Vulnerability-Report: Diese zehn Sicherheitslücken verursachten die größten Probleme

Illustration: Absmeier, AbsolutVision

 

Hackerone, eine Sicherheitsplattform für ethisch motivierte Hacker – die sogenannten White Hat Hacker –, hat seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt. Aus mehr als 200.000 Sicherheitslücken, welche zwischen Mai 2019 und April 2020 über die Plattform gemeldet wurden, gewann Hackerone genaue Einblicke und Details zu verschiedenen Schwachstellentypen. Zu den Top 10 gehören unter anderem Cross-Site Scripting, Improper Access Control und Information Disclosure.

 

»In diesem Jahr waren Organisationen weltweit gezwungen, mit ihren Produktangeboten und Dienstleistungen digital zu arbeiten«, sagte Miju Han, Senior Director of Product Management bei Hackerone. »Darüber hinaus war es für die Unternehmen unausweichlich, sich um neue Einnahmequellen zu bemühen und digitale Angebote für Kunden zu schaffen, deren Lebensstil sich dramatisch verändert hatte. Millionen von Arbeitnehmern begannen aus der Ferne zu arbeiten. Mit diesem beschleunigten Tempo der digitalen Transformation mussten die CISOs schnell neue Bedürfnisse erfüllen und gleichzeitig die Sicherheit der bestehenden Systeme gewährleisten. Angesichts dieser Hürden haben die Sicherheitsverantwortlichen eine neue Wertschätzung für die Arbeit ethisch motivierter Hacker zur Verbesserung der IT-Sicherheit als flexible, skalierbare und kosteneffektive Lösung gewonnen. Damit konnten sie ihre eigenen Ressourcen aufstocken und einen Pay-for-Results-Ansatz anbieten, der bei knappen Budgets besser zu rechtfertigen ist.«

Die Top 10 der schwerwiegendsten und am höchsten prämierten Schwachstellentypen des Jahres 2020 in der Übersicht (absteigende Reihenfolge):

 

  1. Cross-Site Scripting (XSS)
  2. Improper Access Control
  3. Information Disclosure
  4. Server-seitige Antragsfälschung (SSRF)
  5. Unsichere direkte Objektreferenz (IDOR)
  6. Privilege-Eskalation
  7. SQL-Injection
  8. Improper Authentication
  9. Code-Injection
  10. Cross-Site Request Forgery (CSRF)

 

Die wichtigsten Schwachstellen im Jahresvergleich 2020 und 2019:

  1. Sicherheitslücken beim Cross-Site-Scripting stellen nach wie vor eine große Bedrohung für Webanwendungen dar, da Angreifer die XSS-Angriffe nutzen, um die Kontrolle über das Benutzerkonto zu erlangen und anschließend persönliche Daten wie Passwörter, Bankdaten Kreditkarteninformationen, personenbezogene Daten, Sozialversicherungsnummern zu missbrauchen. Die durch XSS betroffenen Sicherheitslücken waren zwei Jahre in Folge die häufigst genannten und kosteten die Organisationen insgesamt 4,2 Millionen US-Dollar an Prämien. Dies entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahr. Insgesamt macht diese Art von Schwachstelle 18 Prozent aller gemeldeten Schwachstellen aus, die durchschnittliche Prämie dafür beträgt nur rund 500 US-Dollar. Grundsätzlich wird für eine kritische Schwachstelle durchschnittlich 3.650 US-Dollar gezahlt, entsprechend können Organisationen diese XSS-Angriffe als häufige und potenziell gefährliche Sicherheitslücken im Vergleich kostengünstig beheben lassen bevor sie größeren finanziellen Schaden verursachen.
  2. Improper Access Control (2019: Platz 9) und Information Disclosure (nach wie vor an dritter Stelle) sind weit verbreitet. Die Awards für Improper Access Control stiegen von Jahr zu Jahr um 134 Prozent auf knapp über 4 Millionen US-Dollar. Information Disclosure reihte sich knapp dahinter ein und stieg im Jahresvergleich um 63Prozent. Das Design von Access-Control-Angriffen ist mit automatisierten Tools nur schwer zu identifizieren und aufgrund des hohen Fehlerpotenzials ist eine manuelle Untersuchung empfehlenswert.
  3. SSRF-Schwachstellen zeigen das Risiko von Cloud-Migrationen. Diese Lücken werden genutzt, um auf interne Systeme hinter Firewalls zuzugreifen. Früher waren SSRF-Fehler eher harmlos und belegten in einem früheren Ranking den siebten Platz, da sie lediglich internes Netzwerkscannen und den Zugriff auf interne Verwaltungspanels erlaubten. Aber im Zeitalter der raschen digitalen Transformation hat das Aufkommen der Cloud-Architektur und ungeschützter Metadaten-Endpoints diese Schwachstellen immer kritischer werden lassen.
  4. SQL-Injection nimmt von Jahr zu Jahr ab. Von OWASP (Open Web Application Security Project) und anderen Organisation wurde SQL-Injection als eine der gefährlichsten Bedrohungen für die Sicherheit von Webanwendungen angesehen. Gründe dafür ist die Speicherung sensibler Daten, darunter Geschäftsinformationen, geistiges Eigentum und kritische Kundendaten auf Datenbankserver und deren Anfälligkeit. In den vergangenen Jahren war die SQL-Injection eine der häufigsten Arten von Schwachstellen, ist allerdings auch vom fünften auf den siebten Platz in diesem Jahr gesunken.

 

Methodik
[1] Diese Ausgabe der Hackerone Top 10 »Most Impactful and Rewarded Vulnerability Types« basiert auf Hackerone’s eigenen Daten zur Untersuchung von Sicherheitsschwachstellen, die zwischen Mai 2019 und April 2020 mit Hilfe der Hackerone-Plattform behoben wurden. Die hier aufgeführten Schwachstellen wurden von der Hacker-Community durch die Offenlegung von Sicherheitslücken und öffentliche und private Bug-Bounty Programme gemeldet. Alle Schwachstellenklassifizierungen wurden von Hackerone-Kunden vorgenommen oder bestätigt, einschließlich Art, Auswirkung und Schweregrad der Schwachstellen.
Den vollständigen Report »Top 10 Most Impactful and Rewarded Vulnerability Types – 2020 Edition« finden Sie unter https://www.hackerone.com/top-ten-vulnerabilities.

 

803 Artikel zu „Sicherheitslücken“

Hardware-Sicherheitslücken: Versäumte Firmware-Sicherheit – die Top 5 Ausreden

Zunehmend sind sich CEOs und Vorstandsmitglieder bewusst, dass sie die Verantwortung haben, ihren Ansprechpartnern zielführende Fragen zu Cybersicherheitsrisiken wie Firmware- und Lieferkettensicherheit zu stellen, meint Palo Alto Networks. Bei Firmware handelt es sich um eine Software, die speziell für ein Stück Hardware wie Festplatte, USB oder UEFI entwickelt wurde. Jedes moderne Computersystem oder intelligente Gerät…

Nicht alle Schwachstellen sind eine Bedrohung – auf die wesentlichen Sicherheitslücken konzentrieren

Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die die moderne Angriffsfläche darstellt. Mit jedem neuen Gerät, jeder neuen Verbindung oder Anwendung vergrößert sich diese Angriffsfläche. Zu dieser Komplexität kommen unzählige Schwachstellen hinzu, die täglich entdeckt werden, und die Herausforderungen scheinen oft unüberwindbar. Die Lösung ist jedoch…

Sicherheitslücken in der Public Cloud

Mehr als die Hälfte der Unternehmen in Deutschland hat in den letzten zwölf Monaten Verdachts- oder Vorfälle der Datensicherheit in der Public Cloud registriert. Laut KPMG Cloud-Monitor 2020 ist der Anteil der Unternehmen mit bestätigten Vorfällen von 2018 auf 2019 um vier Prozent gesunken, allerdings haben im gleichen Zug mehr Public Cloud-Nutzer Verdachtsfälle geäußert. 2019…

Eine PAM-Lösung schließt nicht alle offenen Sicherheitslücken

Privilegierte Konten sind bei Hackern beliebt. Werden sie gekapert, haben Cyberkriminelle freien Zugriff auf sensible Unternehmensdaten. Mit Privileged-Access-Management-Lösungen lässt sich dieses Risiko zwar vermeiden – ein korrumpiertes Endgerät kann trotzdem zum Einfallstor für Angreifer werden.   In den meisten Unternehmen gibt es eine Vielzahl an privilegierten Accounts. Das sind zum Beispiel Administrator-, Service-, Root- oder…

Fünf Sicherheitslücken durch hybride IT

Prozesse sowohl im eigenen Rechenzentrum als auch in der Cloud zu betreiben, kann gefährlich sein – wenn zentrale Policies fehlen oder nicht durchgesetzt werden. Selbst wenn auf lokalen Rechenzentren optimale Sicherheit herrscht, können mangelhaft geschützte Cloud-Anbieter das System als Ganzes gefährden. Travis Greene, Director of Strategy, IT Operations bei Micro Focus, hat fünf Punkte zusammengestellt,…

Spectre-NG: Weitere Sicherheitslücken in Prozessoren

Im Januar 2018 wurden unter den Bezeichnungen »Spectre« und »Meltdown« schwer zu behebende Sicherheitslücken in marktüblichen Prozessoren bekannt. IT-Sicherheitsforscher haben weitere Schwachstellen in diesen Prozessoren entdeckt, die auf vergleichbaren Mechanismen beruhen und ähnliche Auswirkungen haben können wie »Meltdown« und »Spectre«. Diese neuen, mit »Spectre-Next-Generation (NG)« bezeichneten Schwachstellen führen nach Analysen des BSI dazu, dass Angreifer…

Raus aus der Gefahrenzone: Secure Systems Engineering hilft Sicherheitslücken zu schließen

Produktionsausfälle, Qualitätsverlust, Kapital- und Imageschäden: Mangelnde Sicherheit in der Fertigung zieht spürbare Folgen nach sich. Als Bedrohung sehen Unternehmer nicht nur menschliches Fehlverhalten, sondern beispielsweise auch Schadsoftware, technisches Versagen oder Phishing – Faktoren, die zum Teil mit der Digitalisierung einhergehen [1]. Da diese Einflüsse den gesamten Produktlebenszyklus betreffen, müssen Betriebe sich anpassen. Systems Engineering im…

Microsoft-Sicherheitslücken seit 2013 mehr als verdoppelt

Aufhebung von Administratorrechten könnte 80 Prozent der kritischen Sicherheitslücken von 2017 entschärfen. Avecto hat seinen jährlichen Bericht zu Microsoft-Schwachstellen veröffentlicht, der mittlerweile zum fünften Mal erscheint. Er basiert auf einer Untersuchung sämtlicher 2017 gemeldeter Microsoft-Schwachstellen und zeigt, dass deren Zahl beträchtlich gestiegen ist. Zum Vergleich: Im Jahr 2013 wurden 325 Sicherheitslücken entdeckt, im vergangenen Jahr…

Sieben häufige Gründe, warum Unternehmen unter Sicherheitslücken leiden

Spätestens nach den jüngsten Schwachstellen Spectre und Meltdown weiß jeder, dass das Thema Cybersecurity nie an Präsenz verliert und jeden betrifft. Dies gilt nicht nur für Unternehmen, sondern auch für Privatanwender: Cyberkriminelle erfassen Passwörter noch während des Tippens, installieren Malware und fangen so sämtliche Daten unbemerkt ab. Oder sie spähen über Browserdaten Kreditkartendaten und Logins…

Sicherheitslücken in Prozessoren – BSI rät zu Updates

Prozessoren verschiedener Hersteller haben nach Kenntnis des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schwer zu behebende IT-Sicherheitslücken. Diese ermöglichen unter anderem das Auslesen von sensiblen Daten wie Passwörtern, Schlüsseln und beliebigen Speicherinhalten. Betroffen sind nahezu alle Geräte, die über einen komplexen Prozessorchip der betroffenen Hersteller verfügen. Dazu zählen u.a. Computer, Smartphones und Tablets aller…

Sicherheitslücken in IP-Kameras öffnen Netzwerk für Angreifer

Unsichere IP-Kameras sind weiteres Beispiel für IoT-Geräte, deren Hersteller die Grundzüge der IT-Sicherheit vernachlässigen und so Nutzer und Netzwerke gefährden.   Der Sicherheitsanbieter F-Secure hat 18 zum Teil kritische Sicherheitslücken in IP-Kameras des Herstellers Foscam gefunden. Angreifer können aufgrund der Schwachstellen die Kontrolle über die Kameras übernehmen, auf den Video-Feed zugreifen und Daten auf den…

Cybersicherheit: Finanzdatendiebstahl und Sicherheitslücken machen am meisten Sorgen

69 Prozent der Führungskräfte im IT- und Sicherheitsbereich sind laut einer Umfrage davon überzeugt, dass die digitale Transformation die Unternehmen zum fundamentalen Überdenken der Cybersecurity-Strategien zwingt. Als wichtigste Ressourcen, die vorrangig gegen Sicherheitsverletzungen zu schützen sind, wurden genannt: Finanzdaten, Kundendaten, Markenreputation, geistiges Eigentum und Mitarbeiterdaten. Neue Prioritäten in unternehmerischer und technologischer Hinsicht stellen IT- und…

IT-Sicherheit 2017: Sicherheitslücken im Internet der Dinge besser schließen

Das neue Jahr steht nach Einschätzung von IT-Sicherheitsexperten ganz im Zeichen des Datenschutzes. Doch während Unternehmen in diesem Jahr damit beschäftigt sein werden, die geforderten Änderungen in Dokumentations-, Rechenschafts- und weiteren neuen Pflichten entlang der EU-Datenschutz-Grundverordnung bis 25. Mai 2018 zu erfüllen, dürfen sie ihre IT-Sicherheit nicht aus den Augen verlieren. Mit welchen Bedrohungen Unternehmen…

Windows-Sicherheitslücken in 2016

Sicherheitslücken in Windows-Betriebssystemen nehmen im Vergleich zum Vorjahr zu; Internet Explorer mit weniger Schwachstellen. Der europäische Security-Software-Hersteller ESET hat seinen Windows-Sicherheitsbericht für 2016 veröffentlicht [1]. Die neueste Version des jährlichen Berichts beleuchtet die größten Schwachstellen verschiedener Windows-Versionen im vergangenen Jahr. Auf 25 Seiten gibt ESET einen Überblick über Sicherheitslücken in dem Betriebssystem, die in den…

Penetrationstests decken IT-Sicherheitslücken rechtzeitig auf

  Schwachstellen in der Unternehmens-IT selbst erkennen, bevor sie ein Angreifer finden und ausnutzen kann – das ist die Idee eines Penetrationstests. Sorgfältig geplant und von einem professionellen Dienstleister auf Netzwerk- und Systemebene oder auf Applikationsebene vorgenommen, erweist sich solch ein Test als effiziente Maßnahme gegen die wachsende Bedrohung durch Cyberkriminalität. Cybersecurity und IT-Sicherheit gehören…

Mobile Security: Unstimmigkeiten zwischen wahrgenommenen und tatsächlichen Sicherheitslücken

86 Prozent der IT-Manager sind besorgt wegen potenzieller Hackerangriffe. Die Hälfte der Befragten geht davon aus, dass es durch mobile Geräte mehr Sicherheitslücken geben wird. 44 Prozent befürchten, dass Sicherheitsmaßnahmen die Produktivität ihrer Mitarbeiter einschränken. Eine neue globale Forschungsinitiative unter der Leitung von BlackBerry Limited hat herausgefunden, dass viele IT-Entscheider trotz umfangreicher Ressourcen im Bereich…

IT-Budgets sozialer Organisationen wachsen, Sicherheitslücken bleiben

Neuer IT-Report für die Sozialwirtschaft erschienen. Die Digitalisierung ist auf dem Vormarsch und soziale Einrichtungen investieren kräftig in Informationstechnologie. Zu diesem Ergebnis kommt die neue Ausgabe des jährlich von der Arbeitsstelle für Sozialinformatik an der Katholischen Universität Eichstätt-Ingolstadt (KU) herausgegebenen »IT-Report für die Sozialwirtschaft« [1]. Demnach stiegen die IT-Budgets der Träger mit über 100 Mitarbeitern…

Zentraler Baustein für Industrie 4.0 weist keine größeren Sicherheitslücken auf

Industrie 4.0: BSI-Studie zum Kommunikationsstandard OPC UA. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Hannover Messe eine Sicherheitsanalyse des Kommunikationsprotokolls OPC UA veröffentlicht. Die Studie des BSI liefert eine fundierte Bewertung der spezifizierten und realisierten Sicherheitsfunktionen von OPC UA, einem einheitlichen und weltweit anerkannten Industrieprotokoll, welches für eine sichere Fabrik…

Studie warnt vor Sicherheitslücken in der Smart Factory

Die zunehmende Vernetzung von Maschinen untereinander hat der produzierenden Industrie einen Innovationsschub verschafft. Gleichzeitig schafft die autonome Gerätekommunikation neue Sicherheitslücken für Hacker und andere Cyberkriminelle. Zu diesem Ergebnis kommt die im Auftrag des Bundeswirtschaftsministeriums entwickelte Studie »IT-Sicherheit für Industrie 4.0«. Die Studie unterstreicht, dass IT-Sicherheit die elementare Voraussetzung für die Umsetzung und den Erfolg von…

Schwachstellenanalyse: Sicherheitslücken in Unternehmensnetzwerken

In fast 85.000 Fällen boten vor allem falsch konfigurierte Systeme und ungepatchte Software Angreifern die Möglichkeit, das Unternehmensnetzwerk zu infiltrieren. Eine im Frühjahr 2016 durchgeführte Untersuchung von Firmennetzwerken durch die finnischen Cyber-Security-Spezialisten von F-Secure identifizierte tausende von schwerwiegenden Sicherheitslücken, durch die sich Angreifer unbemerkt Zugang zu den Unternehmen verschaffen hätten können. Mit Hilfe von F-Secure…