Fehler von Adobe, Apple, Cisco und Microsoft zeugen die Hälfte des KEV-Katalogs aus

Schon im November 2021 veröffentlichte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) den Known Exploited Vulnerabilities Catalog, um Bundesbehörden und Organisationen mit kritischer Unterbau damit zu unterstützen, Schwachstellen zu identifizieren und zu beheben, die sanguin ausgenutzt werden. CISA fügte dem Katalog 548 neue Schwachstellen in 58 Updates von Januar solange bis Finale November 2022 hinzu, die Grey Noise in seinem allerersten GreyNoise Mass Exploits Report fand. Einschließlich welcher etwa 300 im November und Monat der Wintersonnenwende 2021 hinzugefügten Schwachstellen listete CISA im ersten Jahr des Bestehens des Katalogs etwa 850 Schwachstellen hinaus.

Eingeschaltet ausgenutzte Schwachstellen in Microsoft-, Adobe-, Cisco- und Apple-Produkten machten mehr qua die Hälfte welcher Updates des KEV-Katalogs im Jahr 2022 aus, fand Grey Noise hervor. Irgendwas mehr qua drei Viertel oder 77 % welcher Updates des KEV-Katalogs waren ältere Schwachstellen, die vor 2022 entstanden sind.

„Viele wurden in den letzten zwei Jahrzehnten veröffentlicht“, bemerkt Bob Rudis, Vice President of Data Science unter Grey Noise, in dem Berichterstattung.

Mehrere welcher Schwachstellen im KEV-Katalog stammen von Produkten, die schon in dies End-of-Life (EOL) und End-of-Tafelgeschirr-Life (EOSL) eingetreten sind, so eine Resümee eines Teams von Cyber ​​Security Works. Obwohl Windows Server 2008 und Windows 7 EOSL-Produkte sind, listet welcher KEV-Katalog 127 Server 2008-Schwachstellen und 117 Windows 7-Schwachstellen hinaus.

„Die Tatsache, dass sie Teil von CISA KEV sind, ist ziemlich belehrend, da sie darauf hindeutet, dass viele Organisationen immer noch sie Legacy-Systeme verwenden und von dort zu leichten Zielen pro Angreifer werden“, schrieb CSW in seinem Berichterstattung „Decoding the CISA KEV“.

Obwohl welcher Katalog ursprünglich pro kritische Infrastrukturen und Organisationen des öffentlichen Sektors gedacht war, ist er zur maßgeblichen Quelle geworden, hinaus welcher Schwachstellen von Angreifern ausgenutzt werden oder wurden. Dies ist welcher Schlüssel, da die Nationalistisch Vulnerability Database Common Schwachstellen und Gefährdungen (CVE)-Identifikatoren pro extra 12.000 Schwachstellen im Jahr 2022 – und es wäre pro Unternehmensverteidiger unhandlich, jede einzelne zu schätzen, um die pro ihre Umgebung relevanten zu identifizieren. Unternehmensteams können die kuratierte verkettete Liste welcher CVEs, die sanguin angegriffen werden, im Katalog verwenden, um ihre Prioritätenlisten zu erstellen.

Tatsächlich stellte CSW verkrampft, dass es zwischen welcher Zuweisung einer CVE durch eine CVE Numbering Authority (CNA) wie Mozilla oder MITRE zu einer Schwachstelle und dem Hinzufügen welcher Schwachstelle zum NVD eine kleine Verzögerung gab. Zum Beispiel erhielt eine Schwachstelle in Apple WebKitGTK (CVE-2019-8720) im zehnter Monat des Jahres 2019 ein CVE von Red Hat und wurde im März in den KEV-Katalog aufgenommen, weil sie von BitPaymer-Ransomware ausgenutzt wurde. Solange bis Zustandekommen November (Stichtag pro den CSW-Berichterstattung) war es noch nicht in die NVD aufgenommen worden.

Eine Organisation, die sich hinaus die NVD verlässt, um Patches zu vorziehen, würde Probleme versäumen, die sanguin angegriffen werden.

Irgendwas mehr qua ein Drittel (36 %) welcher Schwachstellen im Katalog sind Fehler unter welcher Remotecodeausführung und 22 % sind Rechteausführungsfehler, CSW gefunden. CSW fand hervor, dass 208 Schwachstellen im KEV-Katalog von CISA mit Ransomware-Gruppen in Zusammenhang stillstehen und 199 von APT-Gruppen verwendet werden. Es gab ebenfalls eine Schnittmenge, unter welcher 104 Schwachstellen sowohl von Ransomware- qua ebenfalls von APT-Gruppen verwendet wurden.

Zum Beispiel ist eine mittelschwere Schwachstelle zur Offenlegung von Informationen in Microsoft Silverlight (CVE-2013-3896) mit 39 Ransomware-Gruppen verbunden, so CSW. Dieselbe Resümee von CSW ergab, dass eine kritische Pufferüberlauf-Schwachstelle in den ActiveX-Steuerelementen ListView/TreeView, die von Office-Dokumenten verwendet werden (CVE-2012-0158) und ein hochgradiges Speicherbeschädigungsproblem in Microsoft Office (CVE-2017-11882) werden von 23 APT-Gruppen ausgenutzt, darunter zuletzt von die Thrip APT-Partie (Lotus Blossom/BitterBug), im November 2022.

Welcher Höhenunterschied im März 2022 ist dies Ergebnis des Einmarsches Russlands in die Ukraine im Februar – und die Aktualisierungen enthielten viele Gemahlin Schwachstellen, von denen nationalstaatliche Akteure prestigevoll waren, dass sie sie in Unternehmen, Regierungen und Organisationen mit kritischer Unterbau ausnutzen, sagte Grey Noise. Welcher überwiegenden Mehrheit – 94 % – welcher Schwachstellen, die dem Katalog im März hinzugefügt wurden, wurde vor 2022 ein CVE zugewiesen.

CISA aktualisiert den KEV-Katalog nur, wenn die Schwachstelle sanguin ausgenutzt wird, eine zugewiesene CVE hat und es klare Anleitungen zur Beseitigung des Problems gibt. Im Jahr 2022 mussten sich Unternehmensverteidiger weitestgehend wöchentlich mit einer Aktualisierung des KEV-Katalogs auseinandersetzen, da in welcher Regel die Gesamtheit vier solange bis Woche eine neue Warnung ausgegeben wurde, schrieb Rudis. Die Verteidiger hatten genauso wahrscheinlich nur verschmelzen einzigen Tag zwischen den Updates, und die längste Pause, die die Verteidiger im Jahr 2022 zwischen den Updates hatten, betrug 17 Tage.