Auch die Sicherheit von Oracle und SAP ist von den Trends zu immer schnelleren Ausnutzungszeiten von Sicherheitslücken betroffen

Am 28. September veröffentlichte Mandiant seinen Trendbericht „Time-To-Exploit“, der mehrere sehr aufschlussreiche Statistiken zu Sicherheitslücken enthält, die zwischen 2021 und 2022 ausgenutzt wurden. (Der Bericht ist an sich schon sehr lesenswert, und wir empfehlen Ihnen, ihn sich anzusehen!) Hier bei den Labs hielten wir es für eine gute Idee, die Erkenntnisse aus diesem Bericht zu verknüpfen und aufzuzeigen, inwiefern sie mit den Beobachtungen der Onapsis Research Labs „ORL“) zu Schwachstellen in ERP-Anwendungen zusammenhängen.

1 – Die Zahl der ausgenutzten CVEs steigt weiter an

Ein Blick auf die National Vulnerability Database („NVD“) macht schnell deutlich, dass die Zahl der CVEs Jahr für Jahr weiter steigt. Betrachtet man die Gesamtzahl der CVEs und hochrechnet man diese auf das Jahresende, ergibt sich ein klarer Aufwärtstrend. 

Dieser Trend gilt auch für die größten Anbieter von ERP-Anwendungen (d. h. SAP und Oracle). Die Onapsis Research Labs beobachten Onapsis Research Labs einen Aufwärtstrend, wenn auch mit unterschiedlichen Wachstumsraten bei den einzelnen Anbietern. 
 

 Abbildung 1: Entwicklung der veröffentlichten CVEs im Laufe der Jahre

Abbildung 2: Entwicklung der im Laufe der Jahre veröffentlichten Patches für SAP (ein Patch behebt eine oder mehrere Sicherheitslücken)

Abbildung 3: Entwicklung der veröffentlichten CVEs für Oracle im Laufe der Jahre

Angesichts dieser steigenden CVE-Zahlen ist es nicht verwunderlich, dass sich dieser Anstieg auch auf die Zahl der tatsächlich in der Praxis ausgenutzten Schwachstellen auswirkt.

2 – Die Zeit bis zur Ausnutzung wird immer kürzer

Darüber hinaus weist Mandiant auf einen erkennbaren Rückgang der Zeit bis zur Ausnutzung der aktiv ausgenutzten Schwachstellen hin. Das bedeutet, dass Sicherheitsverantwortliche weniger Zeit haben, auf Schwachstellen zu reagieren, da diese im Vergleich zu früheren Zeiträumen schneller als je zuvor aktiv ausgenutzt werden. 

Abbildung 4: Entwicklung der Zeit bis zur Verwertung im Laufe der Jahre

N-Day-Schwachstellen sind veröffentlichte, bekannte Sicherheitslücken, für die möglicherweise Sicherheitspatches der Hersteller (z. B. von SAP oder Oracle) verfügbar sind – oder auch nicht. Was diese N-Day-Schwachstellen betrifft, so zeigen die Daten, dass die erste Ausnutzung einer Schwachstelle – selbst wenn sich die primäre Ausnutzung über einen Zeitraum von sechs Monaten erstreckte – mit größerer Wahrscheinlichkeit innerhalb des ersten Monats nach Bekanntwerden der Schwachstelle erfolgt.

Obwohl diese Daten die durchschnittliche Zeit bis zur Ausnutzung über mehrere Schwachstellen hinweg widerspiegeln, stimmen sie dennoch gut mit unseren eigenen Beobachtungen zu den typischen SAP- oder Oracle-Exploits überein, über die wir in der Vergangenheit berichtet haben, wie beispielsweise die RECON-Schwachstelle. Im Fall von RECON haben wir bereits bereits 72 Stunden nach der Veröffentlichung des Patches durch SAP (weitere Informationen hier).

3 – Die Anzahl und Vielfalt der von Cyberkriminellen angegriffenen Ziele nimmt rapide zu

Laut Mandiant sind Microsoft, Google und Apple im Jahresvergleich weiterhin die am häufigsten ausgenutzten Anbieter. Interessant an den von Mandiant vorgelegten Daten ist jedoch, dass andere Anbieter als diese drei tatsächlich mehr als 50 Prozent der insgesamt ausgenutzten Sicherheitslücken ausmachten. Historisch gesehen ist dies das erste Mal, dass dies geschieht, und es deutet auf ein gesteigertes Interesse an der Ausnutzung von Anwendungen und Software hin, die nicht von den drei großen Anbietern von Betriebssystemen und Anwendungssoftware verwaltet werden, die über dynamische, gut finanzierte Teams threat research Produktsicherheit verfügen. 

Wie im Bericht dargelegt, „richten Angreifer ihre Angriffe zunehmend auf eine breitere Palette von Software aus, darunter auch solche, deren rasche Behebung nicht regelmäßig Priorität hat. Infolgedessen ist die Wahrscheinlichkeit potenziell höher, dass Angreifer bei Angriffen auf weniger verbreitete Software erfolgreich sind, als dies bei gängigeren Produkten wie Microsoft-Betriebssystemen oder verschiedenen Browsern der Fall wäre.“
Onapsis Research Labs
Onapsis Research Labs eine Cloud, die verschiedene ERP-Systeme und Softwareanwendungen in Echtzeit verfolgt und das Verhalten von Angreifern beobachtet, um deren zugrunde liegende Taktiken, Techniken und Vorgehensweisen bei Angriffen auf geschäftskritische Anwendungssoftware besser zu verstehen. Wie oben erwähnt, beobachten die Labs angesichts der Zunahme von CVEs und Patches, die von einigen der von uns beobachteten ERP-Anbieter veröffentlicht werden, weiterhin aggressivere und zahlreichere Angriffe auf die kritische Anwendungsebene dieser ERP-Anbieter in unserem Honeypot-Netzwerk. Letztendlich deckt sich dies mit den Daten von Mandiant und zeigt, dass Angreifer einen besseren Zugang zu kritischen Systemen haben (z. B. durch die digitale Transformation und cloud ) sowie über mehr Wissen und Raffinesse verfügen, um ihr Angriffsarsenal über Microsoft Windows oder den Chrome-Browser hinaus zu erweitern. 

Erwähnenswert ist zudem, dass die CISA im August dieses Jahres Sicherheitslücken bei SAP und Oracle in ihren Cybersicherheitshinweis zu den am häufigsten ausgenutzten Schwachstellen des Jahres 2022 aufgenommen hat. Zwar tauchten diese Schwachstellen zum ersten Mal in dieser Liste auf, doch wir bei den Onapsis Research Labs befürchten, dass dies nicht das letzte Mal sein wird. Bei diesem Tempo rechnen wir sogar damit, dass diese Zahl in den kommenden Jahren weiter steigen wird. 
 

4 – Ältere Sicherheitslücken sind nach wie vor attraktive Ziele für Angreifer

Es überrascht nicht, dass eine nach wie vor beträchtliche Anzahl von Schwachstellen noch sechs Monate nach ihrer Bekanntwerdung ausgenutzt wurde; bei einigen wurde festgestellt, dass sie noch Jahre später Ziel von Angriffen waren. Zwar besteht tendenziell immer eine Vorliebe für Zero-Day- oder sogar erst kürzlich veröffentlichte N-Day-Schwachstellen, doch finden Angreifer auch Möglichkeiten, ältere und bekannte Schwachstellen auszunutzen. Mandiant stellt fest: „Eine wichtige Erkenntnis daraus ist, dass Angreifer zwar im Allgemeinen neuere Schwachstellen bevorzugen, sich jedoch nicht vollständig vor Schwachstellen scheuen, die aufgrund ihres Alters und der öffentlichen Bekanntheit bestehen; Angreifer legen nach wie vor Wert darauf, bereits bekannte und dokumentierte Schwachstellen zu nutzen, anstatt neue zu entdecken.“

Die Onapsis Research Labs über mehrere Jahre hinweg beobachtet, dass diese älteren, bekannten und oft in den Medien thematisierten Sicherheitslücken aktiv ausgenutzt wurden – von ICMAD (CVE-2022-22536, 2022 gepatcht) über RECON (CVE-2020-6287, 2020 gepatcht) bis hin zur Invoker-Servlet-Sicherheitslücke (CVE-2010-5326, vor 13 Jahren). 

Und was machen wir nun mit diesen Daten?

Der Bericht von Mandiant und dessen umfangreiche Datenlage in Verbindung mit unseren eigenen Beobachtungen und threat research Onapsis Research Labs , dass sowohl Softwareanbieter als auch die Unternehmen, die deren Produkte nutzen, noch viel Arbeit vor sich haben. Für Softwareanbieter stellen die zunehmende Komplexität von Anwendungen, die digitale Transformation in der cloud die mehr Angriffsflächen bietet) und das boomende „Black-Hat-Geschäft“ (z. B. Ransomware) wachsende Herausforderungen bei der Absicherung der Sicherheit und der Bewältigung der steigenden Anzahl entdeckter Schwachstellen dar. Für Unternehmen und Nutzer kann es eine große Herausforderung sein, mit diesen Schwachstellen Schritt zu halten – eine Aufgabe, die noch schwieriger wird, wenn Sie das Patch-Management für kritische ERP-Systeme übernehmen, die unter keinen Umständen ausfallen dürfen. 

Wie lassen sich diese Probleme lösen? Durch Threat intelligence, Technologie und Automatisierung, die für eine bessere Transparenz der Angriffsfläche sowie für effizientere und effektivere, risikoorientierte Programme zum Schwachstellenmanagement sorgen. 

Wenn wir uns einmal kurz auf unsere ERP-Ziele konzentrieren: Da Angreifer verstärkt versuchen, Schwachstellen in diesem Bereich auszunutzen (anstatt sich auf Microsoft, Google oder Apple zu konzentrieren), müssen unsere Sicherheitskräfte besser vorbereitet sein, um Kompromittierungen zu verhindern, da die Wahrscheinlichkeit einer Ausnutzung bekannter Schwachstellen höher ist.

Im Allgemeinen rät Onapsis Research Labs unseren Kunden Onapsis Research Labs dazu, …

• Ermitteln Sie Ihre ERP-Anwendungen, -Module und -Komponenten, um Ihre Angriffsfläche und Bedrohungslage besser zu verstehen. (Für SAP haben wir übrigens einen Open-Source-Java-Endpunkt-Analysator veröffentlicht, der dabei hilft, offene Endpunkte zu identifizieren. Probieren Sie ihn doch einmal aus!)
• Machen Sie sich ein Bild davon, welche Schwachstellen in Ihrer Umgebung vorhanden sind und welche Patch-Hinweise darauf zutreffen. Erstellen Sie einen Plan, um diese Sicherheitslücken zu priorisieren und sie dann so effektiv wie möglich zu beheben. (Die Platform hervorragend, um Teams dabei zu helfen, zu erkennen, wo Schwachstellen bestehen und welche Patches zuerst installiert werden sollten.)
• Man muss sich bewusst machen, dass Sicherheitslücken, die andere Anbieter als Microsoft, Apple oder Google betreffen, zunehmend ins Visier von Angreifern geraten und in den meisten Fällen einen blinden Fleck für Unternehmen darstellen. (Dies ist häufig bei Sicherheitslücken der Fall, die SAP- und Oracle-Geschäftsanwendungen betreffen.)
• Erwägen Sie, die Sicherheit geschäftskritischer Anwendungen stärker in Ihre bestehenden Programme für Schwachstellenmanagement sowie Erkennung und Reaktion zu integrieren. Dies verschafft Ihnen wichtige Einblicke in die direkten Bedrohungen für Ihre wichtigsten ERP-Systeme. (Die Platform die einzige von SAP empfohlene Lösung, die diese Prozesse nahtlos in Ihre bestehende Infrastruktur integriert.)