Bereits im November 2021 veröffentlichte die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) den Known Exploited Vulnerabilities (KEV)-Katalog, um Bundesbehörden und Organisationen mit kritischer Infrastruktur dabei zu unterstützen, Schwachstellen zu identifizieren und zu beheben, die aktiv ausgenutzt werden. CISA fügte dem Katalog in 548 Updates von Januar bis Ende November 58 2022 neue Schwachstellen hinzu, so Grey Noise in seinem allerersten „GreyNoise Mass Exploits-Bericht"
Einschließlich der etwa 300 Schwachstellen Im November und Dezember 2021 hinzugefügt, listete CISA im ersten Jahr des Bestehens des Katalogs ungefähr 850 Schwachstellen auf.
Aktiv ausgenutzte Schwachstellen in Microsoft-, Adobe-, Cisco- und Apple-Produkten machten mehr als die Hälfte der Updates des KEV-Katalogs im Jahr 2022 aus, fand Grey Noise heraus. 2022 Prozent der Updates des KEV-Katalogs waren ältere Schwachstellen, die vor XNUMX entstanden sind.
„Viele wurden in den letzten zwei Jahrzehnten veröffentlicht“, bemerkte Bob Rudis, Vice President of Data Science bei Grey Noise, in dem Bericht.
Laut einer Analyse eines Teams von Cyber Security Works stammen mehrere der Schwachstellen im KEV-Katalog von Produkten, die bereits in das End-of-Life (EOL) und End-of-Service-Life (EOSL) eingetreten sind. Obwohl Windows Server 2008 und Windows 7 EOSL-Produkte sind, listet der KEV-Katalog 127 Server 2008-Schwachstellen und 117 Windows 7-Schwachstellen auf.
„Die Tatsache, dass sie Teil von CISA KEV sind, ist ziemlich aufschlussreich, da sie darauf hinweist, dass viele Organisationen immer noch diese Legacy-Systeme verwenden und daher zu leichten Zielen für Angreifer werden“, schrieb CSW in seinem „Dekodierung des CISA KEV" Bericht.
Obwohl der Katalog ursprünglich für kritische Infrastrukturen und Organisationen des öffentlichen Sektors gedacht war, ist er zur maßgeblichen Quelle geworden, auf der Schwachstellen von Angreifern ausgenutzt werden oder wurden. Dies ist der Schlüssel, da die National Vulnerability Database (NVD) Common zugewiesen hat Schwachstellen und Gefährdungen (CVE)-Identifikatoren für über 12,000 Schwachstellen im Jahr 2022, und es wäre für Unternehmensverteidiger unhandlich, jede einzelne zu bewerten, um die für ihre Umgebung relevanten zu identifizieren. Unternehmensteams können die kuratierte Liste der CVEs, die aktiv angegriffen werden, im Katalog verwenden, um ihre Prioritätenlisten zu erstellen.
Tatsächlich fand CSW eine kleine Verzögerung zwischen der Zuweisung einer CVE an eine Schwachstelle durch eine CVE Numbering Authority (CNA) wie Mozilla oder MITRE und dem Hinzufügen der Schwachstelle zum NVD. Beispielsweise wurde eine Schwachstelle in Apple WebKitGTK (CVE-2019-8720), die im Oktober 2019 ein CVE von Red Hat erhielt, im März in den KEV-Katalog aufgenommen, weil sie von BitPaymer-Ransomware ausgenutzt wurde. Bis Anfang November (dem Stichtag für den CSW-Bericht) war es noch nicht in die NVD aufgenommen worden.
Eine Organisation, die sich auf die NVD verlässt, um Patches zu priorisieren, würde Probleme übersehen, die aktiv angegriffen werden.
22 % der Schwachstellen im Katalog sind Fehler bei der Remotecodeausführung und XNUMX % sind Rechteausführungsfehler, CSW gefunden. CSW fand heraus, dass 208 Schwachstellen im KEV-Katalog von CISA mit Ransomware-Gruppen in Zusammenhang stehen und 199 von APT-Gruppen verwendet werden. Es gab auch eine Überschneidung, bei der 104 Schwachstellen sowohl von Ransomware- als auch von APT-Gruppen verwendet wurden.
Beispielsweise ist eine mittelschwere Schwachstelle zur Offenlegung von Informationen in Microsoft Silverlight (CVE-2013-3896) mit 39 Ransomware-Gruppen verbunden, so CSW. Das gleiche Analyse von CSW fanden heraus, dass eine kritische Pufferüberlauf-Schwachstelle in den ListView/TreeView ActiveX-Steuerelementen, die von Office-Dokumenten verwendet werden (CVE-2012-0158) und ein hochgradiges Speicherbeschädigungsproblem in Microsoft Office (CVE-2017-11882) von 23 APT-Gruppen ausgenutzt werden , darunter zuletzt von der Thrip APT-Gruppe (Lotus Blossom/BitterBug), im November 2022.
Der Anstieg im März 2022 ist das Ergebnis des Einmarsches Russlands in die Ukraine im Februar – und die Updates enthielten viele alte Schwachstellen, von denen nationalstaatliche Akteure bekannt waren, dass sie sie in Unternehmen, Regierungen und Organisationen mit kritischer Infrastruktur ausnutzen, sagte Grey Noise. Der überwiegenden Mehrheit – 94 % – der Schwachstellen, die im März dem Katalog hinzugefügt wurden, wurde vor 2022 ein CVE zugewiesen.
CISA aktualisiert den KEV-Katalog nur, wenn die Schwachstelle aktiv ausgenutzt wird, eine zugewiesene CVE hat und es klare Anleitungen zur Behebung des Problems gibt. Im Jahr 2022 mussten sich Unternehmensverteidiger fast wöchentlich mit einer Aktualisierung des KEV-Katalogs auseinandersetzen, wobei in der Regel alle vier bis sieben Tage eine neue Warnung ausgegeben wurde, schrieb Rudis. Die Verteidiger hatten genauso wahrscheinlich nur einen einzigen Tag zwischen den Updates, und die längste Pause, die die Verteidiger im Jahr 2022 zwischen den Updates hatten, betrug 17 Tage.
