Angriffe auf Lücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass Cyberkriminelle aktiv Sicherheitslücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic missbrauchen. Die ermöglichen ihnen, in Netzwerke von Opfern einzubrechen und sich einzunisten. Updates zum Schließen der Lücken stehen bereit.

CISA: Alte Lücke missbraucht - aber auch sehr junge

Eine der missbrauchten Sicherheitslücken betrifft Apache Log4j2. Im Zuge der Versuche, die Log4Shell-Lücke Ende 2021 zu schließen, kam es zu unvollständigen Korrekturen. Die Schwachstelle CVE2021-45046 gehört dazu, sie galt damals als wenig riskant – die Risikobewertung mit CVSS 3.7 landete bei "niedrig". Inzwischen wurde sie auf CVSS 9.0, Risiko "kritisch", heraufgestuft. In aktuellen Versionen ist die Lücke geschlossen.

Im WLAN-Router TP-Link Archer AX21 klafft eine Mitte März entdeckte Schwachstelle, die nicht angemeldeten Angreifern durch das einfache Senden einer präparierten HTTP-Post-Anfrage das Einschleusen und Ausführen von Befehlen als root-Benutzer erlaubt (CVE-2023-1389, CVSS 8.8, hoch). Nicht angemeldete Angreifer aus dem Netz missbrauchen zudem eine Lücke im Oracle Weblogic Server – Teil der Oracle Fusion Middleware –, um Instanzen zu kompromittieren (CVE-2023-21839, CVSS 7.5, hoch).

Zum Schließen der Lücke stehen Aktualisierungen bereit. IT-Verantwortliche sollten sie zügig anwenden – für Apache und Oracle über die gewohnten und geübten Wege. Die Firmware-Version 1.1.4 Build 20230219 für den Archer AX21 soll die Lücke abdichten; sie ist auf der Webseite von TP-Link zum Download verfügbar.

Die CISA hat aktive Angriffe auf die Sicherheitslücken beobachtet und sie daher in den Known-Exploited-Vulnerabilities-Katalog aufgenommen.

(dmk)