Kleiner Sammelbeitrag in Richtung Sicherheit. Die CISA hat gerade ihre Schwachstellenliste um CVEs zu Palo Alto Networks, Progress Kemp (LoadMaster) erweitert und vor einigen Tagen die Liste der 2023 am häufigsten angegriffenen Schwachstellen veröffentlich. Darüber hinaus gibt es Meldungen zu weiteren Sicherheitsvorfällen bzw. Schwachstellen.
Anzeige
CISA erweitert Schwachstellenliste
Ich bin gerade auf X über nachfolgenden Post der US-Cybersicherheitsbehörde CISA gestolpert. Die CISA hat die Liste der bekannten Schwachstellen, die in Cyberangriffen ausgenutzt werden, erweitert.
So taucht Palo Alto Network mit den Schwachstellen CVE-2024-0012, CVE-2024-9463, CVE-2024-9474, CVE-2024-9463 und weiteren in der Liste auf. Zur Schwachstelle CVE-2024-9463 hatte ich im Blog-Beitrag BSI/CISA-Warnung: Angriffe auf Ungepatchte Schwachstelle in Firewalls von Palo Alto Networks was veröffentlicht. Und die Kollegen von Bleeping Computer haben gerade im Beitrag Palo Alto Networks patches two firewall zero-days used in attacks über weitere gestopfte Schwachstellen berichtet.
Auch der ProgressKemp LoadMaster ist mit diversen Schwachstellen neu in der Liste vertreten. Eine Schwachstelle hatte ich im Februar 2024 im Beitrag Progress Kemp LoadMaster (Load-Balancer) Schwachstelle CVE-2024-1212 im Blog aufgegriffen.
Anzeige
Fortinet Fortimanager Schwachstelle CVE-2024-47575
Falls jemand den Fortinet Fortimanager einsetzt, sollte er diesen dringend aktuell halten. Es gibt dort eine Unauthenticated Remote Code Execution-Schwachstelle (FortiJump).
WatchtowerLabs haben vor einigen Tagen einen Exploit für die Schwachstelle CVE-2024-47575 beschrieben. Und Sentiguard hat einen Artikel zu dieser Bedrohung veröffentlicht. Hunter weist in obigem Tweet auf diesen Sachverhalt hin.
Top 15 Liste der 2023 am häufigsten genutzten Schwachstellen
Die US-Cybersicherheitsbehörde NSA hat kürzlich die 15 am häufigsten ausgenutzten Sicherheitslücken im Jahr 2023 veröffentlicht. Elf der 15 CVEs wurden ursprünglich als Zero-Day-Schwachstelle angegriffen.
"Alle diese Schwachstellen sind öffentlich bekannt, aber viele sind zum ersten Mal in der Top-15-Liste", sagte Jeffrey Dickerson, der technische Direktor der NSA für Cybersicherheit. Cybersicherheits-Verantwortliche müssen die Trends verfolgen und sofort Maßnahmen ergreifen, um sicherzustellen, dass die Schwachstellen gepatcht und entschärft werden, lautet der Ratschlag der NSA. Deren Experten glauben, dass die Ausnutzung von Schwachstellen wahrscheinlich auch in den Jahren 2024 und 2025 anhalten wird. Zusätzlich zu den 15 am häufigsten ausgenutzten Sicherheitslücken stellt die CSA eine umfassende Liste weiterer, regelmäßig ausgenutzter Schwachstellen zur Verfügung.
Schwachstelle CVE-2024-20418 in Cisco-Zeug
Es dümpelt hier bereits seit der ersten November 2024-Woche: Cisco ist mit der Schwachstelle CVE-2024-20418 in der webbasierten Verwaltungsschnittstelle der Cisco Unified Industrial Wireless Software für Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points aufgefallen.
Die Schwachstelle könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, Command Injection-Angriffe mit Root-Rechten auf dem zugrunde liegenden Betriebssystem durchzuführen. Diese Schwachstelle ist auf eine unsachgemäße Validierung der Eingaben in die webbasierte Verwaltungsschnittstelle zurückzuführen. Details zur Schwachstelle, die "nur" mit dem CVS 3.1-Score von 10.0 bewertet wurde, finden sich in diesem Cisco-Dokument. Cisco hat Software-Updates veröffentlicht, die diese Sicherheitslücke beseitigen.
US-Telekom-Anbieter infiltriert
Seit Tagen wabert die Information durch das Internet, dass US-Telekommunikationsfirmen durch mutmaßlich chinesische staatsnahe Hacker infiltriert worden sind. Der US-Zweig von T-Mobile hat bestätigt, dass man – neben AT&T, Verizon und anderen Unternehmen – Ziel einer chinesischen Cyberspionagekampagne geworden sei.
Als Angreifer wird die mutmaßlich chinesische Gruppe "Salt Typhoon" genannt, die auf das Ausspähen sensibler Kommunikation von hochrangigen Zielen abzielt. Mir fällt in diesem Kontext – auch im Hinblick auf die oben erwähnten Fortigate-Schwachstellen sofort mein Blog-Beitrag Telekom "Fortigate": Cybervorfall mit Fortinet FortiManager-Schwachstelle CVE-2024-47575 ein und ich frage mich, wie stark deute Telekommunikationsanbieter unterwandert sind?
Google Chrome Passwort-Manager gefährdet
Viele Nutzer verwenden ja die Möglichkeit diverser Browser, Kennwörter für Webseiten zu speichern und diese bei einer erneuten Anmeldung wiederzuverwenden. Es ist mir bereits Ende Oktober 2024 untergekommen, dass Sicherheitsforscher die API im Google Chrome-Browser missbrauchen können, um das neue Cookie-Verschlüsselungssystem auszuhebeln. Die Sicherheitsforscher haben ein entsprechendes Tool dazu veröffentlicht. Ich verlinke mal auf den Beitrag New tool bypasses Google Chrome's new cookie encryption system der Kollegen von Bleeping Computer, wo sich einige Details nachlesen lassen.
ShrinkLocker: Kostenloser Bitdefender-Dekryptor
Bitdefender hat einen Dekryptor für Opfer der ShrinkLocker-Ransomware veröffentlicht. Einige Hintergrundinformationen, wie es gelungen ist, den Dekryptor zu entwickeln, lassen sich z.B. im Beitrag ShrinkLocker: Kostenloser Bitdefender-Dekryptor auf dem "Marktplatz IT-Sicherheit" der Westfälischen Hochschule in Gelsenkirchen nachlesen.
Anzeige
Wenn man sich die Liste so durchliest, dann fällt auf, das es für viele der ausgenutzten Schwachstellen schon seit Jahren Patches gibt.
Beispielsweise Log4J, Patch seit 2021 verfügbar.
Oder Netlogon, Patch seit 2020 verfügbar.
RDS, Patch seit 2019 verfügbar.
Da muß ich mich dann fragen, warum diese Patches nicht eingespielt wurden?
Mensch, wenn uns doch jemand vorher gewarnt hätte, dass Closed-Source Schlangenöl das eigentliche Risiko ist…