstelle auszunützen. Dies, weil sie wissen, dass viele Unternehmen und Organisationen sich oft viel Zeit dabei lassen, Patches auch wirklich einzuspielen.

Zahlen aus einem Bericht Palo Alto Networks unterstreichen nun, wie schnell sie dabei vorgehen. Ein Forscherteam von Palo Alto hat von Januar bis März 2021 50 Millionen IP-Adressen von 50 globalen Unternehmen überwacht und analysiert, wann sie gescannt wurden und wonach mit den Scans gesucht wurde. Eines ihrer Erkenntnisse: Schon innerhalb von 15 Minuten nach der Veröffentlichung von CVE-Meldungen begannen Scans, die nach Systemen mit diesen Schwachstellen suchten. Bei den Zero-Day-Lücken, die Microsoft Exchange Server betrafen, arbeiteten die Angreifer sogar noch schneller und starteten Scans schon 5 Minuten nach der Ankündigung von Microsoft am 2. März.

Dass die Hackergruppen so routinemässig Scans vornehmen, auch wenn sie noch keine Exploits für die betroffenen Schwachstellen haben, liegt unter anderem daran, dass die Scans kaum Kosten verursachen. Laut Palo Alto Networks muss ein potenzieller Angreifer nur etwa 10 Dollar für die Miete von genügend Cloud-Computing-Leistung ausgeben, um das gesamte Internet nach anfälligen Systemen zu durchsuchen.

Laut Palo Alto sind Sicherheitsprobleme im weit verbreiteten Remote Desktop Protocol (RDP) weiterhin die am häufigsten angegriffenen Schwachstelle. Das Remote Desktop Protocol war für etwa ein Drittel aller Sicherheitsprobleme verantwortlich (32%). Weitere häufig auftretende Schwachstellen waren falsch konfigurierte Datenbankserver, Zero-Day-Schwachstellen in Produkten von Anbietern wie Microsoft und F5 sowie unsicherer Fernzugriff über Telnet, Simple Network Management Protocol (SNMP), Virtual Network Computing (VNC) und andere Protokolle.

Viele dieser risikoreichen Schwachstellen können, wenn sie ausgenutzt werden, den Hackern direkten Administratorzugriff ermöglichen. In den meisten Fällen könnten diese Schwachstellen leicht gepatcht werden, dennoch stellen sie für Angreifer ein leichtes Opfer dar, wenn Systeme eben nicht gepatcht wurden, so Palo Alto Networks.