Bei der Analyse der aktuellen Cyber-Bedrohungslage haben sich drei Schwachstellen herauskristallisiert, die bei Cyber-Kriminellen im September 2023 besonders im Trend lagen. Wie ein Anbieter von Cyber-Sicherheitslösungen jetzt veröffentlich hat, war bei 47 Prozent der Unternehmen, die Opfer einer Cyber-Attacke geworden sind, eine Schwachstelle verantwortlich: „Web Servers Malicious URL Directory Traversal“. Diese am häufigsten ausgenutzten Schwachstelle ermöglichte HTTP-Exploits, bei denen Hacker die Software auf einem Webserver nutzten, um auf Daten in einem anderen Verzeichnis als dem Stammverzeichnis des Servers zuzugreifen und zugriffsbeschränkte Dateien abzugreifen. Dicht dahinter in der Schwachstellen-Top-3 lag „Command Injection Over http“ mit 42 Prozent, eine Schwachstelle, die Remote-Angreifer ausnutzten, indem eine speziell gestaltete an das Opfer gesendete Anfrage es den Angreifern ermöglichte, beliebigen Code auf dem Zielcomputer auszuführen. Auch „Zyxel ZyWALL Command Injection“ macht sich eine ähnliche Strategie zunutze und hat bei 39 Prozent der Opfersysteme zugeschlagen.
Beim Web Server Malicious URL Directory Traversal, machen die Experten des Cyber-Sicherheitsanbieters Check Point deutlich, ist die Sicherheitsanfälligkeit auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht-authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen. Diese Directory Traversal-Schwachstelle (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) ist auf verschiedenen Web Servern lokalisiert worden. Mit dem Problem einer Befehlsinjektion über eine HTTP-Schwachstelle – CVE-2021-43936, CVE-2022-24086 – stellt sich die Herausforderung, dass Angreifer bei erfolgreicher Ausnutzung beliebigen Code auf dem Zielrechner ausführen können. Beliebige Betriebssystembefehle auf dem betroffenen System auszuführen, erlaubt dagegen eine nun offengelegte Schwachstelle für Command Injection: Zyxel ZyWALL (CVE-2023-28771).
Bei der meistverbreiteten Malware hat laut Check-Point-Experten ein aus dem bekannten „GuLoader“ weiterentwickelter Downloader namens „CloudEye“ die Nase vorn, der bösartige Programme auf Windows-Plattformen einschleust. Dahinter liegt Emotet, ein modularer Trojaner, der einst als Banking-Trojaner entwickelt wurde, derzeit aber vor allem „Huckepack“ andere Malware verbreitet. Der meist über Phishing-Spam-E-Mails verbreitete Emotet nutzt verschiedene neue Umgehungstechniken und innovative Strategien, um nicht entdeckt zu werden. Auch die auf Platz drei platzierte Malware NanoCore hat Cyber-Kriminellen inzwischen einiges zu bieten; so enthalten alle Versionen des RAT grundlegende Plugins und Funktionen wie Bildschirmaufnahme, Krypto-Währungs-Mining oder Fernsteuerung des Desktops.
