CISA warnt: Acht Jahre alte Lücke in ImageMagick und weitere angegriffen

Die US-amerikanische IT-Sicherheitsbehörde CISA hat drei aktuell aktiv angegriffene Sicherheitslücken in den "Known Exploited Vulnerabilities"-Katalog (KEV) aufgenommen. Eine davon ist bereits seit acht Jahren bekannt und betrifft die Bildverarbeitung ImageMagick, eine weitere haben die Kernel-Entwickler in Linux bereits vor sieben Jahren geschlossen. Auch die SonicOS- und SSLVPN-Lücke in Sonicwall-Produkten haben die Mitarbeiter in den Katalog aufgenommen.

Die CISA warnt vor den neu aktiv angegriffenen Sicherheitslücken. Die Aufnahme in den Katalog ist eng verknüpft mit der Anweisung an US-Bundesbehörden, die betreffenden Sicherheitslücken innerhalb von drei Wochen abzudichten. Aber auch andere Einrichtungen und Unternehmen sind gut beraten, dort gelistete Schwachstellen schnellstmöglich auszubessern.

Acht Jahre alte Sicherheitslücke

ImageMagick ist eine skriptbare Bildverarbeitung, die als Dritthersteller-Komponente auch von vielen anderen Produkten eingesetzt und mitgebracht wird. Dabei kann es dazu kommen, dass IT-Verantwortliche übersehen, dass sie aufgrund der Lieferkette veraltete und verwundbare Software auf ihren Systemen einsetzen. Die Schwachstelle betrifft sogenannte Coder in ImageMagick vor Version 6.9.3-10 respektive 7.0.1-1 und ermöglichen Angreifern, beliebigen Code durch in manipulierte Bilder eingebettete Shell-Meta-Zeichen auszuführen – die Lücke wurde auch als ImageTragick bekannt (CVE-2016-3714).

Aber auch alte, ungepatchte Linux-Kernel können zur Gefahr werden. Angreifer stürzen sich in freier Wildbahn auf einen Programmfehler, dessen Patch zum Korrigieren bereits im Mai 2015 in den Kernel 3.10.77 zurückportiert, jedoch erst im Oktober 2017 als Sicherheitsleck identifiziert wurde (CVE-2017-1000253). Es handelt sich um eine dadurch mögliche lokale Rechteausweitung aufgrund von potenziellem Speicherchaos auf dem Stack, wie Qualys in einer Beschreibung ausführt. Wer solch alte Kernel im Einsatz hat, sollte zumindest die verfügbaren Sicherheitspatches anwenden und den Kernel neu kompilieren.

SonicOS angegriffen

Bereits am Montag wurde bekannt, dass eine kritische Sicherheitslücke in SonicOS und dem SSLVPN aktiv angegriffen werden (CVE-2024-40766). Auch das hat die CISA nun durch die Aufnahme in den KEV dokumentiert und das zügige Update ins Pflichtenheft der US-Behörden geschrieben. Während die CISA keine weiterführenden Informationen liefert, wie Angriffe auf Schwachstellen konkret aussehen und wie die zu erkennen sind, hat Arctic Wolf bei Analysen herausgefunden, dass mit der Akira-Ransomware Verbündete die Lücke angegriffen haben. Sie kompromittierten demnach SSLVPN-Nutzerkonten. Diese waren lokal auf den Sonicwalls, aber nicht etwa mit einer zentralen Authentifizierungssoftware wie Microsofts Active Directory verknüpft. Bei kompromittierten Konten haben die bösartigen Akteure die Multifaktorauthentifzierung deaktiviert. Nach dem initialen Zugriff durch das SSLVPN kam dann die Ransomware zum Einsatz.

IT-Verantwortliche sollten prüfen, ob eingesetzte Software veraltete und verwundbare Komponenten mitbringen und schauen, ob sich diese aktualisieren lassen. Bereitstehende Patches sollten für die eingesetzten Linux-Kernel angewendet und verfügbare Softwareflicken auf die verwundbaren Sonicwall-Systeme installiert werden.

(dmk)