Angriffe auf Lücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic
Angreifer nutzen Sicherheitslücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic aus, um Zugriff auf Netzwerke von Opfern zu erlangen.
Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass Cyberkriminelle aktiv Sicherheitslücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic missbrauchen. Die ermöglichen ihnen, in Netzwerke von Opfern einzubrechen und sich einzunisten. Updates zum Schließen der Lücken stehen bereit.
CISA: Alte Lücke missbraucht - aber auch sehr junge
Eine der missbrauchten Sicherheitslücken betrifft Apache Log4j2. Im Zuge der Versuche, die Log4Shell-Lücke Ende 2021 [1] zu schließen, kam es zu unvollständigen Korrekturen. Die Schwachstelle CVE2021-45046 gehört dazu, sie galt damals als wenig riskant [2] – die Risikobewertung mit CVSS 3.7 landete bei "niedrig". Inzwischen wurde sie auf CVSS 9.0, Risiko "kritisch", heraufgestuft. In aktuellen Versionen [3] ist die Lücke geschlossen.
Im WLAN-Router TP-Link Archer AX21 klafft eine Mitte März entdeckte Schwachstelle, die nicht angemeldeten Angreifern durch das einfache Senden einer präparierten HTTP-Post-Anfrage das Einschleusen und Ausführen von Befehlen als root-Benutzer erlaubt (CVE-2023-1389, CVSS 8.8, hoch). Nicht angemeldete Angreifer aus dem Netz missbrauchen zudem eine Lücke im Oracle Weblogic Server – Teil der Oracle Fusion Middleware –, um Instanzen zu kompromittieren (CVE-2023-21839, CVSS 7.5, hoch).
Zum Schließen der Lücke stehen Aktualisierungen bereit. IT-Verantwortliche sollten sie zügig anwenden – für Apache und Oracle über die gewohnten und geübten Wege. Die Firmware-Version 1.1.4 Build 20230219 für den Archer AX21 soll die Lücke abdichten; sie ist auf der Webseite von TP-Link zum Download [4] verfügbar.
Die CISA hat aktive Angriffe auf die Sicherheitslücken beobachtet und sie daher in den Known-Exploited-Vulnerabilities-Katalog aufgenommen [5].
(dmk [6])
URL dieses Artikels:
https://www.heise.de/-8984237
Links in diesem Artikel:
[1] https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html
[2] https://www.heise.de/news/Log4j-2-16-0-verbessert-Schutz-vor-Log4Shell-Luecke-6294053.html
[3] https://logging.apache.org/log4j/2.x/security.html
[4] https://www.tp-link.com/us/support/download/archer-ax21/#Firmware
[5] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[6] mailto:dmk@heise.de
Copyright © 2023 Heise Medien