Bedrohungsakteure sind bemerkenswert schnell darin, verfügbare Proof-of-Concept (PoC)-Exploits in echten Angriffen zu nutzen, manchmal bereits 22 Minuten nach deren Veröffentlichung.

Laut dem Application Security Report 2024 von Cloudflare, der Aktivitäten zwischen Mai 2023 und März 2024 abdeckt, zeigt sich ein beunruhigender Trend bei neu auftretenden Bedrohungen.

Cloudflare, das derzeit durchschnittlich 57 Millionen HTTP-Anfragen pro Sekunde verarbeitet, beobachtet weiterhin eine erhöhte Scan-Aktivität nach bekanntgegebenen CVEs, gefolgt von Befehlsinjektionen und Versuchen, verfügbare PoCs zu nutzen.

Meistangegriffene Schwachstellen

Während des Untersuchungszeitraums waren die am häufigsten angegriffenen Schwachstellen CVE-2023-50164 und CVE-2022-33891 in Apache-Produkten, CVE-2023-29298, CVE-2023-38203 und CVE-2023-26360 in Coldfusion sowie CVE-2023-35082 in MobileIron.

Ein charakteristisches Beispiel für die rapide Zunahme der Waffenfähigkeit ist CVE-2024-27198, eine Authentifizierungs-Bypass-Schwachstelle in JetBrains TeamCity.

Cloudflare beobachtete einen Fall, bei dem ein Angreifer einen PoC-basierten Exploit nur 22 Minuten nach dessen Veröffentlichung einsetzte, wodurch den Verteidigern praktisch keine Zeit zur Schadensbegrenzung blieb.

Kampf gegen schnelle Ausnutzung

Das Unternehmen erklärt, dass die einzige Möglichkeit, diese Geschwindigkeit zu bekämpfen, der Einsatz von KI-Unterstützung ist, um schnell wirksame Erkennungsregeln zu entwickeln.

„Die Geschwindigkeit der Ausnutzung offengelegter CVEs ist oft schneller als die Geschwindigkeit, mit der Menschen WAF-Regeln erstellen oder Patches zur Abwehr von Angriffen entwickeln und bereitstellen können“, erläutert Cloudflare im Bericht.

„Dies gilt auch für unser eigenes internes Sicherheitsteam, das die WAF-Managed-Ruleset pflegt, was uns dazu veranlasst hat, menschlich geschriebene Signaturen mit einem auf maschinellem Lernen basierenden Ansatz zu kombinieren, um das beste Gleichgewicht zwischen niedrigen Fehlalarmen und Reaktionsgeschwindigkeit zu erreichen.“

Bedrohungsakteure und Spezialisierung

Cloudflare stellt fest, dass dies teilweise darauf zurückzuführen ist, dass bestimmte Bedrohungsakteure sich auf bestimmte CVE-Kategorien und Produkte spezialisieren und ein tiefes Verständnis dafür entwickeln, wie neue Schwachstellen schnell ausgenutzt werden können.

6,8 % des gesamten Internetverkehrs sind DDoS

Ein weiterer alarmierender Punkt im Bericht von Cloudflare ist, dass 6,8 % des gesamten täglichen Internetverkehrs aus Distributed-Denial-of-Service (DDoS)-Angriffen bestehen, die darauf abzielen, Online-Anwendungen und -Dienste für legitime Nutzer unzugänglich zu machen.

Dies ist ein bemerkenswerter Anstieg gegenüber den 6 %, die im vorherigen 12-Monats-Zeitraum (2022-2023) verzeichnet wurden, und zeigt eine Zunahme des gesamten Volumens von DDoS-Angriffen.

Cloudflare berichtet, dass während großer globaler Angriffsevents bösartiger Traffic bis zu 12 % des gesamten HTTP-Traffics ausmachen kann.

„Fokussiert man sich nur auf HTTP-Anfragen, blockierte Cloudflare im ersten Quartal 2024 durchschnittlich 209 Milliarden Cyberbedrohungen pro Tag (+86,6 % im Jahresvergleich) […was] einen erheblichen Anstieg im Vergleich zum selben Zeitraum des Vorjahres darstellt“, so Cloudflare.

Der vollständige Bericht des Unternehmens, der hier als PDF heruntergeladen werden kann, bietet weitere Empfehlungen für Verteidiger und tiefere Einblicke in die gesammelten Statistiken.