Free

CISA erweitert KEV-Katalog um drei aktiv genutzte Sicherheitslücken

Die US-Behörde für Cyber- und Infrastruktursicherheit (Cybersecurity & Infrastructure Security Agency, kurz CISA) hat letzte Woche drei Sicherheitslücken in ihren KEV-Katalog aufgenommen, die nachweislich aktiv ausgenutzt werden. Patches sind verfügbar.

Bedrohungen
Lesezeit 2 Min.

Als Bundesbehörde, die sich mit der Sicherung und Stärkung der Cyber- und physischen Infrastrukturen der Vereinigten Staaten befasst (in Teilen ähnlich dem BSI in Deutschland), warnt die CISA vor gravierenden Schwachstellen in Software aller Art, die von kriminellen Akteuren bereits für Angriffe genutzt werden. Für diesen Zweck führt sie die „Known Exploited Vulnerabilities (KEV)“-Datenbank, die aufgedeckte Software-Schwachstellen zusammenstellt. Die drei jüngsten Zugänge hier sind:

CVE-2023-36584 (CVSS-Score: 5.4) – Umgehung der Microsoft Windows Mark-of-the-Web (MotW)-Sicherheitsfunktion

CVE-2023-1671 (CVSS-Punktzahl: 9.8) – Sophos Web Appliance Command Injection-Schwachstelle

CVE-2020-2551 (CVSS-Punktzahl: 9.8) – Nicht spezifizierte Sicherheitslücke in Oracle Fusion Middleware

CVE-2023-1671 bezieht sich auf eine kritische Pre-Auth-Befehlsinjektionsschwachstelle, welche die Ausführung von beliebigem Code ermöglicht. Die Zahl der möglichen Betroffenen dürfte sich allerdings sehr in Grenzen halten. Gefährdet sind diejenigen, welche die (inzwischen nach Plan ausgelaufene) Web Appliance noch verwenden und die Auto-Patch-Funktion deaktiviert haben. Für einen sicheren Netzwerkbetrieb empfiehlt Sophos ein Upgrade aus seine Firewall-Produkte.

CVE-2020-2551 ist eine Schwachstelle in den Kernkomponenten von Oracle WebLogic-Servern (WLS), die es einem nicht authentifizierten Angreifer mit Netzwerkzugang ermöglicht, den WLS-Server zu kompromittieren.

Die Sophos-Schwachstelle wurde vorsichtshalber in den KEV-Katalog aufgenommen – Beweise, dass sie in freier Wildbahn schon ausgenutzt wird, gibt es noch nicht. Ähnlich verhält es sich bei der Oracle-Schwachstelle. Hier gibt es aber immerhin einen Verdachtsmoment für eine aktive Ausnutzung an einer Subdomain der Harvard-Universität – und courses.my.harvard[.]edu.

Im Gegensatz dazu basiert die Aufnahme von CVE-2023-36584 in den KEV-Katalog auf einem aktuellen Bericht von Palo Alto Networks Unit 42. In diesem Bericht wird beschrieben, wie die pro-russische APT-Gruppe Storm-0978 (auch als RomCom oder Void Rabisu bekannt) damit Spear-Phishing-Angriffe durchführt. Diese Angriffe zielen auf Gruppen ab, die die Aufnahme der Ukraine in die NATO im Juli 2023 unterstützten.

Die CVE-2023-36584-Schwachstelle, die von Microsoft im Rahmen der Sicherheits-Updates vom Oktober 2023 gepatcht wurde, soll zusammen mit CVE-2023-36884, einer im Juli behobenen Windows-Schwachstelle für Remotecodeausführung, in einer Exploit-Kette verwendet worden sein, um PEAPOD zu verbreiten – eine aktualisierte Version von RomCom RAT. Angesichts der aktiven Ausnutzung wird den Bundesbehörden empfohlen, die Patches bis zum 7. Dezember 2023 anzuwenden, um ihre Netzwerke vor potenziellen Bedrohungen zu schützen.

Fortinet warnt vor kritischem Command Injection Bug in FortiSIEM

 

Noch nicht im KEV-Katalog, aber vom Hersteller selbst als kritisch eingestuft, ist die Schwachstelle CVE-2023-36553 (CVSS-Score: 9.3). Wie Fortinet in einer Warnung seinen Kunden mitteilt, handelt es sich hier um eine kritische Command Injection-Schwachstelle in FortiSIEM Report Server, die von Angreifern zur Ausführung beliebiger Befehle ausgenutzt werden kann.

CVE-2023-36553 wurde als eine Variante von CVE-2023-34992 (CVSS-Score: 9.7) beschrieben, einer ähnlichen Schwachstelle im selben Produkt, die Anfang Oktober 2023 von Fortinet behoben wurde.

Fortinet betont, dass eine unsaubere Neutralisierung spezieller Elemente, die in einer OS-Befehlsschwachstelle [CWE-78] in FortiSIEM Report Server verwendet werden, es einem entfernten, nicht authentifizierten Angreifer ermöglichen kann, nicht autorisierte Befehle über manipulierte API-Anfragen auszuführen. Die Sicherheitslücke, welche die FortiSIEM-Versionen 4.7, 4.9, 4.10, 5.0, 5.1, 5.2, 5.3 und 5.4 betrifft, wurde in den Versionen 7.1.0, 7.0.1, 6.7.6, 6.6.4, 6.5.2, 6.4.3 und höher behoben.

 

Diesen Beitrag teilen: