Alert!

CISA warnt vor vier aktiv angegriffenen Sicherheitslücken

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt davor, dass Angreifer vier Sicherheitslücken missbrauchen. Admins sollten handeln.

14

(Bild: Gorodenkoff/Shutterstock.com)

08.11.2024, 08:25 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die US-amerikanische IT-Sicherheitsbehörde CISA hat vier Sicherheitslücken neu in den Known-Exploited-Vulnerabilitites-Katalog aufgenommen. Dort sammelt die Behörde Schwachstellen, auf die Angriffe in freier Wildbahn beobachtet wurden. IT-Verantwortliche sollten daher prüfen, ob die dort gelisteten Sicherheitslücken in ihren Organisationen geschlossen wurden.

Die CISA schreibt in ihrer Ankündigung, dass jetzt Sicherheitslecks in Android, Cyberpanel, Nostromo nhttpd und Palo Alto Expedition attackiert wurden. Von zwei der genannten Schwachstellen war das bereits zuvor bekannt. Die November-Patchsammlung zum Android Patchday brachte bereits ein Update mit, das die Sicherheitslücke in der Google-Docs-Bedienoberfläche schließt und von der Google dort berichtete, dass sie angegriffen wurde (CVE-2024-43093).

Missbrauchte Schwachstellen

In der Vorwoche wurden zudem Angriffe auf Server bekannt, auf denen Cyberpanel installiert ist. Die Cybergang Psaux steckt hinter den Attacken auf die kritische Sicherheitslücke CVE-2024-51567 und ist rund 22.000 Instanzen angegangen. Vor einer Schwachstelle in Palo Altos Migrationswerkzeug Expedition hatte der Hersteller bereits im Juli dieses Jahres gewarnt. Die Lücke mit dem CVE-Eintrag CVE-2024-5910 gilt ebenfalls als kritisch und ermöglicht die Kompromittierung von Netzwerken. Der Fehler liegt in einer fehlenden Authentifizierung, die die Übernahme des Expedition-Admin-Kontos ermöglicht.

Die vierte in Angriffen beobachtete Sicherheitslücke betrifft den Nostromo nhttpd-Server. Sie wurde bereits 2019 gemeldet, Updates zum Stopfen des Sicherheitslecks stehen seitdem bereit. In freier Wildbahn haben bösartige Akteure nun die Directory-Traversal-Lücke missbraucht, die in der Funktion http_verify der Software steckt und das Ausführen von eingeschleustem Schadcode führen kann – dazu reicht das Senden sorgsam präparierter HTTP-Anfragen (CVE-2019-16278, CVSS 9.8, Risiko "kritisch").

Die CISA erläutert nicht, wie die beobachteten Angriffe aussehen, in welchem Umfang sie stattfinden oder wie Admins eine Attacke erkennen können. IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen und falls dem so ist, schnellstmöglich die verfügbaren Sicherheitsupdates anwenden.