CISA warnt vor Angriffen auf WPS Office und VigorConnect
Die CISA warnt davor, dass Schwachstellen in WPS Office und VigorConnect in freier Wildbahn angegriffen werden. Updates stehen bereit.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell davor, dass in freier Wildbahn Sicherheitslücken in Kingsofts WPS Office und in Drayteks VigorConnect angegriffen werden. Aktualisierte Software steht bereit, die die ausgenutzten Schwachstellen ausbessert. IT-Verantwortliche sollten die Programme spätestens jetzt zügig auf den aktuellen Stand bringen.
Die CISA pflegt einen Katalog aktiv ausgenutzter Schwachstellen (Known Exploited Vulnerabilities) und hat diesem jetzt Lücken in WPS Office und VigorConnect hinzugefügt. Darauf wurden also kürzlich aktive Cyberangriffe beobachtet. Die CISA liefert leider keinerlei Details dazu, wie die Angriffe aussehen, welchen Umfang sie haben und wie eine erfolgreiche Ausnutzung der Lücke sich durch Admins erkennen ließe.
Junge und alte Lücken im Fokus der Angreifer
In Kingsofts WPS Office vor Version 12.2.0.16412 für Windows klafft eine Lücke, durch die Angreifer das Laden einer beliebigen Windows-Bibliothek erzwingen können. Ursache ist eine unzureichende Pfad-Prüfung in der Datei promecefpluginhost.exe (CVE-2024-7262, CVSS 9.3, Risiko "kritisch"). Die Lücke wurde Mitte August dieses Jahres entdeckt und geschlossen. Offenbar wurde diese Lücke als "Ein-Klick-Exploit" mit einem sorgsam präparierten Tabellen-Dokument missbraucht.
Außerdem haben Kriminelle ältere Schwachstellen in Drayteks Netzwerk-Verwaltungssoftware VigorConnect angegriffen. Die Sicherheitslücken ermöglichen Angreifern, beliebige Dateien mit root- respektive Admin-Rechten vom unterliegenden Betriebssystem – Linux oder Windows – herunterzuladen, beispielsweise /etc/passwd oder win.ini, erläutert tenable in einer Warnung. Ohne vorherige Anmeldung war das durch den WebServlet-Endpunkt (CVE-2021-20124, CVSS 7.5, Risiko "hoch") und durch den DownloadFileServlet-Endpunkt (CVE-2021-20123, CVSS 7.5, hoch) möglich. Die Lücken wurden in VigorConnect 1.6.0-B3 entdeckt, Version 1.6.1 aus dem Oktober 2021 schließt sie. Wer noch derart alte Verwaltungssoftware einsetzt, sollte sie daher unbedingt auf neueren Stand bringen.
Ende vergangener Woche wurde bekannt, dass Sicherheitslücken in Avtech-IP-Kameras angegriffen wurden. Die Drahtzieher haben sie dabei zu Drohnen des Mirai-Botnets gemacht.
(dmk)