Bild: Shutterstock
Nach fast sieben Monaten im Jahr 2021 stammt eine der 30 am häufigsten ausgenutzten Schwachstellen aus dem Jahr 2017, so die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA), das Australian Cyber Security Center (ACSC), das britische National Cyber Security Center (NCSC) und das US-FBI.
CVE-2017-11882 ist der Inhaber der zweifelhaften Ehre und liegt an einem Stapelpufferüberlauf im Gleichungseditor von Microsoft Office, der zu Remote Code Execution (RCE) führen kann. Es ist ein Exploit, über den Anbieter bereits seit Jahren rumhängen.
Das Quartett der Agenturen sagte am Mittwoch, dass der einfachste Weg, dieses Loch und die 29 anderen aufgelisteten zu beheben, darin besteht, Systeme zu patchen.
„Cyber-Akteure nutzen weiterhin öffentlich bekannte – und oft veraltete – Software-Schwachstellen gegen breite Zielgruppen aus, darunter Organisationen des öffentlichen und privaten Sektors weltweit. Unternehmen weltweit können die Schwachstellen jedoch abschwächen … Implementierung eines zentralisierten Patch-Management-Systems”, so das Quartett.
„Böswillige Cyber-Akteure werden höchstwahrscheinlich weiterhin ältere bekannte Schwachstellen wie CVE-2017-11882, die Microsoft Office betreffen, nutzen, solange sie wirksam bleiben und die Systeme ungepatcht bleiben. Die Verwendung bekannter Schwachstellen durch Angreifer erschwert die Zuordnung, reduziert die Kosten und minimiert die Risiko, weil sie nicht in die Entwicklung eines Zero-Day-Exploits für ihren ausschließlichen Gebrauch investieren, den sie riskieren, ihn zu verlieren, wenn er bekannt wird.”
Die Top-30-Liste ist in 14 historische CVEs aus dem Jahr 2020 und früher und 16 aus dem aktuellen Jahr unterteilt.
Die Liste der historischen Schwachstellen wird von vier CVEs im Zusammenhang mit Cloud, Remote-Arbeit oder VPNs angeführt.
„Viele VPN-Gateway-Geräte blieben im Jahr 2020 ungepatcht, und das Wachstum von Remote-Arbeitsoptionen forderte die Fähigkeit des Unternehmens heraus, ein rigoroses Patch-Management durchzuführen“, sagten die Behörden.
Zusätzlich zum Patchen gehörten nach Angaben der Behörden zu den bewährten Verfahren die Einhaltung der australischen Minderungsstrategien der Essential Eight.
Historische Schwachstellen
Citrix: CVE-2019-19781
An der Spitze der historischen Liste steht der Citrix NetScaler RCE, der über Weihnachten 2019 erschienen ist. Dieser sollte Australien nahe kommen, da er für den Zugriff auf eine Rekrutierungsdatenbank im Verteidigungsbereich verwendet wurde.
Pulse: CVE-2019-11510
Die Silbermedaille zu gewinnen, ist eine Directory-Traversal-Schwachstelle in Pulse Secure Connect, die zu einer willkürlichen Offenlegung von Dateien und dem Verlust von Administratoranmeldeinformationen führen kann.
„Einmal kompromittiert, kann ein Angreifer beliebige Skripte auf jedem Host ausführen, der eine Verbindung zum VPN herstellt. Dies könnte dazu führen, dass jeder, der sich mit dem VPN verbindet, ein potenzielles Angriffsziel darstellt“, so die Behörden.
“Die Sicherheitsanfälligkeit CVE-2019-11510 in Pulse Connect Secure VPN wurde auch häufig von APTs nationaler Staaten angegriffen. Akteure können die Sicherheitsanfälligkeit ausnutzen, um die unverschlüsselten Anmeldeinformationen aller Benutzer auf einem kompromittierten Pulse VPN-Server zu stehlen und behält nicht autorisierte Zugangsdaten für alle Benutzer auf einem kompromittierten Pulse VPN-Server und kann unbefugten Zugriff behalten, nachdem das System gepatcht wurde, es sei denn, alle kompromittierten Zugangsdaten werden geändert.”
Das hört sich gut an.
Fortinet: CVE-2018-13379
Fresh from a May Warning ist Fortinets Version eines Directory-Traversal-Bugs, der dazu führen kann, dass ein Angreifer Benutzernamen und Passwörter erhält.
“Mehrere Malware-Kampagnen haben diese Sicherheitsanfälligkeit ausgenutzt. Die bekannteste ist die Cring-Ransomware (auch bekannt als Crypt3, Ghost, Phantom und Vjszy1lo),” warnten die Behörden.
F5 – Große IP: CVE-2020-5902
Als es angekündigt wurde, erzielte dieser CVE eine perfekte 10 – es ist also eine große Sache. Dabei handelte es sich um die Verkehrsmanagement-Benutzeroberfläche, die jedem alten Benutzer den Zugriff ermöglichte; Sie mussten nicht authentifiziert werden, um beliebige Befehle auszuführen, Dateien zu erstellen oder zu löschen, Dienste zu deaktivieren oder beliebiges Java auszuführen.
“Diese Sicherheitsanfälligkeit kann zu einer vollständigen Systemkompromittierung führen”, so haben die Behörden die Bedrohung unterschätzt.
MobileIron: CVE-2020-15505
Haben Sie es satt, dass unprivilegierte Angreifer aus der Ferne Code auf Ihrem MobileIron-Kit ausführen? Nun, Sie wurden im November gewarnt.
Microsoft Exchange: CVE-2020-0688
Willkommen bei der Liste Microsoft Exchange – wir haben Sie erwartet. Diese Sicherheitsanfälligkeit von Anfang 2020 trat auf, weil Exchange-Server bei der Installation keinen eindeutigen kryptografischen Schlüssel für die Exchange-Systemsteuerung erstellen konnten, was dazu führte, dass Angreifer fehlerhafte Anforderungen verwenden konnten, um Code im SYSTEM-Kontext auszuführen. Ein kleiner Trost könnte darin liegen, zu wissen, dass eine Authentifizierung erforderlich ist, um diesen Exploit auszuführen.
Atlassian Confluence: CVE-2019-3396
Wenn Sie Rückblenden von vielen Schwachstellen auf dieser Liste erhalten, liegt das daran, dass die NSA im vergangenen Oktober versucht hat, die Leute zu warnen.
Diese alte Sicherheitslücke in Atlassian Confluence darf nicht aus dem Path Traversal und den Possen der Remote-Codeausführung anderer Anbieter ausgelassen werden. Sie fügt einen Hauch von serverseitiger Vorlageninjektion hinzu.
Die große Frage ist jedoch, muss man den Patch als Aufgabe in JIRA in Confluence einloggen? Es erträgt nicht, darüber nachzudenken.
Microsoft Office: CVE-2017-11882
Dies ist der älteste Fehler auf der Liste, der sich auf den Gleichungseditor bezieht, der zu Beginn dieses Artikels erwähnt wurde. Hochscrollen.
Atlassian Crowd: CVE-2019-11580
Angreifer können diese Sicherheitsanfälligkeit nutzen, um beliebige Plugins zu installieren, was zur Remotecodeausführung führen kann. Die Behörden haben auf diese Schwachstelle ausdrücklich hingewiesen.
„Die Konzentration knapper Cyber-Defense-Ressourcen auf das Patchen der Schwachstellen, die Cyber-Akteure am häufigsten nutzen, bietet das Potenzial, die Netzwerksicherheit zu stärken und gleichzeitig die Operationen unserer Gegner zu behindern“, sagten sie.
“Zum Beispiel verließen sich APTs von Nationalstaaten im Jahr 2020 weitgehend auf eine einzelne RCE-Schwachstelle, die in Atlassian Crowd entdeckt wurde, einer zentralisierten Identitätsverwaltung und Anwendung (CVE-2019-11580) in ihren gemeldeten Operationen.
p>
“Ein konzertierter Fokus auf die Behebung dieser Schwachstelle könnte eine relativ breite Wirkung haben, indem er die Akteure dazu zwingt, Alternativen zu finden, die möglicherweise nicht die gleiche breite Anwendbarkeit auf ihre Zielgruppe haben.”
Drupal: CVE-2018-7600
Erinnerst du dich an Drupalgeddon2? Ein Mangel an Eingabehygiene aus der Hook-verrückten Drupal-Codebasis kann dazu führen, dass ein nicht authentifizierter Angreifer Remote-Codeausführung erhält.
Natürlich folgten schnell Malware-Kampagnen wie Monero-Mining und die Nutzung von Websites als Teil von Botnets.
Telerik: CVE-2019-18935
Eine Lücke in der Bereinigung serialisierter Eingaben im Telerik-Framework, das von ASP.NET-Apps verwendet wird, kann zu RCE führen. Kryptojacking war wieder einmal nicht weit entfernt.
Microsoft Sharepoint: CVE-2019-0604
Um beim aktuellen Thema zu bleiben, hatte Sharepoint eine Schwachstelle beim Deserialisieren von XML aufgrund mangelnder Bereinigung, die zu Remote-Code-Ausführung.
Microsoft Windows Background Intelligent Transfer Service: CVE-2020-0787
Aufgrund der unsachgemäßen Handhabung symbolischer Links kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, um beliebigen Code mit Berechtigungen auf Systemebene auszuführen.
Microsoft Netlogon: CVE-2020-1472
Bei der Ankündigung wurde es als einer der schwerwiegendsten Fehler aller Zeiten gemeldet, und mit einem CVSS-Score von 10 war es kleines Wunder.
Die Sicherheitsanfälligkeit, auch als Zerologon bekannt, ermöglicht es einem nicht authentifizierten Angreifer, sich als Computer in einer Domäne auszugeben, mit der Möglichkeit, Sicherheitsfunktionen im Netlogon-Authentifizierungsprozess zu deaktivieren und Domänenadministratorrechte zu erlangen.
„Es wurden Bedrohungsakteure beobachtet, die die Schwachstelle MobileIron CVE-2020-15505 für den ersten Zugriff kombinierten und dann die Netlogon-Schwachstelle nutzten, um seitliche Bewegungen und eine weitere Gefährdung der Zielnetzwerke zu erleichtern“, sagten die Behörden.
“Eine nationalstaatliche APT-Gruppe wurde beobachtet, wie sie diese Sicherheitsanfälligkeit ausnutzt.”
Der Kurs 2021
Im Vergleich zu den Schwachstellen aus den Jahren zuvor ist die Gruppe 2021 schön gruppiert und meist auf ein einziges Produkt bezogen, also ohne weiteres.
Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065
Diese Sicherheitslücken sind diejenigen, die die NATO , die Vereinigten Staaten, die Europäische Union, das Vereinigte Königreich, Australien, Kanada, Neuseeland und Japan wurden kürzlich China zugeschrieben und waren die Exploits, bei denen das FBI entschied, dass es Web-Shells auf US-Servern sprengen musste.
CVE-2021-26855 ermöglichte es einem nicht authentifizierten Angreifer, wenn er sich mit Port 443 verbinden konnte, die Exchange-Systemsteuerung über eine serverseitige Anforderungsfälschung auszunutzen, die es ihm ermöglichte, beliebige HTTP-Anforderungen zu senden, sich als Exchange-Server zu authentifizieren und Zugriff zu erhalten zu Postfächern.
CVE-2021-26857 verwendete eine unsichere Deserialisierung, um RCE zu erhalten, während die letzten beiden eine willkürliche Schreibanfälligkeit nach der Authentifizierung nutzten, die zu RCE führen könnte.
Impulssicher: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900
Das erste CVE erschien im März und erzielte volle 10 Punkte dafür, dass es einem nicht authentifizierten Remote-Benutzer ermöglicht, beliebigen Code auszuführen, während das zweite und dritte CVE mit 9.9 knapp dahinter lagen und sich darauf bezogen, dass authentifizierte Remote-Benutzer in der Lage sind, beliebigen Code auszuführen. Im Fall von CVE-2021-22894 war dies der Root-Benutzer.
CVE-2021-22900 erzielte eine bescheidenere 7,2 und bezog sich darauf, dass ein authentifizierter Administrator einen Dateischreibvorgang durchführte, dank eines in böser Absicht erstellten Archivs, das über die Administrator-Weboberfläche hochgeladen wurde.
Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
Die Hacks, die über den Accellion FTA-Dateiübertragungsdienst aufgetreten sind, scheinen weiter zu kommen, mit Opfern, darunter die Reserve Bank of New Zealand, die Australian Securities and Investments Commission, Singtel und viele andere Organisationen auf der ganzen Welt.
Im Februar kündigte Accellion an, das anfällige Produkt einzustellen.
VMware: CVE-2021-21985
Die jüngste Schwachstelle, die vCenter Server und Cloud Foundation trifft und RCE ermöglicht, hat sich ebenfalls durchgesetzt. Bei der Ankündigung warnte VMware, dass Firewall-Kontrollen die letzte Verteidigungslinie für Benutzer sind, da der Angreifer nur Port 443 erreichen muss, um den Angriff durchzuführen.
Fortinet: CVE-2018-13379, CVE-2020-12812, CVE-2019-5591
Richtig, CVE-2018-13379 hat beide Listen erstellt. Was für eine Ehre.
Zugehörige Abdeckung
Kaseya fordert Kunden dringend auf, VSA-Server nach Ransomware-Angriffen sofort herunterzufahrenMicrosoft Juli 2021 Patch Tuesday: 117 Sicherheitslücken, Pwn2Own Exchange Server-Fehler behoben Sofort installieren: Microsoft liefert Notfall-Patch für PrintNightmare-SicherheitsfehlerMicrosoft fügt zweites hinzu CVE for PrintNightmare Remote Code ExecutionSolarWinds veröffentlicht eine Sicherheitsempfehlung, nachdem Microsoft eine Schwachstelle entdeckt hat
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 