CISA warnt vor aktiver Ausnutzung von JetBrains- und Windows-Sicherheitslücken
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat zwei Sicherheitslücken in den Known-Exploited-Vulnerabilities-(KEV)-Katalog aufgenommen, da sie derzeit aktiv ausgenutzt werden. Dafür wurden fünf Bugs aus der Liste gestrichen, deren Angreifbarkeit sich nicht bestätigte.
CVE-2023-42793 (CVSS score: 9.8) bezieht sich auf eine kritische Sicherheitslücke bei der Umgehung der Authentifizierung, wodurch die Ausführung von Remotecode auf JetBrains TeamCity-Servern möglich wird. Die von GreyNoise gesammelten Daten haben gezeigt, dass bisher 74 IP-Adressen versucht haben, die Schwachstelle auszunutzen.
Bei CVE-2023-28229 (CVSS score: 7.0) handelt es sich um eine hochgradig gefährliche Schwachstelle im Microsoft Windows Cryptographic Next Generation (CNG) Key Isolation Service, die es einem Angreifer ermöglicht, bestimmte begrenzte SYSTEM-Rechte zu erlangen.
Derzeit gibt es keine öffentlichen Berichte, die eine Ausnutzung des Fehlers in freier Wildbahn dokumentieren, und die CISA hat keine weiteren Details zu den Angriffen oder Ausnutzungsszenarien bekannt gegeben. Ein Proof-of-Concept (PoC) wurde Anfang letzten Monats zur Verfügung gestellt.
Microsoft hat seinerseits CVE-2023-28229 mit einer „Exploitation Less Likely“-Einschätzung (etwa: „Ausnutzung weniger wahrscheinlich“) versehen. Die Sicherheitslücke wurde von dem Unternehmen im Rahmen der Patch Tuesday-Updates im April 2023 geschlossen.
Da die beiden Schwachstellen aktiv ausgenutzt werden, müssen die Behörden der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB) die von den Herstellern bereitgestellten Patches bis zum 25. Oktober 2023 anwenden, um ihre Netzwerke vor potenziellen Bedrohungen zu schützen.
Die Cybersicherheitsbehörde hat außerdem fünf Schwachstellen, die Owl Labs Meeting Owl betreffen, aus dem KEV-Katalog gestrichen, da deren Angreifbarkeit sich nicht bestätigt hat. Das betrifft CVE-2022-31460, CVE-2022-31459, CVE-2022-31461, CVE-2022-31462 und CVE-2022-31463.