CISA warnt vor diesen 5 Sicherheitslücken
Die US-Cybersicherheitsbehörde CISA hat fünf neue, aktiv ausgenutzte Sicherheitslücken in ihren Katalog aufgenommen. Admins sollten diese Schwachstellen zügig abdichten, um Angriffen vorzubeugen.
Die US-amerikanische Cybersicherheitsbehörde CISA (Kurzform für „Cybersecurity & Infrastructure Security Agency“) hat ihrem Katalog von aktiv im Internet ausgenutzten Sicherheitslücken, dem Known Exploited Vulnerabilities Catalog, fünf neue Einträge hinzugefügt. US-Bundesbehörden müssen diese Lücken aufgrund der Weisungsbefugnis der CISA innerhalb von zwei Wochen abdichten – doch auch hiesige Admins sollten sich schnellstens um entsprechende Schutzmaßnahmen bemühen, um möglichen Angriffen vorzubeugen.
CVE-2022-42475 in FortiOS
Zur kritischen Sicherheitslücke in FortiOS gibt Fortinet in seiner Sicherheitsmeldung nicht viele Details. Bekannt ist, dass im SSL-VPN von FortiOS ein Heap-basierter Pufferüberlauf beim Verarbeiten sorgsam präparierter Anfragen auftreten kann. In dessen Folge können Angreifende aus dem Netz beliebigen Code ohne Anmeldung am System einschleusen und ausführen. Fortinet schließt diese Schwachstelle mit den Aktualisierungen auf FortiOS 7.2.3, 7.0.9, 6.4.11 sowie 6.2.12 und höheren Versionen. Zudem gibt es Updates für die FortiOS-6K7K-Versionen auf 7.0.8, 6.4.10, 6.2.12 und 6.0.15 oder neuer.
CVE-2022-27518 in Citrix ADC & Gateway
Die ebenfalls kritische Schwachstelle in Citrix ADC und Gateway können Angreifende ohne Anmeldung aus dem Netz missbrauchen, um beliebigen Code auf die Maschinen zu schieben und diesen zur Ausführung zu bringen. So können sie die Maschinen folglich kompromittieren. Auch hier gibt es noch nicht viele Details zur Lücke. Citrix erklärt in seiner Sicherheitsmeldung, dass ein Citrix ADC oder Gateway als SAML SP oder SAML IdP konfiguriert sein müsse. Ob das der Fall ist, können IT-Verantwortliche herausfinden, indem sie die ns.conf-Datei auf die Einträge „add authentication samlAction“ (SAML SP) oder „add authentication samlIdPProfile“ (SAML IdP) untersuchen. Sind diese vorhanden, ist die jeweilige Maschine verwundbar. Der Hersteller weist darauf hin, dass die bereitstehenden Updates schnellstmöglich installiert werden sollten.
CVE-2022-33698 in Windows
Die Windows-Lücke ermöglicht es Angreifenden, den Windows-Schutzmechanismus SmartScreen zu umgehen. Dafür locken sie ihre Opfer auf eine von ihnen kontrollierte Website. Wird dort eine mit Schadcode präparierte Datei geöffnet, kann das zu einer Trojaner-Infektion führen. Diese Lücke wurde am Microsoft-Patchday im Dezember geschlossen. Auch hier sollten die bereitgestellten Updates dringend durchgeführt werden.
CVE-2022-26500 & CVE-2022-26501 in Veeam Backup & Replication
Die beiden weiteren gelisteten Sicherheitslücken betreffen eine kritische sowie eine hochriskante Sicherheitslücke in Veeam Backup and Replication. Konkret findet sich die Schwachstelle im Veeam Distribution Service, der standardmäßig auf dem TCP-Port 9380 lauscht. Angreifende könnten hier ohne Authentifizierung ansetzen. Eine präparierte Anfrage an interne API-Funktionen könnte den Upload sowie die Ausführung von Schadcode zur Folge haben.
Beide Sicherheitslücken wurden bereits im März 2022 geschlossen. Damals gaben die EntwicklerInnen an, die Versionen 10a build 10.0.1.4854 P20220304 und 11a build 11.0.1.1261 P20220302 gegen solche Attacken abgesichert zu haben. Wer noch die Ausgabe 9.5 nutzt, sollte auf eine aktuelle Version upgraden. Hinweise zum Update finden NutzerInnen in den Beiträgen zu den abgesicherten Versionen 10a bzw. 11a.
