Ich ziehe mal diverse Sicherheitsmeldungen für IT-Mitarbeiter in einem Sammelbeitrag, die mir gerade im Internet untergekommen sind. Von Angriffen auf Schwachstellen in Palo Alto Network Firewalls, über Schwachstellen in Xerox-MFP-Druckern, Moodle, Citrix Netscaler Agent und Netscaler Console, bis hin zu Ubiquiti-Kameras ist alles dabei.
Anzeige
Schwachstellen Palo Alto Network Firewalls
Palo Alto Networks warnt vor einem Bug bzw. einer Schwachstelle in seinen Firewalls, der aktiv ausgenutzt wird, um in Unternehmensnetzwerke einzudringen. Sicherheitsforscher sehen, dass die Zahl der Angriffsversuche zunimmt.
Sicherheitsspezialisten von Assetnote haben die Schwachstelle CVE-2025-0108 entdeckt, als sie sich mit älteren Schwachstellen beschäftigten. Böswillige Angreifer können die neue Schwachstelle mit zwei zuvor veröffentlichten Sicherheitslücken (CVE-2024-9474 und CVE-2025-0111) kombinieren, um ungepatchte und ungesicherte PAN-OS-Webmanagement-Schnittstellen anzugreifen. CVE-2024-9474 wurde seit November 2024 in Angriffen ausgenutzt. Techcrunch hat die Details in diesem Artikel zusammen getragen.
Schwachstellen in Xerox-MFP-Druckern
Ungepatchte Xerox-MFP-Drucker weisen Schwachstellen auf, über die Angreifer um unter bestimmten Bedingungen ungehinderten Zugriff auf die Windows-Umgebung eines Unternehmens erhalten können.
Anzeige
Die Schwachstellen betreffen die Firmware-Version 57.69.91 und frühere Versionen von Xerox VersaLink C7025 Multifunktionsdruckern (MFPs). Diese Schwachstellen lassen so genannte Pass-Back-Angriffe zu, die Angreifern ermöglichen, Anmeldeinformationen für Benutzer abzugreifen. Es gibt aber Firmware-Updates für die Geräte. Darkreading.com hat die Details in diesem Artikel zusammen getragen.
Schwachstellen in Lernplattform Moodle
In der Lernplattform Moodle wurden von den Entwicklern gleich mehrere Schwachstellen durch ein Update geschlossen. Administratoren, die für Moodle-Installationen zuständig sind, sollten die notwendigen Aktualisierungen installieren. heise hat die Details in diesem Artikel zusammen gefasst.
Schwachstellen in Citrix Netscaler
Im Citrix Netscaler Agent und Netscaler Console, sowie im Secure Access Client für Mac gibt es gleich mehrere Schwachstellen, für die der Hersteller Sicherheitsupdates zum Schließen bereitgestellt hat. In diesem Security Bulletin warnt Citrix vor der Schwachstelle CVE-2024-12284 (CVSS 4.0 Index 8.8) in der NetScaler Console und im NetScaler Agent. Betroffen sind die folgenden Produktversionen:
- NetScaler Console 14.1 vor 14.1-38.53
- NetScaler Console 13.1 vor 13.1-56.18
- NetScaler Agent 14.1 vor 14.1-38.53
- NetScaler Agent 13.1 vor 13.1-56.18
Administratoren sollten die im Security Bulletin genannten Updates zeitnah installieren. In diesem Artikel hat heise noch einige Details zusammen gefasst.
Schwachstelle in Ubiquiti Unifi Protect
Unifi Kamera-Hersteller Ubiquiti warnt in einem Sicherheitshinweis vor kritischen Schwachstellen in der Verwaltungsoberfläche Unifi Protect der Produkte. Angreifer können mit ihrer Hilfe Einstellungen auf den Geräten ändern und sogar eigene Kommandos ausführen. heise hat in diesem Artikel die Informationen zu den diversen Schwachstellen zusammen getragen.
Weitere Sicherheitsmeldungen
Nachfolgend noch einige Links zu weiteren Sicherheitsmeldungen, die mir auf diversen Webseiten untergekommen sind.
- EU-Gesundheitsorganisationen werden durch eine neue Ransomware mit Namen NailaoLocker angegriffen, wie Bleeping Computer hier berichtet.
- CISA und FBI geben an, dass Unternehmen in 70 Ländern durch die Ghost-Ransomware erfolgreich angegriffen wurden. Details finden sich in diesem Artikel von Bleeping Computer.
- Juniper patcht einen kritischen Authentifizierungs-Bypass Bug in Session Smart-Routern. Details finden sich in diesem Artikel von Bleeping Computer.
- Und noch eine ältere Sicherheitswarnung, dass kritische Schwachstellen Moxa-Router gefährden. Golem hatte u.a. diesen Sachverhalt in diesem Beitrag angesprochen.
Im Artikel DORA, oder wie steht es um die IT-Sicherheit bei Banken? hatte ich berichtet, dass dass DORA zum 17. Januar 2025 wirksam wird. Das Kürzel DORA steht für Digital Operational Resilience Act. Das ist ein neuer Standard der EU für operative Resilienz, Cybersicherheit und Risikomanagement im Banken- und Versicherungswesen. heise gibt in diesem Artikel eine Übersicht, was mit DORA auf IT-Dienstleister der Banken zukommt.
Anzeige
Es sind doch immer die selben Verdächtigen, die durch Sicherheitslücken glänzen und dennoch werden die ihre ranzigen Dinge immer noch zu Traumpreisen los. Wie blöd sind eigentlich die Entscheider bei der Beschaffung? Warum lassen sich Manager von diesen unfähigen Firmen einwickeln? Ich habe dafür kein Verständnis und soweit ich die Beschaffung entscheiden kann, kommt mir das nicht ins Haus. Auch schlage ich mich nicht mit diesem Mist rum. Das dürfen die Entscheider dann gerne selbst machen oder einen Dummen finden. Mein Anspruch als Ingenieur an mich selbst gilt auch für meine Lieferanten. Und da schaut es ziemlich düster aus.
moodle ist opensource und gratis fyi
Gibt aber auch Kostenpflichtige Varianten im Angebot ;-)
Da kommen noch Lexmarkdrucker mit div. Löchern u. A. im PS Modul, HP Drucker mit Löchern im PS Modul und deren Universaldruckertreiber dazu…
Jetzt speziell im Druckerbereich:
Das Problem ist, dass man inzwischen nur mehr Beta-Produkte bekommt, weil alle Hersteller div. Teile der Softwareentwicklung auslagern – und ohne Drucker ist halt auch Mau.
Man scheint generell sehr oft BETA-Produkte zu bekommen.
Wenn man sich mit Produkten nur ein paar Stunden beschäftigt finde man dann oft schon die ersten Probleme und Bugs. Teilweise hat man wirklich den Eindruck, dass da Niemand ansatzweise was getestet hat. Auch wenn die Produkte >10 Millionen mal verkauft wurden, teilweise sind da nach 3 Jahren noch gravierende Bugs bei beworbenden Funktionen. Das ist dann wirklich bedenklich, dass die Bugs noch vorhanden sind UND es bisher Niemanden aufgefallen ist.
Wenn es Jemanden auffällt:
Verstärkt wird das Problem noch dadurch, dass es bei vielen Firmen praktisch unmöglich ist irgendwelche Bugs zu melden. Gerade im Consumer-Bereich. Der offensichtliche Weg für den normalen Kunden wäre der Support. Da ist man aber oft schon Tage damit beschäftigt bis die mal verstehen was das Problem ist. Oft hat der Kunde ein Problem, aber weiß nicht warum. Die Lösungsvorschläge sind dann auch oft fernab der Sinnhaftigkeit. Weitergeleitet und untersucht wird sowas vermutlich auch nicht. Die Entwickler sind nicht mal in Foren aktiv, sofern es überhaupt vom Hersteller selber entwickelt wurde. Sofern der Support überhaupt zum Hersteller gehört und kein externer Dienstleister ist, der gar nichts mit dem Hersteller zu tun hat.
Das ist eigentlich digitales Tschernobyl. Gerade der Support geht oft prinzipiell davon aus, dass es kein Problem geben kann.
Der Support geht wohl zurecht davon aus, dass über 99% der gemeldeten "Probleme" schlicht keine sind – insbesondere im Massengeschäft wie bei Druckern.
Die paar Perlen gut geschriebener Bug Reports zu finden ist schwer, wenn die meisten Fehlermeldungen der Art "der Drucker ist schuld, wenn mein Internet langsam ist" sind.
Dann sag doch mal welche Hard-/Software du einsetzt, wäre ich echt mal interessiert. Nenn mir mal eine Hardware Firewall, welche das gleiche Feature Set einer Palo oder Forti hat und in den letzten 3 Monaten keine Sicherheitslücken hatte.
Genau, zusätzlich bitte zeigen, wer nie ein Problem hatte und das zurück in den letzten 20 Jahren! Danke :)
Vor 20 Jahren gab es nicht mal den Ansatz an so viel Software wie es aktuell gibt. Ergo gab es auch weniger "Lücken" weil die Summe an "Analysten" entsprechend klein war.
Schauen wir uns jetzt mal die gemeldeten Lücken an, so steigen diese von Jahr zu Jahr und jedes Jahr ist ein neuer Rekord. Es kann halt "Jeder" mal irgendwas "programmieren". Die technischen Hürden werden einfacher, Time2Market, Rechte&Rollen ist egal und und und … Daher ist der Ansatz mit dem diesen Format jetzt nicht schlecht, kratzt aber auch nur an der Oberfläche und der Spotlight hat Bashing Charakter. Es impliziert, das nicht genannte Hersteller besser sind und dann gehts wieder los mit "Sophos" ist besser wie Palo Alto, oder Juniper ist besser wie Ubiquiti. :-D An sich muss jeder doch selbst nur die CVE im Abo halten was an Produkten bei einem selbst eingesetzt wird, oder hat ein SOC oder ein DL der das für einen macht :D
http://www.clavister.com Next Generation Firewall – Produkt aus Europa – super Preis
Blödheit bei IT-Beschaffungen hängt meist an der Blödheit der Entscheider – die sind scheinbar überwiegend fachfremd, befangen durch ihr privates Aktiendepot, geblendet von den dollen pptx, und fantastischen Versprechungen über Produkte.
Je nach Provision und Marktstellung werden dann viele sinnfreie Produkte in den Markt gedrückt. Die Systemhäuser verdienen auch freudig mit und werden dan Super-Platin-Partner/in. Und Palo ist seit Jahren der runnig Gag bei Löchern in Sicherheitsprodukten, wird ggf nur noch von Cisco überholt. Es wird Zeit, daß die Hersteller für ihre Software-Produkte haften – ganz vorne würde ich da Microsoft sehen. Es wird Komplexitätsschicht über K. eingezogen um noch geilere Features in Aktienkurse abzubilden – Sicherheit spielt da ein weit untergeordnete Rolle. IT is meanwhile pure monkey business.
in dieser Liste fehlen noch die Sonicwalls-Firewalls (Gen6-, Gen7- und Gen7-NSv-Firewall).
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0003
Was mir wieder einml auffällt:
"um ungepatchte und ungesicherte PAN-OS-Webmanagement-Schnittstellen anzugreifen"
Wer ist denn so blöd und öffnet Webmanagement-Schnittstellen nach außen?
Immer wieder gibt es bei allen möglichen Produkten Schwachstellen in der Webmanagement-Schnittstelle oder im Fernwartungszugang.
Daher sollte man grundsätzlich den Zugriff auf diese Schnittstellen und Zugänge von außerhalb des Firmennetzwerks deaktivieren.
Teilweise ist das Public vom Hersteller so vorgesehen, weil an der Webschnittstelle auch die API hängt, welche man fürs Cloud-Management benötigt.
der API Zugriff kann aber bestimmt auf die Quell-IPs der Cloud-Konsolen beschränkt werden…ansonsten hätte ich da schon auch ein sehr ungutes Gefühl.
PAN hat ja zumindest für sein Threat Protection Modul entsprechende Patterns veröffentlicht…verloren haben dann halt diejenigen, die das IPS / IDS Modul nicht lizensiert haben oder das Management-Interface ohne Absicherung nach extern veröffentlichen.
Hi
FortiOS & FortiProxy CVE fehlt noch in der Liste. :)
https://www.fortiguard.com/psirt/FG-IR-24-535
Betroffene Versionen:
OS: 7.0 bis 7.0.16
Proxy: 7.2.0 bis 7.2.12
Proxy: 7.0.0 bis 7.0.19
LG
Liam :)
Danke :)