Die amerikanische Cybersecurity und Infrastructure Security Agency (CISA) warnt gemeinsam mit ihren Pendants aus Australien, Neuseeland, Grossbritannien und Kanada vor den am häufigsten ausgenutzten Schwachstellen und Gefährdungen (CVE) des Jahres 2022. Erstmals haben die Behörden dazu auch technische Hinter­grund­infor­mationen (CWE) veröffentlicht. Mit Log4Shell und Fortiproxy stehen zwei Sicherheitslücken auf der Liste, die jetzt schon länger für Wirbel sorgen.

Den Securitybehörden dient die Auflistung deshalb auch als Warnung: Es sei wichtig, die Systeme aktuell zu halten, da böswillige Akteure bevorzugt auf bereits bekannte Schwachstellen zurückgreifen. So verwundert es nicht, dass mehr als die Hälfte der für 2022 aufgelisteten Schwachstellen auch bereits in der Liste für 2021 auftauchten, obwohl es schon lange Patches dafür gibt.

"Heutzutage nutzen Angreifer häufig Schwachstellen aus, die von Technologie­an­bietern im Rahmen ihrer Verpflichtung zu 'Secure by Design' angegangen werden können und müssen", sagte Eric Goldstein, CISA Executive Assistant Director für Cybersecurity. Böswilligen Akteuren werde es bis heute viel zu leicht gemacht, erklärte er weiter und forderte: "Jedes Unternehmen sollte der Behebung dieser Schwachstellen Priorität einräumen."

Denn ohne ein Update wären die Organisationen ein zu leichtes Ziel für Cyber­kriminelle. Dazu sollen aber auch die Technologieanbieter in die Pflicht genommen werden. Sie sollen die Verantwortung für die Sicherheit ihrer Kunden übernehmen, indem sie die Verbreitung der Schwachstellen reduzieren und vermehrt auf "Secure by Design" setzen.

Abigail Bradshaw, die Leiterin des australischen Cyber Security Centre (ACSC) sagte: "Jede Organisation sollte diese Liste nutzen, um ihre Systeme zu patchen und ihre Strategie für das Schwachstellenmanagement daran auszurichten. Ungepatchte Software ist ein Hauptzugang für Hacker, und niemand sollte davon ausgehen, dass alle seine Systeme auf dem neuesten Stand sind."

Die vollständige Liste inklusive der technischen Hintergründe kann auf der Website der CISA eingesehen werden. Diese listet ausserdem Indikatoren für Kom­pro­mit­tier­ungen, unterschiedliche Erkennungsmethoden und Links zu den einzelnen Patches, die für die aufgeführten Schwachstellen veröffentlicht wurden.