Attacken auf Android-Kernel, Apache OfBiz und Progress WhatsUp
Auf Sicherheitslücken im Android-Kernel, Apache OfBiz und Progress WhatsUp finden inzwischen Angriffe in freier Wildbahn statt.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Kriminelle nehmen Sicherheitslücken im Android-Kernel, Apache OfBiz und Progress WhatsUp ins Visier und greifen sie aktiv an. IT-Verantwortliche sollten Updates zügig anwenden, wo sie verfügbar sind.
Die US-amerikanische IT-Sicherheitsbehörde CISA hat Schwachstellen im Android-Kernel und Apache OfBiz in den Known Exploited Vulnerabilities-Katalog (KEV) aufgenommen. Das bedeutet, dass Angriffe darauf beobachtet wurden. Details oder etwaige Hinweise, wie diese Angriffe aussehen, nennt die Behörde jedoch nicht.
Lücken in Android-Kernel und Apache OfBiz attackiert
Bereits am Dienstag dieser Woche hatte Google zum Android-Patchday gemeldet, dass eine Lücke im Android-Kernel angegriffen wurde (CVE-2024-36971, CVSS 7.8, Risiko "hoch"). Inzwischen ist eine Schwachstellenbeschreibung beim NIST verfügbar. Im Netzwerkcode kann demnach eine Use-after-free-Lücke aufgrund nicht strikt eingehaltener "Read, Copy, Update"-Regeln (RCU) auftreten, die Angreifer laut Google aus der Ferne ausnutzen können. Sofern aktualisierte Firmware-Versionen für die genutzten Smartphones verfügbar sind, sollten diese daher rasch installiert werden.
Eine Sicherheitslücke in der quelloffenen Enterprise-Resource-Planning-Software (ERP) Apache OfBiz ermöglicht Angreifern Einschleusen und Ausführen von Schadcode aus dem Netz. Es handelt sich um eine Path-Traversal-Lücke aufgrund unzureichender Begrenzung von Pfaden auf beschränkte Verzeichnisse (CVE-2024-32113, kein CVSS-Wert, Einstufung von Apache als "kritisch"). Daher sollten IT-Verantwortliche auf die korrigierte Version Apache OfBiz 18.12.13 oder besser gleich auf 18.12.15 und neuer aktualisieren, die eine weitere kritische Lücke stopft.
Angriffe auf Progress WhatsUp
Die Shadowserver Foundation meldet zudem, dass Proof-of-Concept-Exploits für eine kritische Sicherheitslücke in der Monitoring-Software Progress WhatsUp Gold verfügbar sind und die Schwachstelle ebenfalls bereits aktiv angegriffen wird.
Es handelt sich um eine von mehreren kritischen Sicherheitslücken, die die Version WhatsUp Gold 2023.1.3 von Ende Juni abdichtet. Die Funktion WhatsUp.ExportUtilities.Export.GetFileWithoutZip ermöglicht Angreifern aus dem Netz ohne vorherige Authentifizierung, Befehle mit den Rechten von iisapppool\\nmconsole auszuführen (CVE-2024-4885, CVSS 9.8, kritisch). Hier hat die Shadowserver Foundation unbefugte Zugriffsversuche auf den /NmAPI/RecurringReport-Endpunkt beobachtet. Das Summoning-Team liefert eine detaillierte Analyse der Schwachstelle.
Admins sollten die verfügbaren Updates anwenden, da sie neben den bereits angegriffenen Schwachstellen auch zahlreiche weitere mit großem Gefährdungspotenzial schließen.
(dmk)
