Juli 2024 Threat Tracking: Sommerpause für Schwachstellen?
Die Veröffentlichung von Schwachstellen legte im Juli eine Pause ein. Nur 3.135 neue CVEs wurden veröffentlicht, ein Rückgang von fast 40 % gegenüber dem Rekordmonat Mai 2024. Letzten Monat sprachen wir über Cybersicherheit am Rand des Netzwerks und bezogen uns dabei auf die zunehmende Zahl von Angriffen auf die Netzwerk-Peripherie. Der Titel dieses Beitrags deutete auch an, dass die IT weltweit an einem katastrophalen Ausfall vorbeischrammen könnte. Elmar Geese, CMO von Greenbone, hat eine schöne Einschätzung des fehlgeschlagenen Updates von CrowdStrike veröffentlicht, das am Freitag, dem 19. Juli, weltweit Windows-Systeme zum Absturz brachte.
Schon im Jahr 2021 sagte Gartner voraus, dass bis 2025 ungezügelte Cyberangriffe Tod und Chaos verursachen werden. Die schlechte Nachricht ist, dass wir dem Zeitplan von Gartner voraus sind, aber die noch schlechtere Nachricht ist, dass wir keinen Cyberangriff brauchten, um dieses Ziel zu erreichen. Hier ein Überblick über die wichtigsten, aktiv ausgenutzten Schwachstellen und kritischen Risiken im Juli 2024.
Ransomware verbreitet sich über VMware-Schwachstelle
In diesem Monat wurden zwei Schwachstellen in VMwares ESXi-Hypervisor und vCenter Server-Produkten in den KEV-Katalog (Known Exploited Vulnerabilities, bekannte ausgenutzte Sicherheitslücken) der CISA aufgenommen. Bei einer Schwachstelle, CVE-2024-37085 in ESXi, wurde beobachtet, dass sie die Ransomware Akira und Black Basta verbreitet. Die Virtualisierungslösungen von VMware sind für das globale IT-Ökosystem von entscheidender Bedeutung. In der Vergangenheit hat der Anbieter verkündet, dass über 80 Prozent der virtualisierten Arbeitslasten auf seiner Technologie laufen, darunter alle Fortune 500- und Fortune Global 100-Unternehmen.
CVE-2024-37085 (CVSS 6.8 Medium) wurde von Microsoft entdeckt, das enthüllte, dass ESXi von vornherein äußerst unsicher ist und jedem Benutzer in einer Active Directory (AD)-Domänengruppe mit dem Namen „ESX Admins“ standardmäßig ohne ordnungsgemäße Validierung vollen administrativen Zugriff gewährt. Nur für den Fall, dass Sie nicht glauben können, was Sie gerade gelesen haben, möchte ich klarstellen: Jeder Benutzer in einer beliebigen AD-Gruppe mit dem Namen „ESX Admins“ erhält volle Administratorrechte auf einer ESXi-Instanz – und zwar absichtlich. Wir sollten alle fassungslos sein und unter Schock stehen.
In Anbetracht der Tatsache, dass CVE-2024-37085 für Ransomware-Angriffe ausgenutzt wird, sollten Sie daran denken, dass die Erstellung sicherer Backups von ESXi-Hypervisor-Konfigurationen und virtuellen Maschinen sowie die Durchführung von Tabletop- und Funktionsprüfungen zu einer schnellen Wiederherstellung nach einem Ransomware-Angriff beitragen können. Das Schließen von Sicherheitslücken durch Scannen auf bekannte Schwachstellen und das Anwenden von Abhilfemaßnahmen können dazu beitragen, dass Ransomware-Angriffe gar nicht erst erfolgreich werden.
CVE-2022-22948 (CVSS 6.5 Medium), das ebenfalls aktiv ausgenutzt wird, ist ein weiterer „Insecure by design“-Fehler in VMware-Produkten, diesmal in vCenter Server, der durch unsachgemäße Standard-Dateiberechtigungen [CWE-276] verursacht wird und die Offenlegung sensibler Informationen ermöglicht.
Greenbone kann aktiv verwundbare Versionen von VMware ESXi und vCenter Server mit separaten Schwachstellentests für CVE-2024-37085 und CVE-2022-22948 erkennen, seit diese im Jahr 2022 erstmals veröffentlicht wurden.
Geballte Ladung an Cisco CVEs mit kritischen Schweregraden
Im Juli 2024 wurden insgesamt 12 Schwachstellen, zwei kritische und drei mit hohem Schweregrad, in 17 verschiedenen Cisco-Produkten aufgedeckt. CVE-2024-20399 in Cisco NX-OS wird aktiv ausgenutzt und wurde in den KEV-Katalog (Known Exploited Vulnerabilities, bekannte ausgenutzte Sicherheitslücken) der CISA aufgenommen. Die CISA verwies auch auf CVE-2024-20399 in einer im Juli veröffentlichten Warnung zu „Secure by Design“. Die Behörde rät Softwareherstellern, ihre Produkte auf Schwachstellen für die Eingabe von Betriebssystembefehlen zu untersuchen [CWE-78]. Greenbone enthält eine Remote-Versionsprüfung für das aktiv ausgenutzte CVE-2024-20399.
Hier eine Übersicht über die wichtigsten CVEs:
- CVE-2024-20399 (CVSS 6.7 Mittel): Eine Eingabe-Schwachstelle im Command Line Interface (CLI) von Ciscos NX-OS ermöglicht es, authentifizierten administrativen Benutzern, Befehle als Root auf dem zugrundeliegenden Betriebssystem (OS) auszuführen, da unzensierte Argumente an bestimmte Konfigurationsbefehle übergeben werden. CVE-2024-20399 kann nur von einem Angreifer ausgenutzt werden, der bereits privilegierten Zugriff auf die Schnittstelle in der Befehlszeile hat. Greenbone enthält eine Remote-Versionsprüfung für CVE-2024-20399.
- CVE-2024-20419 (CVSS 10 kritisch): Das Authentifizierungssystem von Cisco Smart Software Manager On-Prem (SSM On-Prem) ermöglicht es einem nicht authentifizierten Angreifer, remote das Passwort eines beliebigen Benutzers, einschließlich Administratoren, über HTTP-Anfragen zu ändern. Greenbone enthält einen Test zur Erkennung von Remote-Versionen für CVE-2024-20419.
- CVE-2024-20401 (CVSS 10 kritisch): Eine Schwachstelle in den Funktionen zum Scannen von Inhalten und Filtern von Nachrichten des Cisco Secure Email Gateway könnte es einem nicht authentifizierten, Angreifer ermöglichen, beliebige Dateien aus der Ferne auf dem Gerät über E-Mail-Anhänge zu überschreiben, wenn die Dateianalyse und die Inhaltsfilter aktiviert sind. CVE-2024-20401 erlaubt es Angreifern, Benutzer mit Root-Rechten zu erstellen, die Gerätekonfiguration zu verändern, beliebigen Code auszuführen oder das Gerät komplett zu deaktivieren. Greenbone kann anfällige Geräte erkennen, sodass Verteidiger die von Cisco empfohlenen Abhilfemaßnahmen anwenden können.
Weitere CVEs, die im Juli 2024 für führende Cisco-Produkte veröffentlicht wurden, umfassen:
|
CVE |
Produkt |
VT |
|
Cisco Expressway-Reihe |
||
|
Virtuelle Cisco Intersight-Anwendung |
||
|
Cisco Identity Services Engine (ISE) |
||
|
Cisco IOS XR-Software |
||
|
Sichere Web-Anwendung von Cisco |
||
|
Sicheres E-Mail-Gateway von Cisco |
||
|
Cisco Dual-WAN-Gigabit-VPN-Router |
ServiceNow: Datendiebstahl und Remote Code Execution
Mit Abschluss des Monats Juli wurden zwei kritische Sicherheitslücken in ServiceNow – CVE-2024-4879 und CVE-2024-5217 – in die KEV-Liste der CISA aufgenommen. Beide CVEs werden mit CVSS 9.8 als kritisch eingestuft. Am selben Tag, dem 10. Juli, wurde ServiceNow noch eine dritte zugewiesen: CVE-2024-5178 (CVSS 6.8 Medium). Die drei Sicherheitslücken werden von Angreifern miteinander verknüpft, um unauthentifizierte Remote Code Execution (RCE) zu erreichen. Die Daten von über 100 Opfern werden Berichten zufolge auf BreachForums verkauft, einer Plattform für den Austausch gestohlener Daten für Cyberkriminelle.
ServiceNow ist eine führende Plattform für das IT-Service-Management (ITSM), die Incident Management, Problem Management, Change Management, Asset Management und Workflow-Automatisierung umfasst und sich auch auf allgemeine Geschäftsmanagement-Tools wie Personalwesen, Kundenservice und Sicherheitsabläufe erstreckt. ServiceNow wird entweder als Software as a Service (SaaS) installiert oder von Unternehmen selbst gehostet. Shodan meldet etwa 20.000 gefährdete Instanzen online und Resecurity hat Angriffe auf Unternehmen des privaten Sektors und auf Regierungsbehörden weltweit beobachtet.
Greenbone hat Schwachstellentests (VTs) [1][2] für alle drei CVEs eingeführt, bevor die CISA auf aktive Exploits aufmerksam wurde. Hotfixes sind beim Hersteller erhältlich [3][4][5] und Kunden, die das System selbst hosten, sollten diese dringend anwenden.
Kritische Sicherheitslücke in den eCommerce-Plattformen Adobe Commerce und Magento
Adobe Commerce und Magento in den Versionen 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 und früher sind von der Sicherheitslücke CVE-2024-34102 (CVSS 9.8 kritisch) betroffen, die durch eine unzulässige Einschränkung der XML External Entity Reference (‚XXE‘) [CWE-611] entsteht. Ein Angreifer könnte die Schwachstelle ohne Benutzerinteraktion ausnutzen, indem er eine bösartige XML-Datei sendet, um sensible Daten innerhalb der Plattform zu lesen.
CVE-2024-34102 wird aktiv ausgenutzt und ein grundlegender Proof-of-Concept-Exploit-Code ist auf GitHub [1] verfügbar. Bösartiger Exploit-Code [2] für die CVE wurde aufgrund der Richtlinien gegen Malware ebenfalls von GitHub entfernt, aber Angreifer verbreiten ihn aktiv über Dark-Web-Foren und Hacker-Kanäle auf Telegram. Außerdem stieg der EPSS-Wert (Exploit Prediction Scoring System) der CVE vor ihrer Aufnahme in die CISA KEV an, was EPSS als Frühwarnmetrik für Schwachstellenrisiken anerkennt.
Magento ist eine Open-Source-PHP-basierte eCommerce-Plattform für kleine und mittlere Unternehmen. Adobe Commerce, das 2018 von Adobe übernommen wurde, ist im Wesentlichen die Enterprise-Version von Magento Open Source mit zusätzlichen Funktionen für größere Unternehmen. Da es sich um eine eCommerce-Plattform handelt, besteht das Risiko, dass Angreifer Zahlungskartendaten oder andere sensible personenbezogene Daten von Kunden einer Website stehlen und darüber hinaus kostspielige Ausfallzeiten aufgrund von Umsatzeinbußen für den Eigentümer der Website verursachen.
Greenbone enthält eine aktive Prüfung und Tests zur Erkennung von Schwachstellen (VTs), um anfällige Versionen dieser hochgefährlichen Schwachstelle zu identifizieren.
GeoServer: Hohes Risiko für RCE
Eine CVSS 9.8 kritische CVE wurde in GeoServer vor den Versionen 2.23.6, 2.24.4 und 2.25.2 gefunden. GeoServer ist eine Open-Source-Anwendung für die gemeinsame Nutzung, Bearbeitung und Anzeige von Geodaten. Die als CVE-2024-36401 verfolgte Schwachstelle wird aktiv ausgenutzt und kann zu beliebiger Remote Code Execution (RCE) führen. Der Exploit-Code ist öffentlich zugänglich [1][2], was das Risiko noch erhöht. CERT-EU hat eine Warnung für alle EU-Institutionen, Agenturen und Mitgliedsstaaten herausgegeben. Greenbone enthält Remote-Erkennungstests zur Identifizierung von CVE-2024-36401, so dass Benutzer der betroffenen GeoServer-Produkte benachrichtigt werden können.
Die Schwachstelle, die als Abhängigkeit von einer anfälligen Drittanbieterkomponente [CWE-1395] klassifiziert ist, liegt in der GeoTools-Komponente – einer Open-Source-Java-Bibliothek, die als Grundlage für verschiedene Geospatial-Projekte und -Anwendungen, einschließlich GeoServer, dient. Ähnlich wie sich Log4Shell auf eine unbekannte Anzahl von Anwendungen auswirkte, die die Log4j 2.x-Bibliothek verwenden, gilt das Gleiche für GeoTools. Verschiedene OGC (Open Geospatial Consortium) Request-Parameter (einschließlich WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic und WPS Execute Requests) verfallen einer RCE, da die GeoTools Bibliotheks-API unsichere Property/Attribute-Namen an die commons-jxpath Bibliothek weitergibt, die die Fähigkeit hat, beliebigen Code auszuführen [CWE-94].
Benutzer sollten auf die GeoServer-Versionen 2.23.6, 2.24.4 oder 2.25.2 aktualisieren, die einen Patch für dieses Problem enthalten. Diejenigen, die nicht aktualisieren können, können die Datei „gt-complex-<Version>.jar“ entfernen, um den anfälligen Code zu beseitigen, was jedoch die Funktionalität beeinträchtigen kann, wenn das gt-complex-Modul erforderlich ist.
Zusammenfassung
Im Juli 2024 wurden weniger Schwachstellen gemeldet, dennoch gab es erhebliche Bedrohungen. Insbesondere wurde beobachtet, dass CVE-2024-37085 in VMwares ESXi aufgrund von unsicheren Designfehlern für Ransomware-Angriffe ausgenutzt wird. Zu den neuen Schwachstellen von Cisco gehören CVE-2024-20399, die aktiv für die Einschleusung von Befehlen ausgenutzt wird, sowie zwei kritische Schwachstellen in den Produkten. Die CVEs von ServiceNow, darunter CVE-2024-4879 und CVE-2024-5217, werden zur Verbreitung von Ransomware und zum Datendiebstahl genutzt. CVE-2024-34102 von Adobe Commerce und CVE-2024-36401 von GeoServer stellen ebenfalls ein großes Risiko dar. Unternehmen müssen Patches, Schwachstellenmanagement und die Reaktion auf Vorfälle priorisieren, um diese Bedrohungen zu entschärfen.
