Lücken in FortiClient, Kemp Loadmaster, PAN-OS und VMware vCenter attackiert

Aktuell kommt es zu vermehrten Angriffen auf Sicherheitslücken in weiter verbreiteter Soft- und Hardware. Neue Warnungen vor beobachteten Attacken in freier Wildbahn auf Schwachstellen in FortiClient, Kemp Loadmaster, PAN-OS und VMware vCenter haben die Hersteller oder Behörden herausgegeben.

Die US-amerikanische IT-Sicherheitsbehörde CISA etwa warnt davor, dass zwei Sicherheitslücken in Palo Alto Networks PAN-OS aktiv missbraucht werden (CVE-2024-0012, CVE-2024-9474). Um diese Lücken gab es in den vergangenen Tagen jedoch bereits Aufregung. Hierfür stehen offenbar Updates bereit, die Lücken zu schließen – am Montag war das noch nicht der Fall. Außerdem greifen bösartige Akteure eine Codeschmuggel-Lücke im Loadbalancer Kemp Loadmaster an, für die sie nicht einmal eine Authentifizierung benötigen (CVE-2024-1212, CVSS 10.0, Risiko "kritisch"). Der Hersteller Progress hat dafür bereits im Februar Software-Updates zum Schließen der Lücke veröffentlicht.

Broadcom aktualisiert Sicherheitsmitteilung zu vCenter Server

Zwei Sicherheitslücken in VMware vCenter Server hat Broadcom im September mit einem Update geschlossen. Eine davon gilt als kritisch und ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen. Die zweite Lücke erlaubt Angreifern, ihre Rechte im System auszuweiten. Genau das machen Cyberkriminelle derzeit. In der Sicherheitsmitteilung schreibt Broadcom mit einer Aktualisierung vom Montag dieser Woche: "VMware by Broadcom bestätigt, dass aktiver Missbrauch in freier Wildbahn für CVE-2024-38812 aufgetreten ist". Dasselbe wiederholt der Hersteller für die Lücke CVE-2024-38813. Es gab zudem ein weiteres Problem mit den Updates aus dem September, sie haben die Sicherheitslücken nicht ausreichend ausgebessert. Am 21. Oktober haben die Entwickler daher nochmals aktualisierte Patches veröffentlicht. IT-Verantwortliche, die vor diesem Datum das Update instaliiert haben und sich sicher wähnen, sollten dennoch aktiv werden und den korrekten Fix anwenden.

Vom Wochenende stammt noch eine Warnung vor einer Sicherheitslücke in dem Windows-VPN-Client Forticlient von Fortinet. Bei der Analyse einer Malware im Juli dieses Jahres stießen die IT-Sicherheitsforscher von Volexity auf eine Schwachstelle im Forticlient 7.4.0. Der VPN-Client behält Zugangsdaten auch nach der Authentifizierung im VPN im Prozessspeicher. Die mutmaßlich chinesischen Angreifer haben diese Zero-Day-Lücke im südostasiatischen Raum missbraucht. "Volexity hat die Schwachstelle am 18. Juli 2024 an Fortinet gemeldet, und Fortinet bestätigte das Problem am 24. Juli 2024. Zum Mitteilungszeitpunkt bleibt das Problem ungelöst und Volexity hat keine Kenntnis einer zugeteilten CVE-Schwachstellennummer", schreiben die Forscher am 15. November. Zum Schutz sollen Admins die Hinweise für einen Angriff (IOCs) blockieren, die Volexity hier gesammelt hat. Die IT-Forscher stellen zudem YAR-Regeln bereit, die IT-Verantwortliche einsetzen können.

(dmk)