10 der größten Zero-Day-Angriffe im Jahr 2023

1. Fortra GoAnywhere

Zero-Day-Angriffe begannen im Jahr 2023 mit CVE-2023-0669, einer Schwachstelle in Fortras GoAnywhere MFT-Produkt (Managed File Transfer), die vor der Authentifizierung auftritt. Der Cybersecurity-Reporter Brian Krebs berichtete erstmals am 2. Februar über die Schwachstelle; Fortra hatte am Tag zuvor eine private Sicherheitsempfehlung für CVE-2023-0669 an authentifizierte Kunden verteilt.

Die Schwachstelle wurde am 7. Februar gepatcht, aber die Details der Ausnutzung wurden erst im darauffolgenden Monat bekannt, als der Datensicherheitsanbieter Rubrik am 14. März eine Sicherheitsverletzung bekannt gab, die er auf die GoAnywhere-Schwachstelle zurückführte. Am selben Tag listete die Clop-Ransomware-Bande Rubrik auf ihrer Datenleck-Site auf. Rubrik war das erste von vielen Unternehmen, die Sicherheitsverletzungen im Zusammenhang mit der Zero-Day-Schwachstelle bekannt gaben, darunter Procter & Gamble, Hitachi Energy und Community Health Systems.

Clop bekannte sich zu mehr als 100 Datenerpressungsangriffen, wobei unklar ist, wie viele Opfer das Lösegeld gezahlt haben. Die Fortra GoAnywhere-Schwachstelle war nur der erste MFT-Zero-Day, der zu mehreren weiteren Angriffen führte.

2. Barracuda E-Mail Security Gateway

Am 23. Mai gab Barracuda Networks eine Zero-Day-Schwachstelle in seiner ESG-Appliance (Email Security Gateway) bekannt, die als CVE-2023-2868 geführt wird. Der Anbieter gab an, die Schwachstelle am 19. Mai entdeckt und am folgenden Tag einen Patch für alle Appliances veröffentlicht zu haben. Während die erste Meldung nur wenige Details über die Schwachstelle enthielt, wurden in der darauffolgenden Woche weitere Informationen über die Schwachstelle und damit verbundene Angriffe bekannt.

Barracuda gab an, Mandiant, ein Google Cloud-Unternehmen, beauftragt zu haben, verdächtige Aktivitäten rund um ESG-Appliances am 18. Mai zu untersuchen, was zur Entdeckung der Zero-Day-Schwachstelle führte. Noch wichtiger ist, dass die Untersuchung ergab, dass CVE-2023-2868, eine Schwachstelle zur Einschleusung von Remote-Befehlen, bereits im Oktober 2022 ausgenutzt worden war. Laut Barracuda nutzten die Angreifer drei Arten von Malware, um sich einen dauerhaften Backdoor-Zugang zu einer Untergruppe von ESG-Appliances zu verschaffen, über die Daten aus Kundennetzwerken exfiltriert wurden.

Die Situation spitzte sich zu, als Barracuda am 6. Juni ankündigte, dass „betroffene ESG-Appliances“ sofort ersetzt werden müssten. Später stellte Barracuda klar, dass nur Appliances, die von Bedrohungsakteuren „kompromittiert“ wurden, ausgetauscht werden müssten und dass den Kunden neue Produkte kostenlos zur Verfügung gestellt würden.

Am 15. Juni berichtete Mandiant, dass die Angriffe von einem Cyberspionage-Akteur mit der Bezeichnung UNC4841 durchgeführt wurden, der die chinesische Regierung unterstützt. Der Bedrohungsakteur modifizierte seine Malware, um wirksame Patches zu verhindern und den dauerhaften Zugriff auf kompromittierte Geräte aufrechtzuerhalten. Das FBI warnte später im August, dass mutmaßliche chinesische Hacker die Zero-Day-Schwachstelle weiterhin ausnutzen.

3. Progress Software MoveIt Transfer

Eine weitere MFT-Zero-Day-Schwachstelle (Managed File Transfer) tauchte am 31. Mai auf, als Progress Software eine SQL-Injection-Schwachstelle (CVE-2023-34362) in seiner MoveIt-Transfer-Software bekannt gab und mit einem Patch versah. Am darauffolgenden Tag meldete Rapid7 die Ausnutzung der Zero-Day-Schwachstelle, doch die Situation spitzte sich nur wenige Tage später rapide zu.

Am 4. Juni schrieb das Microsoft Threat Intelligence Center die Ausnutzung der MoveIt Transfer-Schwachstelle einem Bedrohungsakteur zu, den es als Lace Tempest bezeichnet und der mit der Ransomware-Gruppe Clop in Verbindung gebracht wird. Clop-Bedrohungsakteure nutzten die Zero-Day-Schwachstelle in Fortras GoAnywhere MFT-Produkt Anfang des Jahres aus. Mandiant beobachtete auch eine „breite Ausnutzung“, bei der Angreifer MoveIt Transfer-Instanzen kompromittierten und Kundendaten stahlen. Bald darauf wurden Dutzende von Opfern bekannt, sowohl durch die Veröffentlichung von Datenverletzungen als auch durch die Auflistung auf der Datenleckseite von Clop. Zu den Opfern gehörten staatliche und bundesstaatliche Regierungsbehörden sowie British Airways, Extreme Networks und Siemens Energy.

Die Liste der Opfer wuchs auch Monate nach der ersten Veröffentlichung von CVE-2023-34362 weiter an. Wie bei den Angriffen auf Fortra GoAnywhere-Kunden konzentrierten sich die Angreifer ausschließlich auf Datendiebstahl und setzten keine Ransomware in den Umgebungen der Opfer ein. Es ist unklar, wie viele Opfer die Lösegeldforderungen von Clop bezahlt haben, aber das Ausmaß der Angriffe war beeindruckend. Emsisoft schätzte im September, dass die Datendiebstahl- und Erpressungskampagne von Clop 2.095 Organisationen und mehr als 62 Millionen Einzelpersonen betraf.

4. VMware-Tools

Am 13. Juni veröffentlichte VMware eine Schwachstelle mit geringem Schweregrad, die ESXi-Hypervisor-Instanzen betrifft. Die Sicherheitslücke zur Umgehung der Authentifizierung (CVE-2023-20867) ermöglicht es einem Angreifer auf einem kompromittierten ESXi-Host, die Authentifizierungsprüfung in VMware Tools für Host-to-Guest-Vorgänge zu umgehen und die VM zu kompromittieren.

CVE-2023-20867 wurde mit einem CVSS v3-Wert von nur 3,9 bewertet, da ein Angreifer zur Ausnutzung der Schwachstelle Root-Zugriff auf einen ESXi-Hypervisor erhalten musste. Mandiant, das die Zero-Day-Schwachstelle entdeckte, berichtete jedoch am selben Tag der Veröffentlichung, dass eine chinesische Cyberspionage-Bedrohungsgruppe, die es als UNC3886 bezeichnet, die VMware-Tools-Schwachstelle ausnutzte. Dem Bericht von Mandiant zufolge hatte UNC3886 bereits im Jahr 2022 ESXi-Hosts mit einer neuen Malware-Familie angegriffen.

Bei den jüngsten Angriffen zielte die Cyberspionagegruppe auf Verteidigungs-, Technologie- und Telekommunikationsunternehmen in den USA und im asiatisch-pazifischen Raum. Die Angreifer, die Mandiant als „sehr geschickt“ bezeichnete, nutzten die VMware-Zero-Day-Schwachstelle aus und führten privilegierte Befehle von Gast-VMs auf den ESXi-Hosts aus, während sie gleichzeitig dauerhafte Hintertüren einbauten. Die Angriffe zeigten, dass selbst Schwachstellen mit niedrigen CVSS-Scores von Bedrohungsakteuren genutzt werden können, um erheblichen Schaden anzurichten.

5. Microsoft Windows and Office

Im Jahr 2023 gab es viele Zero-Day-Schwachstellen in Microsoft-Produkten, aber eine der bedeutendsten war CVE-2023-36884, eine Sicherheitslücke für Remote-Code-Ausführung (RCE) in Windows Search. Die Schwachstelle, die erstmals in Microsofts Patch Tuesday-Veröffentlichung vom Juli 2023 bekannt gegeben wurde, betrifft sowohl Windows als auch Office-Software.

Zwei Aspekte unterschieden CVE-2023-36884 von anderen Microsoft-Zero-Days im vergangenen Jahr. Erstens gab es für die RCE-Schwachstelle zum Zeitpunkt der Offenlegung keinen Patch, auch wenn Microsoft Abhilfemaßnahmen anbot, um eine Ausnutzung zu verhindern. Die Schwachstelle wurde schließlich mit der Patch-Tuesday-Veröffentlichung im August 2023 behoben.

Zweitens enthüllte Microsoft, dass eine russische Cyberkriminelle Gruppe, die es als Storm-0978 bezeichnet, CVE-2023-36884 in einer auf Spionage ausgerichteten Phishing-Kampagne sowie in finanziell motivierten Ransomware-Angriffen ausnutzte. Dem Microsoft-Bericht zufolge zielte die Kampagne von Storm-0978 auf Verteidigungsorganisationen und Regierungseinrichtungen in Nordamerika und Europa ab. Die Phishing-E-Mails enthielten Köder, die sich auf die NATO und den ukrainischen World Congress bezogen, und die Angreifer nutzten CVE-2023-36884 aus, um Microsofts Sicherheitsfunktion Mark of the Web (MotW) zu umgehen, die normalerweise bösartige Links und Anhänge blockiert.

Bei der Untersuchung der Exploit-Kette entdeckten Sicherheitsforscher der Unit 42 von Palo Alto Networks eine weitere Sicherheitslücke mit der Bezeichnung CVE-2023-36584. Die im Oktober bekannt gegebene Schwachstelle ermöglicht es Angreifern ebenfalls, den MotW-Schutz zu umgehen.

6. WebP/Libwebp

Am 11. September veröffentlichte Google einen Notfall-Patch für eine kritische Heap-Pufferüberlaufschwachstelle in WebP, eine von Google entwickelte Bildformat. Die als CVE-2023-4863 verfolgte Zero-Day-Schwachstelle ermöglicht es einem Angreifer, über ein bösartiges WebP-Bild einen unzulässigen Speicherüberlauf auszuführen.

Die Sicherheitslücke betrifft jedoch nicht nur den Google-Browser Chrome. Da das WebP-Format auch von anderen Browserherstellern unterstützt wird, haben Unternehmen wie Microsoft, Apple und Mozilla ebenfalls Browser-Updates veröffentlicht. Später kamen weitere Details zu CVE-2023-4863 ans Licht. Während Google die Schwachstelle zunächst als Fehler in WebP bezeichnete, stellten Sicherheitsforscher fest, dass das Problem in der Open-Source-Bibliothek Libwebp liegt, die von vielen Softwareentwicklern nicht nur für Browser verwendet wird.

Um die Sache weiter zu verkomplizieren, haben einige Cybersicherheitsunternehmen wie Cloudflare Ähnlichkeiten zwischen CVE-2023-4863 und einer anderen Zero-Day-Heap-Pufferüberlaufschwachstelle in Apples Image I/O-Framework festgestellt, die einige Tage zuvor, am 7. September, bekannt gegeben und gepatcht wurde. Die Apple-Schwachstelle mit der Bezeichnung CVE-2023-41064 wurde von Forschern des Citizen Lab entdeckt, die herausfanden, dass sie in einem Zero-Click-Exploit des kommerziellen Spyware-Anbieters NSO Group als Waffe eingesetzt wurde.

Citizen Lab entdeckte zusammen mit dem Security Engineering and Architecture Team von Apple auch CVE-2023-4863. Allerdings schrieb keine der beiden Organisationen die Zero-Day-Aktivitäten der NSO Group zu, und es wurden keine weiteren Details zur Ausnutzung bereitgestellt.

7. Apple iOS and iPadOS

Wie Microsoft hatte auch Apple im Jahr 2023 seinen Anteil an Zero-Day-Schwachstellen. Drei Schwachstellen in iOS und iPadOS, die am 21. September bekannt wurden, fallen jedoch besonders auf. Zu den Schwachstellen gehören CVE-2023-41992, ein Fehler bei der Erhöhung von Berechtigungen im Kernel des Betriebssystems, CVE-2023-41991, ein Sicherheitsfehler, mit dem Angreifer Signaturvalidierungen umgehen können, und CVE-2023-41993, ein Fehler in Apples WebKit-Browser-Engine, der zur Ausführung von beliebigem Code führen kann.

Bill Marczak, ein Forscher bei The Citizen Lab, und Maddie Stone, eine Sicherheitsforscherin in der Threat Analysis Group (TAG) von Google, entdeckten alle drei Zero-Days. In einem Blogbeitrag vom 22. September enthüllten die Forscher von The Citizen Lab, dass die Schwachstellen in einer Exploit-Kette verwendet wurden, um Predator, ein Spyware-Produkt des kommerziellen Überwachungsanbieters Cytrox, zu verbreiten. Nach Angaben von Citizen Lab wurde Ahmed Eltantawy, ein ehemaliges Mitglied des ägyptischen Parlaments, zwischen Mai und September 2023 von Predator-Spyware angegriffen.

Nachdem Eltantawy seine Absicht bekannt gegeben hatte, bei den ägyptischen Wahlen 2024 für das Amt des Präsidenten zu kandidieren, wandte er sich an das Citizen Lab und äußerte Bedenken hinsichtlich der Sicherheit seines Telefons. Forscher des Citizen Labs untersuchten zusammen mit Googles TAG die Aktivitäten auf seinem Telefon und fanden heraus, dass es mit der Spyware Predator infiziert war. Citizen Lab schrieb den Angriff der ägyptischen Regierung zu und sagte, der Fall zeige, wie gefährlich „Söldner-Spyware“ sein kann.

8. Atlassian Confluence

Am 4. Oktober hat Atlassian eine Zero-Day-Schwachstelle in seinen Confluence Data Center- und Server-Produkten bekannt gegeben und gepatcht. Die Schwachstelle mit der Bezeichnung CVE-2023-22515 wurde zunächst als Schwachstelle bei der Erhöhung von Berechtigungen beschrieben, die die selbstverwalteten Versionen der Confluence Workspace Suite betraf. Während Atlassian die Schwachstelle als kritisch bezeichnete, wurde zum Zeitpunkt der Veröffentlichung kein CVSS-Score vergeben. Das Unternehmen gab an, dass „eine Handvoll Kunden“ über die Ausnutzung der Schwachstelle berichtet haben, aber es wurden keine weiteren Details genannt.

Am nächsten Tag stufte Atlassian die Zero-Day-Schwachstelle mit einem CVSS-Wert von 10 ein und überarbeitete die Beschreibung der Schwachstelle. Die Schwachstelle stand im Zusammenhang mit einer fehlerhaften Zugriffskontrolle in der Confluence Data Center- und Server-Software. Weitere Informationen wurden in der darauffolgenden Woche bekannt, als Microsoft über X, früher bekannt als Twitter, mitteilte, dass ein nationaler Bedrohungsakteur die Schwachstelle seit dem 14. September in freier Wildbahn ausnutzt. Der Bedrohungsakteur, der von Microsoft als Storm-0062 bezeichnet wird, soll mit der chinesischen Regierung in Verbindung stehen.

Es ist unklar, wie viele Atlassian-Kunden von Storm-0062 angegriffen wurden oder auf welche Arten von Organisationen der Bedrohungsakteur abzielte. Atlassian forderte alle Kunden auf, ihre Confluence-Instanzen sofort zu aktualisieren oder anfällige Versionen vom öffentlichen Internet zu isolieren, bis sie den Patch ordnungsgemäß anwenden können.

9. Citrix NetScaler ADC und NetScaler Gateway

Wenn eine Sicherheitslücke einen eigenen Namen bekommt, ist das in der Regel ein Zeichen dafür, dass die Schwachstelle sehr problematisch ist. Am 10. Oktober hat Citrix zwei Schwachstellen behoben, die mehrere Versionen von NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) betreffen. Bei einer der beiden Schwachstellen handelte es sich um die Offenlegung sensibler Informationen, die unter der Bezeichnung CVE-2023-4966 bekannt wurde. Die kritische Schwachstelle, die unter Sicherheitsexperten als Citrix Bleed bekannt wurde, erhielt einen CVSS-Wert von 9,4.

Eine Woche später teilte Mandiant mit, dass es seit August Aktivitäten zur Ausnutzung von CitrixBleed in freier Wildbahn beobachtet hat, die sich hauptsächlich gegen Regierungs- und Technologieorganisationen richten. Dem Mandiant-Bericht zufolge beobachteten Forscher, dass Bedrohungsakteure authentifizierte Sitzungen für anfällige Appliances gekapert haben, wodurch sie MFA und andere strenge Identitätsüberprüfungen umgehen konnten. Noch alarmierender ist die Warnung von Mandiant, dass diese gekaperten Sitzungen auch nach dem Patch für CVE-2023-4966 noch von Bedrohungsakteuren genutzt werden können. Das Unternehmen empfahl seinen Kunden, über das Patchen von Citrix Bleed hinaus weitere Schutzmaßnahmen zu ergreifen.

Die Ausnutzung der Zero-Day-Schwachstelle setzte sich im November fort. Das Financial Services Information Sharing and Analysis Center warnte, dass die berüchtigte LockBit-Ransomware-Bande Citrix Bleed ausnutzt. Das CISA und das FBI gaben in einer gemeinsamen Mitteilung eine ähnliche Warnung vor LockBit-Angriffen heraus und erklärten, dass die Behörden mit einer „weit verbreiteten Ausnutzung“ der Sicherheitslücke rechnen.

10. Cisco IOS XE

Am 16. Oktober veröffentlichte Cisco ein Advisory zu CVE-2023-20198, einer kritischen Zero-Day-Schwachstelle in seiner IOS XE-Software, die einen CVSS-Score von 10 erhielt. Der Netzwerkspezialist warnte, dass die Zero-Day-Schwachstelle alle Versionen von IOS XE mit aktivierter Webbenutzeroberfläche betrifft. Ein entfernter Angreifer könnte die Schwachstelle ausnutzen und die höchste Stufe des privilegierten Zugriffs auf Geräte erlangen, auf denen die Software läuft. Zum Zeitpunkt der Bekanntgabe war noch kein Patch verfügbar. Cisco empfahl seinen Kunden, die HTTP-Serverfunktion für alle anfälligen Systeme zu deaktivieren.

In einem begleitenden Blog-Beitrag erklärten Cisco Talos-Forscher, dass die Angriffe am 18. September begannen und dass die Angriffsgruppen von demselben nicht identifizierten Bedrohungsakteur durchgeführt wurden. Der Bedrohungsakteur nutzte die Schwachstelle aus und setzte ein Programm, das Cisco Talos als BadCandy bezeichnete, auf kompromittierten Geräten ein.

Nur einen Tag nach der ersten Offenlegung durch Cisco warnten Sicherheitsanbieter, dass CVE-2023-20198 massenhaft ausgenutzt werden könnte. So wurden beispielsweise beim Internet-Scannen von VulnCheck nach anfälligen IOS XE-Instanzen Tausende von betroffenen Hosts gefunden. Am 22. Oktober veröffentlichte Cisco Patches für CVE-2023-20198 sowie für eine zweite, verwandte Schwachstelle, die als CVE-2023-20273 bezeichnet wird und die von Cisco Talos-Forschern während ihrer Untersuchung aufgedeckt wurde. Cisco forderte alle Kunden auf, die Patches anzuwenden und die empfohlenen Abhilfemaßnahmen zu implementieren, da die Schwachstelle weiterhin massenhaft ausgenutzt wird.