CISA warnt vor Angriffen auf Hikvision, Rockwell Automation und Apple-Produkte

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die oberste IT-Sicherheitsbehörde der Vereinigten Staaten, CISA, warnt vor aktuell beobachteten Angriffen auf Hikvision, Rockwell Automation und Apple-Produkte. Die attackierten Sicherheitslücken sind zum Teil fast ein Jahrzehnt alt.

In der Warnmeldung schreibt die CISA, dass Angriffe etwa auf eine Schwachstelle in Hikvision-Überwachungskameras beobachtet wurden. Es handelt sich um Unzulänglichkeiten in der Authentifizierung, wodurch Unbefugte ihre Rechte ausweiten und Zugriff auf sensible Informationen erlangen können (CVE-2017-7921, CVSS [3.0] 10.0, Risiko „kritisch“). Updates von Hikvision stehen seit 2017 bereit, die die Schwachstellen ausbessern.

Die CISA-Warnung zu Hikvision hat offenbar einen aktuellen geopolitischen Hintergrund. Wie Check Point Research in einem Beitrag schreibt, scannen mutmaßlich iranische Akteure seit Ende Februar massiv die IP-Adressräume in Staaten wie Israel, Katar und den Vereinigten Arabischen Emiraten. Sie suchen nach Kameras one Patches für vier Lücken, darunter CVE-2017-7921. Die Sicherheitsforscher mutmaßen, dass der Iran deren Bildaufnahmen für Propaganda- und Zielfindungszwecke mißbrauchen wolle. Ein ähnliches Vorgehen seitens CIA und Mossad beim tödlichen Angriff auf den iranischen Machthaber Ali Khamenei skizzierte die Financial Times in einem Artikel.

Kriminelle missbrauchen zudem Schwachstellen in Rockwell Automation Logix Controllern. Nicht authentifizierte Nutzer aus dem Netz können die Anmeldung umgehen und auf Logix-Controller zugreifen. Mit weiteren Tools können sie die Konfiguration oder den auf den Maschinen laufenden Code manipulieren, also Schadcode einschleusen – auch hier steht seit 2021 eine Anleitung zur Korrektur bereit, wie IT-Admins die Lücken in den Produkten stopfen. Tückisch ist hierbei, dass Rockwell zwar rät, Updates zu installieren. Allerdings genügen die nicht, um die Lücke zu schließen. CISA nennt weitere, unbedingt von Admins zu ergreifende Gegenmaßnahmen, um die Gefahr durch die Schwachstelle zu bannen (CVE-2021-22681, CVSS 9.8, Risiko „kritisch“).

Diverse ältere Apple-Schwachstellen unter Beschuss

Mehrere ältere Sicherheitslücken in diversen Apple-Produkten stehen ebenfalls unter Beschuss. Sie erlauben den Tätern, Schadcode aus dem Netz einzuschleusen und auszuführen. Die CISA nennt die nicht im Detail erläuterten Schwachstellen CVE-2021-30952 (CVSS 8.8, Risiko „hoch“), CVE-2023-41974 (CVSS 7.8, Risiko „hoch“) und CVE-2023-43000 (CVSS 8.8, Risiko „hoch“). Die Betriebssysteme tvOS 15.2, macOS Monterey 12.1, Safari 15.2, iOS 15.2 und iPadOS 15.2 sowie watchOS 8.3 schließen die erste Lücke, iOS 17 und iPadOS 17 die zweite und schließlich macOS Ventura 13.5, iOS 16.6 und iPadOS 16.6, Safari 16.6 die letzte aufgezählte Sicherheitslücke.

Die CISA berichtet lediglich von attackierter Software. In welchem Umfang die Angriffe stattfinden oder wie sie konkret ablaufen, erörtert die Behörde nicht. Somit gibt es keine Tipps für Admins, wie sie Hinweise auf Angriffe (Indicators of Compromise, IOC) erkennen können. Erst am Mittwoch dieser Woche hatte die CISA vor Angriffen auf Sicherheitslücken in VMware Aria Operations gewarnt.

(dmk)