Nachlese zu Sicherheitslücken und Patches (6. Feb. 2023)

In den letzten Wochen wurden einige Sicherheitslücken bekannt und die Hersteller haben diverse Sicherheitsupdates veröffentlicht. So schließt Dell eine Schwachstelle per BIOS-Update in diversen PC-Modellen. In Produkten von Cisco, F5 Big-IP oder in der Jira-Software gibt es Schwachstellen, für die Patches veröffentlicht wurden. In Windows gibt es eine Schwachstelle im Backup-Dienst, die im Januar 2023 aber nur für einige Windows-Versionen geschlossen wurde. Und in OpenSSH 9.2 wurde zwei Sicherheitsprobleme behoben. Hier ein Überblick über diese Sicherheitsthemen.

Dell schließt BIOS-Schwachstelle

Dell hat zum Jahresende BIOS-Updates für diverse  Consumer-PCs (Alienware- und Inspiron-Computer) veröffentlicht, die die Schwachstelle CVE-2022-34398 schließen. heise hat es in diesem Artikel aufgegriffen – eine Liste der betroffenen Geräte und BIOS-Versionen lässt sich im Dell Supportbeitrag hier einsehen.

Windows Schwachstelle CVE-2023-21752

Im Windows Backup-Dienst gab es die Schwachstelle CVE-2023-2175, die eine lokale Privilegienerhöhung (LPE) ermöglicht. Die Schwachstelle ermöglicht es einem Nutzer ohne Administratorberechtigungen auf dem Rechner, beliebigen Code als Lokales System auszuführen und damit den Computer zu übernehmen. Microsoft hat diese Schwachstelle mit den Windows Updates vom Januar 2023 für diverse Windows-Versionen geschlossen.

ACROS Security hat Ende Januar 2023 einen Micropatch für den 0patch-Agenten veröffentlicht, der diese Schwachstelle in den in obigem Tweet aufgeführten Windows-Versionen beseitigt. Die Details zur Schwachstelle und zum Micropatch lassen sich in diesem Blog-Beitrag von 0patch nachlesen. Zu 0patch hatte ich hier im Blog ja zahlreiche Artikel (z.B. 0patch sichert den Microsoft Edge für Windows 7/Server 2008/2012/R2 bis Jan. 2025 ab) veröffentlicht.

Hacker zielen auf Realtek-Schwachstelle

In vielen IoT-Komponenten kommt Firmware zum Einsatz, die den Realtek Jungle SDK verwendet. In diesem SDK wurde eine kritische Schwachstelle entdeckt, die eine Remotecodeausführung ermöglicht. Diese Schwachstelle im Realtek Jungle SDK wurde zwar inzwischen gepatcht, aber viele IoT-Geräte haben wohl noch nicht die erforderlichen Firmware-Updates erhalten.

Sicherheitsforscher warnen vor einem sprunghaften Anstieg von Angriffen auf diese kritische Schwachstelle im Realtek Jungle SDK. Nach Angaben von Palo Alto Networks Unit 42 soll die laufende Kampagne bis Dezember 2022 134 Millionen Angriffsversuche verzeichnet haben, wobei 97 % der Angriffe in den letzten vier Monaten stattfanden. The Hacker News hat in diesem Artikel weitere Details zum Thema zusammen getragen.

Schwachstelle in Fortra GoAnywhere

Fortra GoAnywhere ist eine "Managed File Transfer"-Software (MFT), die in Unternehmen zum sicheren Dateitransfer und Datenaustausch zwischen Mitarbeitern und Kunden zum Einsatz kommt. In nachfolgendem Tweet weist Sicherheitsforscher Will Dormann auf eine Schwachstelle in Fortra GoAnywhere hin, für die es noch kein CVE gibt.

Sicherheitsforscher von Rapid7 melden im Blog-Beitrag Exploitation of GoAnywhere MFT zero-day vulnerability eine 0day-Schwachstelle, die wohl heftig in freier Wildbahn angegriffen wird. Brian Krebs hat in seinem Mastodon-Kanal eine entsprechende Warnung samt dem Bulletin des Herstellers vom 1. Februar 2023 (die aber ein Konto erfordert, um den Text abzurufen) veröffentlicht.

Die Kollegen von Bleeping Computer haben in diesem Artikel einige Informationen zusammen getragen. Wer die Software im Unternehmen einsetzt, sollte die verlinkten Artikel vielleicht durchlesen.

Cisco patcht Schwachstellen

Bei Cisco gibt es potentielle Schwachstellen in verschiedenen Produkten, für die es inzwischen Sicherheitsupdates gibt. Eine Schwachstelle in Ciscos IOx Application Hosting Environment könnte Angreifern ermöglichen, beliebige Befehle als root im unterliegenden Betriebssystem auszuführen. Die Kollegen von heise haben im Beitrag Cisco patcht mehrere Produkte – potenzielle Backdoor-Lücke einige Informationen zusammen getragen.

Sicherheitsupdates für F5 BIG-IP-Produkte

Im Access Policy Manager und im Advanced Firewall Manager von F5 gibt es gleich mehrere Sicherheitslücken. Über diese Schwachstellen können Angreifer verschiedene F5 BIG-IP-Produkte angreifen und ggf. Schadcode ausführen. Der Hersteller F5 hat aber inzwischen Sicherheitsupdates für die betroffenen Produkte veröffentlicht. Die Kollegen von heise haben hier die Informationen zu den Schwachstellen und Updates zusammen getragen.

Schwachstelle in Jira Service Management

In der Webanwendung Jira von Atlassian  – wird zur Fehlerverwaltung, Problembehandlung und zum operativen Projektmanagement verwendet, gibt es eine kritisch Schwachstelle im Jira Service Management. Angreifer, die die Schwachstelle ausnutzen, können sich Nutzer Zugriff auf die Jira Service Management-Funktionen verschaffen und so die Konten übernehmen. Der Hersteller hat inzwischen einen Patch herausgegeben, Details zum Thema finden sich bei heise.

OpenSSH 9.2 beseitigt Schwachstellen

Die Entwickler von OpenSSH haben gerade den Client in der Version 9.2 veröffentlicht. In den Release Notes finden sich die Details zu den Korrekturen und Änderungen. heise weist hier darauf hin, dass auch zwei Schwachstellen im Client mit der neuen Version 9.2 beseitigt wurden.

Weitere Meldungen

Hier noch eine kurze Sammlung einiger älterer Sicherheitsthemen bzw. -artikel, die ich aufgehoben, aber nicht im Blog thematisiert habe.

• Die CISA warnt vor einem kritischen RCE-Bug in Zoho ManageEngine, der bereits angegriffen wird – die Details finden sich bei Bleeping Computer im Beitrag CISA warns of critical ManageEngine RCE bug exploited in attacks.
• Apple hat bereits Ende Januar 2023 ein iOS-Sicherheitsupdate für ältere iPhones und iPads veröffentlicht, weil eine 0-day-Schwachstelle angegriffen wurde. Details lassen sich z.B. in diesem Artikel oder auf Deutsch bei Golem nachlesen.
• Anbieter GoTo (ehemals LogMeIn) warnte seine Kunden, dass Hacker im November 2022 in seine Entwicklungsumgebung eingedrungen sind. Dabei wurde ein verschlüsselte Backups mit Kundeninformationen und einen Verschlüsselungsschlüssel für einen Teil dieser Daten gestohlen. Details haben die Kollegen von Bleeping Computer hier zusammengetragen.
• Micro-Wechselrichter von Deye, die mit Balkonkraftwerken (u.a. von Lidl verkauft) ausgeliefert werden, weisen eine Sicherheitslücke auf. Eine WLAN-Anbindung überträgt Verbindungsdaten ins Internet, aber der Zugang kann in der ausgelieferte Firmware nicht gesichert werden, da es feste Zugangsdaten gibt. Man muss beim chinesischen Hersteller ein Firmware-Update anfordern, um die Schwachstelle zu schließen, wie heise in diesem Artikel schreibt.
• Kürzlich ist ein Exploit für einen kritischen Windows CryptoAPI-Spoofing-Bug veröffentlicht worden. Die Schwachstelle ist bereits in 2022 per Windows Sicherheitsupdate geschlossen worden. Details haben die Kollegen von Bleeping Computer hier veröffentlicht.

Und Mitte Januar 2023 sind neue, strengere Regeln (NIS-2-Richtlinie) für Cybersicherheit und die Resilienz kritischer Einrichtungen in der EU in Kraft getreten – die Information der EU-Kommission gibt es hier.

Und ein besonderes Schmankerl hätte ich noch, Fred hat mich über Mastodon auf eine Besonderheit des Schweizer Cyberabwehr-Zentrum hingewiesen. Laut den Berichten hier und hier hat man da strenge Regeln für die bösen Buben und deren Opfer eingeführt. Das Cyberabwehr-Zentrum ist nur zu den üblichen Bürozeiten besetzt – Nachts ruht der Betrieb. Ist ja auch logisch, irgendwann hat man mal Feierabend, und nachts sieht man die Cyberangreifer aus dem Darknet eh nicht. Wird schon werden.