Attacken auf Sicherheitslecks in Cisco RV-Routern, WhatsUp Gold und Windows
Die CISA warnt vor laufenden Angriffen auf SicherheitslĂĽcken in Cisco RV-Routern, Hitachi Vantara, WhatsUp Gold und Windows.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Die US-amerikanische IT-Sicherheitsbehörde warnt vor beobachteten Angriffen auf Schwachstellen in Cisco RV-Routern, Hitachi Vantara, WhatsUp Gold und Windows. Die Lücken sind zum Teil bereits sieben Jahre alt, Updates zum Abdichten stehen bereit. IT-Verantwortliche sollten prüfen, ob in den betreuten Netzwerkumgebungen möglicherweise verwundbare Installationen oder Geräte bislang unentdeckt geblieben sind.
In der CISA-Warnung nennt die Behörde fünf Sicherheitslücken, von denen sie Kenntnis hat, dass sie derzeit aktiv angegriffen werden. In den Small-Business-Routern der RV-Serie von Cisco klaffte bis zu einem Update aus dem April 2023 in der webbasierten Verwaltungsoberfläche eine Sicherheitslücke, durch die authentifizierte Angreifer aus dem Netz beliebige Befehle ausführen können; das Senden sorgsam präparierter HTTP-Pakete genügt (CVE-2023-20118, CVSS 6.5, Risiko "mittel").
Drei weitere attackierte Produkte
In Hitachis Vantara Pentaho BA-Server greifen Kriminelle hingegen zwei Schwachstellen an. Eine LĂĽcke erlaubt die Umgehung der Autorisierung (CVE-2022-43939, CVSS 8.6, Risiko "hoch"), die andere erlaubt das Einschleusen "spezieller Elemente", genauer von Spring-Templates (CVE-2022-43769, CVSS 8.8, Risiko "hoch"). Auch diese LĂĽcken wurden im April 2023 gemeldet.
Die älteste, derzeit angegriffene Lücke betrifft die Win32k-Komponente von Windows, sie ermöglicht die Ausweitung der Rechte im System (CVE-2018-8639, CVSS 7.8, Risiko "hoch"). Betroffen waren Windows-Versionen bis Windows 10 und Windows Server 2019. In WhatsUp Gold von Progress hat der Hersteller Mitte vergangenen Jahres eine Sicherheitslücke gestopft, eine Directory-Traversal-Schwachstelle, durch die Angreifer ohne vorherige Anmeldung beliebigen Code einschleusen und ausführen konnten (CVE-2024-4885, CVSS 9.8, Risiko "kritisch").
Die CISA macht keine Angaben dazu, wie die Angriffe aussehen und in welchem Umfang sie stattfinden. Admins sollten jedoch prĂĽfen, ob sie die verwundbare Software noch im Einsatz haben, diese aktualisieren und auf potenzielle EinbrĂĽche untersuchen.
In der vergangenen Woche hatte die US-Behörde CISA bereits vor Attacken auf das Microsoft Partner Center und die Groupware Zimbra warnen müssen, die ins Visier von bösartigen Akteuren gelangten. Nur einen Tag davor gab es Hinweise der CISA zu laufenden Attacken auf Adobe Coldfusion und Oracle Agile PLM.
(dmk)