Warnung von CERT-Bund, die Anwender betrifft, die Siemens Zutrittskontrollsysteme (Siveillance Identity, SiPass integrated und Operation Scheduler) einsetzen. Diese Produkte der Firma Siemens sind von der Spring4Shell-Schwachstelle CVE-2022-22965 betroffen. Bei den verwundbaren Produkten handelt es sich um Software, die vor allem im Bereich der physischen Sicherheit und Zutrittskontrolle eingesetzt wird. Aktuell gibt es nur für einige der betroffenen Produkte Updates. Administratoren, die für die Produkte zuständig sind, sollten reagieren.
Anzeige
Spring4Shell-Schwachstelle CVE-2022-22965
In der beliebten Entwickler-Umgebung Java Spring Framework gibt es gleich mehrere Schwachstellen, die unter dem Begriff Spring4Shell aufgeführt werden (siehe Spring4Shell: Sicherheitslücken in Java Spring Framework). Die Schwachstellen werden inzwischen für Angriffe benutzt, d.h. Nutzer, die Produkte mit dem Java Spring Framework einsetzen, benötigen Sicherheitsupdates ihrer Software-Lieferanten. Ich hatte bereits zum 6. April 2022 im Beitrag VMware reagiert auf die Spring4Shell RCE Schwachstelle CVE-2022-22965 auf erste Patches des Anbieters VMware für seine Produkte hingewiesen.
CERT-Bund-Warnung
Ich wurde über nachfolgenden Tweet auf die Warnung des CERT-Bund aufmerksam, die auf die Spring4Shell-Schwachstelle (CVE-2022-22965) in den Produkten Siveillance Identity, SiPass integrated und Operation Scheduler der Firma Siemens hinweist.
Bei allen genannte und verwundbaren Produkten handelt es sich um Software, die vor allem im Bereich der physischen Sicherheit und Zutrittskontrolle eingesetzt wird. Die Schwachstelle erlaubt einem entfernten, nicht authentifizierten Angreifer, beliebigem Code auf dem Zielsystem mit den Berechtigungen der Applikation auszuführen.
Anzeige
Bekannte Exploits erfordern, dass die Applikation als WAR-Datei auf einem Tomcat läuft sowie dass JDK 9 oder höher zum Einsatz kommt. Konfigurationen, bei denen eine Spring Boot ausführbare jar-Datei zum Einsatz kommt, sind nach aktuellem Kenntnisstand nicht verwundbar. Da es sich jedoch um eine allgemeine Schwachstelle handelt, können weitere Wege zur Ausnutzung nicht ausgeschlossen werden.
Für die Produkte Operation Scheduler und SiPass integrated stehen bereits Updates zur Verfügung. Für die aktuell unterstützen Versionen von Siveillance Identity ist dies noch nicht der Fall. Das BSI geht – unter anderem aufgrund der Verbreitung im KRITIS-Sektor Transport und Verkehr – von einer grundsätzlichen Relevanz aus. Dem BSI liegen öffentliche Berichte vor, dass die zugrundeliegende Schwachstelle Spring4Shell bereits aktiv ausgenutzt wird.
Maßnahmen ergreifen
Das BSI empfiehlt jedem Betreiber zu überprüfen, ob die betroffenen Produkte im Einsatz sind und die von Siemens beschriebenen Maßnahmen zeitnah zu berücksichtigen. Unter Beachtung der jeweiligen Risikoabwägung sollten vorhandene Systeme schnellstmöglich auf die vom Hersteller bereitgestellten, nicht-verwundbaren Versionen aktualisiert werden.
Für nicht-patchbare Systeme oder Software, für die kein Update zur Verfügung steht, müssen mindestens ein- und ausgehende Verbindungen mit dem Internet unterbunden werden. Unter Beachtung der jeweiligen Risikoabwägung sollte eine Isolierung der Systeme und eine engmaschige Überwachung in Erwägung gezogen werden.
Es ist davon auszugehen, dass grundsätzlich auch noch weitere IT-Komponenten für Spring4Shell anfällig sind. Daher empfiehlt das BSI dringend, regelmäßig die Sicherheitshinweise von allen IT-Herstellern, deren Produkte in der eigenen Organisation zum Einsatz kommen, zu prüfen.
Anzeige