Mai 2024 Threat Tracking: Globale CVE-Enthüllungen laufen heiß

Der Mai 2024 ließ den rekordverdächtigen CVE-Berg vom April als Maulwurfshügel erscheinen. Der bisherige Rekord für die meisten CVEs (Common Vulnerabilities and Exposures), die in einem Monat veröffentlicht wurden, stieg um 36,9 %. Insgesamt wurden im Mai 2024 sage und schreibe 5.061 Schwachstellen veröffentlicht. In Anbetracht der potenziell hohen Kosten einer Datenpanne müssen Sicherheitsteams über aktuelle Cybersicherheitstrends und die neuesten Schwachstellen auf dem Laufenden bleiben.

Wir stellen hier mehrere bekannte Unternehmenssoftware-Anbieter vor, die massenhaft von neu entdeckten Schwachstellen betroffen sind und einige der neuesten bekannten Sicherheitslücken behandeln. Doch zunächst berichten wir über einen Mitarbeiter: Christian Kürsteiner, ein Mitglied des Greenbone-Entwicklungsteams für Schwachstellentests, hat mit seiner verantwortungsvollen Offenlegung dazu beigetragen, dass weniger Schwachstellen in freier Wildbahn existieren, die Angreifer ausnutzen können.

Greenbones Beitrag zur Aufdeckung

Im Mai veröffentlichte Christian Kürsteiner, ein Softwareentwickler des Greenbone-Teams, eine Sicherheitslücke, die er im Telerik Report Server entdeckt hatte. Telerik Report Server ist eine proprietäre, zentralisierte Windows-basierte Plattform für die Verwaltung und Verteilung von Berichten. Die als CVSS 5.5 eingestufte Schwachstelle könnte es einem unbefugten Angreifer ermöglichen, Zugang zu sensiblen Admin-Konfigurationsdaten zu erlangen [CWE-200], und wurde inzwischen als CVE-2024-4837 veröffentlicht.

Wir baten Christian zu beschreiben, was verantwortungsvolle Sicherheitsforscher tun, wenn sie einen Fehler finden. Hier sein Statement:

„Das Ziel von Greenbone ist es, unsere Kunden zu schützen. Daher versuchen wir natürlich, Schwachstellen, die wir finden, direkt an den Hersteller mit den Details zu melden, damit dieser seinen Kunden Korrekturen anbieten kann, bevor Angreifer sie ausnutzen können. Die Mitarbeiter von Progress / Telerik und BugCrowd haben sehr schnell reagiert, die Sicherheitslücke bestätigt und behoben. Innerhalb einer Woche nach der Meldung wurde die Schwachstelle behoben und ein öffentlicher Hinweis veröffentlicht.“
Christian Kürsteiner, Security Researcher and Vulnerability Test Developer at Greenbone

In diesem Fall ist Christians Beitrag ein Beispiel dafür, wie das Verfahren zur Meldung von Fehlern, auch bekannt als „Responsible Disclosure„, funktionieren soll. Der interne Offenlegungsprozess eines Anbieters wird ausgelöst, wenn ein Sicherheitsforscher ihn über einen Fehler informiert. Da verantwortungsvolle Software-Ingenieure nicht die einzigen sind, die den Fehler entdecken, könnte er zu einem Einfallstor für böswillige Akteure werden, um in einem Netzwerk Fuß zu fassen und Daten zu stehlen oder Ransomware einzusetzen. In vielen Fällen erstreckt sich der Schaden auch auf die Allgemeinheit, wie bei der jüngsten Sicherheitsverletzung bei Change Healthcare.

Anbietern wird empfohlen, bewährte Verfahren zu befolgen, indem sie eine Datei security.txt [RFC-9116] im Stammverzeichnis ihrer Unternehmensdomäne veröffentlichen, eine Datei SECURITY.md in öffentliche GitHub-Repositories aufnehmen und eine E-Mail-Adresse wie security@example.com [RFC-2142] für den Empfang sicherheitsrelevanter Informationen einrichten.

Unsere Geschichte endet positiv. Telerik hat schnell ein Sicherheitsupdate veröffentlicht, das die Sicherheitslücke behebt. Benutzer sollten ihre Instanz von Report Server auf Version 2024 Q2 (10.1.24.514) oder höher aktualisieren, um sich vor CVE-2024-4837 zu schützen. Schließlich kann CVE-2024-4837 von Greenbone sowohl mit einem aktiven Check als auch mit einem Versionserkennungstest erkannt werden.

Cisco: 21 neue Schwachstellen – 10 mit hohem Schweregrad; 2 aktiv ausgenutzt

Der Mai war ein harter Monat für Cisco-Produkte in Bezug auf Sicherheitslücken. Insgesamt wurden 21 neue Schwachstellen in einer Vielzahl von Cisco-Produkten bekannt gegeben. Davon waren zehn besonders schwerwiegend. Dies folgt auf Informationen von Ende April, als zwei Schwachstellen in Cisco-Produkten in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen wurden. Cisco Talos berichtete, dass diese neuen Schwachstellen Teil einer Cyberspionage-Kampagne mit dem Namen „ArcaneDoor“ sind, die auf Perimeter-Netzwerkgeräte abzielt und im Januar 2024 begann.

• CVE-2024-20353 (CVSS 8.6 Hoch): Eine DoS-Schwachstelle (Denial of Service) in den Verwaltungs- und VPN-Webservern für die Software Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD), die durch eine unvollständige Fehlerprüfung beim Parsen eines HTTP-Headers verursacht wird, kann es einem Angreifer ermöglichen, ein verwundbares System remote auszunutzen. Es ist bekannt, dass CVE-2024-20353 aktiv ausgenutzt wird.
• CVE-2024-20359 (CVSS 6.0 Hoch): Eine Schwachstelle in der Cisco ASA- und Cisco FTD-Software ermöglicht es einem authentifizierten, lokalen Angreifer, beliebigen Code mit Root-Rechten auszuführen, nachdem er eine bösartige Datei aus dem Flash-Speicher hochgeladen und das System neu geladen hat, um seine Konfiguration zu ändern. Auch CVE-2024-20359 wird bekanntermaßen aktiv ausgenutzt.
• CVE-2024-20356 (CVSS 8.7 Hoch): Eine Schwachstelle in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller (IMC) ermöglicht es einem Angreifer mit Admin-Zugriff auf die webbasierte Verwaltungsschnittstelle, auf dem betroffenen Gerät Command-Injection-Angriffe mit Rechten auf Systemebene durchzuführen. Dadurch kann ein Angreifer möglicherweise Aktionen außerhalb des vorgesehenen Anwendungsbereichs der Managementoberfläche durchführen, um Malware oder ein Rootkit zu installieren. Darüber hinaus wurde CVE-2024-20356 zwar noch nicht in den KEV-Katalog der CISA aufgenommen, aber der Exploit Code (Proof of Concept) ist öffentlich verfügbar.

Greenbone ist in der Lage, betroffene Versionen von Ciscos ASA [1][2], Cisco FTD Software [3][4] und Cisco IMC [5] sowie andere kürzlich bekannt gewordene Schwachstellen in Cisco-Produkten zu identifizieren.

GitLab Community und Enterprise aktiv ausgenutzt

Eine Schwachstelle in den Editionen GitLab Community und Enterprise, die erstmals im Januar 2024 öffentlich bekannt wurde, wurde von der CISA am 1. Mai 2024 als aktiv ausgenutzt eingestuft CVE-2023-7028 (CVSS 10 Kritisch). Die Behebung bekannter, aktiv ausgenutzter kritischer Schwachstellen sollte für IT-Sicherheitsteams in Unternehmen höchste Priorität haben. Insgesamt wurden im Mai dieses Jahres 13 neue Sicherheitslücken bekannt, die GitLab betreffen.

CVE-2023-7028 resultiert aus einem Fehler bei der Implementierung von Zugriffskontrollen [CWE-284] und ermöglicht es einem Angreifer, E-Mails zum Zurücksetzen von Passwörtern an eine beliebige E-Mail-Adresse zu senden. Die Ausnutzung ermöglicht einem Angreifer den Zugriff auf Administratorkonten in der Community Edition (CE) und Enterprise Edition (EE) von GitLab, ein webbasiertes DevOps-Lifecycle-Tool und Git-Repository-Manager.

CVE-2023-7028 ist in allen Hauptversionen von GitLab von 16.1 bis 16.7 vorhanden, die nicht die neuesten Patches installiert haben. Mindestens ein öffentlich verfügbarer PoC-Exploit und eine detaillierte technische Beschreibung bedeuten, dass diese Schwachstelle in Zukunft als trivial ausnutzbar eingestuft werden sollte.

CVE-2024-4835 ragte ebenfalls aus dem Stapel der Mai-Schwachstellen in GitLab heraus. Mit einem CVSS-Wert von 8,0 ist CVE-2024-4835 eine Cross-Site-Scripting (XSS)-Schwachstelle im webbasierten Code-Editor, die GitLab in allen Versionen von 15.11 bis 16.10.6, 16.11 bis 16.11.3 und 17.0 bis 17.0.1 betrifft. Durch Ausnutzung von CVE-2024-4835 kann ein Angreifer eine bösartige Seite erstellen, um vertrauliche Benutzerinformationen zu herauszufiltern.

35 neue CVEs von Adobe

Im Mai hat Adobe insgesamt 45 Sicherheitslücken in verschiedenen Produkten bekannt gegeben. Davon wurden 32 als besonders schwerwiegend eingestuft, mit einem CVSS-Wert von 7,8 oder höher. Alle Schwachstellen mit hohem Schweregrad werden ausgenutzt, indem ein Opfer dazu gebracht wird, eine bösartige Datei zu öffnen, was zur Ausführung von beliebigem Code durch einen Angreifer führen kann.

Diese Schwachstellen eignen sich hervorragend für Social-Engineering-Angriffe wie Malspam-, Phishing-, Spear-Phishing- und Drive-by-Download-Kampagnen großer Cybercrime-Gruppen, insbesondere für Initial Access Broker (IAB), die sich unerlaubt Zugang zu den Computern und internen Netzwerken der Opfer verschaffen. Die Benutzer werden dringend aufgefordert, ihre Software auf die neuesten Versionen zu aktualisieren, um die Risiken zu mindern, und ganz allgemein bei Software, die nicht vom Originalhersteller stammt, und beim Öffnen von Dokumenten aus nicht vertrauenswürdigen Quellen sehr vorsichtig zu sein.

Hier ist eine Übersicht über die betroffenen Produkte:

• Adobe Acrobat Reader: In Acrobat Reader wurden insgesamt elf neue Sicherheitslücken gefunden. Davon wurden neun als besonders schwerwiegend eingestuft, jede mit einem CVSS-Wert von 7,8. Diese Sicherheitslücken betreffen die Adobe Acrobat Reader-Versionen 20.005.30574, 24.002.20736 und früher.
• Adobe Framemaker: In Adobe Framemaker wurden acht neue Sicherheitslücken gefunden, von denen fünf einen hohen Schweregrad aufweisen. Zu den betroffenen Versionen gehören Adobe Framemaker 2020.5, 2022.3 und früher.
• Adobe Animate: In Animate wurden im Mai sieben Sicherheitslücken bekannt, von denen fünf als besonders schwerwiegend eingestuft wurden. Die Sicherheitslücken betreffen die Animate-Versionen 24.0.2, 23.0.5 und frühere Versionen.

Ein Taifun kritischer CVEs trifft ArubaOS

Im Mai hat HPE Aruba Networking insgesamt 28 Schwachstellen für sein Betriebssystem ArubaOS bekannt gegeben. Erstaunliche 16 davon wurden als CVSS 9.8 mit hohem Schweregrad oder höher eingestuft. ArubaOS hat bisher nur eine einzige CVE (2024), die im März veröffentlicht wurde, was die Offenlegung in diesem Monat zu einer Anomalie macht. ArubaOS gilt als führend im WLAN-Management und Sicherheitsanwendungen, einschließlich Intrusion Detection und Prevention Systemen. Ein Indiz für den Marktanteil von ArubaOS ist, dass Aruba Networking, eine Tochtergesellschaft von Hewlett-Packard, im zweiten Quartal 2024 einen Umsatz von 7,2 Mrd. Dollar erzielte.

Zu den betroffenen Produkten gehören verschiedene Dienste und Protokolle, auf die über das PAPI-Protokoll zugegriffen wird. Unter den am stärksten betroffenen Komponenten von ArubaOS ragen der Command Line Interface (CLI) Service und der Central Communications Service heraus, die beide mehrere hochgradige Schwachstellen aufweisen, die Angreifern die Ausführung von beliebigem Code ermöglichen könnten. Benutzern wird empfohlen, die neuesten Updates zu installieren und die Lösungshinweise des Herstellers zu befolgen, um betroffene Produkte zu entschärfen.

Greebone enthält Schwachstellentests, um verwundbare ArubaOS-Instanzen zu identifizieren, sodass IT-Sicherheitsteams diese Schwachstellen identifizieren, priorisieren und durch die Installation der Sicherheitsupdates beheben können.

Apache ActiveMQ 6.x: Unsicherheit by Design

Ende 2023 berichteten wir über eine aktiv ausgenutzte CVSS 9.8 kritische Sicherheitslücke in Apache ActiveMQ, einem Message Broker-Dienst, der es Prozessen in einer verteilten Architektur ermöglicht, Informationen in einer Warteschlangenliste auszutauschen.

Im Mai 2024 geriet ActiveMQ erneut unter Beschuss. Diesmal wurde seiner Standardkonfiguration CVE-2024-32114 (CVSS 8.5 Hoch) zugewiesen, eine nicht authentifizierte Schwachstelle in der Jolokia JMX REST API und der Message REST API in der ActiveMQ-Management-API. Die Schwachstelle ermöglicht es Angreifern, frei mit dem Broker zu interagieren, um Nachrichten zu produzieren oder zu konsumieren (über die Jolokia JMX REST API) oder Ziele zu löschen (über die Message REST API).

Greenbone ist in der Lage, CVE-2024-32114 zu erkennen, indem es anfällige Versionen von ActiveMQ identifiziert. Es wird empfohlen, der Standardkonfigurationsdatei conf/jetty.xml eine Sicherheitseinschränkung hinzuzufügen, um eine Authentifizierung zu verlangen, oder auf Apache ActiveMQ 6.1.2 zu aktualisieren, wo die Standardkonfiguration standardmäßig mit Authentifizierung aktualisiert wurde, um die Sicherheitslücke zu schließen.

Gemäß den CISA-Grundsätzen für „Security By Design“ und dem neuen Cyber Resilience Act der EU müssen Produkte mit einer sicheren Standardkonfiguration ausgeliefert werden, da die Anbieter, auch die von Open-Source-Software, mehr Verantwortung für die Sicherheit ihrer Produkte übernehmen müssen.

Ivanti behebt mehrere Sicherheitslücken im Avalanche MDM-System

Ivanti wurde bereits in früheren Greenbone Sicherheitshinweisen erwähnt. Erst letzten Monat wurde in unserem Threat Tracking vom April 2024 beschrieben, wie die MITRE Corporation durch zwei zuvor bekannt gewordene Ivanti-Schwachstellen in Ivanti Connect Secure VPN verletzt wurde. Ivanti ist nun Gegenstand einer weiteren kritischen Schwachstelle in seinem Avalanche für Mobile Device Management (MDM).

Avalanche wurde entwickelt, um Unternehmen bei der Sicherung und Verwaltung ihrer mobilen Geräte, einschließlich Smartphones, Tablets und anderer mobiler Endpunkte, zu unterstützen. Bei der als CVE-2024-29204 mit einem CVSS-Wert von 9.8 kritisch eingestuften Schwachstelle handelt es sich um einen Heap Overflow [CWE-122] in der Komponente WLAvalancheService von Avalanche, der es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebige Befehle auszuführen. Alle Versionen von Ivanti Avalanche vor 6.4.3 sind betroffen. Greenbones Enterprise Feed beinhaltet einen Versionserkennungstest, um verwundbare Instanzen zu identifizieren.

Zusammenfassung

Der Mai 2024 verzeichnete einen deutlichen Anstieg der gemeldeten Schwachstellen und übertraf mit insgesamt 5061 CVEs den Rekord vom April um 36,9%. Einer von Greenbones eigenen Entwicklern hat  im Mai am Responsible Disclosure teilgenommen, um sicherzustellen, dass Schwachstellen identifiziert und gepatcht werden. Schwerwiegende Schwachstellen wurden in zahlreichen Software- und Hardwareprodukten für Unternehmen gemeldet, darunter verschiedene Cisco-Produkte, GitLab, Adobes Produktreihe für kreatives Design, HPs ArubaOS, Apache ActiveMQ und das Avalanche MDM-System von Ivanti. Unternehmen müssen wachsam bleiben, indem sie sich über Schwachstellen auf dem Laufenden halten und sich nach Kräften bemühen, ausnutzbare Schwachstellen in ihrer IT-Infrastruktur zu identifizieren, zu priorisieren und zu patchen.