CERT.at - Warnungen

Kritische Sicherheitslücken in Cisco Secure Firewall Produkten - Updates verfügbar

CERT.at — Thu, 05 Mar 2026 11:03:43 GMT+0100

05. März 2026

Beschreibung

Cisco hat am 4. März 2026 mehrere Advisories veröffentlicht, die insgesamt 17 Schwachstellen in Cisco Secure Firewall Adaptive Security Appliance (ASA) Software, Cisco Secure Firewall Threat Defense (FTD) Software und Cisco Secure Firewall Management Center (FMC) Software adressieren. Darunter befinden sich zwei Schwachstellen mit dem höchstmöglichen CVSS-Score von 10.0, die das Firewall Management Center betreffen: Eine ermöglicht die Umgehung der Authentifizierung mit anschließender Ausführung von Befehlen mit Root-Rechten (CVE-2026-20079), die andere die Ausführung von beliebigem Code über das Web-Management-Interface ohne Authentifizierung (CVE-2026-20131). Die weiteren Schwachstellen betreffen unter anderem VPN-Funktionalitäten (SSL VPN, IKEv2, IPsec) und ermöglichen Denial-of-Service-Angriffe, SQL-Injection sowie unbefugten Dateizugriff.

CVE-Nummer(n): CVE-2026-20079, CVE-2026-20131, CVE-2026-20082, CVE-2026-20039, CVE-2026-20100, CVE-2026-20101, CVE-2026-20103, CVE-2026-20105, CVE-2026-20106, CVE-2026-20049, CVE-2026-20013, CVE-2026-20014, CVE-2026-20015, CVE-2026-20062, CVE-2026-20001, CVE-2026-20002, CVE-2026-20003

CVSS Base Score: bis zu 10.0

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer:innen unter anderem ohne Authentifizierung beliebigen Code mit Root-Rechten auf dem Firewall Management Center ausführen, die Authentifizierung umgehen, SQL-Injection-Angriffe durchführen sowie Denial-of-Service-Zustände auf ASA- und FTD-Geräten herbeiführen, die einen manuellen Neustart erfordern können. Einige Schwachstellen ermöglichen darüber hinaus unbefugten Zugriff auf Dateien.

Betroffene Systeme

Cisco Secure Firewall Adaptive Security Appliance (ASA) Software
Cisco Secure Firewall Threat Defense (FTD) Software
Cisco Secure Firewall Management Center (FMC) Software
Cisco Security Cloud Control (SCC) Firewall Management (nur CVE-2026-20131)

Abhilfe

Cisco stellt aktualisierte Softwareversionen bereit, die die Schwachstellen beheben. CERT.at empfiehlt die zeitnahe Aktualisierung auf eine bereinigte Version. Zur Ermittlung der betroffenen und bereinigten Versionen stellt Cisco den Cisco Software Checker zur Verfügung. Workarounds stehen für die beschriebenen Schwachstellen nicht zur Verfügung. Für die ASA-Software-Version 9.20.4.14 ist ein Update auf Version 9.20.4.19 erforderlich (CVE-2026-20082).

Hinweis

Informationsquelle(n):

Cisco Event Response: March 2026 Semiannual Cisco Secure Firewall ASA, Secure FMC, and Secure FTD Software Security Advisory Bundled Publication (Englisch)
https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-76641

Cisco Security Advisory: FMC Authentication Bypass - cisco-sa-onprem-fmc-authbypass-5JPp45V2 (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-onprem-fmc-authbypass-5JPp45V2

Cisco Security Advisory: FMC Remote Code Execution - cisco-sa-fmc-rce-NKhnULJh (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh

Cisco Security Advisory: ASA TCP Flood DoS - cisco-sa-asa-dos-FCvLD6vR (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-dos-FCvLD6vR

Cisco Security Advisory: ASA/FTD VPN Web Server DoS - cisco-sa-asaftd-vpn-dos-SpOFF2Re (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-vpn-dos-SpOFF2Re

Cisco Security Advisory: ASA/FTD Remote Access SSL VPN DoS - cisco-sa-asaftd-vpn-m9sx6MbC (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-vpn-m9sx6MbC

Cisco Security Advisory: FMC SQL Injection - cisco-sa-fmc-sql-injection-2qH6CcJd (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-sql-injection-2qH6CcJd

Cisco Security Advisory: ASA/FTD IPsec DoS - cisco-sa-asaftd-esp-dos-uv7yD8P5 (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-esp-dos-uv7yD8P5

Cisco Security Advisory: ASA/FTD IKEv2 DoS - cisco-sa-asaftd-ikev2-dos-eBueGdEG (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ikev2-dos-eBueGdEG

Cisco Security Advisory: ASA Multiple Context Mode SCP File Access - cisco-sa-asa-scpcxt-filecpy-rgeP73nE (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-scpcxt-filecpy-rgeP73nE

Kritische Sicherheitslücken in Cisco Catalyst SD-WAN - aktiv ausgenutzt - Updates verfügbar

CERT.at — Thu, 26 Feb 2026 11:58:53 GMT+0100

26. Februar 2026

Beschreibung

In Cisco Catalyst SD-WAN existieren mehrere kritische Sicherheitslücken. Die schwerwiegendste Schwachstelle (CVE-2026-20127) ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, die Authentifizierung zu umgehen und administrative Berechtigungen auf einem betroffenen System zu erlangen. Weitere Schwachstellen betreffen den Cisco Catalyst SD-WAN Manager und ermöglichen unter anderem Authentication Bypass, Privilege Escalation, Information Disclosure und das Überschreiben beliebiger Dateien. Die Schwachstelle CVE-2026-20127 wird aktiv ausgenutzt. Laut mehrerer internationaler Cybersicherheitsbehörden (ASD ACSC, CISA, NCSC-UK, CCCS, NCSC-NZ) wurden Cisco Catalyst SD-WANs mindestens seit 2023 kompromittiert.

CVE-Nummer(n): CVE-2026-20127, CVE-2026-20129, CVE-2026-20126, CVE-2026-20133, CVE-2026-20122, CVE-2026-20128

CVSS Base Score: bis zu 10.0

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung die Peering-Authentifizierung umgehen und sich als vertrauenswürdiger Peer in die SD-WAN Management- und Control-Plane einbringen (CVE-2026-20127, CVSS 10.0). Ebenso kann über die API des SD-WAN Managers ohne Authentifizierung Zugriff mit administrativen Rechten erlangt werden (CVE-2026-20129, CVSS 9.8). Weitere Schwachstellen ermöglichen die Ausweitung von Berechtigungen auf Root-Ebene (CVE-2026-20126, CVSS 7.8), das Auslesen sensibler Informationen (CVE-2026-20133, CVSS 7.5 und CVE-2026-20128, CVSS 5.5) sowie das Überschreiben beliebiger Dateien (CVE-2026-20122, CVSS 7.1).

Betroffene Systeme

Cisco Catalyst SD-WAN Controller (ehemals SD-WAN vSmart) – betroffen von CVE-2026-20127
Cisco Catalyst SD-WAN Manager (ehemals SD-WAN vManage) – betroffen von allen genannten CVEs
Betroffene Versionen: alle vor den unten genannten aktuellsten Versionen, im Detail:
- Älter als 20.9: Migration auf eine unterstützte Version erforderlich
- 20.9: behoben in 20.9.8.2
- 20.11: behoben in 20.12.6.1
- 20.12.5: behoben in 20.12.5.3
- 20.12.6: behoben in 20.12.6.1
- 20.13: behoben in 20.15.4.2
- 20.14: behoben in 20.15.4.2
- 20.15: behoben in 20.15.4.2
- 20.16: behoben in 20.18.2.1
- 20.18: behoben in 20.18.2.1
Hinweis: Cisco Catalyst SD-WAN Manager ab Version 20.18 ist von CVE-2026-20128 und CVE-2026-20129 nicht betroffen.

Abhilfe

Cisco stellt Sicherheitsaktualisierungen bereit. Ein Update auf die oben genannten Versionen wird dringend empfohlen. Es stehen keine Workarounds zur Verfügung, die die Schwachstellen vollständig beheben.

Als temporäre Maßnahme empfiehlt Cisco den Zugriff auf Port 22 und Port 830 mittels ACLs oder Firewall-Regeln auf bekannte Controller-IPs einzuschränken. Management-Interfaces dürfen nicht aus dem Internet erreichbar sein.

Aufgrund der nachgewiesenen aktiven Ausnutzung seit mindestens 2023 wird empfohlen, bestehende Installationen anhand des veröffentlichten Threat Hunt Guide auf Anzeichen einer Kompromittierung zu untersuchen. Im Falle einer festgestellten Kompromittierung sollten betroffene Instanzen (vManage, vSmart, vBond) aus gepatchten Images neu aufgesetzt werden.

Hinweis

Informationsquelle(n):

Cisco Security Advisory – Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

Cisco Security Advisory – Cisco Catalyst SD-WAN Vulnerabilities (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v

CISA Emergency Directive ED 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems (Englisch)
https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems

NCSC-UK – Exploitation of Cisco Catalyst SD-WAN (Englisch)
https://www.ncsc.gov.uk/news/exploitation-cisco-catalyst-sd-wans

ASD ACSC-led Cisco SD-WAN Threat Hunt Guide (Englisch)
https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf

Cisco Talos – Active exploitation of Cisco Catalyst SD-WAN by UAT-8616 (Englisch)
https://blog.talosintelligence.com/uat-8616-sd-wan/

Kritische Schwachstellen in Ivanti Endpoint Manager Mobile - Updates empfohlen

CERT.at — Fri, 30 Jan 2026 12:54:34 GMT+0100

30. Januar 2026

Beschreibung

Ivanti hat ein Security Advisory bezüglich kritischer Schwachstellen im Endpoint Manager Mobile veröffentlicht. Diese Sicherheitslücken werden bereits aktiv ausgenutzt.

CVE-Nummer(n): CVE-2026-1281, CVE-2026-1340

CVSS Base Score: 9.8

Auswirkungen

Die Schwachstellen ermöglichen einem*einer entfernten, nicht authentifizierten Angreifer:in, beliebigen Code auf dem betroffenen System auszuführen (Remote Code Execution), was die vollständige Kompromittierung des Servers erlaubt.

Betroffene Systeme

Ivanti EPMM 12.5.0.0, 12.6.0.0, 12.7.0.0 sowie 12.5.1.0 und 12.6.1.0 und jeweils ältere Versionen

Abhilfe

Kund:innen wird empfohlen je nach Version entweder auf RPM 12.x.0.x oder RPM 12.x.1.x zu aktualisieren.

Das RPM-Skript bleibt bei einem Versions-Upgrade laut dem Advisory allerdings nicht erhalten. Wenn Kund:innen nach der Anwendung des RPM-Skripts auf Ihrer Appliance auf eine neue Version upgraden, müssten diese das RPM erneut installieren. Die dauerhafte Behebung dieser Sicherheitslücke soll in der nächsten Produktversion (12.8.0.0) enthalten sein.

Ivanti stellt weiters eine Analysis Guidance für die Abklärung potentiell bereits stattgefundener Kompromittierungen bereit.

Hinweis

Informationsquelle(n):

Ivanti Security Advisory (englisch)
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US

Ivanti Analysis Guidance Ivanti Endpoint Manager Mobile (EPMM) CVE-2026-1281 & CVE-2026-1340
https://forums.ivanti.com/s/article/Analysis-Guidance-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US

Kritische Sicherheitslücken in mehreren Fortinet-Produkten (FortiCloud SSO) - aktiv ausgenutzt - Updates verfügbar

CERT.at — Fri, 19 Dec 2025 15:45:27 GMT+0100

19. Dezember 2025

Beschreibung

In mehreren Fortinet-Produkten existieren kritische Sicherheitslücken im FortiCloud SSO-Login-Mechanismus. Die Schwachstellen ermöglichen es unauthentifizierten Angreifern, die FortiCloud SSO-Authentifizierung durch manipulierte SAML-Nachrichten zu umgehen und administrativen Zugriff zu
erlangen. Die Lücken werden bereits aktiv ausgenutzt.

CVE-Nummer(n): CVE-2025-59718, CVE-2025-59719

CVSS Base Score: 9.1

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung die FortiCloud SSO-Anmeldung umgehen und vollen administrativen Zugriff auf betroffene Geräte erlangen. Die Schwachstellen werden bereits aktiv ausgenutzt. Sicherheitsforscher von Arctic Wolf und Huntress haben beobachtet, dass Angreifer nach erfolgreicher Kompromittierung Gerätekonfigurationen exportieren. Da Konfigurationsdateien gehashte Anmeldedaten enthalten können, besteht die Gefahr, dass diese offline geknackt werden.
Hinweis: Die FortiCloud SSO-Login-Funktion ist in den Werkseinstellungen standardmäßig deaktiviert. Wenn jedoch ein Administrator das Gerät über die GUI bei FortiCare registriert, wird FortiCloud SSO automatisch aktiviert, sofern die Option "Allow administrative login using FortiCloud SSO" nicht manuell
deaktiviert wird.

Betroffene Systeme

FortiOS
- 7.6.0 bis 7.6.3
- 7.4.0 bis 7.4.8
- 7.2.0 bis 7.2.11
- 7.0.0 bis 7.0.17
FortiProxy
- 7.6.0 bis 7.6.3
- 7.4.0 bis 7.4.10
- 7.2.0 bis 7.2.14
- 7.0.0 bis 7.0.21
FortiSwitchManager
- 7.2.0 bis 7.2.6
- 7.0.0 bis 7.0.5
FortiWeb
- 8.0.0
- 7.6.0 bis 7.6.4
- 7.4.0 bis 7.4.9

Nicht betroffen: FortiOS 6.4, FortiWeb 7.0, FortiWeb 7.2

Abhilfe

Als temporärer Workaround kann die FortiCloud SSO-Login-Funktion deaktiviert werden:

Über GUI: System -> Settings -> "Allow administrative login using FortiCloud SSO" auf "Off" setzen

Über CLI:

config system global
set admin-forticloud-sso-login disable
end

Falls eine Kompromittierung vermutet wird, sollten alle Firewall-Anmeldedaten zurückgesetzt werden, da gehashte Credentials aus exportierten Konfigurationen offline geknackt werden könnten.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Zusätzlich wird empfohlen, den Zugriff auf Management-Interfaces von Firewalls und VPN-Appliances auf vertrauenswürdige interne Netzwerke zu beschränken.

Informationsquelle(n):

Fortinet PSIRT Advisory FG-IR-25-647 (englisch):
https://www.fortiguard.com/psirt/FG-IR-25-647

Arctic Wolf Security Bulletin (englisch):
https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/

VulnCheck Blog (englisch):
https://www.vulncheck.com/blog/forticloud-sso-login-bypass

React2Shell - Angriffe gegen verwundbare Anwendungen auf von Basis React.JS und weiterer Frameworks

CERT.at — Fri, 05 Dec 2025 11:58:45 GMT+0100

05. Dezember 2025

Beschreibung

Diese Woche wurden kritische Sicherheitslücken in den React Server Components veröffentlicht. Diese Schwachstellen ermöglichen unauthentifizierte Remote-Code Execution sofern Anwendungen die betroffenen Server Components einsetzen. Mittlerweile wird diese Sicherheitslücke aktiv ausgenutzt um verwundbare Installationen zu kompromittieren. Proof-of-Concept Exploits sind bereits öffentlich zugänglich.

CVE-Nummer(n): CVE-2025-55182

CVSS Base Score: 10.0

Auswirkungen

Ein:e nicht authentifizierte:r Angreifer:in kann über das Netzwerk speziell präparierte Anfragen an betroffene Installationen senden, die eine unsichere Objekt-Deserialisierung auslösen. Dies führt zur Ausführung von beliebigem Code mit auf dem betroffenen Server.

Betroffene Systeme

Anwendungen die die Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 folgender Pakete einsetzen:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

Diese Pakete werden zumindest auch in folgenden Frameworks ausgeliefert:

next,
react-router,
waku,
@parcel/rsc,
@vitejs/plugin-rsc
rwsdk

Gleichzeitig weisen die Entwickler:innen von React darauf hin, dass nur Anwendungen verwundbar sind, die auf einem Server laufen und mithilfe eines Frameworks mit React Server Components realisiert wurden. Ein pauschales Sicherheitsrisiko für alle React-Anwendungen ist nicht gegeben.

Abhilfe

React hat Softwareupdates veröffentlicht, welche die Sicherheitslücken beheben. Details zum Update von React sowie auch anderer betroffener Frameworks, welche die betroffenen Komponenten mitausliefern, finden sich im Advisory von React.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Sollten Sie Opfer eines Angriffes unter Ausnutzung dieser Lücke/n geworden sein bitten wir Sie uns zu informieren.

Informationsquelle(n):

Advisory React
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Blog-Artikel AWS:
https://aws.amazon.com/de/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

Angriffe gegen Microsoft WSUS Installationen - Update verfügbar

CERT.at — Fri, 24 Oct 2025 13:26:24 GMT+0100

24. Oktober 2025

Beschreibung

Microsoft hat eine kritische Sicherheitslücke in Windows Server Update Service (WSUS) veröffentlicht, die es unauthentifizierten Angreifern ermöglicht, aus der Ferne beliebigen Code auf betroffenen Servern auszuführen. Die Schwachstelle entsteht durch unsichere Deserialisierung von nicht vertrauenswürdigen Daten in einem veralteten Serialisierungsmechanismus. Microsoft hatte hierzu bereits am 14. Oktober einen ersten Patch veröffentlicht. Dieser erwies sich allerdings als unzureichend und wurde nun außerplanmäßig nachgebessert. Ein bereits öffentlich verfügbarer Proof-of-Concept (PoC) erhöht die Warscheinlichkeit einer Ausnutzung. Berichten nach werden bereits Angriffe verzeichnet.

CVE-Nummer(n): CVE-2025-59287

CVSS v3.1 Score: 9.8 (Kritisch)

Auswirkungen

Ein nicht authentifizierter Angreifer kann über das Netzwerk speziell präparierte Ereignisse an den WSUS-Server senden, die eine unsichere Objekt-Deserialisierung auslösen. Dies führt zur Ausführung von beliebigem Code mit System-Rechten auf dem betroffenen Server. Da WSUS-Server zentrale Komponenten in der Patch-Verwaltung von Windows-Umgebungen darstellen, kann eine erfolgreiche Kompromittierung weitreichende Auswirkungen auf die gesamte IT-Infrastruktur haben.

Betroffene Systeme

Alle unterstützten Windows Server Versionen mit aktivierter WSUS Server-Rolle:
• Windows Server 2012 und 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2022, 23H2 Edition
• Windows Server 2025

Windows Server ohne aktivierte WSUS-Rolle sind nicht betroffen. Die WSUS-Rolle ist standardmäßig nicht aktiviert.

Abhilfe

Microsoft hat am 23. Oktober 2025 außerplanmäßige Sicherheitsupdates für alle betroffenen Windows Server Versionen veröffentlicht.Die Updates sind über Windows Update, Microsoft Update Catalog und WSUS verfügbar. Nach Installation ist ein Neustart des Systems erforderlich.

Temporäre Workarounds bis zur Installation des Updates:
1. Deaktivierung der WSUS Server-Rolle (Achtung: Clients erhalten dann keine Updates mehr vom Server)
2. Blockierung des eingehenden Datenverkehrs auf den Ports 8530 und 8531 in der lokalen Host-Firewall

Hinweis

Die Schwachstelle wird bereits aktiv ausgenutzt. Aufgrund der Kritikalität und der einfachen Ausnutzbarkeit (kein Benutzer-Interaktion oder Authentifizierung erforderlich, Proof-of-Conecpt (PoC) bereits öffentlich verfügbar) empfiehlt CERT.at die sofortige Installation der bereitgestellten Sicherheitsupdates. Organisationen sollten ihre WSUS-Server priorisiert patchen und bis dahin die empfohlenen Workarounds implementieren.

Informationsquelle(n):

Microsoft Security Response Center - CVE-2025-59287 (Englisch)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

Microsoft Out-of-Band Security Update Announcement (Englisch)
https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#3668

Eyesecurity LinkedIn Artikel der aktive Ausnutzung beschreibt (Englisch)
https://www.linkedin.com/posts/eyesecurity_active-exploitation-of-𝗪𝗦𝗨𝗦-cve-2025-activity-7387398633383415808-tqLD/

Schwerwiegende Sicherheitslücke in Oracle E-Business Suite - aktiv ausgenutzt - Updates verfügbar

CERT.at — Mon, 06 Oct 2025 09:16:56 GMT+0100

06. Oktober 2025

Beschreibung

Oracle hat einen Security Alert zu einer schwerwiegenden Schwachstelle, CVE-2025-61882, in Oracle E-Business Suite veröffentlicht. Die Sicherheitslücke erlaubt es Angreifer:innen auf betroffenen Systemen ohne jedwede Authentifizierung Code auszuführen. Laut Oracle wird die Lücke bereits aktiv durch Bedrohungsakteure missbraucht.

CVE-Nummer(n): CVE-2025-61882

CVSS Base Score: 9.8

Auswirkungen

Die Ausnutzung der Schwachstelle ermöglicht entfernten, unauthentifizierten Angreifer:innen die Ausführung von Code und in weiterer Folge die vollständige Übernahme von verwundbaren Systemen.

Betroffene Systeme

Oracle E-Business Suite - 12.2.3 - 12.2.14

Abhilfe

Oracle stellt Updates zur Verfügung die das Problem beheben. Weiters sind Verantwortliche dringend angehalten zu prüfen, ob auf den eigenen Systemen beziehungsweise in den eigenen Logs die im Security Alert angeführten IOCs zu finden sind.

Hinweis

Informationsquelle(n):

Oracle Security Alert Advisory - CVE-2025-61882
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

Schwerwiegende Sicherheitslücken in Cisco Adaptive Security Appliance - aktiv ausgenutzt - Updates verfügbar

CERT.at — Fri, 26 Sep 2025 10:57:12 GMT+0100

26. September 2025

Beschreibung

Cisco hat Informationen zu einer vermutlich bereits seit einigen Monaten laufenden Angriffskampagne veröffentlicht. Im Rahmen dieser Kampagne haben Angreifer:innen, denen bereits im vergangenen Jahr eine breitgefächerte Kampagne gegen Edge-Devices zugerechnet wurde, Cisco Adaptive Security Appliance (ASA) Systeme der 5500-X Reihe welche "VPN web services" kompromittiert um in weiterer Folge auf den übernommenen Geräten Schadsoftware zu platzieren und Daten zu stehlen.

Aufgrund der Natur der Angriffe und der mutmaßlich verantwortlichen Täter:innen ist nach aktuellem Wissensstand davon auszugehen, dass der Bedrohungsakteur über einen längeren Zeitraum hinweg Kontrolle über kompromittierte Geräte hatte beziehungsweise diese über einen längeren Zeitraum hinweg mit Schadsoftware infiziert waren.

CVE-Nummer(n): CVE-2025-20333, CVE-2025-20362, CVE-2025-20363

CVSS Base Score: 9.9

Auswirkungen

Die Ausnutzung der Schwachstellen erlaubt Angreifer:innen die vollständige Übernahme von verwundbaren Systemen. Aufgrund der Natur der betroffenen Geräte ermöglicht dies den Angreifer:innen unter Umständen einen vollständigen Zugriff auf betroffene Netzwerke. Die Schwachstellen werden bereits aktiv ausgenutzt.

Betroffene Systeme

Laut Cisco sind folgende Systeme von den Angriffen betroffen sofern diese auf Cisco ASA Software in den Versionen 9.12 oder 9.14 laufen, VPN Web Services aktiviert haben und Secure Boot- sowie Trust Anchor-Technologien nicht unterstützen:

Cisco ASA 5512-X and 5515-X
Cisco ASA 5525-X, 5545-X, and 5555-X
Cisco ASA 5585-X

Abhilfe

Cisco empfiehlt Betroffenen nachdrücklich ein Update auf eine nicht mehr verwundbare Version. Bei Systemen bei denen ein solches aufgrund des End-of-Life Status des Gerätes nicht zur Verfügung steht sind verantwortliche Administrator:innen angehalten schnellstmöglich eine Migration auf ein neueres Gerät durchzuführen.

In Fällen wo weder ein Upgrade noch eine Migration möglich ist empfiehlt Cisco das Deaktivieren sämtlicher SSL/TLS-basierten VPN-Services. Eine Anleitung dazu, sowie eine Liste an nicht mehr verwundbaren Versionen, stellt Cisco in dem entsprechenden Security Advisory zur Verfügung.

Bei Verdacht auf oder bestätigter Kompromittierung eines Geräts sollten alle Konfigurationselemente des Systems als nicht vertrauenswürdig betrachtet werden.

Cisco empfiehlt, alle Konfigurationen - insbesondere lokale Passwörter, Zertifikate und Schlüssel - nach dem Upgrade auf eine korrigierte Version des Systems vollständig zu ersetzen.

Hinweis

Informationsquelle(n):

Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

Cisco Secure Firewall Adaptive Security Appliance Software, Secure Firewall Threat Defense Software, IOS Software, IOS XE Software, and IOS XR Software Web Services Remote Code Execution Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O

Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices
https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices

Mehrere (teils kritische) Schwachstellen in NetScaler ADC and NetScaler Gateway

CERT.at — Tue, 26 Aug 2025 14:04:41 GMT+0100

26. August 2025

Beschreibung

Citrix hat ein Advisory zu mehreren, zum Teil kritischen, Schwachstellen in den Produkten NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) veröffentlicht.

Laut Citrix wurden bereits Angriffsversuche gegen verwundbare Systeme beobachtet, welche zumindest die kritische Schwachstelle CVE-2025-7775 auszunutzen versuchten.

CVE-Nummern(n): CVE-2025-7775, CVE-2025-7776, CVE-2025-8424

CVSS v4.0 Base Score(s): 9.2, 8.8, 8.7

Auswirkungen

Die Schwachstellen erlauben neben der entfernten Ausführung von Code (CVE-2025-7775), das auslösen eines Denial of Service (DoS), beziehungsweise das hervorrufen undefinierter und fehlerhafter Zustände (CVE-2025-7776). Darüber hinaus nutzt CVE-2025-8424 eine unsachgemäße Zugriffskontrolle gegen die Netscaler Management-Oberfläche aus.

Betroffene Systeme

NetScaler ADC und NetScaler Gateway 14.1 unter 14.1-47.48
NetScaler ADC und NetScaler Gateway 13.1 unter 13.1-59.22
NetScaler ADC 13.1-FIPS und NDcPP unter 13.1-37.241-FIPS und NDcPP
NetScaler ADC 12.1-FIPS und NDcPP unter 12.1-55.330-FIPS und NDcPP

Abhilfe

Citrix stellt für sämtliche betroffenen Softwarekomponenten Updates zur Verfügung, und weist explizit darauf hin, dass die NetScaler ADC und NetScaler Gateway Versionen 12.1 und 13.0 obsolet sind und nicht mehr unterstützt werden. Ein Update auf unterstützte Versionen, welche die Schwachstellen beheben, wird empfohlen.

Neben detaillierten Vorgehensweisen um die eigenen Systeme auf Verwundbarkeit bezüglich CVE-2025-775 und CVE-2025-7776 zu überprüfen, weist Citrix darauf hin, dass keine Workarounds zur Mitigation dieser Lücken existieren.

Hinweis

Informationsquelle(n):

NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424 (Englisch):
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938

Erhöhte Bedrohungsaktivität gegen SonicWall Gen 7 Firewalls mit SSLVPN - Sofortmaßnahmen empfohlen

CERT.at — Tue, 05 Aug 2025 10:53:46 GMT+0100

05. August 2025

Update: 07. August 2025

Ergänzung von technischen Indikatoren für eine forensische Untersuchung möglicherweise betroffener Geräte sowie Informationen zu der angeblich relevanten Schwachstelle.

Beschreibung

Laut SonicWall ist die in den vergangenen Tagen beobachtete Angriffswelle gegen Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN auf eine bereits bekannte Sicherheitslücke zurückzuführen, CVE-2024-40766.

Laut SonicWall sind bislang "weniger als 40" Vorfälle im Zusammenhang mit dem aktuellen Sachverhalt bekannt geworden. Es ist davon auszugehen, dass die Dunkelziffer höher ist und die Angriffe weiterhin anhalten. In seinem Advisory schreibt das Unternehmen, dass eine Vielzahl der bekannten Vorfälle auf Migrationen von SonicWall-Firewalls zurückzuführen sei, bei denen lokale Benutzer:innen und Passwörter nicht zurückgesetzt worden sein.

CVE-Nummer(n): Laut Hersteller CVE-2024-40766

CVSS Base Score: 9.3

Auswirkungen

Die genauen Auswirkungen sind noch Gegenstand der Untersuchung. Betroffen sind Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN. Die Bedrohungsaktivität könnte zu unbefugtem Zugriff auf Netzwerkinfrastruktur führen.

Betroffene Systeme

SonicWall Gen 7 Firewalls mit aktiviertem SSLVPN

Abhilfe

Die Untersuchung der Vorfälle ist noch nicht abgeschlossen. Für den Moment empfiehlt SonicWall dringend folgende Maßnahmen:

Primäre Maßnahme:

Aktualisierung aller SonicWall Firewalls auf SonicOS 7.3.0 oder höher
Danach zurücksetzen aller Passwörter von lokalen Nutzer:innen mit SSLVPN-Zugriff

Sollte dies nicht möglich sein:

SSLVPN-Dienste deaktivieren (wo praktikabel)
SSLVPN-Konnektivität auf vertrauenswürdige Quell-IPs beschränken
Sicherheitsdienste aktivieren: Botnet-Schutz und Geo-IP-Filterung einschalten
Multi-Faktor-Authentifizierung (MFA) für alle Remote-Zugriffe forcieren
Ungenutzte Benutzerkonten entfernen: Inaktive oder ungenutzte lokale Benutzerkonten auf der Firewall löschen, insbesondere solche mit SSLVPN-Zugriff

Aufgrund der bestätigterweise erfolgten Angriffe sollte neben den genannten Maßnahmen auch eine Untersuchung möglicherweise betroffener Geräte auf eine unter Umständen bereits geschehene Kompromittierung erfolgen. Entsprechende technische Indikatoren für eine solche Analyse werden sowohl von Huntress Labs als auch von Arctic Wolf bereitgestellt.

Hinweis

SonicWall arbeitet eng mit internationale Partner:innen zusammen und wird Partner:innen und Kund:innen kontinuierlich über den Fortschritt der Untersuchung informieren. Sobald wir weitere Informationen erhalten werden wir diese Warnung schnellstmöglich aktualisieren und / oder erweitern.

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

SonicWall Security Advisory (Englisch):
https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430

Kritische Sicherheitslücke in Microsoft SharePoint - aktiv ausgenützt, Updates verfügbar

CERT.at — Mon, 21 Jul 2025 10:09:47 GMT+0100

21. Juli 2025

Beschreibung

Microsoft hat außerhalb des regulären Patchzyklus Informationen zu, sowie Sicherheitsaktualisierungen für eine kritische Zero-Day-Schwachstelle in Microsoft SharePoint veröffentlicht. Die Sicherheitslücke CVE-2025-53770 wird seit zumindest 18.07.2025 durch Bedrohungsakteure ausgenutzt. Bei der Lücke handelt es sich um eine Variante eines bereits bekannten und behobenen Problems, CVE-2025-49706.

CERT.at steht mit nationalen und internationalen Partner:innen im Austausch und informiert Betroffene in Österreich.

CVE-Nummer(n): CVE-2025-53770

CVSS Base Score: 9.8

Auswirkungen

Eine Ausnutzung der Schwachstelle ermöglicht Bedrohungsakteuren vollständigen Zugriff auf verwundbare Systeme, einschließlich des kompletten Zugriffes auf SharePoint-Inhalte, inklusive Dateisystemen und internen Konfigurationen, sowie die entfernte Ausführung von Code.

Betroffene Systeme

Microsoft SharePoint 2016 (on-Premises)
Microsoft SharePoint 2019 (on-Premises)
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2010 & 2013 (für diese Versionen werden keine Updates zur Verfügung gestellt)

Abhilfe

Microsoft stellt Updates zur Verfügung, welche die Lücke schließen. Detaillierte Informationen dazu hat das Unternehmen in einem eigenen Empfehlungsdokument zusammengefasst.

Nachdem das Update eingespielt worden sind ist es unbedingt notwendig auf betroffenen Systemen die "SharePoint server ASP.NET machine keys" zu rotieren und den Webserver IIS neu zu starten. Eine Anleitung für die Schlüsselrotation findet sich in dem Empfehlungsdokument von Microsoft.

Weiters empfiehlt das Unternehmen Administrator:innen folgende Schritte zu setzen:

Aktivierung des "Antimalware Scan Interface" und Sicherstellung einer korrekten Konfiguration dessen.
Ausrollung von "Microsoft Defender for Endpoint" oder ähnlicher Lösungen um weitere Aktivitäten der Angreifer:innen nach möglicher Kompromittierung zu blockieren. Für den "Microsoft Defender for Endpoint" stellt Microsoft auch entsprechende Queries für die Suche nach verdächtigen Aktivitäten zur Verfügung.
Prüfen der Systemlogs auf HTTP-Zugriffe des Typs POST auf den Pfad /_layouts/15/ToolPane.aspx?DisplayMode=Edit sowie auf Zugriffe von folgenden IP-Adressen: 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147

Hinweis

Informationsquelle(n):

Customer guidance for SharePoint vulnerability CVE-2025-53770
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770)
https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770

Kritische Sicherheitslücke CVE-2025-47981 in Windows SPNEGO - Update dringend empfohlen

CERT.at — Wed, 09 Jul 2025 12:41:53 GMT+0100

09. Juli 2025

Beschreibung

Microsoft hat eine kritische Sicherheitslücke im Windows SPNEGO Extended Negotiation (NEGOEX) Security Mechanism veröffentlicht. Die Schwachstelle ermöglicht es Angreifern, aus der Ferne und ohne Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen.

CVE-Nummer: CVE-2025-47981
CVSS Base Score: 9.8 (Kritisch)

Auswirkungen

Ein nicht authentifizierter Angreifer kann durch das Senden einer speziell präparierten Nachricht an den Server beliebigen Code aus der Ferne ausführen (Remote Code Execution). Die Schwachstelle basiert auf einem Heap-basierten Pufferüberlauf und erfordert keine Benutzerinteraktion oder spezielle Privilegien.

Besondere Gefahr: Aufgrund der Eigenschaften dieser Schwachstelle (keine Authentifizierung erforderlich, Netzwerk-basierter Angriff, keine Benutzerinteraktion notwendig) besteht das Potenzial für wurmartige Verbreitung. Ein erfolgreicher Angriff könnte sich selbstständig über das Netzwerk auf andere verwundbare Systeme ausbreiten.

Betroffene Systeme

Die Sicherheitslücke betrifft folgende Windows-Versionen:

Windows 10 (alle Versionen)
Windows 11 (alle Versionen)
Windows Server 2008 R2 Service Pack 1
Windows Server 2012 und 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

Besonders gefährdet sind Windows-Client-Systeme ab Windows 10 Version 1607, bei denen die Gruppenrichtlinie "Network security: Allow PKU2U authentication requests to this computer to use online identities" im Unterschied zu den Server-Varianten standardmäßig aktiviert ist.

Abhilfe

Microsoft hat für alle betroffenen Versionen Sicherheitsupdates veröffentlicht. Diese sollten umgehend über Windows Update oder manuell über den Microsoft Update Catalog installiert werden.

Die spezifischen KB-Nummern für die Updates sind:

Windows 10 Version: KB5062561
Windows 10 Version 1607: KB5062560
Windows 10 Version 21H2: KB5062554
Windows 10 Version 22H2: KB5062554
Windows 11 Version 22H2: KB5062552
Windows 11 Version 23H2: KB5062552
Windows 11 Version 24H2: KB5062553
Windows Server 2008 R2 SP1: KB5062632, KB5062619
Windows Server 2012: KB5062592
Windows Server 2012 R2: KB5062597
Windows Server 2016: KB5062560
Windows Server 2019: KB5062557
Windows Server 2022: KB5062572
Windows Server 2022, 23H2 Edition: KB5062570
Windows Server 2025: KB5062553

Mitigationen

Bis zur Installation der Sicherheitsupdates können folgende Maßnahmen das Risiko reduzieren:

Gruppenrichtlinie deaktivieren: Auf Windows-Clients kann die Gruppenrichtlinie "Network security: Allow PKU2U authentication requests to this computer to use online identities" deaktiviert werden, um die Angriffsfläche zu reduzieren. Dies kann jedoch die Funktionalität bestimmter Anwendungen beeinträchtigen.

Hinweis

Dringlichkeitshinweis: Aufgrund der potentiellen Wurmfähigkeit dieser Schwachstelle empfiehlt CERT.at die sofortige Installation der Sicherheitsupdates. Die Kombination aus Remote-Ausnutzbarkeit ohne Authentifizierung, keiner erforderlichen Benutzerinteraktion und der hohen CVSS-Bewertung (9.8) macht diese Schwachstelle zu einem kritischen Sicherheitsrisiko.

Zum Zeitpunkt der Veröffentlichung gibt es keine Hinweise auf eine aktive Ausnutzung der Schwachstelle. Die Veröffentlichung technischer Details erhöht jedoch das Risiko, dass zeitnah Exploits entwickelt werden.

Informationsquelle(n):

Microsoft Security Update Guide - CVE-2025-47981 (Englisch):
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981

Phishing-Angriffe mit manipulierten SVG-Dateien - Vorsicht geboten

CERT.at — Thu, 12 Jun 2025 09:29:53 GMT+0100

12. Juni 2025

Beschreibung

CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft werden.

Auswirkungen

Durch das Öffnen manipulierter SVG-Dateien können Angreifer:

JavaScript-Code auf dem System des Opfers ausführen.
Schadsoftware nachladen und installieren.
Phishing-Formulare direkt in der SVG-Datei anzeigen.
Automatische Weiterleitungen zu bösartigen Webseiten auslösen.
Zugangsdaten und andere sensible Informationen stehlen.

Technische Details

SVG-Dateien sind XML-basierte Textdateien zur Darstellung von Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:

Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten, die JavaScript-Code ausführen.
ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten und interaktiven Formularen direkt in der SVG-Datei.
Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird eingebetteter Code automatisch ausgeführt.
Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text bestehen, werden sie von vielen Antivirenprogrammen nicht als verdächtig eingestuft.

Die Angreifer verwenden verschiedene Verschleierungstechniken wie Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter zu erschweren.

Aktuelle Kampagne: Strela Stealer

CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.

Ablauf der Infektion:

SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg).
JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird beim Öffnen (nach minimaler Interaktion durch das Opfer) ausgeführt.
ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei herunter.
JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als Loader fungiert.
Payload-Download: Bei positiver Prüfung wird die eigentliche Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.

Besonderheiten:

Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook (Authentifizierungs-Daten, potentielle Exfiltration von E-Mails) und kann Screenshots anfertigen.
Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken.
Exfiltriert gestohlene Daten über HTTP POST an Command-and-Control-Server.

Betroffene Systeme

Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript ausführen können - insbesondere Webbrowser und E-Mail Clients.

Abhilfe

Sofortmaßnahmen:

SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe hinderliche Methode, die zuvor abhängig der Organisations-Parameter geprüft werden sollte.)
Mitarbeiter:innen über diese Angriffsmethode informieren und sensibilisieren.

Informationsquelle(n):

Blog-Artikel von IBM (Englisch):
https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-campaign-targeting-financial-institutions

Artikel von Bleepingcomputer (Englisch):
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/

Blog-Artikel zu JS in SVGs (Englisch)
https://davidwalsh.name/javascript-in-svgs

Blog-Artikel zu einer früheren StrelaStealer Kampagne von Trustwave (Englisch)
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive-into-strela-stealer-and-how-it-targets-european-countries/

Ivanti EPMM: Remote Code Execution Schwachstellen (CVE-2025-4427, CVE-2025-4428) - Updates verfügbar

CERT.at — Wed, 14 May 2025 09:27:41 GMT+0100

14. Mai 2025

Beschreibung

Ivanti veröffentlichte am 13. Mai Updates & Sicherheitsadvisories zu zwei Schwachstellen in Ivanti Endpoint Manager Mobile (EPMM). Die verkettete Ausnutzung der beiden Lücken kann zur unauthentifizierten Ausführung von Schadcode genutzt werden. Ivanti gibt an die Ausnutzung dieser Lücken auf einer limitierten Anzahl an Systemen, bereits vor der Veröffentlichtung des Advisories, beobachtet zu haben.

CVE-Nummern: CVE-2025-4427, CVE-2025-4428
CVSS Score: 7.2 (Hoch)

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung beliebigen Code ausführen und auf sensible Informationen zugreifen. Dies ermöglicht potenziell eine vollständige Kompromittierung von Ivanti EPMM Systemen welche eine verwundbare Version nutzen.

Betroffene Systeme

Ivanti Endpoint Manager Mobile
- 11.12.0.4 und niedriger
- 12.3.0.1 und niedriger
- 12.4.0.1 und niedriger
- 12.5.0.0 und niedriger

Abhilfe

Die am 13. Mai veröffentlichten Hotfixes (Versionsnummern 11.12.0.5, 12.3.0.2, 12.4.0.2 und 12.5.0.1) beheben diese Sicherheitslücken. Es wird dringend empfohlen, das Update umgehend einzuspielen.

Als temporäre Maßnahme bis zum Update kann der Zugriff auf die betroffenen Komponenten mithilfe der integrierten ACL-Funktionalität oder eigener Firewall-Regeln eingeschränkt werden.

Hinweis

Informationsquelle(n):

Security Advisory Ivanti Endpoint Manager Mobile (EPMM) May 2025:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM

Ivanti System Manager Guide - Access Control Lists: Portal ACLs
https://help.ivanti.com/mi/help/en_us/core/12.x/sys/CoreSystemManager/Access_Control_Lists__Po.htm

Kritische Sicherheitslücken in Kubernetes Ingress NGINX Controller - Updates verfügbar

CERT.at — Wed, 26 Mar 2025 14:31:21 GMT+0100

26. März 2025

Beschreibung

Im Kubernetes Ingress NGINX Controller, einer Kernkomponente von Kubernetes, wurden mehrere kritische Sicherheitslücken entdeckt. Diese ermöglichen unter anderem unauthentifizierte Remote Code Execution (RCE) und unberechtigten Zugriff auf Secrets.

CVE-Nummern: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974, CVE-2025-24513
CVSS Score: 9.8 (kritisch)

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung beliebigen Code ausführen und auf sensible Informationen zugreifen. Dies ermöglicht potenziell eine vollständige Kompromittierung von Kubernetes-Clustern, die den verwundbaren Ingress NGINX Controller verwenden.

Betroffene Systeme

Betroffen sind vor den Versionen 1.12.1 und 1.11.5 veröffentlichte Versionen des Ingress NGINX Controllers.

Abhilfe

Die am 25. März 2025 veröffentlichten Versionen 1.12.1 und 1.11.5 des Ingress NGINX Controllers beheben diese Sicherheitslücken. Es wird dringend empfohlen, das Update umgehend einzuspielen.

Als temporäre Maßnahme bis zum Update kann durch die Deaktivierung des Validating Admission Controller Features das Risiko signifikant reduziert werden.

Für Installationen via Helm:
- Neuinstallation mit dem Parameter controller.admissionWebhooks.enabled=false
Für manuelle Installationen
- Löschen der ValidatingWebhookconfiguration mit dem Namen ingress-nginx-admission
- Bearbeiten des Ingress NGINX Controller Deployments oder DaemonSets und Entfernen des Parameters --validating-webhook aus der Argumentliste des Controller-Containers

Generell sollte der Netzwerkzugriff auf den Validierungs-Webhook des Ingress NGINX Controllers eingeschränkt werden, und nur vom Kubernetes API-Server aus erreichbar sein. Jeder andere Zugriff sollte als nicht vertrauenswürdig eingestuft werden.

Hinweis

Informationsquelle(n):

Kubernetes Blog:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-CVE-2025-1974

Wiz Blog:
http://wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities

Ransomware-Gruppen nutzen weiterhin kritische Fortinet-Schwachstellen - Warnung vor gepatchten, aber bereits kompromittierten Geräten

CERT.at — Thu, 20 Mar 2025 13:38:28 GMT+0100

20. März 2025

Beschreibung

CERT.at beobachtet weiterhin eine Welle von Ransomware-Angriffen, bei denen Cyberkriminelle bekannte kritische Schwachstellen in FortiOS- und FortiProxy-Geräten gezielt ausnutzen. Die Schwachstellen ermöglichen es Angreifern, unauthentifiziert super_admin-Rechte auf verwundbaren Geräten zu erlangen und langfristige Persistenz einzurichten.

Besonders auffällig ist, dass die Angreifer nach der erfolgreichen Infektion und Einrichtung ihrer Persistenz die Software betroffener Geräte selbst aktualisieren. Dies dient der Verschleierung und verhindert, dass weitere Angreifer dieselbe Sicherheitslücke erneut ausnutzen können. Organisationen könnten daher fälschlicherweise annehmen, dass ihre Systeme sicher und aktuell gepatcht seien, obwohl sie bereits kompromittiert sind.

CVE-Nummer(n): CVE-2024-55591, CVE-2025-24472

Auswirkungen

Angreifer können durch Ausnutzung der Schwachstellen vollständigen administrativen Zugriff auf anfällige Fortinet-Geräte erlangen. In beobachteten Angriffen erstellen die Angreifer persistente Administrator-Accounts, laden Konfigurationsdateien herunter, erlangen VPN-Zugang und bewegen sich lateral im Netzwerk. Das endgültige Ziel ist die Verbreitung von Ransomware.

Die Angriffe können zu folgenden Schäden führen:

Vollständige Kompromittierung der Netzwerk-Sicherheitsinfrastruktur
Datendiebstahl vor der Verschlüsselung
Verschlüsselung von kritischen Servern und Dateien
Erpressung durch Lösegeldforderungen

Betroffene Systeme

FortiOS-Geräte in Versionen unterhalb von 7.0.16 mit exponierten Management-Schnittstellen, aber auch bereits gepatchte mit Persistenz

Abhilfe

CERT.at empfiehlt dringend:

Sofortige forensische Untersuchung aller Fortinet-Geräte, die nach dem 27. Jänner 2025 noch verwundbar waren, auch wenn diese inzwischen vermeintlich gepatcht erscheinen.
Überprüfung und Löschung unbekannter Administrator- und VPN-Konten sowie verdächtiger Automatisierungsaufgaben.
Konsequente Beschränkung des externen Zugriffs auf Management-Schnittstellen.
Sofortige Aktualisierung aller FortiOS-Geräte auf Versionen, die die Schwachstellen CVE-2024-55591 und CVE-2025-24472 beheben, sofern nicht bereits geschehen.

Hinweis

Wir haben die Betreiber von verwundbaren Geräten erneut über die uns bekannten Abuse-Kontakte informiert.

Informationsquelle(n):

Blog von Forescout Research - Vedere Labs (englisch)
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/

Fortinet Advisory FG-IR-24-535 (englisch)
https://www.fortiguard.com/psirt/FG-IR-24-535

Kritische Sicherheitslücken in VMware ESXi, Workstation und Fusion - aktiv ausgenutzt - Updates verfügbar

CERT.at — Tue, 04 Mar 2025 17:56:13 GMT+0100

04. März 2025

Beschreibung

In VMware ESXi, Workstation und Fusion existieren mehrere kritische Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden. Diese ermöglichen unter anderem die Ausführung von beliebigem Code und die Offenlegung von Informationen.

CVE-Nummer(n): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226

CVSS Base Score: bis zu 9.3 (kritisch)

Auswirkungen

Die schwerwiegendste Schwachstelle (CVE-2025-22224, CVSS 9.3) ist ein "Time of Check – Time of use" (TOCTOU)-Fehler, der zu einem Heap-Überlauf führt. Angreifer mit Administratorrechten in einer virtuellen Maschine können darüber Code im VMX-Prozess auf dem Host ausführen und somit aus der VM ausbrechen.

Die zweite Schwachstelle (CVE-2025-22225, CVSS 8.2) ermöglicht beliebige Schreibzugriffe. Mit Berechtigungen innerhalb des VMX-Prozesses können Angreifer Kernel-Schreiboperationen auslösen und aus der Sandbox ausbrechen.

Die dritte Schwachstelle (CVE-2025-22226, CVSS 7.1) erlaubt das unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Damit können Angreifer mit Admin-Rechten in einer VM Speicherinhalte aus dem VMX-Prozess auslesen.

Betroffene Systeme

VMware ESXi 8.0 und 7.0
VMware Workstation Pro / Player 17.x
VMware Fusion 13.x
VMware Cloud Foundation 5.x und 4.5.x
VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
VMware Telco Cloud Infrastructure 3.x, 2.x

Abhilfe

VMware stellt für die betroffenen Produkte Sicherheitsupdates bereit, deren umgehende Installation dringend empfohlen wird:

ESXi 8.0: ESXi80U3d-24585383 oder ESXi80U2d-24585300
ESXi 7.0: ESXi70U3s-24585291
Workstation: Version 17.6.3
Fusion: Version 13.6.3
Cloud Foundation 5.x und 4.5.x: Async Patches entsprechend der Versionen
Telco Cloud Platform: Siehe KB389385
Der Hersteller gibt an, dass es keine Workarounds gibt, daher ist die Installation der Sicherheitsupdates die einzige Schutzmöglichkeit.

Hinweis

Informationsquelle(n):

Warnung von VMware (englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

FAQ zu den Schwachstellen (englisch)
https://brcm.tech/vmsa-2025-0004

Artikel bei Heise:
https://www.heise.de/news/Kritische-Luecke-in-VMware-ESXi-Fusion-und-Workstation-wird-missbraucht-10303639.html

Kritische Sicherheitslücke in SonicWall SMA1000 - aktiv ausgenutzt - Update verfügbar

CERT.at — Thu, 23 Jan 2025 14:11:32 GMT+0100

Beschreibung

In SonicWall SMA1000 Appliance Management Console (AMC) und Central Management Console (CMC) wurde eine kritische Sicherheitslücke entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Die Schwachstelle ermöglicht die Ausführung von beliebigem Code ohne vorherige Authentifizierung.

CVE-Nummer(n): CVE-2025-23006
CVSS Base Score: 9.8 (Kritisch)

Auswirkungen

Ein nicht authentifizierter Angreifer kann aus der Ferne beliebige Betriebssystembefehle auf dem betroffenen Gerät ausführen. Die Schwachstelle wird bereits aktiv von Bedrohungsakteuren ausgenutzt.

Betroffene Systeme

SonicWall SMA1000 Version 12.4.3-02804 und älter

Hinweis: SonicWall Firewall und SMA 100 Serie sind nicht betroffen.

Abhilfe

SonicWall hat ein Update veröffentlicht, das die Schwachstelle behebt. Betroffene Systeme sollten umgehend auf Version 12.4.3-02854 (platform-hotfix) oder höher aktualisiert werden.
Als Workaround sollte der Zugriff auf die Appliance Management Console (AMC) und Central Management Console (CMC) auf vertrauenswürdige Quellen beschränkt werden.

Hinweis

Informationsquelle(n):

SonicWall Security Advisory SNWLID-2025-0002
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002

Update#1: Schwerwiegende Sicherheitslücken in Sonicwall SSL-VPN - aktiv ausgenutzt

CERT.at — Tue, 07 Jan 2025 14:41:44 GMT+0100

07. Jänner 2025

Beschreibung

Der Hersteller Sonicwall hat seine Kunden darüber informiert, dass einige Geräte von Sicherheitslücken betroffen sind. Besonders hervorzuheben ist dabei eine bereits angegriffenen Lücke bei denen Angreifer:innen die Authentifizierung in SonicOS SSLVPN umgehen können.

CVE-Nummer(n): CVE-2024-53704

CVSS Base Score: 8.2

Auswirkungen

Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf betroffenen Geräten unter Umständen kryptographische Token vorhersagen und die Authentifizierung umgehen.

Betroffene Systeme

Gen 6 / 6.5 Hardware Firewalls: SonicOS < 6.5.5.1-6n
Gen 6 / 6.5 NSv Firewalls: SonicOS < 6.5.4.v-21s-RC2457
Gen 7 Firewalls: SonicOS < 7.0.1-5165 und < 7.1.3.7015
TZ80: SonicOS 8.0.0-8037

Abhilfe

Zur Zeit stehen keine Sicherheitsaktualisierungen zur Verfügung. Administrator:innen sind angehalten SSL-VPN oder SSH-Management auf betroffenen Geräten zu deaktivieren um eine Ausnutzung der Schwachstelle zu verhindern.

Update #1: 31.01.2025: Sonicwall hat inzwischen Patches veröffentlicht, die die Sicherheitslücke schließen. Außerdem wurde am 28.1.2025 eine Analyse von Rapid7 veröffentlicht, die IOCs und Exploit-Code zur Verfügung stellt.

Hinweis

Informationsquelle(n):

Zero-Day-Sicherheitslücke in Sonicwall SSL-VPN wird angegriffen
https://www.heise.de/news/Zero-Day-Sicherheitsluecke-in-Sonicwall-SSL-VPN-wird-angegriffen-10229915.html

Kritische Sicherheitslücke in Laravel Framework - Updates verfügbar

CERT.at — Fri, 15 Nov 2024 17:41:44 GMT+0100

15 November 2024

Beschreibung

Im Laravel Framework wurde eine kritische Sicherheitslücke entdeckt. Die Schwachstelle ermöglicht es Angreifern, durch manipulierte URLs unbefugten Zugriff auf Anwendungen zu erlangen und Umgebungsvariablen zu manipulieren.

CVE-Nummer(n): CVE-2024-52301

CVSS Base Score: 8.7 (Hoch)

Auswirkungen

Durch Ausnutzen der Schwachstelle können Angreifer aus der Ferne Umgebungsvariablen der Laravel-Anwendung manipulieren, was zu unbefugtem Zugriff, Datenmanipulation und Rechteausweitung führen kann. Die Schwachstelle betrifft Anwendungen, bei denen die PHP-Direktive register_argc_argv aktiviert ist.

Betroffene Systeme

Laravel < 6.20.45
Laravel >= 7.0.0 und < 7.30.7
Laravel >= 8.0.0 und < 8.83.28
Laravel >= 9.0.0 und < 9.52.17
Laravel >= 10.0.0 und < 10.48.23
Laravel >= 11.0.0 und < 11.31.0

Abhilfe

Der Hersteller hat Updates für alle betroffenen Versionen veröffentlicht. Betroffene Systeme sollten auf folgende oder neuere Versionen aktualisiert werden:

6.20.45
7.30.7
8.83.28
9.52.17
10.48.23
11.31.0

Hinweis

Informationsquelle(n):

Artikel über die Laravel-Schwachstelle (englisch):
https://securityonline.info/critical-laravel-flaw-cve-2024-52301-exposes-millions-of-web-applications-to-attack/

Update #1 Kritische Zero-Day Schwachstelle in FortiManager wird aktiv ausgenutzt - Update verfügbar

CERT.at — Thu, 24 Oct 2024 09:11:27 GMT+0100

24. Oktober 2024

Beschreibung

In FortiManager wurde eine kritische Sicherheitslücke entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, beliebigen Code oder Befehle auszuführen.

CVE-Nummer(n): CVE-2024-47575

CVSS Base Score: 9.8

Auswirkungen

Ein nicht authentifizierter Angreifer kann über speziell präparierte Anfragen beliebigen Code oder Befehle auf dem betroffenen FortiManager-System ausführen. Die Schwachstelle wird bereits seit Juni 2024 aktiv ausgenutzt, um Konfigurationsdaten von verwalteten FortiGate-Geräten zu stehlen, einschließlich Benutzerinformationen, gehashter Passwörter und mehr. Dies könnte zu weiteren Kompromittierungen im Unternehmensnetzwerk führen.

Betroffene Systeme

FortiManager:

Version 7.6.0
Versionen 7.4.0 bis 7.4.4
Versionen 7.2.0 bis 7.2.7
Versionen 7.0.0 bis 7.0.12
Versionen 6.4.0 bis 6.4.14
Versionen 6.2.0 bis 6.2.12

FortiManager Cloud:

Versionen 7.4.1 bis 7.4.4
Versionen 7.2.1 bis 7.2.7
Versionen 7.0.1 bis 7.0.12
Version 6.4 (alle Versionen)

Nicht betroffen:

FortiManager Cloud 7.6

Abhilfe

Fortinet hat Updates veröffentlicht, die die Schwachstelle beheben. Betroffene Systeme sollten dringend auf folgende Versionen aktualisiert werden:

FortiManager:

Version 7.6: Upgrade auf Version 7.6.1 oder höher
Version 7.4: Upgrade auf Version 7.4.5 oder höher
Version 7.2: Upgrade auf Version 7.2.8 oder höher
Version 7.0: Upgrade auf Version 7.0.13 oder höher
Version 6.4: Upgrade auf Version 6.4.15 oder höher
Version 6.2: Upgrade auf Version 6.2.13 oder höher

FortiManager Cloud:

Version 7.4: Upgrade auf Version 7.4.5 oder höher
Version 7.2: Upgrade auf Version 7.2.8 oder höher
Version 7.0: Upgrade auf Version 7.0.13 oder höher
Version 6.4: Migration auf eine behobene Version erforderlich

Als zusätzliche Schutzmaßnahmen werden empfohlen:

Den Zugriff auf das FortiManager-Adminportal auf genehmigte interne IP-Adressen zu beschränken
Nur erlaubten FortiGate-Adressen die Kommunikation mit FortiManager zu gestatten
Unbekannte FortiGate-Geräte von der Verbindung mit FortiManager zu blockieren

Hinweis

Update #1: 25.10.2024: CERT.at hat am 24.10.2024 die zuständigen AS-Kontakte über bereits angegriffene und kompromittierte Geräte informiert.

Informationsquelle(n):

FortiGuard Labs Advisory:
https://www.fortiguard.com/psirt/FG-IR-24-423

Google Cloud Blog - Investigating FortiManager Zero-Day Exploitation:
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575

Kritische Sicherheitslücke in VMware ESXi - aktiv ausgenutzt - Update verfügbar

CERT.at — Tue, 30 Jul 2024 10:10:29 GMT+0100

30. Juli 2024

Beschreibung

Sicherheitsforscher:innen von Microsoft haben eine kritische Sicherheitslücke in VMware ESXi entdeckt, deren Ausnutzung es Angreifer:innen ermöglicht die vollständige Kontrolle über einen von der Schwachstelle betroffenen Hypervisor zu übernehmen. Die Lücke wird bereits aktiv für Ransomware-Angriffe missbraucht.

CVE-Nummer(n): CVE-2024-37085

CVSS Base Score: 6.8

Auswirkungen

Ein böswilliger Akteur mit ausreichenden Active Directory (AD)-Berechtigungen kann, unter der Voraussetzung, dass die Benutzer:innenverwaltung des ESXi über AD erfolgt, vollen Zugriff auf einen ESXi-Host erlangen, indem er eine Gruppe mit dem Namen "ESXi Admins" erstellt beziehungsweise dieser beitritt.

Betroffene Systeme

VMWare ESXi 8.0
VMWare ESXi 7.0
VMware Cloud Foundation 5.x
VMware Cloud Foundation 4.x

Abhilfe

Für VMware ESXi 8.0 und VMware Cloud Foundation 5.x hat VMware bereits Sicherheitsaktualisierungen veröffentlicht. Für VMware ESXi 7.0 und VMware Cloud Foundation 4.x plant das Unternehmen keinen Patch, ein Update auf eine unterstützte Version ist daher dringend empfohlen. Details dazu finden sich im offiziellen Advisory des Herstellers, Workarounds stehen ebenfalls zur Verfügung.

Zusätzlich ist es nach dem Einspielen der Aktualisierungen empfehlenswert die Konfiguration betroffener Systeme zu überprüfen und sicherzustellen, dass die Gruppe "ESX Admins" entweder in Active Directory existiert und entsprechend gehärtet ist oder der ESXi-Server so konfiguriert ist, dass er diese Gruppe ignoriert.

Hinweis

Informationsquelle(n):

VMSA-2024-0013:VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2024-37085, CVE-2024-37086, CVE-2024-37087) (Englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

Secure Default Settings for ESXi Active Directory integration (Englisch)
https://knowledge.broadcom.com/external/article/369707/

Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption (Englisch)
https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/

Update #1: Sicherheitslücke in Check Point Network Security Gateways (Mobile Access) - Fix verfügbar

CERT.at — Wed, 29 May 2024 19:17:29 GMT+0100

29. Mai 2024

Beschreibung

In Check Point Network Security Gateways, die Remote Access VPN aktiviert haben, oder Check Point Mobile Secure Workspace mit Capsule benutzen, existiert eine Sicherheitslücke. Die Ausnutzung der Sicherheitslücke ermöglicht es unauthorisiert Informationen auslesen zu können.

CVE-Nummer(n): CVE-2024-24919

CVSS v3.1 Base Score: 7.5 (High)

Auswirkungen

Durch Ausnutzen der Schwachstelle können Angreifer aus der Ferne und ohne Authentifizierung Informationen auslesen. Die Schwachstelle wird bereits aktiv ausgenutzt um Passwort-Hashes von lokalen Benutzerkonten, welche lediglich Passwortauthentifizierung nutzen, zu extrahieren. Dies betrifft auch Service-Konten die zur Verbindung zu Active Directory verwendet werden.

Betroffene Systeme

Produkte
- CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances
Versionen
- R77.20 (EOL), R77.30 (EOL), R80.10 (EOL), R80.20 (EOL), R80.20.x, R80.20SP (EOL), R80.30 (EOL), R80.30SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, R81.20

Abhilfe

Check Point stellt für die betroffenen Versionen einen Hotfix bereit. Hotfixes können über das Gaia Portal automatisch installiert werden. Nach der Installation ist ein Neustart des Gerätes notwendig.
Alternativ können Hotfixes für Check Points Quantum Security Gateway, Quantum Maestro and Quantum Scalable Chassis, sowie Quantum Spark Appliances manuell heruntergeladen und installiert werden.

Hinweis

Check Point empfiehlt den Passwortwechsel des LDAP-Accounts welcher zur Anbindung an ActiveDirectory-Umgebungen eingesetzt wird.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Update #1: 18. Juni 2024: CERT.at hat am 12. Juni 2024 die zuständigen AS-Kontakte über verwundbare Systeme informiert.

Informationsquelle(n):

Warnung von Check Point (englisch):
https://blog.checkpoint.com/security/enhance-your-vpn-security-posture

FAQ von Check Point (englisch):
https://support.checkpoint.com/results/sk/sk182337

Advisory bei mnemonic (englisch):
https://www.mnemonic.io/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/

Artikel bei Bleeping Computer (englisch):
https://www.bleepingcomputer.com/news/security/check-point-releases-emergency-fix-for-vpn-zero-day-exploited-in-attacks/

Kritische Sicherheitslücken in ArubaOS - Updates verfügbar

CERT.at — Thu, 02 May 2024 11:46:45 GMT+0100

02. Mai 2024

Beschreibung

In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks, existieren mehrere kritische Sicherheitslücken. Diese ermöglichen unter anderem die Ausführung von beliebigem Code und Denial-of-Service (DoS) Angriffe.

CVE-Nummern: CVE-2024-26304, CVE-2024-26305, CVE-2024-33511, CVE-2024-33512, CVE-2024-33513, CVE-2024-33514, CVE-2024-33515, CVE-2024-33516, CVE-2024-33517, CVE-2024-33518

CVSSv3 Scores: bis zu 9.8 (kritisch)

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung beliebigen Code mit Administratorrechten ausführen. Zudem sind Denial-of-Service Angriffe möglich, die zu Unterbrechungen des normalen Betriebs führen. Da es sich meist um Netzwerkgeräte handelt, sind darüber laufende Daten gefährdet.

Betroffene Systeme

Betroffen sind folgende ArubaOS Versionen:

ArubaOS 10.5.x.x: 10.5.1.0 und darunter
ArubaOS 10.4.x.x: 10.4.1.0 und darunter
ArubaOS 8.11.x.x: 8.11.2.1 und darunter
ArubaOS 8.10.x.x: 8.10.0.10 und darunter

Nicht mehr unterstützte Versionen ohne Patches:

ArubaOS 10.3.x.x, 8.9.x.x, 8.8.x.x, 8.7.x.x, 8.6.x.x, 6.5.4.x
SD-WAN 8.7.0.0-2.3.0.x, 8.6.0.4-2.2.x.x

Abhilfe

HPE Aruba stellt für die unterstützten Versionen Updates bereit, welche die Schwachstellen beheben.

Als Workaround kann in ArubaOS 8.x die Funktion "Enhanced PAPI Security" mit einem nicht-standardmäßigen Schlüssel die meisten Schwachstellen verhindern. Für ArubaOS 10.x wird dringend das Update empfohlen.

Hinweis

Informationsquelle(n):

Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt

Artikel bei Heise:
https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-WLAN-Gateways-von-Aruba-kompromittieren-9705095.html

Update#3: Kritische Sicherheitslücke in Palo Alto PAN-OS (Global Protect) aktiv ausgenützt - Patches verfügbar

CERT.at — Fri, 12 Apr 2024 09:56:06 GMT+0100

Update#1: 15. April 2024

Fixed Versions hinzugefügt

Update#2: 18. April 2024

Weitere fixed Versions hinzugefügt, Mitigation mittels Deaktivierung von Telemetry korrigiert, ThreatIDs, aktive Ausnützung

Update#3: 19. April 2024

Weitere fixed Versions hinzugefügt

Beschreibung

In Palo Altos PAN-OS GlobalProtect-Funktion wurde eine kritische Sicherheitslücke identifiziert, welche das Einschleusen von Kommandos erlaubt. Update #2: Die Schwachstelle wird in der Zwischenzeit aktiv ausgenützt. Zur Ausnutzung der Schwachstelle muss ein Gateway konfiguriert, und die sogenannte "Device Telemetry" aktiviert sein (zweiteres ist den betroffenen Versionen standardmäßig gegeben). Da noch keine Updates verfügbar sind, kann die Schwachstelle lediglich durch Konfigurationsänderungen mitigiert werden - beachten Sie den Abschnitt "Abhilfe".

CVE-Nummer: CVE-2024-3400

CVSS Base Score: 10.0

Auswirkungen

Unauthentifizierte Angreifer:innen können die Schwachstelle aus dem Netzwerk ausnutzen, und dadurch Kommandos mit erhöhten Rechten (root) ausführen.

Betroffene Systeme

Betroffen sind Systeme auf denen eine der folgenden PAN-OS-Versionen (oder niedriger) läuft, und "Device-Telemetry" aktiviert ist:

PAN-OS 11.1.2-h3
PAN-OS 11.0.4-h1
PAN-OS 10.2 < 10.2.9-h1

Update#1: Palo Alto hat die ersten Patches bereitgestellt. In den nachstehenden Versionen wurde die Sicherheitslücke bereits behoben, Updates für andere betroffene Versionen sollen in den nächsten Tagen erscheinen.

PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1
PAN-OS 11.1.2-h3

Update#2: Palo Alto hat weitere Patches bereitgestellt:

10.2.6-h3
10.2.5-h6
11.0.4-h2
11.0.3-h10
11.0.2-h4
11.1.1-h1
11.1.0-h3

Update#3:

10.2.4-h16
10.2.3-h13
10.2.2-h5
10.2.1-h2
10.2.0-h3
11.0.4-h1
11.0.4-h2
11.0.3-h10
11.0.2-h4
11.0.1-h4
11.0.0-h3
11.1.2-h3
11.1.1-h1
11.1.0-h3

Abhilfe

Updates werden laut Hersteller ab 14. April zur Verfügung gestellt. Update#2: Deaktivieren der Device Telemetry ist keine ausreichende Mitigation. Kunden mit einer Threat Prevention subscription, können die betroffenen Geräte durch Hinzufügen der Threat IDs 95187, 95189 und 95191 absichern. In der Zwischenzeit wird empfohlen die "Device Telemetry" zu deaktivieren. Die Einstellung hierzu finden Sie im Menü-Punkt Device > Setup > Telemetry.

Informationsquelle(n):

CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400

Palo Alto TECHDOCS: Enable Device Telemetry
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-enable

Update #1: Kritische Sicherheitslücke/Hintertüre in xz-utils (CVE-2024-3094)

CERT.at — Fri, 29 Mar 2024 18:57:26 GMT+0100

29. März 2024

Update #1: 02. April 2024 (Umbau Warnung auf aktuelle Erkenntnisse)

Beschreibung

In den Versionen 5.6.0 und 5.6.1 der weit verbreiteten Bibliothek xz-utils wurde eine Hintertür entdeckt. xz-utils wird häufig zur Komprimierung von Softwarepaketen, Kernel-Images und initramfs-Images verwendet. Die Lücke ermöglicht es nicht authentifizierten Angreifer:innen, die sshd-Authentifizierung auf verwundbaren Systemen zu umgehen und unauthorisierten Zugriff auf das gesamte System zu erlangen.
Aktuell liegen uns keine Informationen über eine aktive Ausnutzung vor.

CVE-Nummer(n): CVE-2024-3094

CVSS Base Score: 10.0

Auswirkungen

Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke die sshd-Authentifizierung aushebeln und vollen Zugriff auf betroffene Systeme erlangen.
Die Hintertür wird aktiviert, wenn bestimmte Bedingungen erfüllt sind:

- Das System läuft auf einer glibc-basierten Linux-Distribution oder macOS
- xz-utils bzw. liblzma ist in Version 5.6.0 oder 5.6.1 installiert
- sshd aus /usr/sbin/sshd läuft (andere Pfade evtl. auch betroffen)
- sshd ist öffentlich erreichbar

Weitere Angriffsszenarien werden noch untersucht. Eine Kompromittierung hinterlässt keine Log-Einträge.

Betroffene Systeme

Linux-Distributionen und macOS mit glibc und xz-utils 5.6.0 oder 5.6.1, insbesondere:

- Archlinux: xz-Pakete vor Version 5.6.1-2 (speziell 5.6.0-1 und 5.6.1-1)
- Debian Testing, Unstable und Experimental: Versionen 5.5.1alpha-0.1 bis 5.6.1-1
- Fedora Rawhide (Entwicklungsversion)
- Fedora 41 und eventuell Fedora 40 (je nach Zeitpunkt des Updates)
- Kali Linux: Betroffen zwischen dem 26. und 29. März 2024
- openSUSE Tumbleweed und openSUSE MicroOS: Verwundbare Versionen zwischen dem 7. und 28. März 2024 enthalten

Abhilfe

Betroffene Nutzer sollten xz-utils umgehend auf eine Version > 5.6.1 aktualisieren oder - wenn nicht verfügbar - auf eine Version < 5.6.0 downgraden. Prüfen Sie die installierte Version mit:

dpkg -s xz-utils # Debian/Ubuntu
rpm -q xz # Red Hat/Fedora/CentOS

Wenn sshd öffentlich erreichbar ist und mit Systemd läuft, hat ein Update/Downgrade allerhöchste Priorität!
Alle anderen betroffenen Systeme sollten schnellstmöglich - am besten sofort - aktualisiert werden.

Um betroffene Systeme zu identifizieren, kann nach Prozessen gesucht werden, die sowohl libsystemd als auch liblzma geladen haben:

sudo grep -l 'libsystemd.*liblzma' /proc/*/maps | cut -d/ -f3

Informationsquelle(n):

FAQ on the xz-utils backdoor (CVE-2024-3094)
https://gist.github.com/thesamesam/9e704ef733da0b7f10c1e7b2d1815f7

Schwachstelleninformation zu CVE-2024-3094
https://access.redhat.com/security/cve/CVE-2024-3094?extIdCarryOver=true&sc_cid=701f2000001OH6fAAG

CERT.at Blog-Beitrag - Staatlich gesponserte "Entwicklung" quelloffener Software
https://cert.at/de/blog/2024/4/staatlich-gesponserte-entwicklung-quelloffener-software

Update #1: Kritische Sicherheitslücken in Fortinet FortiOS, Updates verfügbar

CERT.at — Fri, 09 Feb 2024 09:40:20 GMT+0100

09. Februar 2024

Beschreibung

Fortinet hat zwei kritische Security Advisories veröffentlicht. Beide Security Advisories behandeln Sicherheitslücken, die es unauthentifizierten Angreifer:innen erlauben, Code auf betroffenen Geräten auszuführen. Fortinet gibt bezüglich einer dieser Sicherheitslücken an, dass diese potentiell bereits aktiv für Angriffe ausgenutzt wird.

Update #1: 18. März 2024:

Exploit-Code wurde veröffentlicht, es wird bereits über vermehrte Ausnutzung berichtet.

CVE-Nummer(n): CVE-2024-21762, CVE-2024-23113

CVSS Base Score: 9.8 (CVE-2024-23113) beziehungsweise 9.6 (CVE-2024-21762)

Auswirkungen

Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf betroffenen Geräten beliebigen Code ausführen. Da diese Geräte auch für VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des VPN-Verkehrs nicht auszuschließen. Des Weiteren sind alle durch das VPN erreichbaren Systeme entsprechend gefährdet.

Betroffene Systeme

CVE-2024-21762:

FortiOS 7.4.0 - 7.4.2
FortiOS 7.2.0 - 7.2.6
FortiOS 7.0.0 - 7.0.13
FortiOS 6.4.0 - 6.4.14
FortiOS 6.2.0 - 6.2.15
FortiOS 6.0 all versions

CVE-2024-23113:

FortiOS 7.4.0 - 7.4.2
FortiOS 7.2.0 - 7.2.6
FortiOS 7.0.0 - 7.0.13

Abhilfe

Einspielen der entsprechend fehlerbereinigten Firmware-Versionen.

Da Fortinet angibt, dass potentiell zumindest eine dieser Sicherheitslücken bereits aktiv für Angriffe ausgenutzt wird, sollte jedenfalls auch eine bereits stattgefundene Kompromittierung von über das öffentliche Internet erreichbaren Gerät in Betracht gezogen werden.

Update #1: 18. März 2024:

Bishop Fox hat einen Vulnerability Scanner für FortiGate Firewalls auf Github veröffentlicht.

Hinweis

Informationsquelle(n):

Fortinet PSIRT Advisory FG-IR-24-015 - FortiOS - Out-of-bound Write in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-24-015

Fortinet PSIRT Advisory FG-IR-24-029 - FortiOS - Format String Bug in fgfmd
https://www.fortiguard.com/psirt/FG-IR-24-029

Update #6: Kritische Sicherheitslücken in Ivanti Connect Secure und Ivanti Policy Secure - aktiv ausgenützt - Patches verfügbar

CERT.at — Thu, 11 Jan 2024 12:25:20 GMT+0100

11. Jänner 2024

Beschreibung

Sicherheitsforscher:innen haben in Produkten der Firma Ivanti zwei schwere Sicherheitslücken entdeckt, deren kombinierte Ausnutzung eine vollständige Kompromittierung des Systems über offen erreichbare Interfaces ermöglicht.

Die Schwachstellen werden bereits durch gezielt agierende Angreifer:innen ausgenutzt. Es ist davon auszugehen, dass zeitnah massenweise Ausnutzungsversuche erfolgen werden.

Update #1: 19. Jänner 2024:

Volexity, sowie weitere unabhängige Sicherheitsunternehmen, beobachten seit zumindest 15. Jänner die großflächige Ausnutzung von CVE-2023-46805 und CVE-2024-21887 durch unterschiedliche Akteure. Wenn die zur Verfügung stehende Mitigation auf Ihrer Ivanti Connect Secure-Instanz noch nicht eingespielt wurde, ist potenziell von einer bereits erfolgten Kompromittierung auszugehen.

Update #3: 24. Jänner 2024:

Mandiant und Volexity berichten davon, Exploits gegen diese Sicherheitslücken bereits Anfang Dezember 2023 beobachtet zu haben. Es empfiehlt sich daher, gegebenenfalls den Zeitraum etwaiger Untersuchungen auf stattgefundene Angriffsversuche zumindest bis inklusive Dezember 2023 auszudehnen.

CVE-Nummer(n): CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893

CVSS Base Score: 9.1

Auswirkungen

Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.

Betroffene Systeme

Betroffen sind alle aktuell vom Hersteller unterstützten Versionen von Ivanti Connect Secure (vormals Pulse Connect Secure) und Ivanti Policy Secure. Konkret handelt es sich dabei um folgende Versionsreihen:

9.x
22.x

Der Hersteller macht keine Angaben zu Versionen, die nicht mehr unterstützt werden. Es ist aber nicht auszuschließen, dass auch diese Versionen betroffen sind.

Abhilfe

Update #4: 31. Jänner 2024:

Ivanti stellt inzwischen für Teile der Produktreihe Patches über ihr Kundenportal (Login benötigt) für Ivanti Connect Secure (Versionen 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 und 22.5R1.1) und ZTA version 22.6R1.3. zur Verfügung.
Es wird empfohlen die Patches umgehend einzuspielen.

Eine Mitigation für eine weitere neue Schwachstelle (CVE-Nummer unbekannt), die von den Patches ebenso abgedeckt wird, kann vom Ivanti-Portal (Login benötigt) bezogen werden.

Update #5: 31. Jänner 2024:

Ivanti hat ihr Advisory erneut verändert. Es werden nun zwei neue CVE-Nummern (CVE-2024-21888, CVE-2024-21893) aufgeführt und auf Mitigationsmaßnahmen verwiesen.
Die verfügbaren Patches sollen diese zwei neuen Schwachstellen ebenso schließen.
Ivanti gibt den Hinweis: "Out of an abundance of caution, we are recommending as a best practice that customers factory reset their appliance before applying the patch to prevent the threat actor from gaining upgrade persistence in your environment."
CISA weist darauf hin, dass es Fälle gibt, in denen das externe Integritätswerkzeug eine erfolgte, aber zum Teil nicht mehr vorhandene Kompromittierung nicht feststellen konnte, weil die Angreifer ihre Spuren erfolgreich verwischt haben.

Update #6: 04. März. 2024:
Ivanti und Mandiant haben am 27. Februar 2024 Informationen über neue TTPs (tactics, techniques and procedures) von Bedrohungsakteuren veröffentlicht, die die letzen Ivanti-Sicherheitslücken ausnutzen. Zusätzlich hat Ivanti das ICT (Integrity Checker Tool) verbessert. Es wird empohlen die aktuelle Version vom ICT zu verwenden.

Zur Zeit stehen noch keine Aktualisierungen zur Verfügung, die das Problem beheben. Laut Aussage des Herstellers sollen die ersten Updates in der Woche des 22.01.2024 zur Verfügung stehen, mit einer finalen Version soll in der Woche des 19.02.2024 zu rechnen sein.

In der Zwischenzeit hat Ivanti einen Workaround bereitgestellt, welcher die Schwachstellen mitigieren soll. Das Unternehmen empfiehlt allen Kund:innen diese schnellstmöglich zu implementieren.

Konkret handelt es sich hierbei um eine XML-Datei, welche Kund:innen von der Webseite des Herstellers beziehen können. Diese soll auf den betroffenen Systemen, beziehungsweise einem einzelnen System eines betroffenen Clusters eingespielt werden.

Details zu dem Workaround, etwaigen Einschränkungen sowie potentiellen Beeinträchtigungen des laufenden Betriebs finden sich in einem durch Ivanti veröffentlichten Artikel.

Die Anwendung des Workarounds hat jedoch keinerlei Einfluss auf eine möglicherweise bereits erfolgte Ausnutzung der Schwachstellen. Wir empfehlen daher, potentiell betroffene Systeme einer forensischen Untersuchung zu unterziehen.

Das Sicherheitsunternehmen Volexity hat einige Indicators of Compromise veröffentlicht, welche bei der bisher einzigen öffentlich bekannten Ausnutzung beobachtet wurden. Diese können als erster Anhaltspunkt dienen.

Update #1: 19. Jänner 2024:

Ivanti empfiehlt, neben dem internen Integrity Checker Tool (ICT), auch das externe ICT zu nutzen, da das interne ICT unter Umständen durch Angreifer:innen manipuliert worden sein könnte. Das externe ICT kann über das Downloadportal von Ivanti durch Kunden bezogen werden. Weiterführende Informationen finden Sie im Knowledge Base Artikel KB44755.

Update #2: 24. Jänner 2024:

Ivanti warnt davor automatisierte Konfigurationen auf die Geräte mittels Pulse One or nSA zu pushen, da dadurch die Funktionalität der Mitigation negativ beeinträchtigt wird.

Hinweis

Änderungshistorie

11. Jänner 2024: Initiale Fassung

19. Jänner 2024: Ergänzung großflächige Ausnutzung, Korrektur & Ergänzung Integrity Checker Tool

24. Jänner 2024: Ergänzung über negative Beeinflussung der Mitigation bei Konfigurations-Push

24. Jänner 2024: Ergänzung über den Zeitraum bekannter Angriffe

31. Jänner 2024: Ergänzung um Verfügbarkeit von Patches und Mitigation einer neuen Schwachstelle

31. Jänner 2024: Ergänzung um zwei CVE-Nummern, Hinweis auf Factory Reset und potentielle Dysfunktionalität externes Integritäts-Tool

04. März 2024: Hinweis auf neues Advisory von Ivanti, neue TTPs und update für ICT

Informationsquelle(n):

CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN (Englisch)
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

CSIRTs Network - Exploitation of Ivanti Connect Secure and Ivanti Policy Secure Gateway Zero-Days (Englisch)
https://github.com/enisaeu/CNW/blob/main/advisories/2024/CVE-2023-46805_CVE-2024-21887_Ivanti-Secure-Gateways.md

Ivanti Connect Secure VPN Exploitation Goes Global
https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/

KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755

Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

Kritische Sicherheitslücken in mehreren Produkten von Atlassian - Patches verfügbar

CERT.at — Wed, 06 Dec 2023 22:41:11 GMT+0100

07. Dezember 2023

Beschreibung

Mehrere Versionen von Produkten des Unternehmens Atlassian enthalten kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2023-22522, CVE-2022-1471

CVSS Base Score: 9.0 bzw. 9.8

Auswirkungen

Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.

Betroffene Systeme

CVE-2023-22522:

Confluence Data Center and Server
- 4.x.x
- 5.x.x
- 6.x.x
- 7.x.x
- 8.0.x
- 8.1.x
- 8.2.x
- 8.3.x
- 8.4.0
- 8.4.1
- 8.4.2
- 8.4.3
- 8.4.4
- 8.5.0
- 8.5.1
  8.5.2
- 8.5.3
Confluence Data Center
- 8.6.0
- 8.6.1

CVE-2022-1471:

Automation for Jira (A4J) Marketplace App, Automation for Jira (A4J) - Server Lite Marketplace App
- 9.0.1
- 9.0.0
- <= 8.2.2
Bitbucket Data Center and Server
- 7.17.x - 7.20.x
- 7.21.0 - 7.21.1
- 7.21.2 - 7.21.15
- 8.0.x - 8.7.x
- 8.8.0 - 8.8.6
- 8.9.0 - 8.9.3
- 8.10.0 - 8.10.3
- 8.11.0 - 8.11.2
- 8.12.0
Confluence Data Center and Server
- 6.13.x - 6.15.x
- 7.0.x - 7.12.x
- 7.13.1 - 7.13.17
- 7.14.x -7.18.x
- 7.19.0 - 7.19.9
- 7.20.x
- 8.0.x - 8.2.x
- 8.3.0
Confluence Cloud Migration App (CCMA)
- Plugin versions lower than 3.4.0
Jira Core Data Center and Server, Jira Software Data Center and Server:
- 9.4.0 - 9.4.12
- 9.5.x - 9.10.x
- 9.11.0 - 9.11.1
JIra Service Management Data Center and Server
- 5.4.0 - 5.4.12
- 5.5.x - 5.10.x
- 5.11.0 - 5.11.1

Abhilfe

Einspielen der von Atlassian zur Verfügung gestellten Patches. Dabei ist zu beachten, dass die Aktualisierungen zur Behebung von CVE-2022-1471 in manchen Situationen zu Problemen mit der Rückwärtskompatibilität von Software und Systemen führen kann. Der Hersteller gibt im Advisory zu CVE-2022-1471 Auskunft über verwundbare Software, die möglicherweise von diesen Problemen betroffen ist.

Instanzen der betroffenen Software, die über das Internet erreichbar sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis die zur Verfügung stehenden Sicherheitsaktualisierungen eingespielt wurden.

Hinweis

Informationsquelle(n):

Security Advisory zu CVE-2023-22522 (Englisch)
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

Security Advisory zu CVE-2022-1471 (Englisch)
https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html

Kritische Sicherheitslücke in Confluence Data Center und Confluence Server

CERT.at — Tue, 31 Oct 2023 11:09:56 GMT+0100

31. Oktober 2023

Beschreibung

In allen Versionen von Confluence Data Center und Confluence Server existiert eine kritische Sicherheitslücke.

CVE-Nummer: CVE-2023-22518
CVSS: 9.1

Auswirkungen

Das Ausnutzen der Sicherheitslücke auf betroffenen Geräten ermöglicht nicht authentifizierten Angreifern den Zugriff auf interne Daten des Systems.

Obwohl Atlassian bislang keine Informationen zur aktiven Ausnutzung der Lücke hat, wird das zeitnahe Einspielen der verfügbaren Patches empfohlen.

Betroffene Systeme

Confluence Data Center (alle Versionen)
Confluence Server (alle Versionen)

Für nicht mehr unterstützte ("End of life") Produkte, für die es keine Updates mehr geben wird, empfiehlt Atlassian ein Update auf neuere Versionen welche die Lücke beheben.

Abhilfe

Einspielen der von Atlassian zur Verfügung gestellten Patches. Instanzen, die über das Internet erreichbar sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis ein Patch durchgeführt werden kann.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Auch der Zugang zu Management-Interfaces sollte streng limitiert sein.

Informationsquelle(n):

Atlassian Advisory (englisch):
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

Jira-Ticket CONFSERVER-93142:
https://jira.atlassian.com/browse/CONFSERVER-93142

Update #2: Kritische Sicherheitslücke in Cisco IOS XE - aktiv ausgenützt

CERT.at — Wed, 18 Oct 2023 10:29:48 GMT+0100

18. Oktober 2023

Beschreibung

Update #1: 23. Oktober 2023

Cisco hat für einige der von der Schwachstelle betroffenen Geräte Aktualisierungen veröffentlicht, und weitere Updates angekündigt. Das Unternehmen aktualisiert die Liste an verfügbaren Patches auf einer dedizierten Seite laufend.

Wenn das Management-WebInterface eines Cisco XE Gerätes vor dem Einspielen des Updates offen im Netz erreichbar war, ist davon auszugehen, dass ein Angreifer dies ausgenutzt hat und zumindest neue Admin-Accounts angelegt hat. Damit ist die Installation von weiteren Hintertüren möglich, die - aus heutiger Sicht - nur mit einem Factory Reset / Neuinstallation von IOS XE umfassend entfernt werden können

Eine kritische Sicherheitslücke in Cisco IOS XE erlaubt es unauthentifizierten Angreifer:innen privilegierte Accounts anzulegen, was eine vollständige Kompromittierung verwundbarer Systeme ermöglicht. Betroffen sind sowohl physische als auch virtuelle Systeme, deren Webinterface über das Internet oder andere, nicht vertrauenswürdige Netzwerke erreichbar ist. Die Schwachstelle wird bereits von verschiedenen Bedrohungsakteuren breitflächig ausgenutzt.

CVE-Nummer(n): CVE-2023-20198, CVE-2023-20273

CVSS Base Score: 10.0

Auswirkungen

Durch die Erstellung privilegierter Accounts ist es Angreifer:innen möglich, die vollständige Kontrolle über ein verwundbares System zu erlangen.

Betroffene Systeme

Die Schwachstelle betrifft alle Versionen von Cisco IOS XE, wenn das "Web UI"-Feature aktiviert ist. Mit dem folgenden Kommando lässt sich evaluieren, ob das Feature aktiviert ist:

Router# show running-config | include ip http server|secure|active
ip http server 
ip http secure-server

Wenn der Befehl eine der beiden Zeilen zurückliefert ist "Web UI" aktiviert, und das System verwundbar, es sei denn folgende Konfigurationsparameter sind ebenfalls gesetzt:

ip http active-session-modules none
ip http secure-active-session-modules none

Abhilfe

Update #1.1: 30. Oktober 2023

Aktuell stellt Cisco weder Sicherheitsaktualisierungen noch Workarounds zur Verfügung.

Cisco empfiehlt allen Kund:innen das verwundbare Feature auf allen öffentlich erreichbaren Systemen zu deaktivieren. Dies kann mittels des Absetzens folgender Befehle im Global Configuration Mode erreicht werden:

no ip http server
no ip http secure-server

Das Unternehmen hat ebenfalls einen Befehl zur Verfügung gestellt, mit welchem ein System auf die Präsenz eines von Angreifer:innen platzierten Implants geprüft werden kann; "systemip" ist hierbei die IP-Adresse es zu prüfenden Systems:

Update #2: 24. Oktober 2023

Cisco hat neue Kommandos zur Detektion bereitgestellt:

 curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https[:]//systemip/webui/logoutconfirm.html?logon_hash=1"

Sollte der Befehl einen hexadezimalen String zurückliefern, so ist ein Implant installiert. Darüber hinaus kann folgender Curl-Befehl ausgeführt werden, um Systeme mit bekannten Varianten des Implantats zu identifizieren, ohne mit der Kernfunktionalität des Implantats zu interagieren:

curl -k "https[:]//systemip/%25"

Sollte der Befehl eine 404-HTTP-Antwort mit einer HTML-Seite mit der Meldung „404 Not Found“ zurückgeben, liegt eine bekannte Variante des Implantats vor. Ein System ohne das Implantat sollte entweder nur die standardmäßige 404-HTTP-Antwort oder eine Weiterleitung (mittels JavaScript-Redirect) und 200-HTTP-Antwort zurückgeben.

Laut Cisco verfügt das Implant über keinen Persistenzmechanismus. Ein Neustart des infizierten Gerätes entfernt das Implant also, die durch Angreifer:innen erstellten, privilegierten Accounts bleiben jedoch weiterhin erhalten und müssen manuell bereinigt werden.

Weiters empfiehlt das Unternehmen, die eigenen Logfiles auf folgende Zeilen zu untersuchen, deren Präsenz auf eine erfolgte Kompromittierung hindeuten:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

An der Stelle von "user" kann hier "cisco_tac_admin", "cisco_support" oder ein beliebiger anderer, unbekannter, lokaler Account stehen; "filename" ist ein beliebiger, unbekannter Dateiname, der nicht mit einer erwarteten Installationsoperation in Verbindung zu bringen ist.

Die folgenden snort-Regeln stehen zur Verfügung, um eine Ausnutzung der Schwachstelle zu erkennen:

3:50118:2 - can alert for initial implant injection
3:62527:1 - can alert for implant interaction
3:62528:1 - can alert for implant interaction
3:62529:1 - can alert for implant interaction

Update #2: 24. Oktober 2023

3:62541 - Covers exploit attempts for initial access (CVE-2023-20198)
3:62542 - Covers exploit attempts for initial access (CVE-2023-20198)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Änderungshistorie

18. Oktober 2023: Initiale Fassung

23. Oktober 2023; Update #1: Ergänzung der verfügbaren Updates

24. Oktober 2023; Update #2: Ergänzung neuer Detektions-Mechanismen, Snort-Rules und CVE-Nummer(n)

30. Oktober 2023; Update #1.1: Berücksichtigung von Update #1 unter "Abhilfe"

Informationsquelle(n):

Cisco Security Advisory
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

Blogpost von Cisco Talos
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

Liste an verfügbaren Aktualisierungen
https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html

Update #1: Kritische Sicherheitslücke in Citrix NetScaler ADC und NetScaler Gateway - aktiv ausgenutzt - Updates verfügbar

CERT.at — Thu, 19 Oct 2023 16:01:47 GMT+0100

20. Oktober 2023

Beschreibung

Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway erlaubt es unauthentifizierten Angreifer:innen, bestehende, authentifizierte Sessions zu übernehmen. Diese Schwachstelle wird zumindest seit Ende August 2023 bei Angriffen gegen Ziele in verschiedenen Sektoren aktiv ausgenutzt.

CVE-Nummer(n): CVE-2023-4966

CVSS Base Score: 9.4

Auswirkungen

Die Übernahme von bestehenden, authentifizierten Sessions ermöglicht es Angreifer:innen, jegliche Authentifizierungsmethoden, egal ob nur Benutzer:innenname/Passwort oder auch Mehrfaktor, zu umgehen.

Je nach Berechtigungen der übernommenen Session können Angreifer:innen unbefugt auf weitere Ressourcen im Netzwerk zugreifen, möglicherweise Anmeldedaten (z.B. Benutzer:innennamen und Passwörter) stehlen, oder sich Zugriff zu weiteren Netzwerken verschaffen.

Betroffene Systeme

NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
NetScaler ADC 13.1-FIPS before 13.1-37.164
NetScaler ADC 12.1-FIPS before 12.1-55.300
NetScaler ADC 12.1-NDcPP before 12.1-55.300

In allen Fällen betrifft die Sicherheitslücke nur solche Instanzen von NetScaler ADC und NetScaler Gateway, die von Kund:innen selbst betrieben werden. Systeme, die von Citrix verwaltet werden ("Citrix-managed cloud servcies", "Citrix-managed Adaptive Authentication") sind nicht betroffen.

Detektion

CERT.at stellt via Github ein Skript zur Verfügung, welches genutzt werden kann, um Citrix-Logs nach potenziell übernommenen Sessions zu durchsuchen. Sollten auffällige Sessions gefunden werden, wird eine tiefergehende Analyse empfohlen.

Abhilfe

Der Hersteller hat für alle betroffenen Systeme, die noch unterstützt werden, Aktualisierungen bereitgestellt. In folgenden Versionen ist die Schwachstelle behoben:

NetScaler ADC and NetScaler Gateway 14.1-8.50 and later releases
NetScaler ADC and NetScaler Gateway  13.1-49.15 and later releases of 13.1
NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP

Kund:innen, die nicht mehr unterstützte Versionen von NetScaler ADC und NetScaler Gateway im Einsatz haben, empfiehlt der Hersteller ein Upgrade auf eine noch unterstützte Version.

Nach erfolgreichter Aktualisierung wird empfohlen, alle bestehenden Sessions zu terminieren. Dies ist mit folgendem Befehl möglich, wobei "vServer" hier der Name des virtuellen Servers / der Appliance ist:

clear lb persistentSessions vServer

Hinweis

Änderungshistorie

20. Oktober 2023: Initiale Fassung

30. Oktober 2023; Update #1: Ergänzung Detektions-Skript CERT.at

Informationsquelle(n):

Citrix Security Bulletin CTX579459 (englisch)
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966) (englisch)
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966

Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation (englisch)
https://services.google.com/fh/files/misc/citrix-netscaler-adc-gateway-cve-2023-4966-remediation.pdf

Github.com - certat/citrix-logchecker
https://github.com/certat/citrix-logchecker

Update #1 - Sicherheitslücken, teils kritisch, in Citrix/Netscaler ADC und Gateway - aktiv ausgenützt - Updates verfügbar

CERT.at — Tue, 18 Jul 2023 15:18:11 GMT+0100

18. Juli 2023

Update #1: 21. Juli 2023, 16:30

Beschreibung

Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway erlaubt es unauthentisierten Angreifenden, beliebigen Code auszuführen. Diese Schwachstelle wird auch bereits aktiv ausgenützt.

Weitere mit diesen Updates geschlossene Sicherheitslücken betreffen Reflected Cross Site Scripting (XSS) sowie Privilege Escalation.

CVE-Nummer(n): CVE-2023-3519 (sowie CVE-2023-3466, CVE-2023-3467)

CVSS Base Score: 9.8

Auswirkungen

Falls die Appliance als Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oder
AAA Virtual Server konfiguriert ist, können Angreifende beliebigen Code ausführen. Dadurch sind alle durch das Gerät erreichbaren Services und Daten gefährdet.

Betroffene Systeme

NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.13
NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-91.13
NetScaler ADC 13.1-FIPS vor 13.1-37.159
NetScaler ADC 12.1-FIPS vor 12.1-65.36
NetScaler ADC 12.1-NDcPP vor 12.65.36

Citrix weist speziell darauf hin, dass Appliances mit NetScaler ADC and NetScaler Gateway Version 12.1 als End Of Life (EOL) angesehen werden, und keine Updates mehr für diese zur Verfügung gestellt werden.

Abhilfe

Installation der zur Verfügung gestellten Updates.

Update #1: 21. Juli 2023, 16:30

Es wurden verschiedene Möglichkeiten veröffentlicht um Citrix Netscaler einerseits auf Verwundbarkeit und andererseits auf bisherige Ausnutzung der Sicherheitslücke zu überprüfen.

Wir haben den Punkt "Informationsquellen" um diese erweitert.

Hinweis

Informationsquelle(n):

Citrix Security Bulletin CTX561482 (englisch)
https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

Artikel bei CISA (englisch)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

Artikel bei Assetnote (Englisch)
https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/

Artikel bei heise
https://www.heise.de/news/Citrix-Zero-Days-Systeme-auf-Angriffspuren-untersuchen-9221655.html

Weitere kritische Sicherheitslücke in MOVEit Transfer - Workaround und Patches verfügbar

CERT.at — Fri, 16 Jun 2023 14:06:40 GMT+0100

16. Juni 2023

Beschreibung

In MOVEit Transfer wurde eine weitere kritische Sicherheitslücke entdeckt.

Auswirkungen

Da es sich um eine SQL-Injection - Schwachstelle handelt, ist davon auszugehen dass alle auf betroffenen Systemen hinterlegten Daten gefährdet sind.

Betroffene Systeme

Systeme mit MOVEit Transfer

Abhilfe

Progress Software stellt erste "Drop-in DLLs" bereit, mit denen die Lücke behoben wird.

Als Workaround und bis die Installation dieser DLLs oder kommender anderer Patches fertiggestellt wurde sollten sämtliche HTTP- und HTTPS-Verbindungen zu MOVEit Transfer - Installationen durch vorgeschaltene Firewalls blockiert werden.

Hinweis

Informationsquelle(n):

ZDNet.de-Artikel zu MOVEit Transfer

https://www.zdnet.de/88409966/weitere-kritische-zero-day-luecke-in-moveit-transfer/

Artikel bei Progress Software zu dieser und weiterer Lücken (englisch)

https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability

MOVEit Transfer Knowledge Base Artikel (englisch)

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023

Kritische Sicherheitslücke in Fortinet FortiOS und FortiProxy SSL-VPN Produkten - aktiv ausgenutzt, Updates verfügbar

CERT.at — Tue, 13 Jun 2023 10:51:37 GMT+0100

13. Juni 2023

Beschreibung

Fortinet hat eine Warnung herausgegeben, dass in den SSL-VPN - Komponenten der Produkte FortiOS und FortiProxy eine kritische Sicherheitslücke besteht, die auch bereits aktiv ausgenutzt wird, und stellt erste entsprechende Updates bereit.

CVE-Nummer(n): CVE-2023-27997

CVSSv3 Score: 9.2

Auswirkungen

Unauthentisierte Angreifer:innen können durch Ausnutzen der Lücke beliebigen Code auf betroffenen Geräten ausführen. Da diese Geräte üblicherweise für VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des VPN-Verkehrs nicht auszuschliessen. Des weiteren sind alle durch das VPN erreichbaren Systeme entsprechend gefährdet.

Betroffene Systeme

Geräte mit FortiOS bzw. FortiProxy, in denen die SSL-VPN - Funktionalität aktiviert ist. Ist diese Funktionalität nicht aktiviert, sind die Geräte auch nicht direkt betroffen.

FortiOS-6K7K, zumindest in den folgenden Versionen:

FortiOS-6K7K 7.0.10
FortiOS-6K7K 7.0.5
FortiOS-6K7K 6.4.12
FortiOS-6K7K 6.4.10
FortiOS-6K7K 6.4.8
FortiOS-6K7K 6.4.6
FortiOS-6K7K 6.4.2
FortiOS-6K7K 6.2.9 bis 6.2.13
FortiOS-6K7K 6.2.6 bis 6.2.7
FortiOS-6K7K 6.2.4
FortiOS-6K7K 6.0.12 bis 6.0.16
FortiOS-6K7K 6.0.10

FortiProxy, zumindest in den folgenden Versionen:

FortiProxy 7.2.0 bis 7.2.3
FortiProxy 7.0.0 bis 7.0.9
FortiProxy 2.0.0 bis 2.0.12
FortiProxy 1.2 alle Versionen
FortiProxy 1.1 alle Versionen

FortiOS, zumindest in den folgenden Versionen:

FortiOS 7.2.0 bis 7.2.4
FortiOS 7.0.0 bis 7.0.11
FortiOS 6.4.0 bis 6.4.12
FortiOS 6.2.0 bis 6.2.13
FortiOS 6.0.0 bis 6.0.16

Abhilfe

Einspielen der entsprechend fehlerbereinigten Firmware-Versionen.

Fortinet rät auch Kunden, die SSL-VPN nicht nutzen, dringend auf die neuen Versionen zu setzen, da diese auch andere Probleme beheben.

Hinweis

Informationsquelle(n):

Fortinet PSIRT Advisory FG-IR-23-097 (englisch)
https://www.fortiguard.com/psirt/FG-IR-23-097

Fortinet Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign (englisch)
https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign

Artikel bei Heise Security

https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html

Update #3 - Kritische Sicherheitslücke in MOVEit Transfer - weitere Updates verfügbar

CERT.at — Thu, 01 Jun 2023 18:23:19 GMT+0100

01. Juni 2023

Update #1: 2. Juni 2023, 11:20

Update #2: 2. Juni 2023, 14:35

Update #3: 10. Juni 2023, 13:20

Beschreibung

In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.

CVE-Nummer(n): TBA

CVSS Base Score: TBA

Auswirkungen

Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle Potential der Lücke ist jedoch noch nicht bekannt.

Betroffene Systeme

Versionen die niedriger sind als:

< MOVEit Transfer 2023.0.1
< MOVEit Transfer 2022.0.4
< MOVEit Transfer 2022.1.5
< MOVEit Transfer 2021.1.4
< MOVEit Transfer 2021.0.6

Update #3: 10.Juni 2023, 13:20

< MOVEit Transfer 2023.0.2
< MOVEit Transfer 2022.0.5
< MOVEit Transfer 2022.1.6
< MOVEit Transfer 2021.1.5
< MOVEit Transfer 2021.0.7

Abhilfe

Einspielen der vom Hersteller zur Verfügung gestellten Patches.

Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr zur MOVEit Transfer Umgebung zu blockieren.

IOCs für potentielle Webshell:

Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte Dateien (inkl. Backups).
Prüfen Sie ob größere Datentransfers stattgefunden haben.
Sperren Sie die IP 5[.]252.191.14
Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit Transfer\wwwroot\

Update #1: 2. Juni 2023, 11:20

Es wurden weitere IOCs veröffentlicht:

89.39.105[.]108 (WorldStream)
5.252.190[.]0/24
5.252.189-195[.]x
148.113.152[.]144 (reported by the community)
138.197.152[.]201
209.97.137[.]33

Update #2: 2.Juni 2023, 14:35

Es wurden weitere IOCs veröffentlicht:

198.27.75.110
209.222.103.170
84.234.96.104
human2.aspx.lnk
C:\Windows\TEMP\[random]\[random].cmdline
POST /moveitisapi/moveitisapi.dll
POST /guestaccess.aspx
POST /api/v1/folders/[random]/files
Health Check Service (Name des MOVEit Transfer Kontos/Benutzername)
SHA256 Hashes der Human2.aspx Datei:
- 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
  110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
  1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
  2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
  58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
  98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
  a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
  b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
  cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
  ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c
  0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
  110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
  1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
  2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
  58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
  98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
  a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
  b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
  cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
  ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c

Update #3: 10.Juni 2023, 13:20

Progress hat ein weiteres Security Update veröffentlicht, das erneut kritische Sicherheitslücken schließt.

Hinweis

Informationsquelle(n):

MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

Artikel auf Reddit (englisch):
https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/

Artikel bei Rapid7 (englisch):
https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/

Update #1: Artikel bei Huntress (englisch):
https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response

Update #3: MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023

Kritische Sicherheitslücken in Cisco Switches - Exploit-Code öffentlich - Updates teilweise verfügbar

CERT.at — Mon, 22 May 2023 16:10:50 GMT+0100

22. Mai 2023

Beschreibung

In einigen Cisco-Switches existieren mehrere, teils kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158, CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20162, CVE-2023-20189

CVSS Base Score: bis 9.8

Auswirkungen

Das Ausnutzen der Sicherheitslücken auf betroffenen Geräten ermöglicht nicht authentifizierten Angreifern Denial of Service (DOS) Attacken und das Ausführen von beliebigem Programmcode mit Root-Rechten. Die Angriffe können erfolgen, indem man präparierte Anfragen über die webbasierte Benutzeroberfläche sendet. Die Schwachstellen sind nicht voneinander abhängig und können einzeln ausgenutzt werden.

Betroffene Systeme

250 Series Smart Switches
350 Series Managed Switches
350X Series Stackable Managed Switches
550X Series Stackable Managed Switches
Business 250 Series Smart Switches
Business 350 Series Managed Switches

Weiters betroffen sind folgende, nicht mehr unterstützte ("End of life") Produkte, für die es keine Updates mehr geben wird:

Small Business 200 Series Smart Switches (EOL)
Small Business 300 Series Managed Switches (EOL)
Small Business 500 Series Stackable Managed Switches (EOL)

Abhilfe

Einspielen der von Cisco zur Verfügung gestellten Patches und austauschen der End of Life Produkte.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Auch der Zugang zu Management-Interfaces sollte streng limitiert sein.

Informationsquelle(n):

Cisco Advisory (englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv

Artikel bei BleepingComputer (englisch)
https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-switch-bugs-with-public-exploit-code/

Kritische Sicherheitslücken in ArubaOS und Aruba InstantOS - Updates verfügbar

CERT.at — Wed, 10 May 2023 15:22:06 GMT+0100

10. Mai 2023

Beschreibung

In ArubaOS und Aruba InstantOS, den Betriebssystemen vieler Geräte von HPE Aruba Networks, existieren mehrere teils kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785, CVE-2023-22786, CVE-2023-22787, CVE-2023-22788, CVE-2023-22789, CVE-2023-22790, CVE-2023-22791

CVSSv3 Overall Score: bis 9.8

Auswirkungen

Da Angreifende auf betroffenen Geräten beliebigen Code ausführen können, sind alle auf diesen Geräten befindlichen und darüber erreichbaren Daten gefährdet. Da es sich um Netzwerkkomponenten handelt, sind auch Szenarien denkbar wo darüber fliessende Daten gelesen, beeinträchtigt und/oder verändert werden können.

Betroffene Systeme

Aruba Access Points auf denen folgende Betriebssystem-Versionen laufen:

ArubaOS 10.3.x: 10.3.1.0 und darunter
Aruba InstantOS 8.10.x: 8.10.0.4 und darunter
Aruba InstantOS 8.6.x: 8.6.0.19 und darunter
Aruba InstantOS 6.5.x: 6.5.4.23 und darunter
Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 und darunter

Weiters betroffen sind folgende nicht mehr unterstützte ("End of life") Versionen, für die es keine Updates mehr geben wird:

InstantOS 8.4.x bis 8.9.x

Abhilfe

Einspielen der entsprechenden fehlerbereinigten Versionen.

Aktivieren von "cluster-security" kann ein Ausnutzen der schwersten Lücke auf Geräten mit Aruba InstantOS 8.x und 6.x auch verhindern. Aruba weist darauf hin, dass dies keine Option für Geräte mit ArubaOS 10 ist.

Wo ein Einspielen der fehlerbereinigten Versionen nicht möglich ist, bleibt als Workaround für die schwerste Lücke nur ein Blocken von Paketen an UDP Port 8211 von nicht-vertrauenswürdigen Netzwerken, etwa durch vorgelagerte Firewalls.

Hinweis

Informationsquelle(n):

Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt

Artikel bei Heise:
https://www.heise.de/news/Kritische-Schwachstellen-ermoeglicht-Uebernahme-von-Aruba-Access-Points-8992292.html

Kritische Sicherheitslücke in Nextcloud und Nextcloud Enterprise - Updates verfügbar

CERT.at — Mon, 03 Apr 2023 14:26:26 GMT+0100

03. April 2023

Beschreibung

Das Software-Paket Nextcloud enthält eine kritische Sicherheitslücke.

CVE-Nummer(n): CVE-2023-26482

CVSS Base Score: 9.0

Auswirkungen

Durch Ausnutzen fehlender Scope Validation ist es angemeldeten Nutzer:innen möglich, beliebigen Code in verwundbaren Installationen von Nextcloud auszuführen. Dadurch sind alle in diesen Instanzen gespeicherten Daten gefährdet.

Es sind auch Szenarien denkbar, in denen Schadsoftware auf betroffenen Systemen hinterlegt wird, die dann auch andere Nutzer:innen betrifft.

Betroffene Systeme

Systeme auf denen folgende Software installiert ist:

Nextcloud 24 unterhalb 24.0.10
Nextcloud 25 unterhalb 25.0.4
Nextcloud Enterprise unterhalb 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10, 25.0.4

Abhilfe

Installation der bereitgestellten Updates.

Sollte dies nicht möglich sein, kann laut Nextcloud auch ein Deaktivieren der Apps workflow_scripts und workflow_pdf_converter ein Ausnutzen der Lücke verhindern.

Hinweis

Informationsquelle(n):

Security Advisory von Nextcloud (englisch):

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj
Meldung bei heise Security:

https://heise.de/-8515005

Kritische Sicherheitslücke in Microsoft Outlook - aktiv ausgenutzt, Updates verfügbar

CERT.at — Wed, 15 Mar 2023 09:39:06 GMT+0100

15. März 2023

Beschreibung

Am Abend des 14. März 2023 hat Microsoft im Rahmen seines monatlichen Patchdays Updates für zahlreiche Schwachstellen veröffentlicht - unter anderem für eine Privilege Escalation in Microsoft Outlook, welche laut dem Unternehmen bereits aktiv ausgenutzt wird.

CVE-Nummer(n): CVE-2023-23397

CVSS Base Score: 9.8

Auswirkungen

Durch speziell manipulierte E-Mails können Angreifer:innen Net-NTLMv2-Hashes von verwundbaren Systemen stehlen. Da die Ausnutzung der Schwachstelle bereits während der Verarbeitung der Nachricht auf dem Mailserver erfolgt ist keine benutzerseitige Interaktion notwendig.

Betroffene Systeme

Microsoft 365 Apps for Enterprise
Microsoft Office 2013
Microsoft Office 2016
Microsoft Office 2019

Abhilfe

Einspielen der durch den Hersteller zur Verfügung gestellten Aktualisierungen. Microsoft empfiehlt weiters folgende Maßnahmen:

Das Hinzufügen von Nutzer:innen zur "Protected Users Security Group". Dies verhindert die Nutzung von NTLM als Authentifizierungsmechanismus und ist insbesondere für sensible Accounts (z.B. Domain-Administratoren) empfohlen.
Firewall-seitige Sperre von ausgehendem Traffic auf Port 445/TCP. Dies verhindert das Senden von NTLM-Paketen an externe Ziele.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Outlook Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/de-DE/vulnerability/CVE-2023-23397

Patchday: Microsoft dichtet aktiv angegriffene Sicherheitslücken ab
https://www.heise.de/news/Patchday-Microsoft-dichtet-aktiv-angegriffene-Sicherheitsluecken-ab-7545903.html

Kritische Sicherheitslücke in FortiOS und FortiProxy - Updates verfügbar

CERT.at — Wed, 08 Mar 2023 15:44:27 GMT+0100

08. März 2023

Beschreibung

In FortiOS, dem Betriebssystem vieler Produkte von Fortinet und in FortiProxy existiert eine kritische Sicherheitslücke.

CVE-Nummer(n): CVE-CVE-2023-25610

CVSS Base Score: 9.3

Auswirkungen

Die Schwachstelle ermöglicht es unauthentifizierten, entfernten Angreifern, durch speziell präparierte Anfragen, Code auf verwundbaren Geräten auszuführen. Eine von der Schwachstelle betroffene Version von FortiOS oder FortiProxy kann, je nach Produkt, verschiedene Arten von Angriffen ermöglichen. Fortinet listet lediglich die Produkte auf, die anfällig für DoS-Angriffe sind. Bei nicht aufgelisteten Produkten ist zusätzlich Remote Code Execution möglich.

Betroffene Systeme

FortiOS 7.2.0 through 7.2.3
FortiOS 7.0.0 through 7.0.9
FortiOS 6.4.0 through 6.4.11
FortiOS 6.2.0 through 6.2.12
FortiOS 6.0 alle Versionen
FortiProxy 7.2.0 through 7.2.2
FortiProxy 7.0.0 through 7.0.8
FortiProxy 2.0.0 through 2.0.11
FortiProxy 1.2 alle Versionen
FortiProxy 1.1 alle Versionen

Die oben genannten FortiOS-Versionen ermöglichen bei den folgenden Produkten "lediglich" einen DoS-Angriff. Produkte, die nicht in der Liste enthalten sind, sind zusätzlich verwundbar durch Remote Code Execution.

FortiGateRugged-100C
FortiGate-100D
FortiGate-200C
FortiGate-200D
FortiGate-300C
FortiGate-3600A
FortiGate-5001FA2
FortiGate-5002FB2
FortiGate-60D
FortiGate-620B
FortiGate-621B
FortiGate-60D-POE
FortiWiFi-60D
FortiWiFi-60D-POE
FortiGate-300C-Gen2
FortiGate-300C-DC-Gen2
FortiGate-300C-LENC-Gen2
FortiWiFi-60D-3G4G-VZW
FortiGate-60DH
FortiWiFi-60DH
FortiGateRugged-60
FortiGate-VM01-Hyper-V
FortiGate-VM01-KVM
FortiWiFi-60D-I
FortiGate-60D-Gen2
FortiWiFi-60D-J
FortiGate-60D-3G4G-VZW
FortiWifi-60D-Gen2
FortiWifi-60D-Gen2-J
FortiWiFi-60D-T
FortiGateRugged-90D
FortiWifi-60D-Gen2-U
FortiGate-50E
FortiWiFi-50E
FortiGate-51E
FortiWiFi-51E
FortiWiFi-50E-2R
FortiGate-52E
FortiGate-40F
FortiWiFi-40F
FortiGate-40F-3G4G
FortiWiFi-40F-3G4G
FortiGate-40F-3G4G-NA
FortiGate-40F-3G4G-EA
FortiGate-40F-3G4G-JP
FortiWiFi-40F-3G4G-NA
FortiWiFi-40F-3G4G-EA
FortiWiFi-40F-3G4G-JP
FortiGate-40F-Gen2
FortiWiFi-40F-Gen2

Abhilfe

Upgrade auf die folgenden Versionen:

FortiOS 7.4.0 oder neuer
FortiOS 7.2.4 oder neuer
FortiOS 7.0.10 oder neuer
FortiOS 6.4.12 oder neuer
FortiOS 6.2.13 oder neuer
FortiProxy 7.2.3 oder neuer
FortiProxy 7.0.9 oder neuer
FortiProxy 2.0.12 oder neuer
FortiOS-6K7K 7.0.10 oder neuer
FortiOS-6K7K 6.4.12 oder neuer
FortiOS-6K7K 6.2.13 oder neuer

Als Workaround kann auch das administrative HTTP/HTTPS Interface deaktiviert, oder der Zugriff auf das Interface auf bestimmte IP-Adressen limitiert werden.

Hinweis

Informationsquelle(n):

Artikel bei heise
https://www.heise.de/news/Patchday-Kritische-Luecke-in-FortiOS-und-FortiProxy-geschlossen-7538910.html

Advisory von Fortinet (englisch)
https://www.fortiguard.com/psirt/FG-IR-23-001

Kritische Sicherheitslücken in ArubaOS - Updates teilweise verfügbar

CERT.at — Thu, 02 Mar 2023 11:44:57 GMT+0100

2. März 2023

Beschreibung

In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks, existieren mehrere teils kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2021-3712, CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, CVE-2023-22750, CVE-2023-22751, CVE-2023-22752, CVE-2023-22753, CVE-2023-22754, CVE-2023-22755, CVE-2023-22756, CVE-2023-22757, CVE-2023-22758, CVE-2023-22759, CVE-2023-22760, CVE-2023-22761, CVE-2023-22762, CVE-2023-22763, CVE-2023-22764, CVE-2023-22765, CVE-2023-22766, CVE-2023-22767, CVE-2023-22768, CVE-2023-22769, CVE-2023-22770, CVE-2023-22771, CVE-2023-22772, CVE-2023-22773, CVE-2023-22774, CVE-2023-22775, CVE-2023-22776, CVE-2023-22777, CVE-2023-22778

CVSSv3 Overall Score: bis 9.8

Auswirkungen

Betroffene Systeme

Aruba Mobility Conductor (früher Mobility Master), Aruba Mobility Controllers, WLAN Gateways und SD-WAN Gateways managed by Aruba Central mit folgenden Versionen von ArubaOS bzw. SD-WAN OS:

ArubaOS 8.6.x.x: 8.6.0.19 und früher
ArubaOS 8.10.x.x: 8.10.0.4 und früher
ArubaOS 10.3.x.x: 10.3.1.0 und früher
SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.8 und früher

Weiters betroffen sind folgende nicht mehr unterstützte ("End of life") Versionen, für die es keine Updates mehr geben wird:

ArubaOS 6.5.4.x
ArubaOS 8.7.x.x
ArubaOS 8.8.x.x
ArubaOS 8.9.x.x
SD-WAN 8.6.0.4-2.2.x.x

Abhilfe

Einspielen der entsprechenden fehlerbereinigten Versionen. Wo dies nicht möglich ist, kann manchen der Fehler auch temporär durch folgenden Workaround begegnet werden: aktivieren von "Enhanced PAPI Security" mit einem nicht-Default Key.

Hinweis

Informationsquelle(n):

Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt

Artikel bei Bleeping Computer (englisch)
https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/

Kritische Sicherheitslücken in ClamAV - Updates verfügbar

CERT.at — Fri, 17 Feb 2023 13:22:45 GMT+0100

17. Februar 2023

Beschreibung

Zwei kritische Schwachstellen in ClamAV erlauben es unauthentisierten Angreifenden, beliebigen Code auszuführen.

CVE-Nummer(n): CVE-2023-20032, CVE-2023-20052

Auswirkungen

Die Lücken in ClamAV können durch präparierte HFS+ bzw. DMG Images ausgelöst werden. Da ClamAV oft als Virenscanner in Mailservern eingesetzt wird, können durch den Versand entsprechender Files per Email verwundbare Installationen kompromittiert werden.

Dies hat entsprechende Auswirkungen, vor allem auf Mailservern sind Szenarien denkbar in denen nach Kompromittierung die komplette Email-Kommunikation von Angreifenden nicht nur mitgelesen sondern auch gezielt verändert werden kann.

Es ist auch davon auszugehen, dass Angreifende zeitnah entsprechende Dateien vor allem per Spam-Email in grossem Stil verbreiten werden.

Betroffene Systeme

Systeme, auf denen ClamAV in folgenden Versionen eingesetzt wird:

ClamAV 0.103 vor 0.103.8
ClamAV 0.104
ClamAV 0.105 vor 0.105.2
ClamAV 1.0 vor 1.0.1

Abhilfe

Update auf die entsprechenden fehlerbereinigten Versionen 0.103.8, 0.105.2 oder 1.0.1.

Das ClamAV-Projekt weist weiters ausdrücklich darauf hin, dass ClamAV 0.104 nicht mehr unterstützt wird, und daher auch keine Fehlerbereinigungen für die aktuellen Schwachstellen mehr bekommen wird.

Wo ein Update noch nicht verfügbar ist, sollte angedacht werden für AV-Filterung temporär auf andere Software auszuweichen, oder AV-Filterung (mit entsprechender Awareness bei den Nutzer:innen) temporär zu deaktivieren.

Möglicherweise kann auch ein temporäres Deaktivieren des Scannens von Archiven (ScanArchive no) diese Lücken umgehen. Dies hätte aber auch Auswirkungen auf das Scannen von zB ZIP-Dateien.

Hinweis

Informationsquelle(n):

Security Advisory von ClamAV:
https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html

Kritische Sicherheitslücke in Citrix ADC und Citrix Gateway

CERT.at — Tue, 13 Dec 2022 14:44:48 GMT+0100

13. Dezember 2022

Beschreibung

Eine kritische Schwachstelle in Citrix ADC und Citrix Gateway erlaubt es unauthentisierten Angreifenden, beliebigen Code auszuführen.

CVE-Nummer: CVE-2022-27518

Auswirkungen

Falls Citrix ADC oder Citrix Gateway als SAML SP oder SAML IdP konfiguriert sind, können Angreifende beliebigen Code ausführen. Dadurch sind alle durch das Gerät erreichbaren Services und Daten gefährdet.

Ob eine Installation entsprechend konfiguriert ist, kann in der Datei ns.conf verifiziert werden falls diese eine der folgenden Zeilen enthält:

add authentication samlAction
add authentication samlIdPProfile

Betroffene Systeme

Citrix ADC und Citrix Gateway 13.0 vor 13.0-58.32
Citrix ADC und Citrix Gateway 12.1 vor 12.1-65.25
Citrix ADC 12.1-FIPS vor 12.1-55.291
Citrix ADC 12.1-NDcPP vor 12.1-55.291

Citrix ADC und Citrix Gateway 13.1 sind nicht betroffen.

Abhilfe

Einspielen der entsprechenden fehlerbereinigten Versionen:

Citrix ADC und Citrix Gateway 13.0-58.32 und höher
Citrix ADC und Citrix Gateway 12.1-65.25 und höher

Citrix ADC 12.1-FIPS 12.1-55.291 und höher
Citrix ADC 12.1-NDcPP 12.1-55.291 und höher

Citrix merkt auch an, dass Versionen vor 12.1 nicht mehr unterstützt werden und zeitnah upgegradet werden sollten.

Hinweis

Informationsquelle(n)

Citrix Security Bulletin for CVE-2022-27518: https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

Kritische Sicherheitslücke in Fortinet FortiOS - aktiv ausgenutzt, Updates verfügbar

CERT.at — Mon, 12 Dec 2022 18:52:31 GMT+0100

12. Dezember 2022

Beschreibung

Eine kritische Schwachstelle in Fortinet FortiOS erlaubt es Angreifenden, Code und Systembefehle auszuführen.

CVE-Nummer(n): CVE-2022-42475

CVSS Base Score: 9.3

Auswirkungen

Durch spezielle Netzwerkpakete lassen sich Code sowie Systembefehle auf verwundbaren Versionen von FortiOS ausführen. Laut Fortinet wurde die Schwachstelle bereits mindestens einmal durch Bedrohungsakteure ausgenutzt und empfiehlt, die eigenen Systeme auf folgende Auffälligkeiten zu überprüfen:

Logeinträge mit folgendem Inhalt:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Die Anwesenheit von folgenden Artefakten auf dem Dateisystem:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Ausgehende Verbindungen zu verdächtigen IP-Adressen:
- 188[.]34[.]130[.]40[:]444
- 103[.]131[.]189[.]143[:]30080,30081,30443,20443
- 192[.]36[.]119[.]61[:]8443,444
- 172[.]247[.]168[.]153[:]8033

Betroffene Systeme

FortiOS version 7.2.0 bis 7.2.2
FortiOS version 7.0.0 bis 7.0.8
FortiOS version 6.4.0 bis 6.4.10
FortiOS version 6.2.0 bis 6.2.11
FortiOS-6K7K version 7.0.0 bis 7.0.7
FortiOS-6K7K version 6.4.0 bis 6.4.9
FortiOS-6K7K version 6.2.0 bis 6.2.11
FortiOS-6K7K version 6.0.0 bis 6.0.14

Abhilfe

Einspielen der Updates auf folgende Versionen:

FortiOS version 7.2.3 oder höher
FortiOS version 7.0.9 oder höher
FortiOS version 6.4.11 oder höher
FortiOS version 6.2.12 oder höher
FortiOS-6K7K version 7.0.8 oder höher
FortiOS-6K7K version 6.4.10 oder höher
FortiOS-6K7K version 6.2.12 oder höher
FortiOS-6K7K version 6.0.15 or above

Hinweis

Informationsquelle(n):

FortiOS - heap-based buffer overflow in sslvpnd (Englisch)
https://www.fortiguard.com/psirt/FG-IR-22-398

Update #5 - 0-day Exploit Remote Code Execution in Microsoft Exchange On-Premise – Workaround verfügbar

CERT.at — Fri, 30 Sep 2022 09:47:10 GMT+0100

30. September 2022

Update: 03. Oktober 2022, 13:40

Update #2: 06. Oktober 2022, 09:30

Update #3: 07. Oktober 2022, 16:30

Update #4: 11. Oktober 2022, 19:15

Update #5: 09. November 2022, 16:00

Beschreibung

Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht betroffen.

CVE-Nummer(n):

CVE-2022-41040
CVE-2022-41082

CVSS Base Score (lt. Zero Day Initiative): 8.8 und 6.3

Auswirkungen

Das Ausnutzen der Schwachstellen kann zu einer vollständigen Kompromittierung des Systems und zur Ausbreitung auf andere Systeme führen.

Betroffene Systeme

Betroffen sind alle aktuellen On-Premise Versionen von Microsoft Exchange Server.

Exchange Server 2019 CU12 Aug22SU 15.02.1118.012 (aktuelle Version)
Exchange Server 2016 CU23 Aug22SU 15.01.2507.012 (aktuelle Version)
Exchange Server 2013 CU23 Aug22SU 15.00.1497.040 (aktuelle Version)

Abhilfe

Update: 03. Oktober 2022, 13:40
Microsoft hat den Eintrag für die Portsperren entfernt. Des Weiteren ist eine Möglichkeit für das Umgehen des Scripts von Microsoft für die Angriffserkennung/Verhinderung bekannt geworden. Es wird empfohlen den Remote-Powershell-Zugriff für nicht-Administrator-Accounts zu deaktivieren. Da sich die Informationen zur Abhilfe stündlich ändern können, empfehlen wir grundsätzlich jeglichen Zugriff auf von außen erreichbaren Exchange-Web-Interfaces zu sperren.

Update #2: 06. Oktober 2022, 09:30
Microsoft hat einige der vorgeschlagenen Mitigations/Workarounds erweitert, da in der ersten Version noch ein Umgehen per URL-Encoding möglich war.

Update #3: 07. Oktober 2022, 16:30
Die aktuellen Mitigations/Workarounds von Microsoft können wieder umgangen werden.

Update #4: 11. Oktober 2022, 19:15
Microsoft hat ein Update für die Mitigation-Regeln herausgegeben.

Update #5: 09. November 2022, 16:00
Microsoft hat Updates veröffentlicht.

Derzeit existieren noch keine Updates, um die Sicherheitslücke zu schließen. Als Workaround wird von Microsoft empfohlen, die ausnutzbaren Anfragen via URL Rewrite zu blockieren und die Ports HTTP:5985 und HTTPS: 5986 zu sperren, bis ein Patch verfügbar ist. Außerdem hat Microsoft Möglichkeiten zur Angriffserkennung zusammengefasst.

Hinweis

Informationsquelle(n):

Blog von Microsoft (Englisch)
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Blog von GTSC (Englisch)
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Artikel von Borncity
https://www.borncity.com/blog/2022/09/30/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022/

Artikel von heise.de
https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html

Artikel von Doublepulsar.com (Englisch)
https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9

Zero Day Initiative Advisories (Englisch)
https://www.zerodayinitiative.com/advisories/upcoming/

Analyse von Microsoft (Englisch)
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Tweet von Kevin Beaumont (Englisch)
https://twitter.com/GossiTheDog/status/1576852912877101057

Artikel von heise Security zu nachgebesserten Mitigation-Regeln
https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html

Kritische Sicherheitslücken in VMware Workspace ONE - Updates verfügbar

CERT.at — Wed, 09 Nov 2022 11:09:43 GMT+0100

09. November 2022

Beschreibung

VMware hat Updates für drei kritische Authentication Bypass Sicherheitslücken im Remote-Access-Tool VMware Workspace ONE veröffentlicht.

CVE-Nummer(n): CVE-2022-31685, CVE-2022-31686, CVE-2022-31687

CVSS Base Score: 9.8

Auswirkungen

Entfernte, anonyme Angreifer:innen können die Authentifizierung in erreichbaren VMware Workspace ONE Instanzen umgehen und Administratorrechte auf den betroffenen Systemen erlangen.

Betroffene Systeme

VMware Workspace ONE 21.x, 22.x (Windows)

Abhilfe

Es existieren keine Workarounds, die einzige Abhilfe ist ein Upgrade auf Version 22.10. Diese Version schließt zugleich auch die Sicherheitslücken CVE-2022-31688 (CVSS 6.4) und CVE-2022-31689 (CVSS 4.2).

Hinweis

Informationsquelle(n):

VMware Security Advisory (Englisch)
https://www.vmware.com/security/advisories/VMSA-2022-0028.html

Artikel bei Bleeping Computer
https://www.bleepingcomputer.com/news/security/vmware-fixes-three-critical-auth-bypass-bugs-in-remote-access-tool/

Update #1 - Remote Code Execution in Zimbra Collaboration Suite - Updates und Workaround verfügbar

CERT.at — Fri, 07 Oct 2022 14:48:28 GMT+0100

7. Oktober 2022

Update #1: 14. Oktober 2022, 16:45

Beschreibung
Eine kritische Schwachstelle in Zimbra Collaboration Suite erlaubt potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen von beliebigem Code. Laut diversen Berichten wird diese Schwachstelle bereits aktiv ausgenutzt.

CVE-Nummer(n): CVE-2022-41352

CVSS Base Score: 9.8

Auswirkungen
Das Ausnützen der Schwachstelle durch senden einer Email mit speziell präparierten Anhängen in den Formaten .cpio, .tar, .rpm kann zu einer vollständigen Kompromittierung des Systems führen.

Betroffene Systeme

Alle Installationen der Zimbra Collaboration Suite die eine verwundbare Version des Archivierungsprogrammes cpio einsetzen. Dies betrifft standardmäßig alle Installationen, bei denen nicht nachträglich manuell das Archivierungsprogramm pax installiert wurde.

Abhilfe
Bis zur Bereitstellung eines Updates empfiehlt Zimbra die Installation von pax, welches eine in dieser Situation sichere Alternative zu cpio darstellt.

Update #1: 14. Oktober 2022, 16:45

Zimbra hat Updates bereitgestellt.

Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Rapid7 (Englisch)
https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/

Artikel von heise bezüglich der verfügbaren Updates
https://www.heise.de/news/Groupware-Zimbra-Updates-stopfen-mehrere-Sicherheitslecks-7307521.html

Kritische Sicherheitslücke in Magento Open Source und Adobe Commerce - Updates verfügbar

CERT.at — Wed, 12 Oct 2022 08:00:10 GMT+0100

12. Oktober 2022

Beschreibung

Adobe hat Updates für die E-Commerce Software Suites 'Magento Open Source' und 'Adobe Commerce' herausgegeben.

CVE-Nummer(n): CVE-2022-35698

CVSS Base Score: 10.0

Auswirkungen

Angreifer:innen können beliebigen Code auf betroffenen Systemen ausführen (vermutlich mit den Rechten des Webservers), und haben Zugriff auf alle Daten die im E-Commerce System gespeichert sind.

Betroffene Systeme

Magento Open Source vor den Versionen 2.4.5-p1 bzw. 2.4.4-p2
Adobe Commerce vor den Versionen 2.4.5-p1 bzw. 2.4.4-p2

Abhilfe

Installation der bereitgestellten fehlerbereinigten Versionen.

Es sind derzeit keine Workarounds bekannt.

Hinweis

Informationsquelle(n):

Meldung APSB22-48 von Adobe (englisch)

https://helpx.adobe.com/security/products/magento/apsb22-48.html

Update #1 - Kritische Sicherheitslücke in Fortinet Produkten - Updates verfügbar

CERT.at — Mon, 10 Oct 2022 08:11:01 GMT+0100

10. Oktober 2022

Update #1: 10. Oktober 2022, 18:10 (zusätzlich zu Firewalls sind weitere Produkte betroffen)

Beschreibung

Kritische Schwachstellen in Fortinet Firewalls Produkten erlauben es Angreifenden, die Authentisierung zu umgehen und Aktionen mit Admin-Rechten auszuführen.

CVE-Nummer(n): CVE-2022-40684

CVSS Base Score: 9.6

Auswirkungen

Durch spezielle http/https-Anfragen an das Administrations-Interface der Firewall lassen sich Aktionen mit Admin-Rechten ausführen. Damit sind alle durch die Firewall geschützten Netzwerke potentiell gefährdet.

Betroffene Systeme

FortiOS 7.0.0 bis 7.0.6, 7.2.0 bis 7.2.1
FortiProxy 7.0.0 bis 7.0.6, und 7.2.0

Update #1: 10. Oktober 2022, 18:10

FortiSwitchManager 7.0.0 und 7.2.0

Abhilfe

Einspielen der von Fortinet zur Verfügung gestellten fehlerbereinigten Versionen.

Wo dies nicht möglich ist, erklärt Fortinet in einem nur für Kunden zugänglichen Dokument (CSB-221006-1) einen möglichen Workaround. Wir empfehlen - generell und in solchen Fällen ganz besonders - den Zugriff auf das Administrations-Interface auf vertrauenswürdige IP-Adressen zu beschränken.

Update #1: 10. Oktober 2022, 18:10

Fortinet hat ein Advisory mit den Workarounds veröffentlicht.

Hinweis

Informationsquelle(n)

Artikel bei heise Security
https://heise.de/-7288810

Artikel bei Bleeping Computer (englisch)
https://www.bleepingcomputer.com/news/security/fortinet-warns-admins-to-patch-critical-auth-bypass-bug-immediately/

Fortinet Advisory (englisch)
https://fortiguard.fortinet.com/psirt/FG-IR-22-377