CISA-Warnung: Attacken auf GoAnywhere MFT, Intel-Treiber und TerraMaster TOS

Die US-amerikanische Cyber-Sicherheitsbehörde warnt vor drei Sicherheitslücken, die derzeit vermehrt von Cyber-Kriminellen angegriffen werden. Die Lücken stehen jetzt im Known-Exploited-Vulnerabilities-Katalog. Dadurch müssen US-Behörden die Lücken bis zum März abgedichtet haben. Aber auch Organisationen in anderen Regionen sind gut beraten, die bereitstehenden Aktualisierungen herunterzuladen und zu installieren.

Angriffswarnung: Drei Sicherheitslücken, eine davon sehr alt

Die Sicherheitslücken, die Cyber-Kriminelle jetzt zur Kompromittierung von Systemen missbrauchen, sind teils schon sehr alt. Die jüngste davon wurde etwa vergangene Woche bekannt und bekam da einen Notfallpatch: Die On-Premise-Versionen des Datei-Austausch-Dienstes GoAnywhere MFT von Fortra hatten eine Schwachstelle. Sie ermöglichte Angreifern das Ausführen von Schadcode auf verwundbaren Servern (CVE-2023-0669, noch kein CVSS-Wert, noch keine Risikoeinstufung). Die Cybergang hinter der cl0p-Malware behauptet, inzwischen in mehr als 130 Einrichtungen durch die Zero-Day-Lücke eingebrochen zu sein.

Die zweitjüngste Schwachstelle betrifft das Betriebssystem von TerraMaster-NAS-Geräten. Der Chipsatzhersteller Broadcom hat Angriffe auf TerrMaster TOS in Version 4.2.29 gemeldet. Bereits seit März 2022 ist die Schwachstelle bekannt, durch die Cyber-Kriminelle ohne Anmeldung aus dem Netz eigene Befehle an das Betriebssystem durchreichen und so die Kontrolle über betroffene Geräte übernehmen konnten (CVE-2022-24990, kein CVSS-Wert, keine Risiko-Einschätzung verfügbar). Patches dagegen sind ab TerraMaster TOS 4.2.31 verfügbar.

Die älteste derzeit angegriffene Schwachstelle stammt aus dem Jahr 2015. Sie findet sich in Intels Ethernet Diagnostics Driver for Windows, namentlich in IQVW32.sys und IQVW64.sys. Durch eine nicht ausreichende Prüfung von Eingabepuffern bei der Verarbeitung mehrerer IOCTL-Routinen können Angreifer möglicherweise Code im Kernel-Bereich ausführen (CVE-2015-2291, CVSS 7.8, Risiko "hoch"). Auch hierfür stehen Aktualisierungen bereit, die die Lücke schließen.

Durch die Aufnahme in den Known-Exploited-Vulnerabilites-Katalog verpflichtet die CISA US-amerikanische Behörden dazu, die genannten Sicherheitslücken innerhalb kurzer Zeit abzudichten. In diesen Fällen bleibt den Behörden bis zum 03. März Zeit, dem nachzukommen. Die Informationen über aktiv angegriffene Schwachstellen sollte jedoch auch für Organisationen im deutschsprachigen Raum der Weckruf sein, Maßnahmen zum Schutz verwundbarer Systeme zu ergreifen, wie das Anwenden der verfügbaren Aktualisierungen.

Andernfalls laufen sie Gefahr, etwa Opfer von Ransomware zu werden. Dies geschah jüngst vermehrt durch eine alte Lücke in VMware, die Angreifer in weltweiten Cyber-Attacken zum Befall von Systemen missbraucht hatten.

(dmk)