Cyberbedrohungen
Linux-Systeme häufig unter Beschuss
Linux-Report: Alte Sicherheitslücken und neue Technologie stellen Hauptursache für Malware-Infektionen in den Systemen dar. Ransomware-Angriffe häufen sich, aber auch Kryptowährungs-Miner, Webshell-Angriffe und Rootkits.
Save to Folio
Linux erfreut sich immer größerer Beliebtheit in der IT-Welt. Vor allem auf Web-Servern und in Rahmen von Embedded-Systemen greifen Unternehmen in der Regel zum Open-Source-Betriebssystem. So laufen etwa 81 Prozent aller Webseiten über Linux und 90 Prozent aller Public-Cloud-Workloads werden mit der Open-Source-Alternative betrieben. Apache, Nginx und viele Dienste auf Amazon Web Services (AWS) sind nur ein kleiner Auszug von populären Linux-basierten Systemen. In den letzten Jahren nahm dabei auch der Einsatz von Linux innerhalb besonders sicherheitskritischer Systeme zu, wie in Medizingeräten, autonomen Fahrzeuge oder der Raumfahrt. Doch mit der weiteren Verbreitung von Linux auf Systeme von Privatanwendern, Unternehmensservern und Cloud-Infrastrukturen wird es auch zu einem immer attraktiveren Ziel für Malware, Exploits und Social Engineering-Angriffen.
Alte Sicherheitslücken und neue (KI-)Technologie
Unser Bericht zum ersten Halbjahr 2023 zeigt einen Anstieg von 62 Prozent bei Angriffen im Ransomware-Bereich. Ganze 14 neue Ransomware-Familien sind seit 2023 im Umlauf. Ein Beispiel dafür ist die KillDisk-Malware, die vor allem Finanzinstitute ins Visier nimmt. Ransomware-Gruppen erzielen trotz stetig neuer Entwicklungen auch mit älteren Schadsoftware-Tools immer noch regelmäßig Erfolge. Wir führen dies darauf zurück, dass in den Linux-Systemen der Unternehmen noch viele ältere, bereits weithin bekannte Sicherheitslücken klaffen, die bis heute ungepatcht bleiben.
Die Zunahme von Ransomware lässt sich zudem mit dem Einsatz neuer Technologien wie generativer KI und anderer Tools erklären. So nutzte die neue Gruppierung Mimic im Frühjahr eine Lücke im Suchwerkzeug Everything, um zu bestimmen, welche Dateien verschlüsselt werden sollten. Zudem gibt es auch mehr Zusammenarbeit zwischen den verschiedenen Ransomware-Gruppen wie Conti, TargetCompany und BlueSky zu, mit dem Ergebnis geringerer Kosten und höherer Operationseffizienz.
Obwohl die Clop-Ransomware nicht unter den Top-10 steht, ist erwähnenswert, dass die Gruppe kürzlich die Zero-Day-Schwachstelle in MOVEit Transfer (CVE-2023-34362) ausnutzte, um Unternehmen anzugreifen. Und trotz des vorübergehenden Rückgangs der Aktivitäten aufgrund der Verhaftung der Bandenmitglieder in der Ukraine 2022 ist die Gesamtzahl der Einsätze der Gruppe unverändert geblieben. Drei weitere bemerkenswerte Ransomware-Familien, die aufgrund ihrer jeweiligen Angriffe 2022 und in den ersten Monaten 2023 für Schlagzeilen sorgten, waren Conti, Akira und Abyss Locker. Die Aktivitäten dieser Ransomware-Familien und die veränderten Techniken, die auf Linux-Systeme abzielen, zeigen, wie schnell Bedrohungsakteure umschwenken und Sicherheitslücken als Waffe einsetzen können, um Profit zu machen.
Darüber hinaus haben es auch einige Windows- und Android-basierte Malware-Familien in die Top-Liste geschafft, was bedeutet, dass Linux-Server als Speicher- oder Command-and-Control (C&C)-Server für Windows- und Android-Malware dienen.
Bezüglich der Abwehr von Malware-Bedrohungen und -Angriffen stellten wir fest, dass sich die Unternehmen nun für den Einsatz von Red-Teams entscheiden, die sich damit beschäftigen, die verfügbaren Tools zu erlernen und zu nutzen, um ihre interne Cybersicherheitslage zu verbessern.
Die weitere Bedrohungslage in der Linux-IT-Landschaft
Eine weitere Bedrohung für Linux-Systeme geht von Skriptangriffen über Webshell aus. Die Attacken machten 2022 fast die Hälfte (49,6 Prozent) aller Angriffe aus. Diese auf einem Server installierten bösartigen Skripte liefern eine leistungsfähige Schnittstelle zur Kontrolle des Servers und des Netzwerks. Nach der erfolgreichen Ausnutzung von Schwachstellen in Webanwendungen wie SQL-Injection, File Inclusion oder Command Injection werden diese Skripte oft als Teil des Arsenals missbraucht.
Schließlich wurden 29,4 Prozent der Vorfälle mithilfe von Trojanern durchgeführt. Attacken über spezielle Backdoors haben einen Anteil von circa 12 Prozent und Kryptowährungs-Miner immerhin noch 4,2 Prozent. Phishing-Angriffe wurden mit etwas weniger als 2 Prozent eher selten gemeldet.
Die bei weitem am häufigsten ausgenützte Sicherheitslücke 2022 war CVE-2021-44228 in Apache Log4j – besser bekannt als „Log4Shell“. Danach kommen CVE-2017-12611 (19,5 Prozent) und CVE-2018-11776 (19.4 Prozent) – bei beiden letztgenannten handelt es sich um Anfälligkeiten in Apache Struts.
Web-basierte Angriffe überwiegen
Im Gegensatz zu Windows-Attacken sind Angriffe auf Linux-Systeme überwiegend web-basiert. Ganze 97 Prozent aller festgestellten Attacken verwendeten web-basierte Methoden wie SQL-Injektionen, Cross-Site-Scripting (XSS) oder Server-Side-Request-Fälschungen (SSRF).
Wir beobachteten ferne auch HTTP-Verkehr, der gegen die Protokollspezifikation verstieß. HTTP-Protokollanomalien können sich in ungewöhnlichen HTTP-Anfragen oder Antwortmustern, nicht standardmäßigen Headern, ungültiger Kodierung oder sehr großen Anfragen äußern. Bedrohungsakteure können diese Anomalien für verschiedene Zwecke ausnutzen, darunter:
- Exploits für Schwachstellen,
- Denial-of-Service-Angriffe,
- Umgehen der Erkennung und Verschleiern der Aktivitäten,
- Auskundschaften und Informationen sammeln und
- Attacken auf Protokollebene.
Last but not least, stellen Docker und die Linux-basierten Container ein Sicherheitsrisiko dar, denn sie beinhalten häufig nicht benötigte Tools oder Bibliotheken in einem Image und vergrößern somit die Angriffsfläche.
Fazit
Mit Linux können Unternehmen ihre Nutzungsmöglichkeiten von Cloud-Umgebungen maximieren und ihre Initiativen zur digitalen Transformation vorantreiben. Angesichts der weiten Verbreitung und Beliebtheit des Systems ist es umso wichtiger, die Bedrohungen zu verstehen, um die Systeme angemessen zu sichern, insbesondere gegen weit verbreitete Bedrohungen und Angriffe.
Sicherheitsteams sollten immer die neuesten Sicherheitsupdates aufspielen, keine veraltete Software oder Plugins benutzen, ihre Systemkonfigurationen bezüglich Credentials und Ports überprüfen und ihre Mitarbeiter gegen Phising- und Social-Engineering-Angriffe schulen. Immerhin laufen viele erfolgreiche Angriffe über bereits altbekannte Sicherheitslücken und Exploits. Wer auf solche Best Practices achtet, kann dementsprechend die Open-Source-Vorteile von Linux nutzen, ohne Angst vor Angriffen aus dem Web haben zu müssen.
Die große Zahl alter Lücken zeigt auch, dass viele Unternehmen hier Nachholbedarf haben. Unternehmen, die Linux verwenden, sollten dem Mythos des „virenfreien“ Betriebssystems nicht aufsitzen und stattdessen ihre Sicherheitsstrategien schleunigst überdenken.
Alle Einzelheiten zur Linux-Bedrohungslandschaft können Interessierte im „Linux Threat Landscape Report“ nachlesen.