Nachlese zu Sicherheitslücken und Patches (6. Feb. 2023)

Sicherheit (Pexels, allgemeine Nutzung)In den letzten Wochen wurden einige Sicherheitslücken bekannt und die Hersteller haben diverse Sicherheitsupdates veröffentlicht. So schließt Dell eine Schwachstelle per BIOS-Update in diversen PC-Modellen. In Produkten von Cisco, F5 Big-IP oder in der Jira-Software gibt es Schwachstellen, für die Patches veröffentlicht wurden. In Windows gibt es eine Schwachstelle im Backup-Dienst, die im Januar 2023 aber nur für einige Windows-Versionen geschlossen wurde. Und in OpenSSH 9.2 wurde zwei Sicherheitsprobleme behoben. Hier ein Überblick über diese Sicherheitsthemen.


Anzeige

Dell schließt BIOS-Schwachstelle

Dell hat zum Jahresende BIOS-Updates für diverse  Consumer-PCs (Alienware- und Inspiron-Computer) veröffentlicht, die die Schwachstelle CVE-2022-34398 schließen. heise hat es in diesem Artikel aufgegriffen – eine Liste der betroffenen Geräte und BIOS-Versionen lässt sich im Dell Supportbeitrag hier einsehen.

Windows Schwachstelle CVE-2023-21752

Im Windows Backup-Dienst gab es die Schwachstelle CVE-2023-2175, die eine lokale Privilegienerhöhung (LPE) ermöglicht. Die Schwachstelle ermöglicht es einem Nutzer ohne Administratorberechtigungen auf dem Rechner, beliebigen Code als Lokales System auszuführen und damit den Computer zu übernehmen. Microsoft hat diese Schwachstelle mit den Windows Updates vom Januar 2023 für diverse Windows-Versionen geschlossen.

Windows Schwachstelle CVE-2023-21752

ACROS Security hat Ende Januar 2023 einen Micropatch für den 0patch-Agenten veröffentlicht, der diese Schwachstelle in den in obigem Tweet aufgeführten Windows-Versionen beseitigt. Die Details zur Schwachstelle und zum Micropatch lassen sich in diesem Blog-Beitrag von 0patch nachlesen. Zu 0patch hatte ich hier im Blog ja zahlreiche Artikel (z.B. 0patch sichert den Microsoft Edge für Windows 7/Server 2008/2012/R2 bis Jan. 2025 ab) veröffentlicht.


Anzeige

Hacker zielen auf Realtek-Schwachstelle

In vielen IoT-Komponenten kommt Firmware zum Einsatz, die den Realtek Jungle SDK verwendet. In diesem SDK wurde eine kritische Schwachstelle entdeckt, die eine Remotecodeausführung ermöglicht. Diese Schwachstelle im Realtek Jungle SDK wurde zwar inzwischen gepatcht, aber viele IoT-Geräte haben wohl noch nicht die erforderlichen Firmware-Updates erhalten.

Sicherheitsforscher warnen vor einem sprunghaften Anstieg von Angriffen auf diese kritische Schwachstelle im Realtek Jungle SDK. Nach Angaben von Palo Alto Networks Unit 42 soll die laufende Kampagne bis Dezember 2022 134 Millionen Angriffsversuche verzeichnet haben, wobei 97 % der Angriffe in den letzten vier Monaten stattfanden. The Hacker News hat in diesem Artikel weitere Details zum Thema zusammen getragen.

Schwachstelle in Fortra GoAnywhere

Fortra GoAnywhere ist eine "Managed File Transfer"-Software (MFT), die in Unternehmen zum sicheren Dateitransfer und Datenaustausch zwischen Mitarbeitern und Kunden zum Einsatz kommt. In nachfolgendem Tweet weist Sicherheitsforscher Will Dormann auf eine Schwachstelle in Fortra GoAnywhere hin, für die es noch kein CVE gibt.

Fortra GoAnywhere Schwachstelle

Sicherheitsforscher von Rapid7 melden im Blog-Beitrag Exploitation of GoAnywhere MFT zero-day vulnerability eine 0day-Schwachstelle, die wohl heftig in freier Wildbahn angegriffen wird. Brian Krebs hat in seinem Mastodon-Kanal eine entsprechende Warnung samt dem Bulletin des Herstellers vom 1. Februar 2023 (die aber ein Konto erfordert, um den Text abzurufen) veröffentlicht.

Die Kollegen von Bleeping Computer haben in diesem Artikel einige Informationen zusammen getragen. Wer die Software im Unternehmen einsetzt, sollte die verlinkten Artikel vielleicht durchlesen.

Cisco patcht Schwachstellen

Bei Cisco gibt es potentielle Schwachstellen in verschiedenen Produkten, für die es inzwischen Sicherheitsupdates gibt. Eine Schwachstelle in Ciscos IOx Application Hosting Environment könnte Angreifern ermöglichen, beliebige Befehle als root im unterliegenden Betriebssystem auszuführen. Die Kollegen von heise haben im Beitrag Cisco patcht mehrere Produkte – potenzielle Backdoor-Lücke einige Informationen zusammen getragen.

Sicherheitsupdates für F5 BIG-IP-Produkte

Im Access Policy Manager und im Advanced Firewall Manager von F5 gibt es gleich mehrere Sicherheitslücken. Über diese Schwachstellen können Angreifer verschiedene F5 BIG-IP-Produkte angreifen und ggf. Schadcode ausführen. Der Hersteller F5 hat aber inzwischen Sicherheitsupdates für die betroffenen Produkte veröffentlicht. Die Kollegen von heise haben hier die Informationen zu den Schwachstellen und Updates zusammen getragen.

Schwachstelle in Jira Service Management

In der Webanwendung Jira von Atlassian  – wird zur Fehlerverwaltung, Problembehandlung und zum operativen Projektmanagement verwendet, gibt es eine kritisch Schwachstelle im Jira Service Management. Angreifer, die die Schwachstelle ausnutzen, können sich Nutzer Zugriff auf die Jira Service Management-Funktionen verschaffen und so die Konten übernehmen. Der Hersteller hat inzwischen einen Patch herausgegeben, Details zum Thema finden sich bei heise.

OpenSSH 9.2 beseitigt Schwachstellen

Die Entwickler von OpenSSH haben gerade den Client in der Version 9.2 veröffentlicht. In den Release Notes finden sich die Details zu den Korrekturen und Änderungen. heise weist hier darauf hin, dass auch zwei Schwachstellen im Client mit der neuen Version 9.2 beseitigt wurden.

Weitere Meldungen

Hier noch eine kurze Sammlung einiger älterer Sicherheitsthemen bzw. -artikel, die ich aufgehoben, aber nicht im Blog thematisiert habe.

  • Die CISA warnt vor einem kritischen RCE-Bug in Zoho ManageEngine, der bereits angegriffen wird – die Details finden sich bei Bleeping Computer im Beitrag CISA warns of critical ManageEngine RCE bug exploited in attacks.
  • Apple hat bereits Ende Januar 2023 ein iOS-Sicherheitsupdate für ältere iPhones und iPads veröffentlicht, weil eine 0-day-Schwachstelle angegriffen wurde. Details lassen sich z.B. in diesem Artikel oder auf Deutsch bei Golem nachlesen.
  • Anbieter GoTo (ehemals LogMeIn) warnte seine Kunden, dass Hacker im November 2022 in seine Entwicklungsumgebung eingedrungen sind. Dabei wurde ein verschlüsselte Backups mit Kundeninformationen und einen Verschlüsselungsschlüssel für einen Teil dieser Daten gestohlen. Details haben die Kollegen von Bleeping Computer hier zusammengetragen.
  • Micro-Wechselrichter von Deye, die mit Balkonkraftwerken (u.a. von Lidl verkauft) ausgeliefert werden, weisen eine Sicherheitslücke auf. Eine WLAN-Anbindung überträgt Verbindungsdaten ins Internet, aber der Zugang kann in der ausgelieferte Firmware nicht gesichert werden, da es feste Zugangsdaten gibt. Man muss beim chinesischen Hersteller ein Firmware-Update anfordern, um die Schwachstelle zu schließen, wie heise in diesem Artikel schreibt.
  • Kürzlich ist ein Exploit für einen kritischen Windows CryptoAPI-Spoofing-Bug veröffentlicht worden. Die Schwachstelle ist bereits in 2022 per Windows Sicherheitsupdate geschlossen worden. Details haben die Kollegen von Bleeping Computer hier veröffentlicht.

Und Mitte Januar 2023 sind neue, strengere Regeln (NIS-2-Richtlinie) für Cybersicherheit und die Resilienz kritischer Einrichtungen in der EU in Kraft getreten – die Information der EU-Kommission gibt es hier.

Und ein besonderes Schmankerl hätte ich noch, Fred hat mich über Mastodon auf eine Besonderheit des Schweizer Cyberabwehr-Zentrum hingewiesen. Laut den Berichten hier und hier hat man da strenge Regeln für die bösen Buben und deren Opfer eingeführt. Das Cyberabwehr-Zentrum ist nur zu den üblichen Bürozeiten besetzt – Nachts ruht der Betrieb. Ist ja auch logisch, irgendwann hat man mal Feierabend, und nachts sieht man die Cyberangreifer aus dem Darknet eh nicht. Wird schon werden. 


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Nachlese zu Sicherheitslücken und Patches (6. Feb. 2023)

  1. Björn E. Kevalonen sagt:

    Mal dumm gefragt: Ich habe mir die Anleitung für die BIOS-Updates von Dell angeschaut, doch was machen eigentlich Linux-User? In der Anleitung (Video) geht es nämlich nur um Besitzer eines Rechners mit Windows. Linux-User brauchen das BIOS-Update doch auch, oder nicht?

    • Andy sagt:

      Dell und BIOS-Updates unter Linux:
      Über einen bootfähigen USB-Stick. Die nötigen Programme sollten bei dem Modell im Download zu finden sein. Je nach Modell sollte es auch aus Linux heraus mit dem fwupdmgr gehen.
      Genaueres bitte suchmaschinen.

      • RoNie sagt:

        ich erhalte alle Dell Firmware Updates unter Linux per Gnome Software, es gibt hier in den Einstellungen die Option zum Linux Vendor Firmware Service – damit erhalte ich BIOS und Co auch komfortabel unter Linux.

    • rpr sagt:

      Für die Fälle halten wir immer einen USB Stick mit passendem OS vor.
      Für einige PCs sogar noch mit einem guten alten Dos.
      Wird bitter für die Youngster wenn 8.3 zuschlägt ;-)
      Gruß

    • ich sagt:

      Im Zweifel einen bootfähigen Windows USB-Stick nehmen, zusätzlichen Ordner drauf, dort die EXE rein und von dem Stick booten. Sobald als möglich auf die Commandline wechseln, rein in den angelegten Ordner auf dem Stick und die EXE ausführen. So kann man ein BIOS auch mit einem Nicht-Windows aktualisieren, wenn es keine Linux Variante für das BIOS Update gibt.

    • R.S. sagt:

      BIOS auf den USB-Stick kopieren, dann ins BIOS gehen und von dort das Update starten.
      Geht bei vielen Geräten so.
      Bei Servern geht man ins iDRAC und macht es da.

      Das ist alles BS-unabhängig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.