{"id":290441,"date":"2024-01-13T12:19:47","date_gmt":"2024-01-13T11:19:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290441"},"modified":"2024-01-26T10:46:05","modified_gmt":"2024-01-26T09:46:05","slug":"warnung-vor-schwachstellen-fortinet-ivanti-und-mehr-januar-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/13\/warnung-vor-schwachstellen-fortinet-ivanti-und-mehr-januar-2024\/","title":{"rendered":"Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)"},"content":{"rendered":"

\"SicherheitDie letzten Tage wurden eine Reihe Schwachstellen in verschiedenen Produkten bekannt. Von den \"dreckigen Drei\" (Citrix, Fortinet und Ivanti) mussten zwei Anbieter Remote Code Execution (RCE) Schwachstellen in ihren Produkten patchen bzw. Warnungen herausgeben. Daneben gibt es weitere Produkte mit schweren Schwachstellen. Hier ein \u00dcberblick \u00fcber diese Sicherheitsl\u00fccken.<\/p>\n

<\/p>\n

\"\"Mir ist nachfolgender Tweet zu RCE-Schwachstellen in Produkten der \"dreckigen Drei\", wie ich sie bezeichne, die Tage untergekommen. Der Tweet transportiert die Botschaft, wer Citrix, Fortinet und Ivanti einsetzt, muss mit Remote Code Execution-Schwachstellen (RCEs) rechnen.<\/p>\n

\"Schwachstellen:<\/p>\n

Gut, zu Citrix habe ich f\u00fcr Januar 2024 keine neuen Sicherheitsmeldungen gefunden. Aber Ende 2023 waren Produkte wie der Citrix ADC Netscaler Einfalltor f\u00fcr Cyberangriffe (siehe auch diesen Report<\/a> aus Januar 2024). Daf\u00fcr hat Cisco aber ein Problem, dass ein kritischer Fehler in Unity Connection Angreifern die M\u00f6glichkeit gibt, Root-Rechte zu erlangen. Die Kollegen von Bleeping Computer haben hier<\/a> die Informationen zusammen getragen.<\/p>\n

Schwachstellen bei Ivanti<\/h3>\n

In \u00e4lteren Versionen von Ivanti Connect Secure und Ivanti Policy Secure Gateway gibt es die Schwachstellen CVE-2023-46805 (Umgehung der Authentifizierung) & CVE-2024-21887 (Befehlsinjektion). Der Hersteller hat zum 10. Januar 2024 den Forenbeitrag CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways<\/a> ver\u00f6ffentlicht.<\/p>\n

In Ivanti Connect Secure (ICS), fr\u00fcher als Pulse Connect Secure bezeichnet, und Ivanti Policy Secure Gateways, wurden die obigen Sicherheitsl\u00fccken entdeckt. Diese Sicherheitsl\u00fccken betreffen alle unterst\u00fctzten Versionen – Version 9.x und 22.x (siehe Granular Software Release EOL Timelines und Support Matrix f\u00fcr unterst\u00fctzte Versionen).<\/p>\n

Wenn CVE-2024-21887 in Verbindung mit CVE-2023-46805 verwendet wird, erfordert die Ausnutzung keine Authentifizierung und erm\u00f6glicht es einem Bedrohungsakteur, b\u00f6sartige Anfragen zu erstellen und beliebige Befehle auf dem System auszuf\u00fchren. Die Schwachstellen wurden mit einem CVSS-Wert von 8.2 und 9.1 versehen, sind also kritisch.<\/p>\n

Die Patches werden in einem gestaffelten Zeitplan ver\u00f6ffentlicht, wobei die erste Version den Kunden in der Woche vom 22. Januar und die letzte Version in der Woche vom 19. Februar zur Verf\u00fcgung stehen soll. Kunden finden in diesem KB-Artikel<\/a> Ma\u00dfnahmen zur Entsch\u00e4rfung der Schwachstellen.<\/p>\n

<\/a><\/p>\n

CERT-Bund (BSI) warnt in obigem Tweet<\/a> sowie in diesem Artikel<\/a> vor den Schwachstellen, die in verschiedenen Angriffen bereits ausgenutzt wurden.\u00a0 Shadowserver zeigt in nachfolgendem Tweet<\/a>, wie viele Systeme weltweit angreifbar sind.<\/p>\n

<\/a><\/p>\n

Sicherheitsl\u00fccke in FortiOS<\/h2>\n

Christoph hat mich diese Woche per Mail darauf hingewiesen, dass es in den Firewalls von Fortigate eine Sicherheitsl\u00fccke gibt. Die Sicherheitsl\u00fccke erlaubt es Angreifern die Ausweitung der Rechte. Ein Update soll bereits verf\u00fcgbar sein und dessen Installation wird dringend empfohlen. Fortinet hat diese Sicherheitswarnung<\/a> dazu herausgegeben. Bei heise ist der Beitrag Fortinet: Sicherheitsupdate gegen Rechteverwaltungsfehler in FortiOS und -Proxy<\/a> erschienen.<\/p>\n

Weitere Schwachstellen<\/h2>\n

An dieser Stelle noch eine kurze \u00dcbersicht \u00fcber weitere Schwachstellen in diversen Produkten, die mir die Tage unter die Augen gekommen sind.<\/p>\n

CVE-2023-26360 in Adobe Coldfusion<\/h3>\n

Nachfolgender Tweet<\/a> weist auf die RCE-Schwachstelle CVE-2023-26360 in Adobe Coldfusion hin. Securelayer7 hat in diesem Artikel<\/a> die Details zu dieser Schwachstelle ver\u00f6ffentlicht. CVE-2023-263060 wurde bereits in freier Wildbahn ausgenutzt.<\/p>\n

<\/a><\/p>\n

Die Schwachstelle betrifft sowohl die Versionen 2018 als auch 2021 und erm\u00f6glicht Angreifern die Ausf\u00fchrung von nicht authentifiziertem RCE (Remote Code Execution) ohne Benutzerinteraktion \u00fcber nicht vertrauensw\u00fcrdige JSON-Daten. Bedrohungsakteure nutzen diese Sicherheitsl\u00fccke, um in US-Regierungsbeh\u00f6rden (Federal Civilian Executive) einzudringen und sich einen ersten Zugang zu verschaffen.<\/p>\n

Akira-Ransomware verschl\u00fcsselt NAS<\/h3>\n

Das finnische Nationale Zentrum f\u00fcr Cybersicherheit (NCSC-FI) informiert \u00fcber eine verst\u00e4rkte Aktivit\u00e4t der Ransomware Akira, die im Dezember 2023 Angriffe auf NAS-Ger\u00e4te und Bandlaufwerke durchgef\u00fchrt und die Speichermedien verschl\u00fcsselt haben. Die Kollegen von Bleeping Computer haben die Details in diesem Beitrag<\/a> zusammen getragen.<\/p>\n

Von heise gibt es diesen Artikel<\/a>, demzufolge Synology eine Warnung vor einer Sicherheitsl\u00fccke im DSM-Betriebssystem f\u00fcr NAS-Systeme herausgegeben habe. Updates stehen seit l\u00e4ngerer Zeit bereit.<\/p>\n

Juniper warnt vor Bug in Firewalls und Switches<\/h3>\n

Netzwerkausr\u00fcster Juniper hat eine Sicherheitswarnung vor einem kritischem RCE-Bug in seinen Firewalls und Switches ver\u00f6ffentlicht. Die Kollegen von Bleeping Computer haben die Details in diesem Artikel<\/a> zusammen getragen. Bei heise gibt es diesen Beitrag<\/a>, der sich mit Patches f\u00fcr Schwachstellen in Juniper-Produkten auseinander setzt.<\/p>\n

BIOS-Schwachstellen bei Dell und Lenovo<\/h3>\n

Benutzer von Systemen von Dell und Lenovo erhalten BIOS-Sicherheitsupdates f\u00fcr Produkte dieser Hersteller. Die Kollegen von heise haben die Details in diesem Artikel<\/a> zusammen getragen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die letzten Tage wurden eine Reihe Schwachstellen in verschiedenen Produkten bekannt. Von den \"dreckigen Drei\" (Citrix, Fortinet und Ivanti) mussten zwei Anbieter Remote Code Execution (RCE) Schwachstellen in ihren Produkten patchen bzw. Warnungen herausgeben. Daneben gibt es weitere Produkte mit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-290441","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290441"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290441\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}