CERT.at - WarnungenDieser Feed beinhaltet alle Warnungen von www.CERT.atUpdate #1: Kritische Sicherheitslücken in Fortinet FortiOS, Updates verfügbarCERT.at2024-03-18T16:39:43Z2024-02-09T09:17:00Z<p class="block">09. Februar 2024</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Fortinet hat zwei kritische Security Advisories veröffentlicht. Beide Security Advisories behandeln Sicherheitslücken, die es unauthentifizierten Angreifer:innen erlauben, Code auf betroffenen Geräten auszuführen. Fortinet gibt bezüglich einer dieser Sicherheitslücken an, dass diese potentiell bereits aktiv für Angriffe ausgenutzt wird.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #1: 18. März 2024:</strong></p>
<p><a title="https://www.assetnote.io/resources/research/two-bytes-is-plenty-fortigate-rce-with-cve-2024-21762" href="https://www.assetnote.io/resources/research/two-bytes-is-plenty-fortigate-rce-with-cve-2024-21762" target="_blank">Exploit-Code</a> wurde veröffentlicht, es wird bereits über <a title="https://www.linkedin.com/feed/update/urn:li:activity:7175453149594324992/" href="https://www.linkedin.com/feed/update/urn:li:activity:7175453149594324992/" target="_blank">vermehrte Ausnutzung</a> berichtet.</p>
</div>
<p class="block">CVE-Nummer(n): CVE-2024-21762, CVE-2024-23113</p>
<p class="block">CVSS Base Score: 9.8 (CVE-2024-23113) beziehungsweise 9.6 (CVE-2024-21762)</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf betroffenen Geräten beliebigen Code ausführen. Da diese Geräte auch für VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des VPN-Verkehrs nicht auszuschließen. Des Weiteren sind alle durch das VPN erreichbaren Systeme entsprechend gefährdet.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block"> CVE-2024-21762:</p>
<ul>
<li>FortiOS 7.4.0 - 7.4.2</li>
<li>FortiOS 7.2.0 - 7.2.6</li>
<li>FortiOS 7.0.0 - 7.0.13</li>
<li>FortiOS 6.4.0 - 6.4.14</li>
<li>FortiOS 6.2.0 - 6.2.15</li>
<li>FortiOS 6.0 all versions</li>
</ul>
<p class="block"> CVE-2024-23113:</p>
<ul>
<li class="block">FortiOS 7.4.0 - 7.4.2</li>
<li class="block">FortiOS 7.2.0 - 7.2.6</li>
<li class="block">FortiOS 7.0.0 - 7.0.13</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der entsprechend fehlerbereinigten Firmware-Versionen.</p>
<p class="block">Da Fortinet angibt, dass potentiell zumindest eine dieser Sicherheitslücken bereits aktiv für Angriffe ausgenutzt wird, sollte jedenfalls auch eine bereits stattgefundene Kompromittierung von über das öffentliche Internet erreichbaren Gerät in Betracht gezogen werden.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #1: 18. März 2024:</strong></p>
<p><a title="https://bishopfox.com/blog/cve-2024-21762-vulnerability-scanner-for-fortigate-firewalls" href="https://bishopfox.com/blog/cve-2024-21762-vulnerability-scanner-for-fortigate-firewalls" target="_blank">Bishop Fox</a> hat einen Vulnerability Scanner für FortiGate Firewalls auf <a title="https://github.com/BishopFox/cve-2024-21762-check" href="https://github.com/BishopFox/cve-2024-21762-check" target="_blank">Github</a> veröffentlicht.</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Fortinet PSIRT Advisory FG-IR-24-015 - FortiOS - Out-of-bound Write in sslvpnd<br /> <a title="Fortinet PSIRT Advisory FG-IR-24-015 - FortiOS - Out-of-bound Write in sslvpnd" href="https://www.fortiguard.com/psirt/FG-IR-24-015">https://www.fortiguard.com/psirt/FG-IR-24-015</a></em></p>
<p class="block"><em>Fortinet PSIRT Advisory FG-IR-24-029 - FortiOS - Format String Bug in fgfmd<br /><a title="Fortinet PSIRT Advisory FG-IR-24-029 - FortiOS - Format String Bug in fgfmd" href="https://www.fortiguard.com/psirt/FG-IR-24-029">https://www.fortiguard.com/psirt/FG-IR-24-029</a><br /></em></p>CERT.at2024-02-09T09:17:00ZUpdate #6: Kritische Sicherheitslücken in Ivanti Connect Secure und Ivanti Policy Secure - aktiv ausgenützt - Patches verfügbarCERT.at2024-03-04T14:06:46Z2024-01-11T11:58:00Z<p class="block">11. Jänner 2024</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Sicherheitsforscher:innen haben in Produkten der Firma Ivanti zwei schwere Sicherheitslücken entdeckt, deren kombinierte Ausnutzung eine vollständige Kompromittierung des Systems über offen erreichbare Interfaces ermöglicht.</p>
<p class="block">Die Schwachstellen werden bereits durch gezielt agierende Angreifer:innen ausgenutzt. Es ist davon auszugehen, dass zeitnah massenweise Ausnutzungsversuche erfolgen werden.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #1: 19. Jänner 2024:</strong></p>
<p>Volexity, sowie weitere unabhängige Sicherheitsunternehmen, beobachten seit zumindest 15. Jänner die großflächige Ausnutzung von CVE-2023-46805 und CVE-2024-21887 durch unterschiedliche Akteure. Wenn die zur Verfügung stehende Mitigation auf Ihrer Ivanti Connect Secure-Instanz noch nicht eingespielt wurde, ist potenziell von einer bereits erfolgten Kompromittierung auszugehen.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #3: 24. Jänner 2024:</strong></p>
<p class="block">Mandiant und Volexity berichten davon, Exploits gegen diese Sicherheitslücken bereits Anfang Dezember 2023 beobachtet zu haben. Es empfiehlt sich daher, gegebenenfalls den Zeitraum etwaiger Untersuchungen auf stattgefundene Angriffsversuche zumindest bis inklusive Dezember 2023 auszudehnen.</p>
</div>
<p class="block">CVE-Nummer(n): CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893</p>
<p class="block">CVSS Base Score: 9.1</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Betroffen sind alle aktuell vom Hersteller unterstützten Versionen von Ivanti Connect Secure (vormals Pulse Connect Secure) und Ivanti Policy Secure. Konkret handelt es sich dabei um folgende Versionsreihen:</p>
<ul>
<li class="block">9.x</li>
<li class="block">22.x</li>
</ul>
<p class="block">Der Hersteller macht keine Angaben zu Versionen, die nicht mehr unterstützt werden. Es ist aber nicht auszuschließen, dass auch diese Versionen betroffen sind.</p>
<h2 class="block">Abhilfe</h2>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #4: 31. Jänner 2024:</strong></p>
<p class="block">Ivanti stellt inzwischen für Teile der Produktreihe Patches über ihr Kundenportal (Login benötigt) für Ivanti Connect Secure (Versionen 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 und 22.5R1.1) und ZTA version 22.6R1.3. zur Verfügung.<br />Es wird empfohlen die Patches umgehend einzuspielen.</p>
<p class="block">Eine Mitigation für eine weitere neue Schwachstelle (CVE-Nummer unbekannt), die von den Patches ebenso abgedeckt wird, kann vom <a href="https://success.ivanti.com/customers/Community_RegStep1_Page?inst=UL&startURL=%2Fservlet%2Fnetworks%2Fswitch%3FnetworkId%3D0DB1B000000PBGy%26startURL%3D%2Fs%2Farticle%2FCVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure">Ivanti-Portal</a> (Login benötigt) bezogen werden.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #5: 31. Jänner 2024:</strong></p>
<p class="block">Ivanti hat ihr Advisory erneut verändert. Es werden nun zwei neue CVE-Nummern (CVE-2024-21888, CVE-2024-21893) aufgeführt und auf Mitigationsmaßnahmen verwiesen.<br />Die verfügbaren Patches sollen diese zwei neuen Schwachstellen ebenso schließen.<br />Ivanti gibt den Hinweis: <em>"Out of an abundance of caution, we are recommending as a best practice that customers factory reset their appliance before applying the patch to prevent the threat actor from gaining upgrade persistence in your environment."<br /></em><a href="https://www.cisa.gov/news-events/alerts/2024/01/30/new-mitigations-defend-against-exploitation-ivanti-connect-secure-and-policy-secure-gateways">CISA weist darauf hin</a>, dass es Fälle gibt, in denen das externe Integritätswerkzeug eine erfolgte, aber zum Teil nicht mehr vorhandene Kompromittierung nicht feststellen konnte, weil die Angreifer ihre Spuren erfolgreich verwischt haben.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #6: 04. März. 2024:</strong><br />Ivanti und Mandiant haben am 27. Februar 2024 <a title="Ivanti Adivsory 2024-02-27" href="https://www.ivanti.com/blog/enhanced-external-integrity-checking-tool-to-provide-additional-visibility-and-protection-for-customers-against-evolving-threat-actor-techniques-in-relation-to-previously-disclosed-vulnerabilities" target="_blank">Informationen über neue TTPs</a> (tactics, techniques and procedures) von Bedrohungsakteuren veröffentlicht, die die letzen Ivanti-Sicherheitslücken ausnutzen. Zusätzlich hat Ivanti das ICT (Integrity Checker Tool) verbessert. Es wird empohlen die aktuelle Version vom ICT zu verwenden.</p>
</div>
<p class="block">Zur Zeit stehen noch keine Aktualisierungen zur Verfügung, die das Problem beheben. Laut Aussage des Herstellers sollen die ersten Updates in der Woche des 22.01.2024 zur Verfügung stehen, mit einer finalen Version soll in der Woche des 19.02.2024 zu rechnen sein.</p>
<p class="block">In der Zwischenzeit hat Ivanti einen Workaround bereitgestellt, welcher die Schwachstellen mitigieren soll. Das Unternehmen empfiehlt allen Kund:innen diese schnellstmöglich zu implementieren.</p>
<p class="block">Konkret handelt es sich hierbei um eine XML-Datei, welche Kund:innen von der Webseite des Herstellers beziehen können. Diese soll auf den betroffenen Systemen, beziehungsweise einem einzelnen System eines betroffenen Clusters eingespielt werden.</p>
<p class="block">Details zu dem Workaround, etwaigen Einschränkungen sowie potentiellen Beeinträchtigungen des laufenden Betriebs finden sich in einem durch Ivanti <a href="https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US" target="_blank">veröffentlichten Artikel</a>.</p>
<p class="block">Die Anwendung des Workarounds hat jedoch keinerlei Einfluss auf eine möglicherweise bereits erfolgte Ausnutzung der Schwachstellen. Wir empfehlen daher, potentiell betroffene Systeme einer forensischen Untersuchung zu unterziehen.</p>
<p class="block">Das Sicherheitsunternehmen Volexity hat einige <a href="https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/" target="_blank">Indicators of Compromise veröffentlicht</a>, welche bei der bisher einzigen öffentlich bekannten Ausnutzung beobachtet wurden. Diese können als erster Anhaltspunkt dienen.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #1: 19. Jänner 2024:</strong></p>
<p class="block">Ivanti empfiehlt, neben dem internen Integrity Checker Tool (ICT), auch das externe ICT zu nutzen, da das interne ICT unter Umständen durch Angreifer:innen manipuliert worden sein könnte. Das externe ICT kann über das Downloadportal von Ivanti durch Kunden bezogen werden. Weiterführende Informationen finden Sie im <a href="https://forums.ivanti.com/s/article/KB44755?language=en_US">Knowledge Base Artikel KB44755</a>.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p><strong>Update #2: 24. Jänner 2024:</strong></p>
<p class="block">Ivanti warnt davor automatisierte Konfigurationen auf die Geräte mittels Pulse One or nSA zu pushen, da dadurch die Funktionalität der Mitigation negativ beeinträchtigt wird.</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<h2 class="block">Änderungshistorie</h2>
<p class="block"><strong>11. Jänner 2024:</strong> Initiale Fassung</p>
<p class="block"><strong>19. Jänner 2024: </strong>Ergänzung großflächige Ausnutzung, Korrektur & Ergänzung Integrity Checker Tool</p>
<p class="block"><strong>24. Jänner 2024:</strong> Ergänzung über negative Beeinflussung der Mitigation bei Konfigurations-Push</p>
<p class="block"><strong>24. Jänner 2024:</strong> Ergänzung über den Zeitraum bekannter Angriffe</p>
<p class="block"><strong>31. Jänner 2024:</strong> Ergänzung um Verfügbarkeit von Patches und Mitigation einer neuen Schwachstelle</p>
<p class="block"><strong>31. Jänner 2024:</strong> Ergänzung um zwei CVE-Nummern, Hinweis auf Factory Reset und potentielle Dysfunktionalität externes Integritäts-Tool</p>
<p class="block"><strong>04. März 2024:</strong> Hinweis auf neues Advisory von Ivanti, neue TTPs und update für ICT</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)<br /> <a href="https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US" target="_blank">https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US</a></em></p>
<p class="block"><em>KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways (Englisch)<br /> <a href="https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US" target="_blank">https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US</a></em></p>
<p class="block"><em>Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN (Englisch)<br /> <a href="https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/" target="_blank">https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/</a></em></p>
<p class="block"><em>CSIRTs Network - Exploitation of Ivanti Connect Secure and Ivanti Policy Secure Gateway Zero-Days (Englisch)<br /> <a href="https://github.com/enisaeu/CNW/blob/main/advisories/2024/CVE-2023-46805_CVE-2024-21887_Ivanti-Secure-Gateways.md">https://github.com/enisaeu/CNW/blob/main/advisories/2024/CVE-2023-46805_CVE-2024-21887_Ivanti-Secure-Gateways.md</a></em></p>
<p class="block"><em>Ivanti Connect Secure VPN Exploitation Goes Global<br /> <a href="https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/">https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/</a></em></p>
<p class="block"><em>KB44755 - Pulse Connect Secure (PCS) Integrity Assurance<br /><a href="https://forums.ivanti.com/s/article/KB44755">https://forums.ivanti.com/s/article/KB44755</a></em></p>
<p class="block"><em>Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation<br /> <a href="https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day">https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day</a></em></p>CERT.at2024-01-11T11:58:00ZKritische Sicherheitslücken in mehreren Produkten von Atlassian - Patches verfügbarCERT.at2023-12-07T08:41:36Z2023-12-06T22:27:00Z<p class="block">07. Dezember 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Mehrere Versionen von Produkten des Unternehmens Atlassian enthalten kritische Sicherheitslücken.</p>
<p class="block">CVE-Nummer(n): CVE-2023-22522, CVE-2022-1471</p>
<p class="block">CVSS Base Score: 9.0 bzw. 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block"> CVE-2023-22522:</p>
<ul>
<li>Confluence Data Center and Server <br />
<ul>
<li>4.x.x</li>
<li>5.x.x</li>
<li>6.x.x</li>
<li>7.x.x</li>
<li>8.0.x</li>
<li>8.1.x</li>
<li>8.2.x</li>
<li>8.3.x</li>
<li>8.4.0</li>
<li>8.4.1</li>
<li>8.4.2</li>
<li>8.4.3</li>
<li>8.4.4</li>
<li>8.5.0</li>
<li>8.5.1<br />8.5.2</li>
<li>8.5.3</li>
</ul>
</li>
<li>Confluence Data Center
<ul>
<li>8.6.0</li>
<li>8.6.1</li>
</ul>
</li>
</ul>
<p class="block">CVE-2022-1471:</p>
<ul>
<li class="block">Automation for Jira (A4J) Marketplace App, Automation for Jira (A4J) - Server Lite Marketplace App
<ul>
<li class="block">9.0.1</li>
<li class="block">9.0.0</li>
<li class="block"><= 8.2.2</li>
</ul>
</li>
<li>Bitbucket Data Center and Server
<ul>
<li>7.17.x - 7.20.x</li>
<li>7.21.0 - 7.21.1</li>
<li>7.21.2 - 7.21.15</li>
<li>8.0.x - 8.7.x</li>
<li>8.8.0 - 8.8.6</li>
<li>8.9.0 - 8.9.3</li>
<li>8.10.0 - 8.10.3</li>
<li>8.11.0 - 8.11.2</li>
<li>8.12.0</li>
</ul>
</li>
<li>Confluence Data Center and Server
<ul>
<li>6.13.x - 6.15.x</li>
<li>7.0.x - 7.12.x</li>
<li>7.13.1 - 7.13.17</li>
<li>7.14.x -7.18.x</li>
<li>7.19.0 - 7.19.9</li>
<li>7.20.x</li>
<li>8.0.x - 8.2.x</li>
<li>8.3.0</li>
</ul>
</li>
<li>Confluence Cloud Migration App (CCMA)
<ul>
<li>Plugin versions lower than 3.4.0</li>
</ul>
</li>
<li>Jira Core Data Center and Server, Jira Software Data Center and Server:
<ul>
<li>9.4.0 - 9.4.12</li>
<li>9.5.x - 9.10.x</li>
<li>9.11.0 - 9.11.1</li>
</ul>
</li>
<li>JIra Service Management Data Center and Server
<ul>
<li>5.4.0 - 5.4.12</li>
<li>5.5.x - 5.10.x</li>
<li>5.11.0 - 5.11.1</li>
</ul>
</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der von Atlassian zur Verfügung gestellten Patches. Dabei ist zu beachten, dass die Aktualisierungen zur Behebung von CVE-2022-1471 in manchen Situationen zu Problemen mit der Rückwärtskompatibilität von Software und Systemen führen kann. Der Hersteller gibt im <a href="https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html" target="_blank">Advisory zu CVE-2022-1471</a> Auskunft über verwundbare Software, die möglicherweise von diesen Problemen betroffen ist.</p>
<p class="block">Instanzen der betroffenen Software, die über das Internet erreichbar sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis die zur Verfügung stehenden Sicherheitsaktualisierungen eingespielt wurden.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Security Advisory zu CVE-2023-22522 (Englisch)<br /> <a href="https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html">https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html</a></em></p>
<p class="block"><em>Security Advisory zu CVE-2022-1471 (Englisch)<br /> <a href="https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html">https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html</a></em></p>CERT.at2023-12-06T22:27:00ZKritische Sicherheitslücke in Confluence Data Center und Confluence ServerCERT.at2023-10-31T11:51:15Z2023-10-31T10:42:00Z<p class="block">31. Oktober 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">In allen Versionen von Confluence Data Center und Confluence Server existiert eine kritische Sicherheitslücke.</p>
<p class="block">CVE-Nummer: CVE-2023-22518<br />CVSS: 9.1</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Das Ausnutzen der Sicherheitslücke auf betroffenen Geräten ermöglicht nicht authentifizierten Angreifern den Zugriff auf interne Daten des Systems.</p>
<p class="block">Obwohl Atlassian bislang keine Informationen zur aktiven Ausnutzung der Lücke hat, wird das <strong>zeitnahe</strong> Einspielen der verfügbaren Patches empfohlen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li class="block">Confluence Data Center (alle Versionen)</li>
<li class="block">Confluence Server (alle Versionen)</li>
</ul>
<p class="block">Für nicht mehr unterstützte ("End of life") Produkte, für die es keine Updates mehr geben wird, empfiehlt Atlassian ein Update auf neuere Versionen welche die Lücke beheben.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der von Atlassian zur Verfügung gestellten Patches. Instanzen, die über das Internet erreichbar sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis ein Patch durchgeführt werden kann.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Auch der Zugang zu Management-Interfaces sollte <a href="https://cert.at/de/blog/2022/5/sicherheitslucken-in-management-interfaces">streng limitiert</a> sein.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Atlassian Advisory (englisch):<br /> <a href="https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html">https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html</a></em></p>
<p class="block"><em>Jira-Ticket CONFSERVER-93142:<br /> <a href="https://jira.atlassian.com/browse/CONFSERVER-93142">https://jira.atlassian.com/browse/CONFSERVER-93142</a></em></p>CERT.at2023-10-31T10:42:00ZUpdate #2: Kritische Sicherheitslücke in Cisco IOS XE - aktiv ausgenütztCERT.at2023-10-30T15:13:35Z2023-10-23T10:00:00Z<p class="block">18. Oktober 2023</p>
<h2 class="block">Beschreibung</h2>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 23. Oktober 2023</strong>
<p>Cisco hat für einige der von der Schwachstelle betroffenen Geräte Aktualisierungen veröffentlicht, und weitere Updates angekündigt. Das Unternehmen aktualisiert die Liste an verfügbaren Patches auf einer <a href="https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html" target="_blank">dedizierten Seite</a> laufend.</p>
<p>Wenn das Management-WebInterface eines Cisco XE Gerätes vor dem Einspielen des Updates offen im Netz erreichbar war, ist davon auszugehen, dass ein Angreifer dies ausgenutzt hat und zumindest neue Admin-Accounts angelegt hat. Damit ist die Installation von weiteren Hintertüren möglich, die - aus heutiger Sicht - nur mit einem Factory Reset / Neuinstallation von IOS XE umfassend entfernt werden können</p>
</div>
<p class="block">Eine kritische Sicherheitslücke in Cisco IOS XE erlaubt es unauthentifizierten Angreifer:innen privilegierte Accounts anzulegen, was eine vollständige Kompromittierung verwundbarer Systeme ermöglicht. Betroffen sind sowohl physische als auch virtuelle Systeme, deren Webinterface über das Internet oder andere, nicht vertrauenswürdige Netzwerke erreichbar ist. Die Schwachstelle wird bereits von verschiedenen Bedrohungsakteuren breitflächig ausgenutzt.</p>
<p class="block">CVE-Nummer(n): CVE-2023-20198, CVE-2023-20273</p>
<p class="block">CVSS Base Score: 10.0</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Durch die Erstellung privilegierter Accounts ist es Angreifer:innen möglich, die vollständige Kontrolle über ein verwundbares System zu erlangen.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Die Schwachstelle betrifft alle Versionen von Cisco IOS XE, wenn das "Web UI"-Feature aktiviert ist. Mit dem folgenden Kommando lässt sich evaluieren, ob das Feature aktiviert ist:</p>
<pre class="block">Router# show running-config | include ip http server|secure|active<br />ip http server <br />ip http secure-server</pre>
<p>Wenn der Befehl eine der beiden Zeilen zurückliefert ist "Web UI" aktiviert, und das System verwundbar, es sei denn folgende Konfigurationsparameter sind ebenfalls gesetzt:</p>
<pre>ip http active-session-modules none<br />ip http secure-active-session-modules none</pre>
<h2 class="block">Abhilfe</h2>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1.1: 30. Oktober 2023</strong>
<p class="block"><span style="text-decoration: line-through;">Aktuell stellt Cisco weder Sicherheitsaktualisierungen noch Workarounds zur Verfügung.</span></p>
</div>
<p class="block">Cisco empfiehlt allen Kund:innen das <strong>verwundbare Feature auf allen öffentlich erreichbaren Systemen zu deaktivieren</strong>. Dies kann mittels des Absetzens folgender Befehle im Global Configuration Mode erreicht werden:</p>
<pre class="block">no ip http server<br />no ip http secure-server</pre>
<p class="block">Das Unternehmen hat ebenfalls einen Befehl zur Verfügung gestellt, mit welchem ein System auf die Präsenz eines von Angreifer:innen platzierten Implants geprüft werden kann; "systemip" ist hierbei die IP-Adresse es zu prüfenden Systems:</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #2: 24. Oktober 2023</strong>
<p>Cisco hat neue Kommandos zur Detektion bereitgestellt:</p>
<pre class="block"> curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https[:]//systemip/webui/logoutconfirm.html?logon_hash=1"</pre>
<p class="block">Sollte der Befehl einen hexadezimalen String zurückliefern, so ist ein Implant installiert. Darüber hinaus kann folgender Curl-Befehl ausgeführt werden, um Systeme mit bekannten Varianten des Implantats zu identifizieren, ohne mit der Kernfunktionalität des Implantats zu interagieren:</p>
<pre class="block">curl -k "https[:]//systemip/%25"</pre>
<p class="block">Sollte der Befehl eine 404-HTTP-Antwort mit einer HTML-Seite mit der Meldung „404 Not Found“ zurückgeben, liegt eine bekannte Variante des Implantats vor. Ein System ohne das Implantat sollte entweder nur die standardmäßige 404-HTTP-Antwort oder eine Weiterleitung (mittels JavaScript-Redirect) und 200-HTTP-Antwort zurückgeben.</p>
</div>
<p class="block">Laut Cisco verfügt das Implant über keinen Persistenzmechanismus. Ein<strong> Neustart des infizierten Gerätes entfernt das Implant</strong> also, die<strong> durch Angreifer:innen erstellten, privilegierten Accounts </strong>bleiben jedoch weiterhin erhalten und<strong> müssen manuell bereinigt werden</strong>.</p>
<p class="block">Weiters empfiehlt das Unternehmen, die eigenen Logfiles auf folgende Zeilen zu untersuchen, deren Präsenz auf eine erfolgte Kompromittierung hindeuten:</p>
<pre class="block">%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line<br />%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023<br />%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename</pre>
<p class="block">An der Stelle von "user" kann hier "cisco_tac_admin", "cisco_support" oder ein beliebiger anderer, unbekannter, lokaler Account stehen; "filename" ist ein beliebiger, unbekannter Dateiname, der nicht mit einer erwarteten Installationsoperation in Verbindung zu bringen ist.</p>
<p class="block">Die folgenden snort-Regeln stehen zur Verfügung, um eine Ausnutzung der Schwachstelle zu erkennen:</p>
<ul>
<ul>
<li class="block">3:50118:2 - can alert for initial implant injection</li>
<li class="block">3:62527:1 - can alert for implant interaction</li>
<li class="block">3:62528:1 - can alert for implant interaction</li>
<li class="block">3:62529:1 - can alert for implant interaction</li>
</ul>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #2: 24. Oktober 2023</strong>
<ul>
<li class="block">3:62541 - Covers exploit attempts for initial access (CVE-2023-20198)</li>
<li class="block">3:62542 - Covers exploit attempts for initial access (CVE-2023-20198)</li>
</ul>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.</p>
<h2 class="block">Änderungshistorie</h2>
<p class="block"><strong>18. Oktober 2023:</strong> Initiale Fassung</p>
<p class="block"><strong>23. Oktober 2023; Update #1: </strong>Ergänzung der verfügbaren Updates</p>
<p class="block"><strong>24. Oktober 2023; Update #2: </strong>Ergänzung neuer Detektions-Mechanismen, Snort-Rules und CVE-Nummer(n)</p>
<p class="block"><strong>30. Oktober 2023; Update #1.1: </strong>Berücksichtigung von Update #1 unter "Abhilfe"</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Cisco Security Advisory</em><br /> <em><a href="https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z" target="_blank">https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z</a></em></p>
<p class="block"><em>Blogpost von Cisco Talos</em><br /> <em><a href="https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/" target="_blank">https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/</a></em></p>
<p class="block"><em>Liste an verfügbaren Aktualisierungen</em><br /> <em><a href="https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html" target="_blank">https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html</a></em></p>CERT.at2023-10-23T10:00:00ZUpdate #1: Kritische Sicherheitslücke in Citrix NetScaler ADC und NetScaler Gateway - aktiv ausgenutzt - Updates verfügbarCERT.at2023-10-30T17:00:59Z2023-10-20T08:00:00Z<p class="block">20. Oktober 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway erlaubt es unauthentifizierten Angreifer:innen, bestehende, authentifizierte Sessions zu übernehmen. Diese Schwachstelle wird zumindest seit Ende August 2023 bei Angriffen gegen Ziele in verschiedenen Sektoren aktiv ausgenutzt.</p>
<p class="block">CVE-Nummer(n): CVE-2023-4966</p>
<p class="block">CVSS Base Score: 9.4</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Übernahme von bestehenden, authentifizierten Sessions ermöglicht es Angreifer:innen, jegliche Authentifizierungsmethoden, egal ob nur Benutzer:innenname/Passwort oder auch Mehrfaktor, zu umgehen.</p>
<p class="block">Je nach Berechtigungen der übernommenen Session können Angreifer:innen unbefugt auf weitere Ressourcen im Netzwerk zugreifen, möglicherweise Anmeldedaten (z.B. Benutzer:innennamen und Passwörter) stehlen, oder sich Zugriff zu weiteren Netzwerken verschaffen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50</li>
<li>NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15</li>
<li>NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19</li>
<li>NetScaler ADC 13.1-FIPS before 13.1-37.164</li>
<li>NetScaler ADC 12.1-FIPS before 12.1-55.300</li>
<li>NetScaler ADC 12.1-NDcPP before 12.1-55.300</li>
</ul>
<p class="block">In allen Fällen betrifft die Sicherheitslücke nur solche Instanzen von NetScaler ADC und NetScaler Gateway, die von Kund:innen selbst betrieben werden. Systeme, die von Citrix verwaltet werden ("Citrix-managed cloud servcies", "Citrix-managed Adaptive Authentication") sind nicht betroffen.</p>
<h2 class="block">Detektion</h2>
<p class="block">CERT.at stellt <a href="https://github.com/certat/citrix-logchecker">via Github ein Skript zur Verfügung</a>, welches genutzt werden kann, um Citrix-Logs nach potenziell übernommenen Sessions zu durchsuchen. Sollten auffällige Sessions gefunden werden, wird eine tiefergehende Analyse empfohlen.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Der Hersteller hat für alle betroffenen Systeme, die noch unterstützt werden, Aktualisierungen bereitgestellt. In folgenden Versionen ist die Schwachstelle behoben:</p>
<ul>
<li class="block">NetScaler ADC and NetScaler Gateway 14.1-8.50 and later releases</li>
<li class="block">NetScaler ADC and NetScaler Gateway 13.1-49.15 and later releases of 13.1</li>
<li class="block">NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0</li>
<li class="block">NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS</li>
<li class="block">NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS</li>
<li class="block">NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP</li>
</ul>
<p class="block">Kund:innen, die nicht mehr unterstützte Versionen von NetScaler ADC und NetScaler Gateway im Einsatz haben, empfiehlt der Hersteller ein Upgrade auf eine noch unterstützte Version.</p>
<p class="block">Nach erfolgreichter Aktualisierung wird empfohlen, alle bestehenden Sessions zu terminieren. Dies ist mit folgendem Befehl möglich, wobei "vServer" hier der Name des virtuellen Servers / der Appliance ist:</p>
<pre class="block">clear lb persistentSessions vServer</pre>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<h2 class="block">Änderungshistorie</h2>
<p class="block"><strong>20. Oktober 2023:</strong> Initiale Fassung</p>
<p class="block"><strong>30. Oktober 2023; Update #1:</strong> Ergänzung Detektions-Skript CERT.at</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Citrix Security Bulletin CTX579459 (englisch)<br /> <a href="https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967" target="_blank">https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967</a></em></p>
<p class="block"><em>Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966) (englisch)<br /> <a href="https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966" target="_blank">https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966</a></em></p>
<p class="block"><em>Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation (englisch)<br /> <a href="https://services.google.com/fh/files/misc/citrix-netscaler-adc-gateway-cve-2023-4966-remediation.pdf" target="_blank">https://services.google.com/fh/files/misc/citrix-netscaler-adc-gateway-cve-2023-4966-remediation.pdf</a></em></p>
<p class="block"><em>Github.com - certat/citrix-logchecker<br /><a href="https://github.com/certat/citrix-logchecker">https://github.com/certat/citrix-logchecker</a><br /></em></p>
<p class="block"> </p>CERT.at2023-10-20T08:00:00ZUpdate #1 - Sicherheitslücken, teils kritisch, in Citrix/Netscaler ADC und Gateway - aktiv ausgenützt - Updates verfügbarCERT.at2023-07-21T19:40:11Z2023-07-18T16:55:00Z<p class="block">18. Juli 2023</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 21. Juli 2023, 16:30<br /></strong></div>
<h2 class="block">Beschreibung</h2>
<p class="block">Eine kritische Schwachstelle in Citrix/Netscaler ADC und Citrix Gateway erlaubt es unauthentisierten Angreifenden, beliebigen Code auszuführen. Diese Schwachstelle wird auch bereits aktiv ausgenützt.</p>
<p class="block">Weitere mit diesen Updates geschlossene Sicherheitslücken betreffen Reflected Cross Site Scripting (XSS) sowie Privilege Escalation.</p>
<p class="block">CVE-Nummer(n): CVE-2023-3519 (sowie CVE-2023-3466, CVE-2023-3467)</p>
<p class="block">CVSS Base Score: 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Falls die Appliance als Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oder <br />AAA Virtual Server konfiguriert ist, können Angreifende beliebigen Code ausführen. Dadurch sind alle durch das Gerät erreichbaren Services und Daten gefährdet.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.13</li>
<li>NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-91.13</li>
<li>NetScaler ADC 13.1-FIPS vor 13.1-37.159</li>
<li>NetScaler ADC 12.1-FIPS vor 12.1-65.36</li>
<li>NetScaler ADC 12.1-NDcPP vor 12.65.36</li>
</ul>
<p class="block">Citrix weist speziell darauf hin, dass Appliances mit NetScaler ADC and NetScaler Gateway Version 12.1 als End Of Life (EOL) angesehen werden, und keine Updates mehr für diese zur Verfügung gestellt werden.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Installation der zur Verfügung gestellten Updates.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 21. Juli 2023, 16:30<br /></strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">Es wurden verschiedene Möglichkeiten veröffentlicht um Citrix Netscaler einerseits auf Verwundbarkeit und andererseits auf bisherige Ausnutzung der Sicherheitslücke zu überprüfen.</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">Wir haben den Punkt "Informationsquellen" um diese erweitert.</div>
<p class="block"> </p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Citrix Security Bulletin CTX561482 (englisch)<br /> <a title="https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467" href="https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467" target="_blank">https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467</a></em></p>
<p class="block"><em>Artikel bei CISA (englisch)<br /><a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a">https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a</a></em></p>
<p class="block"><em>Artikel bei Assetnote (Englisch)<br /><a href="https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/">https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/</a></em></p>
<p class="block"><em>Artikel bei heise<br /><a href="https://www.heise.de/news/Citrix-Zero-Days-Systeme-auf-Angriffspuren-untersuchen-9221655.html">https://www.heise.de/news/Citrix-Zero-Days-Systeme-auf-Angriffspuren-untersuchen-9221655.html</a></em></p>CERT.at2023-07-18T16:55:00ZWeitere kritische Sicherheitslücke in MOVEit Transfer - Workaround und Patches verfügbarCERT.at2023-06-16T15:39:19Z2023-06-16T15:40:00Z<p class="block">16. Juni 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">In MOVEit Transfer wurde eine weitere kritische Sicherheitslücke entdeckt.</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Da es sich um eine SQL-Injection - Schwachstelle handelt, ist davon auszugehen dass alle auf betroffenen Systemen hinterlegten Daten gefährdet sind.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>Systeme mit MOVEit Transfer<strong><br /></strong></li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Progress Software stellt erste "Drop-in DLLs" bereit, mit denen die Lücke behoben wird.</p>
<p class="block">Als Workaround und bis die Installation dieser DLLs oder kommender anderer Patches fertiggestellt wurde sollten <strong>sämtliche HTTP- und HTTPS-Verbindungen zu MOVEit Transfer - Installationen durch vorgeschaltene Firewalls blockiert werden</strong>.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>ZDNet.de-Artikel zu MOVEit Transfer</em></p>
<p class="block"><em><a title="https://www.zdnet.de/88409966/weitere-kritische-zero-day-luecke-in-moveit-transfer/" href="https://www.zdnet.de/88409966/weitere-kritische-zero-day-luecke-in-moveit-transfer/" target="_blank">https://www.zdnet.de/88409966/weitere-kritische-zero-day-luecke-in-moveit-transfer/</a></em></p>
<p class="block"><em>Artikel bei Progress Software zu dieser und weiterer Lücken (englisch)</em></p>
<p class="block"><em><a title="https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability" href="https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability" target="_blank">https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability</a></em></p>
<p class="block"><em>MOVEit Transfer Knowledge Base Artikel (englisch)</em></p>
<p class="block"><em><a title="https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023" href="https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023" target="_blank">https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023</a></em></p>CERT.at2023-06-16T15:40:00ZKritische Sicherheitslücke in Fortinet FortiOS und FortiProxy SSL-VPN Produkten - aktiv ausgenutzt, Updates verfügbarCERT.at2023-06-13T14:31:19Z2023-06-13T14:30:00Z<p class="block">13. Juni 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Fortinet hat eine Warnung herausgegeben, dass in den SSL-VPN - Komponenten der Produkte FortiOS und FortiProxy eine kritische Sicherheitslücke besteht, die auch bereits aktiv ausgenutzt wird, und stellt erste entsprechende Updates bereit.</p>
<p class="block">CVE-Nummer(n): CVE-2023-27997</p>
<p class="block">CVSSv3 Score: 9.2</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Unauthentisierte Angreifer:innen können durch Ausnutzen der Lücke beliebigen Code auf betroffenen Geräten ausführen. Da diese Geräte üblicherweise für VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des VPN-Verkehrs nicht auszuschliessen. Des weiteren sind alle durch das VPN erreichbaren Systeme entsprechend gefährdet.</p>
<h2 class="block">Betroffene Systeme</h2>
<p>Geräte mit FortiOS bzw. FortiProxy, in denen die SSL-VPN - Funktionalität aktiviert ist. Ist diese Funktionalität nicht aktiviert, sind die Geräte auch nicht direkt betroffen.</p>
<p>FortiOS-6K7K, <strong>zumindest</strong> in den folgenden Versionen:</p>
<ul>
<li>FortiOS-6K7K 7.0.10</li>
<li>FortiOS-6K7K 7.0.5</li>
<li>FortiOS-6K7K 6.4.12</li>
<li>FortiOS-6K7K 6.4.10</li>
<li>FortiOS-6K7K 6.4.8</li>
<li>FortiOS-6K7K 6.4.6</li>
<li>FortiOS-6K7K 6.4.2</li>
<li>FortiOS-6K7K 6.2.9 bis 6.2.13</li>
<li>FortiOS-6K7K 6.2.6 bis 6.2.7</li>
<li>FortiOS-6K7K 6.2.4</li>
<li>FortiOS-6K7K 6.0.12 bis 6.0.16</li>
<li>FortiOS-6K7K 6.0.10</li>
</ul>
<p class="block">FortiProxy, <strong>zumindest</strong> in den folgenden Versionen:</p>
<ul>
<li>FortiProxy 7.2.0 bis 7.2.3</li>
<li>FortiProxy 7.0.0 bis 7.0.9</li>
<li>FortiProxy 2.0.0 bis 2.0.12</li>
<li>FortiProxy 1.2 alle Versionen</li>
<li>FortiProxy 1.1 alle Versionen</li>
</ul>
<p>FortiOS, <strong>zumindest</strong> in den folgenden Versionen:</p>
<ul>
<li>FortiOS 7.2.0 bis 7.2.4</li>
<li>FortiOS 7.0.0 bis 7.0.11</li>
<li>FortiOS 6.4.0 bis 6.4.12</li>
<li>FortiOS 6.2.0 bis 6.2.13</li>
<li>FortiOS 6.0.0 bis 6.0.16</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der entsprechend fehlerbereinigten Firmware-Versionen.</p>
<p class="block">Fortinet rät auch Kunden, die SSL-VPN nicht nutzen, dringend auf die neuen Versionen zu setzen, da diese auch andere Probleme beheben.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Fortinet PSIRT Advisory </em>FG-IR-23-097 (englisch)<br /><em> <a href="https://www.fortiguard.com/psirt/FG-IR-23-097" target="_blank">https://www.fortiguard.com/psirt/FG-IR-23-097</a></em></p>
<p class="block"><em>Fortinet </em>Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign (englisch)<br /> <em> <a href="https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign" target="_blank">https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign</a></em></p>
<p class="block"><em>Artikel bei Heise Security</em></p>
<p class="block"><em><a title="https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html" href="https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html" target="_blank">https://www.heise.de/news/Fortinet-SSL-VPN-Luecke-ermoeglicht-Codeschmuggel-9184284.html</a></em></p>CERT.at2023-06-13T14:30:00ZUpdate #3 - Kritische Sicherheitslücke in MOVEit Transfer - weitere Updates verfügbarCERT.at2023-06-10T13:18:09Z2023-06-01T19:20:00Z<p class="block">01. Juni 2023</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 2. Juni 2023, 11:20<br /></strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #2: 2. Juni 2023, 14:35<br /></strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #3: 10. Juni 2023, 13:20</strong></div>
<h2 class="block">Beschreibung</h2>
<p class="block">In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.</p>
<p class="block">CVE-Nummer(n): TBA</p>
<p class="block">CVSS Base Score: TBA</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle Potential der Lücke ist jedoch noch nicht bekannt.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Versionen die niedriger sind als:</p>
<ul>
<li>< MOVEit Transfer 2023.0.1</li>
<li>< MOVEit Transfer 2022.0.4</li>
<li>< MOVEit Transfer 2022.1.5</li>
<li>< MOVEit Transfer 2021.1.4</li>
<li>< MOVEit Transfer 2021.0.6</li>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #3: 10.Juni 2023, 13:20</strong></p>
<ul>
<li class="block">< MOVEit Transfer 2023.0.2</li>
<li class="block">< MOVEit Transfer 2022.0.5</li>
<li class="block">< MOVEit Transfer 2022.1.6</li>
<li class="block">< MOVEit Transfer 2021.1.5</li>
<li class="block">< MOVEit Transfer 2021.0.7</li>
</ul>
</div>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der vom Hersteller zur Verfügung gestellten Patches.</p>
<p class="block">Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr zur MOVEit Transfer Umgebung zu blockieren.</p>
<p>IOCs für potentielle Webshell:</p>
<ul>
<ul>
<li>Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte Dateien (inkl. Backups).</li>
<li>Prüfen Sie ob größere Datentransfers stattgefunden haben.</li>
<li>Sperren Sie die IP 5[.]252.191.14</li>
<li>Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit Transfer\wwwroot\</li>
</ul>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 2. Juni 2023, 11:20<br /></strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">Es wurden weitere IOCs veröffentlicht:</div>
<ul>
<li>89.39.105[.]108 (WorldStream)</li>
<li>5.252.190[.]0/24</li>
<li>5.252.189-195[.]x</li>
<li>148.113.152[.]144 (reported by the community)</li>
<li>138.197.152[.]201</li>
<li>209.97.137[.]33</li>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #2: 2.Juni 2023, 14:35</strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">Es wurden weitere IOCs veröffentlicht:</div>
<ul>
<li>198.27.75.110</li>
<li>209.222.103.170</li>
<li>84.234.96.104</li>
<li>human2.aspx.lnk</li>
<li>C:\Windows\TEMP\[random]\[random].cmdline</li>
<li>POST /moveitisapi/moveitisapi.dll</li>
<li>POST /guestaccess.aspx</li>
<li>POST /api/v1/folders/[random]/files</li>
<li>Health Check Service (Name des MOVEit Transfer Kontos/Benutzername)</li>
<li>SHA256 Hashes der Human2.aspx Datei:
<ul>
<li>0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9<br />110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286<br />1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2<br />2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59<br />58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166<br />98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8<br />a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986<br />b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03<br />cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621<br />ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c<br />0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9<br />110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286<br />1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2<br />2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59<br />58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166<br />98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8<br />a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986<br />b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03<br />cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621<br />ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c</li>
</ul>
</li>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #3: 10.Juni 2023, 13:20</strong></p>
<p class="block">Progress hat ein weiteres <a title="Security Update" href="https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023">Security Update</a> veröffentlicht, das erneut kritische Sicherheitslücken schließt.</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>MOVEit Transfer Advisory (englisch):<br /> <a title="https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023" href="https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023" target="_blank">https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023</a></em></p>
<p class="block"><em>Artikel auf Reddit (englisch):<br /><a title="https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/" href="https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/" target="_blank">https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/</a></em></p>
<p class="block"><em>Artikel bei Rapid7 (englisch):<br /><a title="https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/" href="https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/" target="_blank">https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/</a><br /></em></p>
<p class="block"><em>Update #1: Artikel bei Huntress (englisch):<br /><a title="https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response" href="https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response" target="_blank">https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response</a></em></p>
<p class="block"><em>Update #3: MOVEit Transfer Advisory (englisch):<br /><a title="https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023" href="https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023">https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023</a></em></p>CERT.at2023-06-01T19:20:00ZKritische Sicherheitslücken in Cisco Switches - Exploit-Code öffentlich - Updates teilweise verfügbarCERT.at2023-05-22T17:44:37Z2023-05-22T17:45:00Z<p class="block">22. Mai 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">In einigen Cisco-Switches existieren mehrere, teils kritische Sicherheitslücken.</p>
<p class="block">CVE-Nummer(n): CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158, CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20162, CVE-2023-20189</p>
<p class="block">CVSS Base Score: bis 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Das Ausnutzen der Sicherheitslücken auf betroffenen Geräten ermöglicht nicht authentifizierten Angreifern Denial of Service (DOS) Attacken und das Ausführen von beliebigem Programmcode mit Root-Rechten. Die Angriffe können erfolgen, indem man präparierte Anfragen über die webbasierte Benutzeroberfläche sendet. Die Schwachstellen sind nicht voneinander abhängig und können einzeln ausgenutzt werden.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>250 Series Smart Switches</li>
<li>350 Series Managed Switches</li>
<li>350X Series Stackable Managed Switches</li>
<li>550X Series Stackable Managed Switches</li>
<li>Business 250 Series Smart Switches</li>
<li>Business 350 Series Managed Switches</li>
</ul>
<p class="block">Weiters betroffen sind folgende, nicht mehr unterstützte ("End of life") Produkte, für die es keine Updates mehr geben wird:</p>
<ul>
<li>Small Business 200 Series Smart Switches (EOL)</li>
<li>Small Business 300 Series Managed Switches (EOL)</li>
<li>Small Business 500 Series Stackable Managed Switches (EOL)</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der von Cisco zur Verfügung gestellten Patches und austauschen der End of Life Produkte.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Auch der Zugang zu Management-Interfaces sollte <a title="https://cert.at/de/blog/2022/5/sicherheitslucken-in-management-interfaces" href="https://cert.at/de/blog/2022/5/sicherheitslucken-in-management-interfaces" target="_blank">streng limitiert</a> sein.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Cisco Advisory (englisch)<br /> <a href="https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv">https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv</a></em></p>
<p class="block"><em>Artikel bei BleepingComputer (englisch)<br /><a href="https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-switch-bugs-with-public-exploit-code/">https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-switch-bugs-with-public-exploit-code/</a></em></p>
<p class="block"> </p>CERT.at2023-05-22T17:45:00ZKritische Sicherheitslücken in ArubaOS und Aruba InstantOS - Updates verfügbarCERT.at2023-05-10T16:46:41Z2023-05-10T16:45:00Z<p class="block">10. Mai 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">In ArubaOS und Aruba InstantOS, den Betriebssystemen vieler Geräte von HPE Aruba Networks, existieren mehrere teils kritische Sicherheitslücken.</p>
<p class="block">CVE-Nummer(n): CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785, CVE-2023-22786, CVE-2023-22787, CVE-2023-22788, CVE-2023-22789, CVE-2023-22790, CVE-2023-22791</p>
<p class="block">CVSSv3 Overall Score: bis 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Da Angreifende auf betroffenen Geräten beliebigen Code ausführen können, sind alle auf diesen Geräten befindlichen und darüber erreichbaren Daten gefährdet. Da es sich um Netzwerkkomponenten handelt, sind auch Szenarien denkbar wo darüber fliessende Daten gelesen, beeinträchtigt und/oder verändert werden können.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Aruba Access Points auf denen folgende Betriebssystem-Versionen laufen:</p>
<ul>
<li>ArubaOS 10.3.x: 10.3.1.0 und darunter</li>
<li>Aruba InstantOS 8.10.x: 8.10.0.4 und darunter</li>
<li>Aruba InstantOS 8.6.x: 8.6.0.19 und darunter</li>
<li>Aruba InstantOS 6.5.x: 6.5.4.23 und darunter</li>
<li>Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 und darunter</li>
</ul>
<p class="block">Weiters betroffen sind folgende nicht mehr unterstützte ("End of life") Versionen, für die es keine Updates mehr geben wird:</p>
<ul>
<li>InstantOS 8.4.x bis 8.9.x</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der entsprechenden fehlerbereinigten Versionen. </p>
<p class="block">Aktivieren von "cluster-security" kann ein Ausnutzen der schwersten Lücke auf Geräten mit Aruba InstantOS 8.x und 6.x auch verhindern. Aruba weist darauf hin, dass dies keine Option für Geräte mit ArubaOS 10 ist.</p>
<p class="block">Wo ein Einspielen der fehlerbereinigten Versionen nicht möglich ist, bleibt als Workaround für die schwerste Lücke nur ein Blocken von Paketen an UDP Port 8211 von nicht-vertrauenswürdigen Netzwerken, etwa durch vorgelagerte Firewalls.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Warnung von Aruba Networks (englisch)<br /><a title="ARUBA-PSA-2023-006" href="https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt" target="_blank">https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt</a><br /></em></p>
<p class="block"><em>Artikel bei Heise:<br /><a title="heise.de-Artikel zu den Schwachstellen" href="https://www.heise.de/news/Kritische-Schwachstellen-ermoeglicht-Uebernahme-von-Aruba-Access-Points-8992292.html" target="_blank">https://www.heise.de/news/Kritische-Schwachstellen-ermoeglicht-Uebernahme-von-Aruba-Access-Points-8992292.html</a><br /></em></p>CERT.at2023-05-10T16:45:00ZKritische Sicherheitslücke in Nextcloud und Nextcloud Enterprise - Updates verfügbarCERT.at2023-04-03T16:09:57Z2023-04-03T16:08:00Z<p class="block">03. April 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Das Software-Paket Nextcloud enthält eine kritische Sicherheitslücke.</p>
<p class="block">CVE-Nummer(n): CVE-2023-26482</p>
<p class="block">CVSS Base Score: 9.0</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Durch Ausnutzen fehlender Scope Validation ist es angemeldeten Nutzer:innen möglich, beliebigen Code in verwundbaren Installationen von Nextcloud auszuführen. Dadurch sind alle in diesen Instanzen gespeicherten Daten gefährdet.</p>
<p class="block">Es sind auch Szenarien denkbar, in denen Schadsoftware auf betroffenen Systemen hinterlegt wird, die dann auch andere Nutzer:innen betrifft.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Systeme auf denen folgende Software installiert ist:</p>
<ul>
<li>Nextcloud 24 unterhalb 24.0.10</li>
<li>Nextcloud 25 unterhalb 25.0.4</li>
<li>Nextcloud Enterprise unterhalb 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10, 25.0.4</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Installation der bereitgestellten Updates.</p>
<p class="block">Sollte dies nicht möglich sein, kann laut Nextcloud auch ein Deaktivieren der Apps <em>workflow_scripts</em> und <em>workflow_pdf_converter</em> ein Ausnutzen der Lücke verhindern.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Security Advisory von Nextcloud (englisch):</em></p>
<p class="block"><em><a title="https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj" href="https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj" target="_blank">https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj</a><br /> Meldung bei heise Security:</em></p>
<p class="block"><em><a title="https://heise.de/-8515005 " href="https://heise.de/-8515005" target="_blank">https://heise.de/-8515005 </a></em></p>CERT.at2023-04-03T16:08:00ZKritische Sicherheitslücke in Microsoft Outlook - aktiv ausgenutzt, Updates verfügbarCERT.at2023-03-15T10:40:32Z2023-03-15T09:25:00Z<p class="block">15. März 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Am Abend des 14. März 2023 hat Microsoft im Rahmen seines monatlichen Patchdays Updates für zahlreiche Schwachstellen veröffentlicht - unter anderem für eine Privilege Escalation in Microsoft Outlook, welche laut dem Unternehmen bereits aktiv ausgenutzt wird.</p>
<p class="block">CVE-Nummer(n): CVE-2023-23397</p>
<p class="block">CVSS Base Score: 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Durch speziell manipulierte E-Mails können Angreifer:innen Net-NTLMv2-Hashes von verwundbaren Systemen stehlen. Da die Ausnutzung der Schwachstelle bereits während der Verarbeitung der Nachricht auf dem Mailserver erfolgt ist keine benutzerseitige Interaktion notwendig.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li class="block">Microsoft 365 Apps for Enterprise</li>
<li class="block">Microsoft Office 2013</li>
<li class="block">Microsoft Office 2016</li>
<li class="block">Microsoft Office 2019</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der durch den Hersteller zur Verfügung gestellten Aktualisierungen. Microsoft empfiehlt weiters folgende Maßnahmen:</p>
<ul>
<li class="block">Das Hinzufügen von Nutzer:innen zur "Protected Users Security Group". Dies verhindert die Nutzung von NTLM als Authentifizierungsmechanismus und ist insbesondere für sensible Accounts (z.B. Domain-Administratoren) empfohlen.</li>
<li class="block">Firewall-seitige Sperre von ausgehendem Traffic auf Port 445/TCP. Dies verhindert das Senden von NTLM-Paketen an externe Ziele.</li>
</ul>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block">Microsoft Outlook Elevation of Privilege Vulnerability<br /><a href="https://msrc.microsoft.com/update-guide/de-DE/vulnerability/CVE-2023-23397">https://msrc.microsoft.com/update-guide/de-DE/vulnerability/CVE-2023-23397</a></p>
<p class="block">Patchday: Microsoft dichtet aktiv angegriffene Sicherheitslücken ab <br /><a href="https://www.heise.de/news/Patchday-Microsoft-dichtet-aktiv-angegriffene-Sicherheitsluecken-ab-7545903.html">https://www.heise.de/news/Patchday-Microsoft-dichtet-aktiv-angegriffene-Sicherheitsluecken-ab-7545903.html</a></p>CERT.at2023-03-15T09:25:00ZKritische Sicherheitslücke in FortiOS und FortiProxy - Updates verfügbarCERT.at2023-03-08T17:52:37Z2023-03-08T17:55:00Z<p class="block">08. März 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">In FortiOS, dem Betriebssystem vieler Produkte von Fortinet und in FortiProxy existiert eine kritische Sicherheitslücke.</p>
<p class="block">CVE-Nummer(n): CVE-CVE-2023-25610</p>
<p class="block">CVSS Base Score: 9.3</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Schwachstelle ermöglicht es unauthentifizierten, entfernten Angreifern, durch speziell präparierte Anfragen, Code auf verwundbaren Geräten auszuführen. Eine von der Schwachstelle betroffene Version von FortiOS oder FortiProxy kann, je nach Produkt, verschiedene Arten von Angriffen ermöglichen. Fortinet listet lediglich die Produkte auf, die anfällig für DoS-Angriffe sind. Bei <strong>nicht aufgelisteten Produkten</strong> ist zusätzlich <strong>Remote Code Execution </strong>möglich.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>FortiOS 7.2.0 through 7.2.3</li>
<li>FortiOS 7.0.0 through 7.0.9</li>
<li>FortiOS 6.4.0 through 6.4.11</li>
<li>FortiOS 6.2.0 through 6.2.12</li>
<li>FortiOS 6.0 alle Versionen</li>
<li>FortiProxy 7.2.0 through 7.2.2</li>
<li>FortiProxy 7.0.0 through 7.0.8</li>
<li>FortiProxy 2.0.0 through 2.0.11</li>
<li>FortiProxy 1.2 alle Versionen</li>
<li>FortiProxy 1.1 alle Versionen<br /><br /></li>
</ul>
<p class="block">Die oben genannten FortiOS-Versionen ermöglichen bei den folgenden Produkten "lediglich" einen DoS-Angriff. Produkte, die nicht in der Liste enthalten sind, sind zusätzlich verwundbar durch Remote Code Execution.</p>
<ul>
<li>FortiGateRugged-100C</li>
<li>FortiGate-100D</li>
<li>FortiGate-200C</li>
<li>FortiGate-200D</li>
<li>FortiGate-300C</li>
<li>FortiGate-3600A</li>
<li>FortiGate-5001FA2</li>
<li>FortiGate-5002FB2</li>
<li>FortiGate-60D</li>
<li>FortiGate-620B</li>
<li>FortiGate-621B</li>
<li>FortiGate-60D-POE</li>
<li>FortiWiFi-60D</li>
<li>FortiWiFi-60D-POE</li>
<li>FortiGate-300C-Gen2</li>
<li>FortiGate-300C-DC-Gen2</li>
<li>FortiGate-300C-LENC-Gen2</li>
<li>FortiWiFi-60D-3G4G-VZW</li>
<li>FortiGate-60DH</li>
<li>FortiWiFi-60DH</li>
<li>FortiGateRugged-60</li>
<li>FortiGate-VM01-Hyper-V</li>
<li>FortiGate-VM01-KVM</li>
<li>FortiWiFi-60D-I</li>
<li>FortiGate-60D-Gen2</li>
<li>FortiWiFi-60D-J</li>
<li>FortiGate-60D-3G4G-VZW</li>
<li>FortiWifi-60D-Gen2</li>
<li>FortiWifi-60D-Gen2-J</li>
<li>FortiWiFi-60D-T</li>
<li>FortiGateRugged-90D</li>
<li>FortiWifi-60D-Gen2-U</li>
<li>FortiGate-50E</li>
<li>FortiWiFi-50E</li>
<li>FortiGate-51E</li>
<li>FortiWiFi-51E</li>
<li>FortiWiFi-50E-2R</li>
<li>FortiGate-52E</li>
<li>FortiGate-40F</li>
<li>FortiWiFi-40F</li>
<li>FortiGate-40F-3G4G</li>
<li>FortiWiFi-40F-3G4G</li>
<li>FortiGate-40F-3G4G-NA</li>
<li>FortiGate-40F-3G4G-EA</li>
<li>FortiGate-40F-3G4G-JP</li>
<li>FortiWiFi-40F-3G4G-NA</li>
<li>FortiWiFi-40F-3G4G-EA</li>
<li>FortiWiFi-40F-3G4G-JP</li>
<li>FortiGate-40F-Gen2</li>
<li>FortiWiFi-40F-Gen2</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Upgrade auf die folgenden Versionen:</p>
<ul>
<li>FortiOS 7.4.0 oder neuer</li>
<li>FortiOS 7.2.4 oder neuer</li>
<li>FortiOS 7.0.10 oder neuer</li>
<li>FortiOS 6.4.12 oder neuer</li>
<li>FortiOS 6.2.13 oder neuer</li>
<li>FortiProxy 7.2.3 oder neuer</li>
<li>FortiProxy 7.0.9 oder neuer</li>
<li>FortiProxy 2.0.12 oder neuer</li>
<li>FortiOS-6K7K 7.0.10 oder neuer</li>
<li>FortiOS-6K7K 6.4.12 oder neuer</li>
<li>FortiOS-6K7K 6.2.13 oder neuer<br /><br /></li>
</ul>
<p class="block">Als Workaround kann auch das administrative HTTP/HTTPS Interface deaktiviert, oder der Zugriff auf das Interface auf bestimmte IP-Adressen limitiert werden.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Artikel bei heise<br /> <a href="https://www.heise.de/news/Patchday-Kritische-Luecke-in-FortiOS-und-FortiProxy-geschlossen-7538910.html" target="_blank">https://www.heise.de/news/Patchday-Kritische-Luecke-in-FortiOS-und-FortiProxy-geschlossen-7538910.html</a></em></p>
<p class="block"><em>Advisory von Fortinet (englisch)<br /><a href="https://www.fortiguard.com/psirt/FG-IR-23-001" target="_blank">https://www.fortiguard.com/psirt/FG-IR-23-001</a></em></p>CERT.at2023-03-08T17:55:00ZKritische Sicherheitslücken in ArubaOS - Updates teilweise verfügbarCERT.at2023-03-02T12:19:46Z2023-03-02T12:19:00Z<p class="block">2. März 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks, existieren mehrere teils kritische Sicherheitslücken.</p>
<p class="block">CVE-Nummer(n): CVE-2021-3712, CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, CVE-2023-22750, CVE-2023-22751, CVE-2023-22752, CVE-2023-22753, CVE-2023-22754, CVE-2023-22755, CVE-2023-22756, CVE-2023-22757, CVE-2023-22758, CVE-2023-22759, CVE-2023-22760, CVE-2023-22761, CVE-2023-22762, CVE-2023-22763, CVE-2023-22764, CVE-2023-22765, CVE-2023-22766, CVE-2023-22767, CVE-2023-22768, CVE-2023-22769, CVE-2023-22770, CVE-2023-22771, CVE-2023-22772, CVE-2023-22773, CVE-2023-22774, CVE-2023-22775, CVE-2023-22776, CVE-2023-22777, CVE-2023-22778</p>
<p class="block">CVSSv3 Overall Score: bis 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Da Angreifende auf betroffenen Geräten beliebigen Code ausführen können, sind alle auf diesen Geräten befindlichen und darüber erreichbaren Daten gefährdet. Da es sich um Netzwerkkomponenten handelt, sind auch Szenarien denkbar wo darüber fliessende Daten gelesen, beeinträchtigt und/oder verändert werden können.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Aruba Mobility Conductor (früher Mobility Master), Aruba Mobility Controllers, WLAN Gateways und SD-WAN Gateways managed by Aruba Central mit folgenden Versionen von ArubaOS bzw. SD-WAN OS:</p>
<ul>
<li>ArubaOS 8.6.x.x: 8.6.0.19 und früher</li>
<li>ArubaOS 8.10.x.x: 8.10.0.4 und früher</li>
<li>ArubaOS 10.3.x.x: 10.3.1.0 und früher</li>
<li>SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.8 und früher</li>
</ul>
<p class="block">Weiters betroffen sind folgende nicht mehr unterstützte ("End of life") Versionen, für die es keine Updates mehr geben wird:</p>
<ul>
<li>ArubaOS 6.5.4.x</li>
<li>ArubaOS 8.7.x.x</li>
<li>ArubaOS 8.8.x.x</li>
<li>ArubaOS 8.9.x.x</li>
<li>SD-WAN 8.6.0.4-2.2.x.x</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der entsprechenden fehlerbereinigten Versionen. Wo dies nicht möglich ist, kann <strong>manchen</strong> der Fehler auch temporär durch folgenden Workaround begegnet werden: aktivieren von "Enhanced PAPI Security" mit einem nicht-Default Key.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Warnung von Aruba Networks (englisch)<br /> <a href="https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt">https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt</a></em></p>
<p class="block"><em>Artikel bei Bleeping Computer (englisch)<br /> <a href="https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/">https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/</a></em></p>CERT.at2023-03-02T12:19:00ZKritische Sicherheitslücken in ClamAV - Updates verfügbarCERT.at2023-02-17T14:24:47Z2023-02-17T14:23:00Z<p class="block">17. Februar 2023</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Zwei kritische Schwachstellen in ClamAV erlauben es unauthentisierten Angreifenden, beliebigen Code auszuführen.</p>
<p class="block">CVE-Nummer(n): CVE-2023-20032, CVE-2023-20052</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Lücken in ClamAV können durch präparierte HFS+ bzw. DMG Images ausgelöst werden. Da ClamAV oft als Virenscanner in Mailservern eingesetzt wird, können durch den Versand entsprechender Files per Email verwundbare Installationen kompromittiert werden.</p>
<p class="block">Dies hat entsprechende Auswirkungen, vor allem auf Mailservern sind Szenarien denkbar in denen nach Kompromittierung die komplette Email-Kommunikation von Angreifenden nicht nur mitgelesen sondern auch gezielt verändert werden kann.</p>
<p class="block">Es ist auch davon auszugehen, dass Angreifende zeitnah entsprechende Dateien vor allem per Spam-Email in grossem Stil verbreiten werden.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Systeme, auf denen ClamAV in folgenden Versionen eingesetzt wird:</p>
<ul>
<li>ClamAV 0.103 vor 0.103.8</li>
<li>ClamAV 0.104</li>
<li>ClamAV 0.105 vor 0.105.2</li>
<li>ClamAV 1.0 vor 1.0.1</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Update auf die entsprechenden fehlerbereinigten Versionen 0.103.8, 0.105.2 oder 1.0.1.</p>
<p class="block">Das ClamAV-Projekt weist weiters ausdrücklich darauf hin, dass ClamAV 0.104 nicht mehr unterstützt wird, und daher auch keine Fehlerbereinigungen für die aktuellen Schwachstellen mehr bekommen wird.</p>
<p class="block">Wo ein Update noch nicht verfügbar ist, sollte angedacht werden für AV-Filterung temporär auf andere Software auszuweichen, oder AV-Filterung (mit entsprechender Awareness bei den Nutzer:innen) temporär zu deaktivieren.</p>
<p class="block"><em>Möglicherweise</em> kann auch ein temporäres Deaktivieren des Scannens von Archiven (<code>ScanArchive no</code>) diese Lücken umgehen. Dies hätte aber auch Auswirkungen auf das Scannen von zB ZIP-Dateien.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Security Advisory von ClamAV:<br /> </em><a title="Link zum Security Advisory von ClamAV" href="https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html" target="_blank">https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html</a></p>CERT.at2023-02-17T14:23:00ZKritische Sicherheitslücke in Citrix ADC und Citrix GatewayCERT.at2023-02-16T15:19:28Z2022-12-13T15:30:00Z<p>13. Dezember 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Eine kritische Schwachstelle in Citrix ADC und Citrix Gateway erlaubt es unauthentisierten Angreifenden, beliebigen Code auszuführen.</p>
<p class="block">CVE-Nummer: CVE-2022-27518</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Falls Citrix ADC oder Citrix Gateway als SAML SP oder SAML IdP konfiguriert sind, können Angreifende beliebigen Code ausführen. Dadurch sind alle durch das Gerät erreichbaren Services und Daten gefährdet.</p>
<p class="block">Ob eine Installation entsprechend konfiguriert ist, kann in der Datei <em>ns.conf</em> verifiziert werden falls diese eine der folgenden Zeilen enthält:</p>
<pre class="ckeditor_codeblock">add authentication samlAction<br />add authentication samlIdPProfile</pre>
<p class="block"> </p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>
<p>Citrix ADC und Citrix Gateway 13.0 vor 13.0-58.32 </p>
</li>
<li>
<p>Citrix ADC und Citrix Gateway 12.1 vor 12.1-65.25 </p>
</li>
<li>
<p>Citrix ADC 12.1-FIPS vor 12.1-55.291 </p>
</li>
<li>
<p>Citrix ADC 12.1-NDcPP vor 12.1-55.291</p>
</li>
</ul>
<p class="block">Citrix ADC und Citrix Gateway 13.1 sind nicht betroffen.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der entsprechenden fehlerbereinigten Versionen:</p>
<ul>
<li>
<p>Citrix ADC und Citrix Gateway 13.0-58.32 und höher</p>
</li>
<li>
<p>Citrix ADC und Citrix Gateway 12.1-65.25 und höher</p>
</li>
</ul>
<ul>
<li>
<p>Citrix ADC 12.1-FIPS 12.1-55.291 und höher</p>
</li>
<li>
<p>Citrix ADC 12.1-NDcPP 12.1-55.291 und höher</p>
</li>
</ul>
<p class="block">Citrix merkt auch an, dass Versionen vor 12.1 nicht mehr unterstützt werden und zeitnah upgegradet werden sollten.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n)</h2>
<p class="block">Citrix Security Bulletin for CVE-2022-27518: <a title="Citrix Security Bulletin for CVE-2022-27518" href="https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518" target="_blank">https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518</a></p>CERT.at2022-12-13T15:30:00ZKritische Sicherheitslücke in Fortinet FortiOS - aktiv ausgenutzt, Updates verfügbarCERT.at2022-12-12T19:07:24Z2022-12-12T18:45:00Z<p class="block">12. Dezember 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Eine kritische Schwachstelle in Fortinet FortiOS erlaubt es Angreifenden, Code und Systembefehle auszuführen.</p>
<p class="block">CVE-Nummer(n): CVE-2022-42475</p>
<p class="block">CVSS Base Score: 9.3</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Durch spezielle Netzwerkpakete lassen sich Code sowie Systembefehle auf verwundbaren Versionen von FortiOS ausführen. Laut Fortinet wurde die Schwachstelle bereits mindestens einmal durch Bedrohungsakteure ausgenutzt und empfiehlt, die eigenen Systeme auf folgende Auffälligkeiten zu überprüfen:</p>
<ul>
<li class="block">Logeinträge mit folgendem Inhalt:</li>
</ul>
<blockquote>
<p>Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“</p>
</blockquote>
<ul>
<li class="block">Die Anwesenheit von folgenden Artefakten auf dem Dateisystem:
<ul>
<li class="block">/data/lib/libips.bak</li>
<li class="block">/data/lib/libgif.so</li>
<li class="block">/data/lib/libiptcp.so</li>
<li class="block">/data/lib/libipudp.so</li>
<li class="block">/data/lib/libjepg.so</li>
<li class="block">/var/.sslvpnconfigbk</li>
<li class="block">/data/etc/wxd.conf</li>
<li class="block">/flash</li>
</ul>
</li>
<li>Ausgehende Verbindungen zu verdächtigen IP-Adressen:
<ul>
<li>188[.]34[.]130[.]40[:]444</li>
<li>103[.]131[.]189[.]143[:]30080,30081,30443,20443</li>
<li>192[.]36[.]119[.]61[:]8443,444</li>
<li>172[.]247[.]168[.]153[:]8033</li>
</ul>
</li>
</ul>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>FortiOS version 7.2.0 bis 7.2.2</li>
<li>FortiOS version 7.0.0 bis 7.0.8</li>
<li>FortiOS version 6.4.0 bis 6.4.10</li>
<li>FortiOS version 6.2.0 bis 6.2.11</li>
<li>FortiOS-6K7K version 7.0.0 bis 7.0.7</li>
<li>FortiOS-6K7K version 6.4.0 bis 6.4.9</li>
<li>FortiOS-6K7K version 6.2.0 bis 6.2.11</li>
<li>FortiOS-6K7K version 6.0.0 bis 6.0.14</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der Updates auf folgende Versionen:</p>
<ul>
<li class="block">FortiOS version 7.2.3 oder höher</li>
<li class="block">FortiOS version 7.0.9 oder höher</li>
<li class="block">FortiOS version 6.4.11 oder höher</li>
<li class="block">FortiOS version 6.2.12 oder höher</li>
<li class="block">FortiOS-6K7K version 7.0.8 oder höher</li>
<li class="block">FortiOS-6K7K version 6.4.10 oder höher</li>
<li class="block">FortiOS-6K7K version 6.2.12 oder höher</li>
<li class="block">FortiOS-6K7K version 6.0.15 or above</li>
</ul>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>FortiOS - heap-based buffer overflow in sslvpnd (Englisch)<br /> <a href="https://www.fortiguard.com/psirt/FG-IR-22-398">https://www.fortiguard.com/psirt/FG-IR-22-398</a></em></p>CERT.at2022-12-12T18:45:00ZUpdate #5 - 0-day Exploit Remote Code Execution in Microsoft Exchange On-Premise – Workaround verfügbarCERT.at2022-11-09T16:01:07Z2022-11-09T16:00:00Z<p class="block">30. September 2022</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update: 03. Oktober 2022, 13:40 <br /> </strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #2: 06. Oktober 2022, 09:30</strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #3: 07. Oktober 2022, 16:30</strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #4: 11. Oktober 2022, 19:15</strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #5: 09. November 2022, 16:00</strong></div>
<p class="block"><strong><br />Beschreibung</strong></p>
<p class="block">Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht betroffen.</p>
<p class="block">CVE-Nummer(n):</p>
<ul>
<li class="block">CVE-2022-41040</li>
<li class="block">CVE-2022-41082</li>
</ul>
<p>CVSS Base Score (lt. Zero Day Initiative): <a title="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?calculator&version=3.0&vector=(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)" href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?calculator&version=3.0&vector=(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)" target="_blank">8.8</a> und <a title="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?calculator&version=3.0&vector=(AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)" href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?calculator&version=3.0&vector=(AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)" target="_blank">6.3</a></p>
<p><strong><br />Auswirkungen</strong></p>
<p>Das Ausnutzen der Schwachstellen kann zu einer vollständigen Kompromittierung des Systems und zur Ausbreitung auf andere Systeme führen.</p>
<p><br /><strong>Betroffene Systeme</strong></p>
<p>Betroffen sind alle aktuellen On-Premise Versionen von Microsoft Exchange Server.</p>
<ul>
<li>Exchange Server 2019 CU12 Aug22SU 15.02.1118.012 (aktuelle Version)</li>
<li>Exchange Server 2016 CU23 Aug22SU 15.01.2507.012 (aktuelle Version)</li>
<li>Exchange Server 2013 CU23 Aug22SU 15.00.1497.040 (aktuelle Version)</li>
</ul>
<p class="block"><br /><strong>Abhilfe</strong></p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 03. Oktober 2022, 13:40<br /></strong>Microsoft hat den Eintrag für die Portsperren entfernt. Des Weiteren ist eine Möglichkeit für das Umgehen des Scripts von Microsoft für die Angriffserkennung/Verhinderung bekannt geworden. Es wird empfohlen den Remote-Powershell-Zugriff für nicht-Administrator-Accounts zu deaktivieren. Da sich die Informationen zur Abhilfe stündlich ändern können, empfehlen wir grundsätzlich jeglichen Zugriff auf von außen erreichbaren Exchange-Web-Interfaces zu sperren.<strong><br /></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #2: 06. Oktober 2022, 09:30<br /></strong>Microsoft hat einige der vorgeschlagenen Mitigations/Workarounds erweitert, da in der ersten Version noch ein Umgehen per URL-Encoding möglich war.<strong><br /></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #3: 07. Oktober 2022, 16:30<br /></strong>Die aktuellen Mitigations/Workarounds von Microsoft <strong><a title="https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9" href="https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9" target="_blank">können wieder umgangen werden.</a></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #4: 11. Oktober 2022, 19:15<br /></strong>Microsoft hat ein <a title="https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html" href="https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html" target="_blank">Update für die Mitigation-Regeln</a> herausgegeben.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #5: 09. November 2022, 16:00<br /></strong>Microsoft hat <a title="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/" href="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/" target="_blank">Updates veröffentlicht.</a></p>
</div>
<p class="block">Derzeit existieren noch keine Updates, um die Sicherheitslücke zu schließen. Als Workaround wird von Microsoft empfohlen, die ausnutzbaren Anfragen <a title="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/" href="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/" target="_blank">via URL Rewrite</a> zu blockieren und die Ports HTTP:5985 und HTTPS: 5986 zu sperren, bis ein Patch verfügbar ist. Außerdem hat Microsoft Möglichkeiten zur <a title="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/" href="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/" target="_blank">Angriffserkennung</a> zusammengefasst.</p>
<p class="block"><strong><br />Hinweis</strong></p>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<p class="block"><strong>Informationsquelle(n):</strong></p>
<p class="block">Blog von Microsoft (Englisch)<br /><a href="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/">https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/</a></p>
<p class="block">Blog von GTSC (Englisch)<br /><a href="https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html">https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html</a></p>
<p class="block">Artikel von Borncity<br /><a href="https://www.borncity.com/blog/2022/09/30/microsofts-empfehlungen-fr-die-exchange-server-0-day-schwachstelle-zdi-can-18333/">https://www.borncity.com/blog/2022/09/30/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022/</a></p>
<p class="block">Artikel von heise.de<br /><a href="https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html">https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html</a></p>
<p class="block">Artikel von Doublepulsar.com (Englisch)<br /><a href="https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9">https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9</a></p>
<p class="block">Zero Day Initiative Advisories (Englisch)<br /><a href="https://www.zerodayinitiative.com/advisories/upcoming/">https://www.zerodayinitiative.com/advisories/upcoming/</a></p>
<p class="block"> Analyse von Microsoft (Englisch)<br /><a href="https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/">https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/</a></p>
<p class="block">Tweet von Kevin Beaumont (Englisch)<br /><a href="https://twitter.com/GossiTheDog/status/1576852912877101057">https://twitter.com/GossiTheDog/status/1576852912877101057</a></p>
<p class="block">Artikel von heise Security zu nachgebesserten Mitigation-Regeln<br /><a href="https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html">https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html</a></p>
<p class="block"> </p>CERT.at2022-11-09T16:00:00ZKritische Sicherheitslücken in VMware Workspace ONE - Updates verfügbarCERT.at2022-11-09T11:14:58Z2022-11-09T11:01:00Z<p class="block">09. November 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">VMware hat Updates für drei kritische Authentication Bypass Sicherheitslücken im Remote-Access-Tool VMware Workspace ONE veröffentlicht.</p>
<p class="block">CVE-Nummer(n): CVE-2022-31685, CVE-2022-31686, CVE-2022-31687</p>
<p class="block">CVSS Base Score: 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Entfernte, anonyme Angreifer:innen können die Authentifizierung in erreichbaren VMware Workspace ONE Instanzen umgehen und Administratorrechte auf den betroffenen Systemen erlangen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>VMware Workspace ONE 21.x, 22.x (Windows)</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Es existieren keine Workarounds, die einzige Abhilfe ist ein Upgrade auf Version 22.10. Diese Version schließt zugleich auch die Sicherheitslücken CVE-2022-31688 (CVSS 6.4) und CVE-2022-31689 (CVSS 4.2).</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>VMware Security Advisory (Englisch)<br /> <a href="https://www.vmware.com/security/advisories/VMSA-2022-0028.html">https://www.vmware.com/security/advisories/VMSA-2022-0028.html</a></em></p>
<p class="block"><em>Artikel bei Bleeping Computer<br /> <a href="https://www.bleepingcomputer.com/news/security/vmware-fixes-three-critical-auth-bypass-bugs-in-remote-access-tool/">https://www.bleepingcomputer.com/news/security/vmware-fixes-three-critical-auth-bypass-bugs-in-remote-access-tool/</a></em></p>CERT.at2022-11-09T11:01:00ZUpdate #1 - Remote Code Execution in Zimbra Collaboration Suite - Updates und Workaround verfügbarCERT.at2022-10-14T16:29:07Z2022-10-14T16:45:00Z<p class="block">7. Oktober 2022</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 14. Oktober 2022, 16:45 <br /> </strong></div>
<p class="block"><strong><br />Beschreibung</strong><br />Eine kritische Schwachstelle in Zimbra Collaboration Suite erlaubt potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen von beliebigem Code. Laut diversen Berichten wird diese Schwachstelle bereits aktiv ausgenutzt.</p>
<p class="block">CVE-Nummer(n): CVE-2022-41352</p>
<p class="block">CVSS Base Score: 9.8</p>
<p class="block"><strong>Auswirkungen</strong><br />Das Ausnützen der Schwachstelle durch senden einer Email mit speziell präparierten Anhängen in den Formaten .cpio, .tar, .rpm kann zu einer vollständigen Kompromittierung des Systems führen.</p>
<p class="block"><strong>Betroffene Systeme</strong></p>
<p class="block">Alle Installationen der Zimbra Collaboration Suite die eine verwundbare Version des Archivierungsprogrammes cpio einsetzen. Dies betrifft standardmäßig alle Installationen, bei denen nicht nachträglich manuell das Archivierungsprogramm pax installiert wurde.</p>
<p class="block"><br /><strong>Abhilfe</strong><br />Bis zur Bereitstellung eines Updates empfiehlt Zimbra die Installation von pax, welches eine in dieser Situation sichere Alternative zu cpio darstellt.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 14. Oktober 2022, 16:45 </strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">Zimbra hat <a title="https://www.zimbra.com/downloads/" href="https://www.zimbra.com/downloads/" target="_blank">Updates</a> bereitgestellt.<strong><br /> </strong></div>
<p class="block"> </p>
<p class="block"><strong>Hinweis</strong><br />Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<p class="block"><br /><strong>Informationsquelle(n):</strong></p>
<p class="block">Rapid7 (Englisch)<br /><a href="https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/" target="_blank">https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatched-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration-suite-cve-2022-41352/</a></p>
<p class="block">Artikel von heise bezüglich der verfügbaren Updates<br /><a href="https://www.heise.de/news/Groupware-Zimbra-Updates-stopfen-mehrere-Sicherheitslecks-7307521.html">https://www.heise.de/news/Groupware-Zimbra-Updates-stopfen-mehrere-Sicherheitslecks-7307521.html</a></p>
<p class="block"> </p>CERT.at2022-10-14T16:45:00ZKritische Sicherheitslücke in Magento Open Source und Adobe Commerce - Updates verfügbarCERT.at2022-10-12T09:23:14Z2022-10-12T09:20:00Z<p class="block">12. Oktober 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Adobe hat Updates für die E-Commerce Software Suites 'Magento Open Source' und 'Adobe Commerce' herausgegeben.</p>
<p class="block">CVE-Nummer(n): CVE-2022-35698</p>
<p class="block">CVSS Base Score: 10.0</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Angreifer:innen können beliebigen Code auf betroffenen Systemen ausführen (vermutlich mit den Rechten des Webservers), und haben Zugriff auf alle Daten die im E-Commerce System gespeichert sind.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>Magento Open Source vor den Versionen 2.4.5-p1 bzw. 2.4.4-p2</li>
<li>Adobe Commerce vor den Versionen 2.4.5-p1 bzw. 2.4.4-p2</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Installation der bereitgestellten fehlerbereinigten Versionen.</p>
<p class="block">Es sind derzeit keine Workarounds bekannt.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Meldung </em>APSB22-48 <em>von Adobe (englisch)<br /> </em></p>
<p class="block"><em><a href="https://helpx.adobe.com/security/products/magento/apsb22-48.html">https://helpx.adobe.com/security/products/magento/apsb22-48.html</a> </em></p>CERT.at2022-10-12T09:20:00ZUpdate #1 - Kritische Sicherheitslücke in Fortinet Produkten - Updates verfügbarCERT.at2022-10-10T18:47:48Z2022-10-10T18:10:00Z<p class="block">10. Oktober 2022</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 10. Oktober 2022, 18:10 (zusätzlich zu Firewalls sind weitere Produkte betroffen)<br /></strong></div>
<h2 class="block">Beschreibung</h2>
<p class="block">Kritische Schwachstellen in Fortinet <span style="text-decoration: line-through;">Firewalls</span> Produkten erlauben es Angreifenden, die Authentisierung zu umgehen und Aktionen mit Admin-Rechten auszuführen.</p>
<p class="block">CVE-Nummer(n): CVE-2022-40684</p>
<p class="block">CVSS Base Score: 9.6</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Durch spezielle http/https-Anfragen an das Administrations-Interface <span style="text-decoration: line-through;">der Firewall</span> lassen sich Aktionen mit Admin-Rechten ausführen. Damit sind alle <span style="text-decoration: line-through;">durch die Firewall</span> geschützten Netzwerke potentiell gefährdet.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li class="block">FortiOS 7.0.0 bis 7.0.6, 7.2.0 bis 7.2.1</li>
<li class="block">FortiProxy 7.0.0 bis 7.0.6, und 7.2.0</li>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update #1: 10. Oktober 2022, 18:10<br /></strong></p>
<ul>
<li class="block">FortiSwitchManager 7.0.0 und 7.2.0</li>
</ul>
</div>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der von Fortinet zur Verfügung gestellten fehlerbereinigten Versionen.</p>
<p class="block">Wo dies nicht möglich ist, erklärt Fortinet in einem nur für Kunden zugänglichen Dokument (CSB-221006-1) einen möglichen Workaround. Wir empfehlen - generell und in solchen Fällen ganz besonders - den Zugriff auf das Administrations-Interface auf vertrauenswürdige IP-Adressen zu beschränken.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;"><strong>Update #1: 10. Oktober 2022, 18:10<br /></strong></div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">Fortinet hat ein Advisory mit den <a title="https://fortiguard.fortinet.com/psirt/FG-IR-22-377" href="https://fortiguard.fortinet.com/psirt/FG-IR-22-377" target="_blank">Workarounds</a> veröffentlicht.</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<h2 class="block">Informationsquelle(n)</h2>
<p class="block">Artikel bei heise Security<br /><a href="https://heise.de/-7288810">https://heise.de/-7288810 </a></p>
<p class="block">Artikel bei Bleeping Computer (englisch)<br /><a href="https://www.bleepingcomputer.com/news/security/fortinet-warns-admins-to-patch-critical-auth-bypass-bug-immediately/">https://www.bleepingcomputer.com/news/security/fortinet-warns-admins-to-patch-critical-auth-bypass-bug-immediately/</a></p>
<p class="block">Fortinet Advisory (englisch)<br /><a href="https://fortiguard.fortinet.com/psirt/FG-IR-22-377">https://fortiguard.fortinet.com/psirt/FG-IR-22-377</a></p>
<p class="block"> </p>CERT.at2022-10-10T18:10:00ZRemote Code Execution Schwachstelle in Zyxel NAS - Updates verfügbarCERT.at2022-09-07T13:57:15Z2022-09-07T10:52:00Z<p class="block">7. September 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Eine kritische Schwachstelle in Zyxel NAS-Systemen ermöglicht potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen von beliebigem Code.</p>
<p class="block">CVE-Nummer(n): CVE-2022-34747</p>
<p class="block">CVSS Base Score: 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Das Ausnützen der Schwachstelle durch senden spezieller UDP-Pakete kann zu einer vollständigen Kompromittierung des Systems führen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>NAS326 V5.21(AAZF.11)C0 und älter</li>
<li>NAS540 V5.21(AATB.8)C0 und älter</li>
<li>NAS542 V5.21(ABAG.8)C0 und älter</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der Updates V5.21(AAZF.12)C0, V5.21(AATB.9)C0 oder V5.21(ABAG.9)C0</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block">Zyxel Advisory (Englisch)<br /><a title="https://www.zyxel.com/support/Zyxel-security-advisory-for-format-string-vulnerability-in-NAS.shtml" href="https://www.zyxel.com/support/Zyxel-security-advisory-for-format-string-vulnerability-in-NAS.shtml">https://www.zyxel.com/support/Zyxel-security-advisory-for-format-string-vulnerability-in-NAS.shtml</a></p>
<p class="block">Artikel bei Bleeping Computer (Englisch)<br /><a title="https://www.bleepingcomputer.com/news/security/zyxel-releases-new-nas-firmware-to-fix-critical-rce-vulnerability/" href="https://www.bleepingcomputer.com/news/security/zyxel-releases-new-nas-firmware-to-fix-critical-rce-vulnerability/">https://www.bleepingcomputer.com/news/security/zyxel-releases-new-nas-firmware-to-fix-critical-rce-vulnerability/</a></p>
<p class="block">Artikel bei heise.de (Deutsch)<br /><a title="https://www.heise.de/news/Auf-NAS-Systeme-von-Zyxel-koennte-Schadcode-gelangen-7255585.html" href="https://www.heise.de/news/Auf-NAS-Systeme-von-Zyxel-koennte-Schadcode-gelangen-7255585.html">https://www.heise.de/news/Auf-NAS-Systeme-von-Zyxel-koennte-Schadcode-gelangen-7255585.html</a></p>
<p class="block">Eintrag in der National Vulnerability Database (Englisch)<br /><a title="https://nvd.nist.gov/vuln/detail/CVE-2022-34747" href="https://nvd.nist.gov/vuln/detail/CVE-2022-34747">https://nvd.nist.gov/vuln/detail/CVE-2022-34747</a></p>CERT.at2022-09-07T10:52:00ZKritische Sicherheitslücke in Atlassian Bitbucket Server and Data Center - Updates verfügbarCERT.at2022-08-29T14:38:14Z2022-08-29T14:25:00Z<p class="block">29. August 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Eine kritische Schwachstelle in Atlassian Bitbucket Server and Data Center ermöglicht potentiellen Angreifern oder Angreiferinnen das Ausführen von beliebigem Code mittels spezieller HTTP-Anfragen. Vorrausetzung dafür ist Zugriff auf ein öffentliches bzw. Lese-Zugriff auf ein privates Repository</p>
<p class="block">CVE-Nummer(n): CVE-2022-36804</p>
<p class="block">CVSS Base Score: 9.9</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Das Ausnützen der Schwachstelle erlaubt potentiell das Ausführen von beliebigem Code mit den Rechten des Dienstes.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>Bitbucket Server and Data Center Versionen 7.0 - 8.3.0</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der Updates auf eine abgesicherte Version</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Atlassian Advisory (Englisch)<br /> <a href="https://jira.atlassian.com/browse/BSERV-13438">https://jira.atlassian.com/browse/BSERV-13438</a></em></p>
<p class="block"><em>Artikel bei Bleeping Computer (Englisch)<br /> <a href="https://www.bleepingcomputer.com/news/security/atlassian-bitbucket-server-vulnerable-to-critical-rce-vulnerability/">https://www.bleepingcomputer.com/news/security/atlassian-bitbucket-server-vulnerable-to-critical-rce-vulnerability/</a></em></p>CERT.at2022-08-29T14:25:00ZRemote Code Execution Schwachstelle in Cisco Small Business RV Series Routern - Updates verfügbarCERT.at2022-08-04T11:26:18Z2022-08-04T10:17:00Z<p class="block">4. August 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Eine Schwachstelle in Cisco VPN-Routern aus der RV340 and RV345 Serie ermöglicht potentiell das Ausführen von beliebigem Code mit root-Rechten.</p>
<p class="block">CVE-Nummer(n): CVE-2022-20842</p>
<p class="block">CVSS Base Score: 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Das Ausnützen der Sicherheitslücke durch Senden einer speziell präparierten HTTP-Anfrage erlaubt entfernten, unauthentifizierten Angreifer:innen möglicherweise das Ausführen von beliebigem Code mit root-Rechten oder dem Auslösen eines Denial-of-Service-Zustands. Potentiell kann über die Schwachstelle eine vollständige Kompromittierung des Systems erfolgen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>RV340 Series Router mit Firmware-Version <= 1.0.03.26</li>
<li>RV345 Series Router mit Firmware-Version <= 1.0.03.26</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der Updates auf Version 1.0.03.28. Derzeit existieren keine Workarounds.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Cisco-Advisory (Englisch)<br /> <a href="https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-mult-vuln-CbVp4SUR">https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-mult-vuln-CbVp4SUR</a></em></p>
<p class="block"><em>Artikel bei Bleeping Computer<br /> <a href="https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-remote-code-execution-bug-in-vpn-routers/">https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-remote-code-execution-bug-in-vpn-routers/</a></em></p>CERT.at2022-08-04T10:17:00ZUpdate - Kritische Sicherheitslücke in Atlassian Confluence - Patches & Workarounds verfügbarCERT.at2022-06-07T14:37:25Z2022-06-03T10:43:00Z<p class="block">03. Juni 2022</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 07. Juni 2022, 13:50</strong></p>
</div>
<h2 class="block">Beschreibung</h2>
<p class="block">Atlassian Confluence Server und Confluence Data Center weisen eine kritische Schwachstelle auf, die das Ausführen von beliebigem Code erlaubt. Die Sicherheitslücke wird bereits aktiv ausgenützt.</p>
<p class="block">CVE-Nummer: CVE-2022-26134</p>
<p class="block">CVSS Base Score: Atlassian Security Level: Critical (entspricht CVSS Score 9.0-10.0)</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Schwachstelle erlaubt entfernten, unauthentifizierten Angreifer:innen das Ausführen von beliebigem Code und in weiterer Folge potentiell die vollständige Kompromittierung des betroffenen Systems.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>Atlassian Confluence Server</li>
<li>Atlassian Confluence Data Center</li>
</ul>
<p class="block">Betroffen sind alle Versionen von Confluence Server und Confluence Data Center. Atlassian Cloud Sites sind nicht betroffen.</p>
<h2 class="block">Abhilfe</h2>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 07. Juni 2022, 13:50<br /></strong></p>
<p class="block">Atlassian hat <a href="https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html">Patches und weitere Workarounds</a> für betroffene Confluence Versionen veröffentlicht.</p>
</div>
<p class="block">Derzeit existieren noch keine Updates, um die Sicherheitslücke zu schließen. Als Workaround empfiehlt Atlassian, den Zugang zu Confluence-Instanzen aus dem öffentlichen Internet zu unterbinden oder die Instanzen temporär zu deaktivieren, bis ein Patch verfügbar ist.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Atlassian Advisory (Englisch)<br /> <a href="https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html">https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html</a></em></p>
<p class="block"><em>Analyse der Schwachstelle von Volexity (Englisch)<br /> <a href="https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/">https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/</a></em></p>CERT.at2022-06-03T10:43:00ZRemote Code Execution Schwachstelle in Microsoft Windows - Workarounds verfügbarCERT.at2022-05-31T16:32:04Z2022-05-31T16:30:00Z<p class="block">31. Mai 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Mehrere Microsoft Windows Versionen weisen eine Schwachstelle auf, die (zB in Verbindung mit Microsoft Office Produkten, aber möglicherweise auch durch Drittanwendungen) eine Remote Code Execution erlaubt.</p>
<p class="block">CVE-Nummer: CVE-2022-30190</p>
<p class="block">CVSS Base Score: 7.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Angreifer:innen können durch Ausnützen der Schwachstelle beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen und somit potentiell das gesamte System übernehmen. Da bald mit aktiven Angriffen auf die Schwachstelle zu rechnen ist, sollten die Workarounds so schnell wie möglich umgesetzt werden.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li class="block">Windows 7 bis Windows 11</li>
<li class="block">Windows Server ab Windows Server 2008</li>
<li class="block">Windows RT 8.1.</li>
</ul>
<h2 class="block">Abhilfe</h2>
<h3 class="block">Kurzfristig</h3>
<ul>
<li class="block">Anwenden der in der Meldung vom Microsoft angeführten Workarounds (Deaktivieren des Protocol Handlers für das ms-msdt Protokoll)</li>
</ul>
<h3 class="block">Langfristig</h3>
<ul>
<li class="block">Einspielen der entsprechenden Updates/Patches, sobald diese zur Verfügung stehen.</li>
</ul>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block">Guidance von Microsoft (englisch): <a title="https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/" href="https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/" target="_blank">https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/</a></p>
<p class="block">Artikel bei heise.de: <a title="https://www.heise.de/news/Zero-Day-Luecke-in-MS-Office-Microsoft-gibt-Empfehlungen-7126993.html" href="https://www.heise.de/news/Zero-Day-Luecke-in-MS-Office-Microsoft-gibt-Empfehlungen-7126993.html" target="_blank">https://www.heise.de/news/Zero-Day-Luecke-in-MS-Office-Microsoft-gibt-Empfehlungen-7126993.html</a></p>CERT.at2022-05-31T16:30:00ZKritische Authentication-Bypass Schwachstelle in mehreren VMware Produkten - Updates und Workarounds verfügbarCERT.at2022-05-19T16:34:25Z2022-05-19T14:52:00Z<p class="block">19. Mai 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Mehrere VMware Produkte weisen eine Schwachstelle auf, die das Umgehen der Authentifizierung des Management User-Interfaces erlaubt.</p>
<p class="block">CVE-Nummer: CVE-2022-22972</p>
<p class="block">CVSS Base Score: 9.8</p>
<p class="block">Die aktuellen Updates beheben außerdem die Schwachstelle CVE-2022-22973 (Local Privilege Escalation) mit einem CVSS Score von 7.8.</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Angreifer:innen können durch Ausnützen der Schwachstelle ohne gültige Zugangsdaten auf erreichbare Management User-Interfaces zugreifen und potentiell das gesamte System übernehmen. Da bald mit aktiven Angriffen auf die Schwachstelle zu rechnen ist, sollten die Updates so schnell wie möglich eingespielt werden.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block"> </p>
<ul>
<li>VMware Workspace ONE Access (Access) Versionen 20.10.0.0, 20.10.0.1, 21.08.0.0, 21.08.0.1 (Linux)</li>
<li>VMware Identity Manager (vIDM) Versionen 3.3.3, 3.3.4, 3.3.5, 3.3.6</li>
<li>VMware vRealize Automation (vRA) Version 7.6</li>
<li>VMware Cloud Foundation Versionen 3.x, 4.0.x, 4.1.x, 4.2, 4.3.x</li>
<li>vRealize Suite Lifecycle Manager Version 8.x</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der verfügbaren Updates oder Workarounds.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>VMware Advisory (Englisch)<br /> <a href="https://www.vmware.com/security/advisories/VMSA-2022-0014.html">https://www.vmware.com/security/advisories/VMSA-2022-0014.html</a></em></p>
<p class="block"><em>FAQs zum VMware Advisory (Englisch)<br /> <a href="https://core.vmware.com/vmsa-2022-0014-questions-answers-faq">https://core.vmware.com/vmsa-2022-0014-questions-answers-faq</a></em></p>
<p class="block"><em>heise-Artikel<br /> <a href="https://www.heise.de/news/Attacken-auf-VMware-Sicherheitsluecken-Jetzt-updaten-7099531.html">https://www.heise.de/news/Attacken-auf-VMware-Sicherheitsluecken-Jetzt-updaten-7099531.html</a></em></p>CERT.at2022-05-19T14:52:00ZSicherheitslücke in der Java-Implementation des Elliptic Curve Digital Signature Algorithm (ECDSA)CERT.at2022-04-22T10:03:39Z2022-04-21T09:37:00Z<p class="block">22. April 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Die Sicherheitslücke CVE-2022-21449 in der Java-Implementation des <a href="https://de.wikipedia.org/wiki/Elliptic_Curve_DSA">Elliptic Curve Digital Signature Algorithm (ECDSA)</a> erlaubt das Erstellen von "leeren" digitalen Signaturen, die durch die Schwachstelle fälschlicherweise als echt interpretiert werden.</p>
<p class="block">CVE-Nummern: CVE-2022-21449</p>
<p class="block">CVSS Base Score: 7.5 lt. Oracle, 10 lt. dem Entdecker des Bugs</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Sicherheitslücke erlaubt es Angreifer:innen, beliebige Daten mit einer leeren Signatur zu versehen und so die Signaturprüfung zu umgehen. Die verwundbare Java-Applikation bestätigt die Echtheit dieser Daten.</p>
<p class="block">Die weiteren Auswirkungen davon sind schwer abschätzbar, da viele Faktoren in die Bewertung konkreter Systeme einfließen. Wir empfehlen eine Analyse basierend auf der folgenden Punkten, eine überhastete Reaktion ist nicht angebracht. </p>
<ul>
<li class="block">Server und Client-Zertifikate nach X.509 werden von Certification Authorities (CA) signiert. Ist eine CA, die einen Elliptic Curve Schlüssel verwendet, als vertrauenswürdig konfiguriert, so kann man einer verwundbaren Java-Applikation beliebige Identitäten vortäuschen.</li>
<li class="block">Daher kann die Überprüfung, ob ein Server-Zertifikat gültig ist, auf einem verwundbaren Java-basierten Client ausgehebelt werden. Damit sind <a href="https://github.com/khalednassar/CVE-2022-21449-TLS-PoC">Man-in-the-Middle Angriffe</a> möglich.</li>
<li class="block">Das gleiche gilt für die Gegenrichtung: Eine Authentisierung mittels TLS-Client-Zertifikat kann ebenfalls ausgehebelt werden, wenn der Server verwundbar ist.</li>
<li class="block">Digitale Signaturen auf strukturierten Daten, wie etwa <a href="https://www.w3.org/TR/xmldsig-core1/">XML-DSIG</a> für XML, <a href="https://www.redhat.com/en/blog/jose-json-object-signing-and-encryption">JOSE/JWS</a> für JSON und <a href="https://datatracker.ietf.org/doc/rfc8152/">COSE</a> für CBOR, können auch ECDSA verwenden. Damit ist die korrekte Verifikation dieser Signaturen durch eine der betroffenen Java-Versionen nicht sichergestellt.</li>
<li class="block">Diese Techniken sind die kryptografische Basis diverser anderer Protokolle, etwa:
<ul>
<li class="block"><a href="https://en.wikipedia.org/wiki/SAML_2.0">SAML 2.0</a> (Ein Protokoll für Web-basiertes Single-Sign-On) basiert auf XML-DSIG</li>
<li class="block">Open ID Connect (OIDC) ist ein weiteres SSO-Protokoll, es basiert auf<a href="https://datatracker.ietf.org/doc/html/rfc7523"> JSON Web Tokens (JWT)</a>, die ihrerseits ein Spezialfall von JOSE/JWS sind.</li>
<li class="block"><a href="https://en.wikipedia.org/wiki/WebAuthn">WebAuthn</a> (Ein Standard zur Identifikation von Usern im Web mittels kryptografischer Token, etwa „FIDO Keys“) basiert auf COSE.</li>
<li class="block">Signierte Strich- oder QR-Codes, wie diverse Online-Tickets, die offline validiert werden, basieren auf COSE.</li>
</ul>
</li>
<li class="block">Auch die Verifikation von signierten Dokumenten könnte betroffen sein.</li>
</ul>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Systeme, auf denen folgende Software zur Verifikation von ECDSA-basierten Zertifikaten/Signaturen eingesetzt wird:</p>
<ul>
<li>Oracle Java SE in den Versionen 7u331, 8u321, 11.0.14, 17.0.2 und 18</li>
<li>Oracle GraalVM Enterprise Edition in den Versionen 20.3.5, 21.3.1 und 22.0.0.2</li>
<li>OpenJDK in den Versionen 15.0.6, 17.0.2 und 18</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der zur Verfügung gestellten Patches. Da damit zu rechnen ist, dass die Schwachstelle innerhalb kurzer Zeit ausgenützt werden wird, sollte dies so schnell wie möglich geschehen.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>CVE-2022-21449 (MITRE)<br /> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-21449">https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-21449</a></em></p>
<p class="block"><em>Golem.de-Artikel<br /> <a href="https://www.golem.de/news/elliptische-kurven-java-signaturpruefung-laesst-sich-mit-nullen-austricksen-2204-164719.html">https://www.golem.de/news/elliptische-kurven-java-signaturpruefung-laesst-sich-mit-nullen-austricksen-2204-164719.html</a></em></p>
<p class="block"><em>heise.de-Artikel<br /> <a href="https://www.heise.de/news/Bug-in-Java-macht-digitale-Signaturen-wertlos-6847744.html">https://www.heise.de/news/Bug-in-Java-macht-digitale-Signaturen-wertlos-6847744.html</a></em></p>
<p class="block"><em>Blog des Entdeckers der Schwachstelle (englisch)<br /> <a href="https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/">https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/</a></em></p>
<p class="block"><em>Oracle Advisory (englisch)<br /> <a href="https://www.oracle.com/security-alerts/cpuapr2022.html">https://www.oracle.com/security-alerts/cpuapr2022.html</a></em></p>
<p class="block"><em>OpenJDK Advisory (englisch)<br /> <a href="https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19">https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19</a></em></p>CERT.at2022-04-21T09:37:00ZSicherheitslücken mit Denial of Service-Potential in OpenSSL - Updates verfügbarCERT.at2022-03-16T11:14:17Z2022-03-16T11:10:00Z<p class="block">16. März 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Das OpenSSL Projekt hat eine Warnung zu potentiellen Endlosschleifen - und damit der Möglichkeit zu Denial of Service-Attacken - in OpenSSL herausgegeben und gleichzeitig entsprechende Updates veröffentlicht.</p>
<p class="block">Dies betrifft sowohl Clients als auch Server, die OpenSSL einsetzen.</p>
<p class="block">CVE-Nummer: CVE-2022-0778</p>
<h2 class="block">Auswirkungen</h2>
<p class="block"> </p>
<p class="block">Angreifer können:</p>
<ul>
<li class="block">Clients entsprechend präparierte Server-Zertifikate präsentieren, wodurch die Clients in eine Endlosschleife gelangen und entsprechend System-Ressourcen gebunden werden</li>
<li class="block">Servern entsprechend präparierte Client-Zertifkate präsentieren, wodurch die Server in eine Endlosschleife gelangen und entsprechend System-Ressourcen gebunden werden</li>
</ul>
<p class="block">Weiters sind Setups verwundbar, die SSL-Zertifikate anderweitig verarbeiten, etwa wenn solche von Kunden hochgeladen werden können oder wenn Certification Requests (etwa von CAs) verarbeitet werden.</p>
<p class="block"> </p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block"> </p>
<p class="block">Systeme, die OpenSSL in den Versionen 1.0.2, 1.1.1 und 3.0 einsetzen.</p>
<p class="block"> </p>
<h2 class="block">Abhilfe</h2>
<p class="block"> </p>
<p class="block">Einspielen der zur Vergügung gestellten Patches. Da damit zu rechnen ist, dass entsprechend präparierte Zertifikate in kurzer Zeit in Umlauf gebracht werden, sollte dies so schnell wie möglich geschehen.</p>
<p class="block">Das OpenSSL Projekt weist weiters darauf hin, dass es für OpenSSL 1.0.2 keine öffentlich verfügbaren Updates mehr gibt und legt hier generell ein Update auf die noch unterstützen Versionen 1.1.1n bzw. 3.0.2 nahe.</p>
<p class="block"> </p>
<h2 class="block">Hinweis</h2>
<p class="block"> </p>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<p class="block"> </p>
<hr />
<p class="block"> </p>
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"> </p>
<p class="block"><em>Advisory von OpenSSL: <a title="https://www.openssl.org/news/secadv/20220315.txt" href="https://www.openssl.org/news/secadv/20220315.txt" target="_blank">https://www.openssl.org/news/secadv/20220315.txt</a><br /></em></p>
<p class="block"> </p>CERT.at2022-03-16T11:10:00ZKritische Sicherheitslücken in Veeam Backup & Replication und Veeam Agent - Updates verfügbarCERT.at2022-03-16T10:25:13Z2022-03-16T10:24:00Z<p class="block">16. März 2022</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Veeam hat Updates zu kritischen Sicherheitslücken in Veeam Backup & Replication sowie Veeam Agent for Microsoft Windows herausgegeben.</p>
<h3 class="block">Veeam Backup & Replication</h3>
<h4 class="block"><strong>Veeam Distribution Service</strong></h4>
<p class="block">Das Veeam Distribution Service (per Default auf tcp/9380) ist anfällig für Remote Code Execution.</p>
<p class="block">CVE-Nummern: CVE-2022-26500, CVE-2022-26501</p>
<p class="block">CVSS v3 Score: 9.8</p>
<h4 class="block"><strong>Veeam.Backup.PSManager.exe</strong></h4>
<p class="block">Die Komponente von Veeam Backup & Replication für Microsoft System Center Virtual Machine Manager (SCVMM) kann missbraucht werden, um auch nicht-administrativen Usern Code Execution zu ermöglichen. Die Komponente Veeam.Backup.PSManager.exe läuft - so aktiviert - per Default auf tcp/8732.</p>
<p class="block">CVE-Nummer: CVE-2022-26504</p>
<p class="block">CVSS v3 Score: 8.8</p>
<h3 class="block">Veeam Agent for Microsoft Windows</h3>
<p class="block">Eine Lücke in Veeam Agent for Microsoft Windows (lauscht per Default auf tcp/9395) ermöglicht es lokalen Benutzern, ihre Rechte zu erhöhen, und beliebigen Code mit LOCAL SYSTEM-Rechten auszuführen.</p>
<p class="block">CVE-Nummer: CVE-2022-26503</p>
<p class="block">CVSS v3 Score: 7.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Angreifer können beliebigen Code auf Servern mit Veeam Backup & Replication ausführen, und damit das ganze System übernehmen.</p>
<p class="block">Angreifer können ihre Rechte auf Clients mit Veeam Agent for Microsoft Windows erhöhen, und nach erfolgter Erst-Kompromittierung das ganze System übernehmen.</p>
<h2 class="block">Betroffene Systeme</h2>
<h4 class="block"><strong>Server</strong></h4>
<p class="block">Server, die Veeam Backup & Replication in den Versionen 9.5, 10a und 11a installiert haben.</p>
<p class="block">Ausgenommen davon sind Server, die mittels ISO-Images mit Datum 20220302 oder später aufgesetzt wurden, sowie "Managed" Installationen.</p>
<h4 class="block"><strong>Clients</strong></h4>
<p class="block">Clients, die Veeam Agent for Microsoft Windows in den Versionen 2.0 bis 5.0 installiert haben.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der bereitgestellten Updates.</p>
<p class="block">Bei Veeam Backup & Replication 9.5 ist ein Upgrade auf eine unterstützte Produktversion erforderlich.<br /> Veeam Agent for Microsoft Windows in Versionen älter als 4 sollte auf eine unterstützte Version aktualisiert werden.</p>
<p class="block">Für die Lücke in Veeam Distribution Service kann als temporärer Workaround laut Veeam auch das Veeam Distribution Service gestoppt und disabled werden.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<h2 class="block"><br />Informationsquelle(n)</h2>
<p class="block">Advisory von Veeam, KB4288: <a title="https://www.veeam.com/kb4288" href="https://www.veeam.com/kb4288" target="_blank">https://www.veeam.com/kb4288</a></p>
<p class="block">Advisory von Veeam, KB4289: <a title="https://www.veeam.com/kb4289" href="https://www.veeam.com/kb4289" target="_blank">https://www.veeam.com/kb4289</a></p>
<p class="block">Advisory von Veeam, KB4290: <a title="https://www.veeam.com/kb4290" href="https://www.veeam.com/kb4290" target="_blank">https://www.veeam.com/kb4290</a></p>CERT.at2022-03-16T10:24:00ZUpdate#9 - Kritische 0-day Sicherheitslücke in Apache Log4j Bibliothek - Updates und Workarounds verfügbarCERT.at2021-12-29T11:43:10Z2021-12-10T10:16:00Z<p class="block">10. Dezember 2021</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 13. Dezember 2021, 12:40<br /></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 13. Dezember 2021, 14:20</strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 14. Dezember 2021, 10:40</strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 14. Dezember 2021, 13:10</strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 15. Dezember 2021, 11:00<br /></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 17. Dezember 2021, 14:00<br /></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 20. Dezember 2021, 09:00<br /></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 23. Dezember 2021, 09:15<br /></strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 29. Dezember 2021, 11:15<br /></strong></p>
</div>
<h2 class="block">Beschreibung</h2>
<p class="block">Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine schwerwiegende 0-day-Sicherheitslücke auf, die sich durch simples Loggen eines speziellen Strings ausnützen lässt. Mittels JNDI wird ein Look-up auf einen von den Angreifer:innen kontrollierten Server ausgelöst und der zurückgelieferte Code ausgeführt. Entsprechender PoC-Exploit-Code wurde bereits auf <a title="https://github.com/tangxiaofeng7/apache-log4j-poc" href="https://github.com/tangxiaofeng7/apache-log4j-poc">GitHub</a> veröffentlicht.</p>
<p class="block">CVE-Nummern: CVE-2021-44228 (lt. <a title="https://github.com/advisories/GHSA-jfh8-c2jp-5v3q" href="https://github.com/advisories/GHSA-jfh8-c2jp-5v3q">Apache Log4j GitHub</a>, derzeit noch nicht offiziell bestätigt)</p>
<p class="block">CVSS Base Score: N/A</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 13. Dezember 2021, 12:40</strong></p>
<p class="block">Die CVE-Nummer ist nun offiziell bestätigt: <a href="https://nvd.nist.gov/vuln/detail/CVE-2021-44228">https://nvd.nist.gov/vuln/detail/CVE-2021-44228</a><br />Apache gibt einen Base CVSS Score von 10.0 an: <a href="https://logging.apache.org/log4j/2.x/security.html">https://logging.apache.org/log4j/2.x/security.html</a></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 13. Dezember 2021, 14:20</strong></p>
<p class="block">Detaillierte Informationen zu den Exploits sowie einige Gegenmaßnahmen finden Sie auch in folgendem Blogpost des Schweizer GovCERTs: <a href="https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/">https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/</a></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 15. Dezember 2021, 11:00<br /></strong></p>
<p class="block">Ein zusätzlicher Angriffsvektor wurde identifiziert und wird als <a title="https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/" href="https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/">CVE-2021-45046</a> geführt.</p>
<p class="block">Weitere Informationen und mögliche Gegenmaßnahmen finden Sie in unserem <a title="https://cert.at/de/spezielles/2021/12/special-report-empfehlungen-zu-log4shell" href="https://cert.at/de/spezielles/2021/12/special-report-empfehlungen-zu-log4shell">Special Report</a> zu Log4Shell.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 17. Dezember 2021, 14:00<br /></strong></p>
<p class="block">Der CVSS Score von <a title="https://www.lunasec.io/docs/blog/log4j-zero-day-severity-of-cve-2021-45046-increased/" href="https://www.lunasec.io/docs/blog/log4j-zero-day-severity-of-cve-2021-45046-increased/">CVE-2021-45046</a> wurde von 3.7 (limited Denial of Service) auf 9.0 (limited Remote Code Execution) erhöht.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 20. Dezember 2021, 09:00<br /></strong></p>
<p class="block">Apache Log4j ist anfällig für die Schwachstelle <a title="https://logging.apache.org/log4j/2.x/security.html" href="https://logging.apache.org/log4j/2.x/security.html">CVE-2021-45105</a> (Denial of Service) mit einem CVSS Score von 7.5. Einem <a title="https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/" href="https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/">Artikel</a> von Snyk zufolge, existiert derzeit noch kein PoC-Exploit.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 29. Dezember 2021, 11:15<br /></strong></p>
<p class="block">Die Log4j-Bibliothek in der Version 2.17.0 ist anfällig für <a title="https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/" href="https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/">CVE-2021-44832</a> (RCE mit einem CVSS Score von 6.6). Das Nachladen einer von Angreifer:innen bereitgestellten Konfiguration mit einer JNDI URI als Datasource für einen JDBC Appender ermöglicht das Laden und Ausführen von Schadcode wie schon bei CVE-2021-44228.</p>
</div>
<h2 class="block">Auswirkungen</h2>
<p class="block">Ein erfolgreiches Ausnützen der Schwachstelle kann zu einer vollständigen Kompromittierung des betroffenen Systems führen.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 20. Dezember 2021, 09:00<br /></strong></p>
<p class="block">Erfolgreiches Ausnützen der Schwachstelle CVE-2021-45105 kann zu einem Absturz der Applikation führen.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 29. Dezember 2021, 11:15<br /></strong></p>
<p class="block">Erfolgreiches Ausnützen der Schwachstelle CVE-2021-44832 kann zu einer vollständigen Kompromittierung des betroffenen Systems führen.</p>
</div>
<h2 class="block">Betroffene Systeme</h2>
<p class="block"> </p>
<ul>
<li>Alle Apache log4j Versionen von 2.0 bis inkl. 2.14.1 und sämtliche Frameworks (z.B. Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.), welche diese Versionen verwenden. <strong>Update: 14. Dezember 2021, 10:40:</strong> <span style="text-decoration: line-through;">Laut der Sicherheitsfirma LunaSec sind die JDK-Versionen 6u211, 7u201, 8u191, und 11.0.1 in der Default-Konfiguration nicht betroffen, da diese kein Laden einer Remote Codebase erlaubt. Ist jedoch die Option <code>com.sun.jndi.ldap.object.trustURLCodebase</code> auf <code>true</code> gesetzt, ist ein Angriff weiterhin möglich. <br /></span></li>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 13. Dezember 2021, 12:40</strong></p>
<p class="block">NCSC-NL, das nationale CERT der Niederlande, hat eine Liste betroffener Software auf GitHub veröffentlicht:</p>
<p class="block"><a title="https://github.com/NCSC-NL/log4shell/tree/main/software" href="https://github.com/NCSC-NL/log4shell/tree/main/software">https://github.com/NCSC-NL/log4shell/tree/main/software</a></p>
<p class="block">Diese Liste wird laufend erweitert.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 14. Dezember 2021, 10:40</strong></p>
<p class="block">Einem <a title="https://twitter.com/jschauma/status/1470438158034780173" href="https://twitter.com/jschauma/status/1470438158034780173">Tweet</a> von Jan Schaumann zufolge sind alle Java-Applikationen, welche die entsprechenden Log4j Versionen verwenden, als verwundbar zu betrachten, da sich die Option <code>com.sun.jndi.ldap.object.trustURLCodebase true</code> mittels serialisierter LDAP Payloads umgehen lässt, sofern sich die in der Payload serialisierten Klassen im Classpath befinden.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 20. Dezember 2021, 09:00<br /></strong></p>
<p class="block">CVE-2021-45105 betrifft die Apache Log4j Versionen 2.0-beta9 bis 2.16.0.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 29. Dezember 2021, 11:15<br /></strong></p>
<p class="block">CVE-2021-44832 betrifft die Versionen 2.0-beta7 bis 2.17.0, jedoch nicht die Security-Releases 2.3.2 (Java 6), und 2.12.4 (Java 7)</p>
</div>
<h2 class="block">Abhilfe</h2>
<p class="block">Update von Apache Log4j auf log4j-2.15.0-rc2, da die ursprünglich als gefixt angegebene Version log4j-2.15.0-rc1 die Schwachstelle anscheinend nur unzureichend behebt. Sollte ein Upgrade nicht zeitnah möglich sein, können Betreiber:innen verwundbarer Systeme als Workaround den Server mit der JVM-Option <code>-Dlog4j2.formatMsgNoLookups=true</code> starten.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 13. Dezember 2021, 12:40</strong></p>
<p class="block">Die Workarounds funktionieren nicht bei allen Versionen gleich:</p>
<ul>
<li class="block"><strong>Update 15. Dezember 2021, 11:00:</strong> <span style="text-decoration: line-through;">Bei Versionen größer oder gleich 2.10 ist es ausreichend, die Systemeinstellung <code>log4j2.formatMsgNoLookups</code> oder die Umgebungsvariable <code>LOG4J_FORMAT_MSG_NO_LOOKUPS</code> auf <code>true</code> zu setzen.</span></li>
<li class="block">Bei Versionen zwischen 2.0-beta9 und 2.10.0 muss die Klasse <code>JndiLookupclass</code> aus dem Klassenpfad ("class path") gelöscht werden. Das funktioniert z.B. mit folgendem Befehl:<br /><code> zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class</code></li>
</ul>
<p class="block">NCSC-NL hat auch eine Liste von Gegenmaßnahmen auf GitHub veröffentlicht:<br /><a title="https://github.com/NCSC-NL/log4shell/tree/main/mitigation" href="https://github.com/NCSC-NL/log4shell/tree/main/mitigation">https://github.com/NCSC-NL/log4shell/tree/main/mitigation</a></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 14. Dezember 2021, 13:10</strong></p>
<p class="block">Apache Log4j Version 2.16 steht zum <a title="https://logging.apache.org/log4j/2.x/download.html" href="https://logging.apache.org/log4j/2.x/download.html">Download</a> bereit. In dieser Version ist das Java Naming and Directory Interface (JNDI) standardmäßig deaktiviert. Das Interface kann zwar im Bedarfsfall wieder aktiviert werden, stellt jedoch in ungeschützen Umgebungen ein hohes Sicherheitsrisiko dar.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 15. Dezember 2021, 11:00<br /></strong></p>
<p class="block">Aufgrund des neuen Angriffsvektors in CVE-2021-45046 ist die Mitigation mittels <code>log4j2.formatMsgNoLookups</code> bei bestimmten Log4j-Konfigurationen unwirksam. Es wird daher dringend empfohlen, auf die gefixte Version 2.16 zu aktualiseren. Sollte das nicht möglich sein, muss die Klasse <code>JndiLookupClass</code>, wie oben beschrieben, aus dem Classpath gelöscht werden. Ob und in welchem Ausmaß das Entfernen der Klasse jedoch die Funktionalität der betroffenen Applikation beeinträchtigt, lässt sich nicht allgemein sagen.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 20. Dezember 2021, 09:00<br /></strong></p>
<p class="block">Update auf Apache Log4j 2.17.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 23. Dezember 2021, 09:15<br /></strong></p>
<p>Laut den aktualisierten <a title="https://logging.apache.org/log4j/2.x/security.html" href="https://logging.apache.org/log4j/2.x/security.html">Patch Notes</a> von Apache, sind die Sicherheitslücken CVE-2021-45046 und CVE-2021-45105 in den folgenden Versionen behoben:</p>
<ul>
<li>CVE-2021-45046: Log4j 2.16.0 (Java 8) und Log4j 2.12.2 (Java 7)</li>
<li class="block">CVE-2021-45105: Log4j 2.17.0 (Java 8), 2.12.3 (Java 7) und 2.3.1 (Java 6)</li>
</ul>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 29. Dezember 2021, 11:15<br /></strong></p>
<p>Laut den aktualisierten <a title="https://logging.apache.org/log4j/2.x/security.html" href="https://logging.apache.org/log4j/2.x/security.html">Patch Notes</a> von Apache, ist die Sicherheitslücke CVE-2021-44832 in den folgenden Versionen behoben:</p>
<ul>
<li> Log4j 2.3.2 (Java 6), 2.12.4 (Java 7), und 2.17.1 (Java 8 und höher)</li>
</ul>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>LunaSec Artikel<br /> <a href="https://www.lunasec.io/docs/blog/log4j-zero-day/">https://www.lunasec.io/docs/blog/log4j-zero-day/</a></em></p>
<p class="block"><em>Cyber Kendra Artikel<br /> <a href="https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html">https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html</a></em></p>
<p class="block"><em>PoC-Exploit auf GitHub<br /> <a href="https://github.com/tangxiaofeng7/apache-log4j-poc">https://github.com/tangxiaofeng7/apache-log4j-poc</a></em></p>
<p class="block"><em>Apache Advisory<br /> <a href="https://github.com/advisories/GHSA-jfh8-c2jp-5v3q">https://github.com/advisories/GHSA-jfh8-c2jp-5v3q</a></em></p>
<p class="block"><em>Reddit Thread zu den Exploits<br /><a href="https://www.reddit.com/r/blueteamsec/comments/rd38z9/log4j_0day_being_exploited/">https://www.reddit.com/r/blueteamsec/comments/rd38z9/log4j_0day_being_exploited/</a> <br /></em></p>
<p class="block"><em>NCSC-NL GitHub Repository zu betroffener Software, aktuellen Scans, Indicators of Compromise und Gegenmaßnahmen<br /><a href="https://github.com/NCSC-NL/log4shell">https://github.com/NCSC-NL/log4shell</a><br /></em></p>
<p class="block"><em>GovCERT.ch Artikel zu CVE-2021-44228<br /><a href="https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/">https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/</a></em></p>
<p class="block"><em>Tweet von Jan Schaumann zu serialisierten LDAP Payloads<br /><a href="https://twitter.com/jschauma/status/1470438158034780173">https://twitter.com/jschauma/status/1470438158034780173</a></em></p>
<p class="block"><em>Apache Log4j 2.16 Download<br /><a href="https://logging.apache.org/log4j/2.x/download.html">https://logging.apache.org/log4j/2.x/download.html</a></em></p>
<p class="block"><em>Heise-Artikel zu Apache Log4j 2.16<br /><a href="https://www.heise.de/news/Log4j-2-16-0-verbessert-Schutz-vor-Log4Shell-Luecke-6294053.html">https://www.heise.de/news/Log4j-2-16-0-verbessert-Schutz-vor-Log4Shell-Luecke-6294053.html</a></em></p>
<p class="block"><em>CERT.at Special Report mit Empfehlungen zu Log4Shell<br /><a href="https://cert.at/de/spezielles/2021/12/special-report-empfehlungen-zu-log4shell">https://cert.at/de/spezielles/2021/12/special-report-empfehlungen-zu-log4shell</a></em></p>
<p class="block"><em>LunaSec-Artikel zu CVE-2021-45046<br /><a href="https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/">https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/</a></em></p>
<p class="block"><em>Apache Patch Notes zu Log4j 2.17<br /><a title="https://logging.apache.org/log4j/2.x/security.html" href="https://logging.apache.org/log4j/2.x/security.html">https://logging.apache.org/log4j/2.x/security.html</a></em></p>
<p class="block"><em>Snyk-Artikel zu CVE-2021-45105<br /><a href="https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/">https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/</a></em></p>
<p class="block"><em>Checkmarx Artikel zu CVE-2021-44832<br /><a href="https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/">https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/</a></em></p>CERT.at2021-12-10T10:16:00ZMehrere kritische Schwachstellen in SonicWall SMA 100 Series Appliances – Updates verfügbarCERT.at2021-12-09T09:50:17Z2021-12-09T07:22:00Z<p class="block">09. Dezember 2021</p>
<h2 class="block">Beschreibung</h2>
<p class="block">SonicWall hat ein Security-Advisory zu mehreren, zum Teil kritischen, Schwachstellen in Appliances der SMA 100 Serie veröffentlicht. Derzeit gibt es laut SonicWall keine Hinweise darauf, dass die Lücken bereits aktiv ausgenutzt werden.</p>
<p class="block">CVE-Nummern und CVSS Base Scores lt. SonicWall:</p>
<ul>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20038" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20038">CVE-2021-20038</a> (9.8): Ein Stack-based Buffer Overflow, der ohne vorherige Authentifizierung ausgenutzt werden kann und potentiell das Ausführen von beliebigen Befehlen mit den Rechten des <code>nobody</code> Accounts ermöglicht.</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20039" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20039">CVE-2021-20039</a> (7.2): Eine Command-Injection Schwachstelle, die nach erfolgreicher Authentifizierung die Ausführung beliebiger Befehle als <code>root</code> via HTTP POST Requests ermöglicht.</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20040" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20040">CVE-2021-20040</a> (6.5): Diese Schwachstelle ermöglicht Angreifer:innen das Hochladen beliebiger Dateien ohne Authentifizierung mit den Rechten des <code>nobody</code> Accounts.</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20041" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20041">CVE-2021-20041</a> (7.5): Eine DoS Schwachstelle, die es entfernten, nicht authentifizierten Angreifer:innen ermöglicht, sämtliche CPU-Ressourcen der Appliance zu belegen und diese damit potentiell zum Absturz zu bringen.</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20042" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20042">CVE-2021-20042 </a>(6.3): Diese Schwachstelle ermöglicht es unauthentifizierten Angreifer:innen, die SonicWall Appliance als unfreiwilligen Proxy (siehe <a title="https://cwe.mitre.org/data/definitions/441.html" href="https://cwe.mitre.org/data/definitions/441.html">CWE-441</a>) zu verwenden, und dadurch Firewall-Regeln zu umgehen.</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20043" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20043">CVE-2021-20043</a> (8.8): Ein Heap-based Buffer Overflow, der ohne vorherige Authentifizierung ausgenutzt werden kann und potentiell das Ausführen von beliebigen Befehlen mit den Rechten des <code>nobody</code> Accounts ermöglicht.</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20044" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20044">CVE-2021-20044</a> (7.2): Eine Remote Code Execution (RCE) Schwachstelle, die es authentifizierten Angreifer:innen ermöglicht, beliebige Systembefehle mit dem <code>nobody</code> Account auszuführen sowie beliebige Dateien im <code>cgi-bin</code> Verzeichnis zu verändern oder zu löschen.</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20045" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20045">CVE-2021-20045</a> (9.4): Heap- und Stack-based Buffer Overflows im filexplorer Binary, die über das Netzwerk und ohne Authentifizierung ausgenutzt werden können. Auch hier ist es potentiell möglich, beliebige Befehle als <code>nobody</code> auszuführen.</li>
</ul>
<h2 class="block">Auswirkungen</h2>
<p class="block">Externe Angreifer:innen können über das Netzwerk beliebige Befehle als <code>nobody</code> ausführen oder das System zum Absturz/Stillstand bringen, ohne sich vorher authentifizieren zu müssen. Wenn sie auch über gültige Zugangsdaten verfügen, können sie das System vollständig übernehmen, da sie mit CVE-2021-20039 beliebige Befehle als <code>root</code> ausführen können.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>SonicWall Appliances der SMA 100 Serie, dazu gehören u.a.:<br />
<ul>
<li>SMA 200</li>
<li>SMA 210</li>
<li>SMA 400</li>
<li>SMA 410</li>
<li>SMA 500v</li>
</ul>
</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der bereitgestellten Updates.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>SonicWall Security Advisory<br /> <a title="https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026" href="https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026">https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026</a></em></p>CERT.at2021-12-09T07:22:00ZUpdate #2 - Wichtige Sicherheitslücke (CVE-2021-41773) in Apache HTTP Server 2.4.49 <u>und 2.4.50</u> - RCE möglich, Updates und Workarounds verfügbarCERT.at2021-10-08T10:31:37Z2021-10-06T14:41:00Z<p class="block">6. Oktober 2021</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 07. Oktober 2021</strong></p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 08. Oktober 2021</strong></p>
</div>
<h2 class="block">Beschreibung</h2>
<p class="block">Die vom Apache Team als "wichtig" eingestufte <a title="https://httpd.apache.org/security/vulnerabilities_24.html" href="https://httpd.apache.org/security/vulnerabilities_24.html">Path-Traversal-Lücke CVE-2021-41773</a> erlaubt potentiellen Angreifer:innen, auf Dateien und Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen, wenn der Schutzmechanismus <code>require all denied</code> nicht aktiv ist.</p>
<p class="block">CVE-Nummer: CVE-2021-41773</p>
<p class="block">CVSS Base Score: tbd</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 07. Oktober 2021</strong></p>
<p class="block">Die Schwachstelle kann das <a title="https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/" href="https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/">Ausführen von beliebigem Code</a> mit den Rechten des Dienstes ermöglichen, wenn <code>mod_cgi</code> aktiviert ist.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 08. Oktober 2021</strong></p>
<p class="block">CVE-Nummer: <a title="https://nvd.nist.gov/vuln/detail/CVE-2021-42013" href="https://nvd.nist.gov/vuln/detail/CVE-2021-42013">CVE-2021-42013</a></p>
<p class="block">CVSS Base Score: tbd</p>
</div>
<h2 class="block">Auswirkungen</h2>
<p class="block">Angreifer:innen können auf Dateien außerhalb des Document-Root-Verzeichnisses zugreifen.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 7. Oktober 2021</strong></p>
<p class="block">Sollte es Angreifer:innen gelingen durch Ausnutzen des Path-Traversal Exploits eine Datei zu erstellen/hochzuladen und auszuführen, ist eine vollständige Kompromittierung des Systems möglich.</p>
</div>
<h2 class="block">Betroffene Version</h2>
<ul>
<li>Apache HTTP Server 2.4.49</li>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 08. Oktober 2021</strong></p>
<ul>
<li class="block">Apache HTTP Server 2.4.50</li>
</ul>
</div>
<h2 class="block">Abhilfe</h2>
<p class="block">Upgrade auf Apache Version 2.4.50 bzw. Anwenden des Workarounds. Version 2.4.50 schließt außerdem die Lücke CVE-2021-41524, durch die Angreifer:innen mithilfe präparierter HTTP/2-Anfragen DoS-Zustände auslösen können.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 08. Oktober 2021</strong></p>
<p class="block">Die Absicherungen in Apache 2.4.50 waren leider nicht ausreichend und konnten umgangen werden. Apache hat dafür eine neue CVE (CVE-2021-42013) vergeben und mit Apache 2.4.51 eine Version veröffentlicht, die das Problem behebt.</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Apache Advisory<br /> <a href="https://httpd.apache.org/security/vulnerabilities_24.html">https://httpd.apache.org/security/vulnerabilities_24.html</a></em></p>
<p class="block"><em>Workaround von Apache<br /> <a href="https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles">https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles</a></em></p>
<p class="block"><em>Heise-Artikel<br /> <a href="https://heise.de/-6209130">https://heise.de/-6209130</a></em></p>
<p class="block"><em>Bleeping Computer-Artikel<br /> <a href="https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/">https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/</a></em></p>CERT.at2021-10-06T14:41:00ZKritische File-Upload Schwachstelle in VMware vCenter Server - Updates und Workarounds verfügbarCERT.at2021-09-22T10:36:50Z2021-09-22T07:02:00Z<p class="block">22. September 2021</p>
<h2 class="block">Beschreibung</h2>
<p class="block">VMware vCenter Server weist eine kritische Schwachstelle auf, die es Angreifer:innen ermöglicht, über das Netzwerk und ohne Authentifizierung beliebige Dateien auf den Server hochzuladen. Mit Hilfe von speziell präparierten Dateien können so beliebige Befehle auf dem Server ausgeführt werden. VMware geht davon aus, dass Exploits binnen kürzester Zeit öffentlich verfügbar sein werden und rät daher, die Updates oder Workarounds möglichst zeitnah einzuspielen.</p>
<p class="block">CVE-Nummern: <a title="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22005" href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22005">CVE-2021-22005</a></p>
<p class="block">CVSS Base Score: 9.8 (lt. VMware)</p>
<p class="block">Die aktuellen Updates beheben auch eine Reihe anderer Schwachstellen, allerdings ist keine davon so gefährlich wie CVE-2021-22005.</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Angreifer:innen können über das Netzwerk und ohne Authentifizierung beliebige Dateien auf den vCenter Server hochladen und darüber auch beliebige Befehle auf dem Server ausführen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>vCenter Server 7.0</li>
<li>vCenter Server 6.7 (Virtual Appliance)</li>
<li>Cloud Foundation (vCenter Server) 4.x</li>
<li>Cloud Foundation (vCenter Server) 3.x</li>
</ul>
<p class="block">Bitte beachten Sie, dass vCenter Server 6.5 auf allen Plattformen und vCenter Server 6.7 auf Windows nicht von dieser Schwachstelle betroffen sind. Ebenfalls nicht betroffen ist VMware ESXi.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der verfügbaren Updates oder Workarounds.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>VMware Advisory (Englisch)<br /><a title=" https://www.vmware.com/security/advisories/VMSA-2021-0020.html" href="https://www.vmware.com/security/advisories/VMSA-2021-0020.html">https://www.vmware.com/security/advisories/VMSA-2021-0020.html</a><br /></em></p>
<p class="block"><em>Anleitung zum Einspielen der Workarounds (Englisch)</em><br /><em><a title="https://kb.vmware.com/s/article/85717" href="https://kb.vmware.com/s/article/85717">https://kb.vmware.com/s/article/85717</a></em></p>
<p class="block"><em>VMware FAQ zum Advisory VMSA-2021-0020 (Englisch)</em><br /><em><a title="https://core.vmware.com/vmsa-2021-0020-questions-answers-faq" href="https://core.vmware.com/vmsa-2021-0020-questions-answers-faq">https://core.vmware.com/vmsa-2021-0020-questions-answers-faq</a></em></p>CERT.at2021-09-22T07:02:00ZUpdate #2 - Kritische Sicherheitslücke in der Microsoft MSHTML Komponente - Updates und Workarounds verfügbar, Exploits veröffentlichtCERT.at2021-09-15T07:37:44Z2021-09-08T09:27:00Z<p class="block">8. September 2021</p>
<p class="block"><strong>Update: 13. September 2021</strong></p>
<p class="block"><strong>Update: 15. September 2021</strong></p>
<h2 class="block">Beschreibung</h2>
<p class="block">Microsoft hat außerhalb des üblichen Patch-Zyklus eine Warnung über eine Sicherheitslücke in der MSHTML Komponente veröffentlicht. Diese kann von Angreifer:innen durch entsprechend präparierte Microsoft Office-Dokumente ausgenutzt werden - laut Microsoft sind solche Dokumente bereits im Umlauf.</p>
<p class="block">CVE-Nummer: CVE-2021-40444</p>
<p class="block">CVSS:3.0 8.8 / 7.9</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 13. September 2021</strong></p>
<p class="block">Der Sicherheitsforscher Kevin Beaumont hat <a title="https://twitter.com/GossiTheDog/status/1435570418623070210" href="https://twitter.com/GossiTheDog/status/1435570418623070210">in einem Tweet</a> mitgeteilt, dass die Workarounds von Microsoft leicht umgangen werden können. Außerdem gibt es Berichte (z.B. <a href="https://heise.de/-6190319">https://heise.de/-6190319</a>), dass die Exploits mittlerweile ohne ActiveX funktionieren und in einschlägigen Foren Anleitungen verfügbar sind, mit deren Hilfe das Erstellen von Exploit-Dokumenten stark vereinfacht wird.</p>
<p class="block">Obwohl viele Antiviren-Scanner in der Lage sind, Exploit-Versuche zu erkennen und zu verhindern, empfehlen wir, besondere Vorsicht beim Öffnen externer Office-Dokumente walten zu lassen.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 15. September 2021</strong></p>
<p class="block">Am <a title="https://support.microsoft.com/en-us/topic/september-14-2021-kb5005633-monthly-rollup-cc6f560a-86da-4540-8bb1-df118fa45eb8" href="https://support.microsoft.com/en-us/topic/september-14-2021-kb5005633-monthly-rollup-cc6f560a-86da-4540-8bb1-df118fa45eb8">"Patch Tuesday" im September 2021</a> hat Microsoft ein Update veröffentlicht, das CVE-2021-40444 behebt. Dass der Fehler wirklich beseitigt wurde, bestätigt auch Sicherheitsforscher Will Dorman von CERT/CC <a title="https://twitter.com/wdormann/status/1437859449192992776" href="https://twitter.com/wdormann/status/1437859449192992776">in einem Tweet</a>.</p>
</div>
<h2 class="block">Auswirkungen</h2>
<p class="block">Durch Ausnützen der Lücke können Angreifer:innen laut Microsoft beliebigen Code auf den betroffenen Systemen ausführen, mit den Rechten des angemeldeten Users. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.</p>
<p class="block">In Default-Konfigurationen ist aber User-Interaktion nötig, da entsprechend präparierte Office-Dokumente aus dem Internet per Default in "abgesicherten" Modi geöffnet werden, die den Angriff verhindern.</p>
<p class="block">Ebenso erkennen und verhindern die hauseigenen Antivirus-/Sicherheits-Lösungen (Microsoft Defender Antivirus und Microsoft Defender for Endpoint, ab Detection Build 1.349.22.0) ein Ausnutzen dieser Lücke.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Windows 7 bis Windows 10, Windows Server ab Windows Server 2008 sowie Windows RT 8.1.</p>
<h2 class="block">Abhilfe</h2>
<h3 class="block">Kurzfristig</h3>
<ul>
<li class="block">Anwenden der in der Meldung vom Microsoft angeführten Workarounds</li>
<li class="block">Sicherstellen, dass die Defaults zum Öffnen von Microsoft Office-Dokumenten aus dem Internet nicht verändert wurden</li>
<li class="block">Verifizieren, dass eingesetzte Antivirus-/Sicherheits-Lösungen entsprechende Erkennung haben</li>
</ul>
<h3 class="block">Langfristig</h3>
<ul>
<li class="block">Einspielen der entsprechenden Updates/Patches, sobald diese zur Verfügung stehen (voraussichtlich zum nächsten "Patch Tuesday" am 14. 9. 2021)</li>
</ul>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 15. September 2021</strong></p>
<p class="block">Wie erwartet, behebt das <a title="https://support.microsoft.com/en-us/topic/september-14-2021-kb5005633-monthly-rollup-cc6f560a-86da-4540-8bb1-df118fa45eb8" href="https://support.microsoft.com/en-us/topic/september-14-2021-kb5005633-monthly-rollup-cc6f560a-86da-4540-8bb1-df118fa45eb8">Update vom "Patch Tuesday" aus dem September 2021</a> die Schwachstelle CVE-2021-40444.</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block">Warnung von Microsoft (englisch): <a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444" target="_blank">https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444</a></p>
<p class="block">Artikel bei heise.de: <a title="https://www.heise.de/news/Attacken-auf-Windows-Vorsicht-vor-praeparierten-Office-Dokumenten-6185702.html" href="https://www.heise.de/news/Attacken-auf-Windows-Vorsicht-vor-praeparierten-Office-Dokumenten-6185702.html" target="_blank">https://www.heise.de/news/Attacken-auf-Windows-Vorsicht-vor-praeparierten-Office-Dokumenten-6185702.html</a></p>
<p class="block">"Patch Tuesday" 2021-09: <a href="https://support.microsoft.com/en-us/topic/september-14-2021-kb5005633-monthly-rollup-cc6f560a-86da-4540-8bb1-df118fa45eb8">https://support.microsoft.com/en-us/topic/september-14-2021-kb5005633-monthly-rollup-cc6f560a-86da-4540-8bb1-df118fa45eb8</a></p>CERT.at2021-09-08T09:27:00ZUpdate #5 - PrintNightmare: Kritische Sicherheitslücke in Microsoft Windows (Print Spooler Service) - ausstehende Patches bzw. Workarounds nachgereichtCERT.at2021-09-17T08:34:15Z2021-07-01T11:55:00Z<p class="block">1. Juli 2021</p>
<p class="block"><strong>Update: 2. Juli 2021</strong></p>
<p class="block"><strong>Update: 7. Juli 2021</strong></p>
<p class="block"><strong>Update: 12. Juli 2021</strong></p>
<p class="block"><strong>Update: 13. August 2021</strong></p>
<p class="block"><strong>Update: 17. September 2021</strong></p>
<h2 class="block">Beschreibung</h2>
<p class="block">Vorab: Es handelt sich bei dieser Schwachstelle mit dem Namen "PrintNightmare", nicht um die bereits unter CVE-2021-1675 bekannte Anfälligkeit.</p>
<p class="block">Im Zuge der Veröffentlichung eines Patches für CVE-2021-1675 durch Microsoft am 8. Juni wurde ein Report durch die Entdecker dieser Schwachstelle publiziert, welcher die genauen technischen Details beschreibt. Dies hat wiederum zu einer Publikation anderer Sicherheitsforscher geführt, welche der Ansicht waren, dieselbe entdeckt zu haben. Dass es sich um eine andere Schwachstelle ohne verfügbaren Patch, von den Entdeckern "PrintNightmare" genannt, handelte, war diesen zu diesem Zeitpunkt nicht bewusst. Obwohl der Proof-Of-Concept Code zur Ausnutzung von "PrintNightmare" wieder entfernt wurde, sind Kopien davon angefertigt worden und wurden bereits zu vollfunktionsfähigen Exploits weiterentwickelt.<br />Es gibt nach derzeitigem Stand keine Information zu einem Patch durch Microsoft. Workarounds sind verfügbar.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 2. Juli 2021</strong></p>
<p class="block">Folgend dem nun von Microsoft veröffentlichten <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527">Update-Guide</a> wird die Schwachstelle inzwischen aktiv ausgenutzt.</p>
<p class="block"><strong>Update: 12. Juli 2021</strong></p>
<p class="block">Patches für alle unterstützen Windows-Versionen sind verfügbar. Anfänglich gab es einige Unklarheiten ob die Patches die Lücken auch tatsächlich schließen - dies ist <a title="https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/" href="https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/">laut Microsoft</a> der Fall, sofern man nicht bestimmte (unsichere) Registry-Settings aktiviert hat. Welche Probleme beim Einspielen der Updates auftreten können, sowie Diskrepanzen zwischen der englischen und deutschen Dokumentation hat Günter Born von borncity.com in seinem <a title="https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/" href="https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/">Blog</a> übersichtlich zusammengefasst.</p>
<p class="block"><strong>Update: 13. August 2021</strong></p>
<p class="block">Mit den August-Updates sind weitere Lücken im Druckspoolerdienst geschlossen worden, allerdings wurde die Funktionalität der Patches wiederum schnell angezweifelt. So schreibt z.B. der Sicherheitsforscher <a title="https://twitter.com/gentilkiwi/status/1425154484167188480" href="https://twitter.com/gentilkiwi/status/1425154484167188480">Benjamin Delpy auf Twitter</a>, dass Mimikatz' Exploit des Druckspoolerdienstes nach wie vor funktioniert. Mittlerweile ist auch nicht mehr ganz eindeutig, welche Lücke(n) mit der Bezeichnung "PrintNightmare" gemeint sind.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 17. September 2021</strong></p>
<p class="block">Mit den September-Updates wurde auch CVE-2021-36958 geschlossen und damit ist mit PrintNightmare (hoffentlich) vorbei. Sicherheitsforscher <a title="https://twitter.com/gentilkiwi/status/1437850150513295369" href="https://twitter.com/gentilkiwi/status/1437850150513295369">Benjamin Delpy bestätigte in einem Tweet</a>, dass nach diesem Update die bisherigen Exploits nicht mehr funktionieren.</p>
</div>
<p class="block">CVE-Nummern: N/A</p>
<p class="block">CVSS Base Score: N/A</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 2. Juli 2021</strong></p>
<p class="block">CVE-Nummern: <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527">CVE-2021-34527</a></p>
<p class="block"><strong>Update: 12. Juli 2021</strong></p>
<p class="block">CVSS Base Score: 8.8</p>
<p class="block"><strong>Update: 13. August 2021</strong></p>
<p class="block">CVE-Nummern:</p>
<ul>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958">CVE-2021-36958 </a>(CVSS Base Score: 7.3 lt. Microsoft)</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481">CVE-2021-34481</a> (CVSS Base Score: 8.8 lt. Microsoft)</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36936" href="https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36936">CVE-2021-36936</a> (CVSS Base Score: 8.8 lt. Microsoft)</li>
</ul>
</div>
<h2 class="block">Auswirkungen</h2>
<p class="block">Das Ausnutzen der Schwachstelle im Microsoft Windows-Druckspoolerdienst, der den Zugriff auf die Funktion <code>RpcAddPrinterDriverEx()</code> nicht einschränkt, kann es authentifizierten Remote-AngreiferInnen ermöglichen, beliebigen Code mit SYSTEM-Rechten auf einem anfälligen System auszuführen.</p>
<h2 class="block">Betroffene Systeme</h2>
<p> Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Stoppen und Deaktivieren des Print Spooler Service.<br />Dieser Workaround deaktiviert allerdings jegliche Druckfunktionalität auf den betroffenen Systemen, vor Deaktivierung des Dienstes ist daher abzuwägen, ob dieser auf dem entsprechenden System unbedingt benötigt wird.</p>
<p class="block">Ein weiterer Workaround gegen die aktuell vorhandenen Exploits, der Drucken weiterhin ermöglicht, ist die Einschränkung der Access Control Lists (ACL) auf <code>C:\Windows\System32\spool\drivers</code> wie <a href="https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/">hier</a> beschrieben.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 2. Juli 2021</strong></p>
<p class="block">Microsoft empfiehlt in einem nun veröffentlichten <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527">Update-Guide</a> "inbound remote printing" via Group Policy zu deaktivieren, sollte der Print Spooler Service auf den Systemen benötigt werden.</p>
<p class="block"><strong>Update: 7. Juli 2021</strong></p>
<p class="block">Microsoft hat nun Patches (ausgenommen Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012) bereitgestellt. Informationen dazu finden sich in <a title="KB5005010" href="https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7" target="_blank">KB5005010</a> und im <a title="Microsoft-Eintrag zu CVE-2021-34527" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527" target="_blank">Microsoft-Eintrag zu CVE-2021-34527</a>.</p>
<p class="block"><strong>Update: 12. Juli 2021</strong></p>
<p class="block">Microsoft hat mittlerweile die noch ausstehenden <a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527">Patches</a> für die Windows-Versionen Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012 nachgereicht</p>
<p class="block"><strong>Update: 13. August 2021</strong></p>
<p class="block">CVE-2021-36936 und CVE-2021-34481 sind lt. Microsoft mit dem August-Patchday behoben, für CVE-2021-36958, die Microsoft erst einen Tag nach dem August-Patchday bekannt gemacht hat, gibt es derzeit keine Patches, sondern lediglich <a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958">einen Workaround</a>, der darin besteht, den Druckspoolerdienst zu deaktivieren.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 17. Septmeber 2021</strong></p>
<p class="block"><a title="https://support.microsoft.com/en-us/topic/september-14-2021-kb5005613-monthly-rollup-47b217aa-8d33-4b29-b444-77fcbe57410b" href="https://support.microsoft.com/en-us/topic/september-14-2021-kb5005613-monthly-rollup-47b217aa-8d33-4b29-b444-77fcbe57410b">Microsofts Updates für Windows vom September 2021</a> beheben auch die letzte Lücke (CVE-2021-36958) die zu PrintNightmare gezählt wird.</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Artikel bei heise.de<br /> <a href="https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html">https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html</a><br /><a href="https://www.heise.de/news/PrintNightmare-Schon-wieder-eine-Drucker-Luecke-in-Windows-ohne-Patch-6163743.html">https://www.heise.de/news/PrintNightmare-Schon-wieder-eine-Drucker-Luecke-in-Windows-ohne-Patch-6163743.html</a></em></p>
<p class="block"><em>CERT/CC Vulnerability Note VU#383432 (englisch)<br /><a href="https://www.kb.cert.org/vuls/id/383432">https://www.kb.cert.org/vuls/id/383432</a></em></p>
<p class="block"><em>Blogpost von Günter Born auf borncity.com<br /><a title="https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/" href="https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/">https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/</a></em></p>
<p class="block"><em>Microsoft-Blogpost zur angeblichen Wirkungslosigkeit der Patches (englisch)<br /><a title="https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/" href="https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/">https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/</a></em></p>
<p class="block"> </p>CERT.at2021-07-01T11:55:00ZDDoS Angriffe gegen Unternehmen in ÖsterreichCERT.at2021-06-14T17:54:02Z2021-06-14T12:01:00Z<p class="block">14. Juni 2021</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Seit einigen Wochen versucht eine Gruppe, die sich "<a href="https://www.proofpoint.com/us/blog/threat-insight/ransom-ddos-extortion-actor-fancy-lazarus-returns">Fancy Lazarus</a>" nennt, mittels DDoS-Angriffen und der Androhung von Folgeangriffen, Schutzgelder zu erpressen. Vergleichbare Angriffe gab es global auch schon ab <a href="https://blogs.akamai.com/sitr/2020/08/ransom-demands-return-new-ddos-extortion-threats-from-old-actors-targeting-finance-and-retail.html">August 2020</a> unter <a href="https://www.netscout.com/blog/asert/lazarus-bear-armada-ddos-extortion-campaign-december-2020">ähnlichen Namen.</a></p>
<p class="block">Nachdem wir Meldungen von Partner-CERTs an uns über Angriffe auf Ziele in anderen EU Staaten bekommen haben, sind jetzt auch in Österreich einige Fälle aufgetreten.</p>
<p class="block">Modus Operandi:</p>
<ul>
<li class="block">Erpressungs-E-Mail an Unternehmen (Ankündigung des Demo-Angriffs, Zahlungsfrist 7 Tage, sonst großer Angriff)</li>
<li class="block">Kurz darauf ein DDoS-Angriff (30 - 250 GBit/s DNS-Reflection gegen die autoritativen Nameserver des Ziels, Dauer 2+ Stunden)</li>
<li class="block">Uns liegen einige Meldungen vor, dass nach dem Verstreichen der sieben Tage der angedrohte Angriff nicht stattgefunden hat. Gegenteilige Meldungen liegen nicht vor.</li>
</ul>
<h2 class="block">Auswirkungen</h2>
<p class="block">Überlastung der Internetanbindung, dadurch werden sowohl die vom Ziel angebotenen Dienste, als auch die Nutzung des Internets vom Netz des Zieles aus, gestört.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Wie bei vielen anderen Bedrohungen auch, sollte man hier nicht auf das Eintreten warten, sondern sich proaktiv mit dem Thema beschäftigen.</p>
<ul>
<li class="block">DDoS-Angriffe sind seit einigen Jahren Teil der Bedrohungslage für alle im Internet aktiven Firmen.</li>
<li class="block">Im Risikomanagement ist daher zu bewerten, was die essentiellen Dienste sind und welche Ausfallzeiten bei diesen akzeptabel sind.</li>
<li class="block">Im Business Continuity Management sollte überlegt werden, wie die essentiellen Dienste auch unter erschwerten Bedingungen weitergeführt werden können.</li>
<li class="block">Bei den zu erwartenden Bandbreiten ist eine Mitigation rein im eigenen Netz nicht möglich: es braucht die Mithilfe des Upstream Providers oder eines Cloud-Services. Reden sie vorab mit ihrem ISP über die Optionen und welche Hilfe sie erwarten können. Stellen sie auch Kontaktmöglichkeiten außerhalb der Geschäftszeiten sicher.</li>
<li class="block">Im aktuellen Fall werden die autoritativen Nameserver angegriffen. Da das DNS schon im Protokolldesign redundante Nameserver unterstützt, ist es sehr einfach, für die eigenen Domains zusätzlich weitere Nameserver außerhalb des eigenen Netzes zu nutzen. Entsprechende Angebote, die auch per <a href="https://datatracker.ietf.org/doc/html/rfc3258">Anycasting</a> viel Resilienz und Geodiversität einbringen, sind vergleichsweise günstig.</li>
<li class="block">Existiert eine redundante Anbindung über mehrere ISPs, so macht es Sinn vorzubereiten, den Datenverkehr so aufzuteilen, dass der Angriff möglichst einen anderen Weg nimmt, als der legitime Datenverkehr.</li>
<li class="block">Stellen sie sicher, dass der Fernwartungszugang für das Betriebspersonal nicht rein von der potentiell überlasteten Internetanbindung abhängig ist.</li>
</ul>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Proofpoint Artikel vom 10. Juni 2021 (englisch)<br /> <a title="https://www.proofpoint.com/us/blog/threat-insight/ransom-ddos-extortion-actor-fancy-lazarus-returns" href="https://www.proofpoint.com/us/blog/threat-insight/ransom-ddos-extortion-actor-fancy-lazarus-returns">https://www.proofpoint.com/us/blog/threat-insight/ransom-ddos-extortion-actor-fancy-lazarus-returns</a></em></p>
<p class="block"><em>DDoS Whitepaper des CSC (Juli 2020)<br /><a href="https://www.bvt.gv.at/401/files/CSC/CSC_Schriftenreihe_Distributed_Denial_of_Service_DDoS_Juli_2020_BF_20200831.pdf"><em>https://www.bvt.gv.at/401/files/CSC/CSC_Schriftenreihe_Distributed_Denial_of_Service_DDoS_Juli_2020_BF_20200831.pdf</em></a><br /></em></p>CERT.at2021-06-14T12:01:00ZKritische Sicherheitsücke in VMware vCenter Server - Updates und Workarounds verfügbarCERT.at2021-05-26T14:18:10Z2021-05-26T14:15:00Z<p class="block">26. Mai 2021</p>
<h2 class="block">Beschreibung</h2>
<p class="block">VMware vCenter Server weist eine kritische Sicherheitslücke auf, die es AngreiferInnen ermöglicht, über das Netzwerk und ohne Authentifizierung beliebige Befehle als <code>root</code> auszuführen. Die einzige Voraussetzung dafür ist, dass das Management-Interface (per Default via Port 443/TCP) ohne weitere Absicherungen (z.B. Basic HTTP Authentication) erreichbar ist.</p>
<p class="block">CVE-Nummern: <a title="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21985" href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21985">CVE-2021-21985</a></p>
<p class="block">CVSS Base Score: 9.8 (lt. VMware)</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">AngreiferInnen können beliebige Befehle auf dem Betriebssystem, auf dem vCenter Server läuft, als <code>root</code> ausführen und dadurch potentiell das gesamte System übernehmen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>vCenter Server 7.0</li>
<li>vCenter Server 6.7</li>
<li>vCenter Server 6.5</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der zur Verfügung gestellten Updates oder Workarounds.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>VMware Advisory<br /> <a title="https://www.vmware.com/security/advisories/VMSA-2021-0010.html" href="https://www.vmware.com/security/advisories/VMSA-2021-0010.html">https://www.vmware.com/security/advisories/VMSA-2021-0010.html</a></em></p>CERT.at2021-05-26T14:15:00ZKritische Sicherheitslücke in Microsoft Windows 10 und Microsoft Windows Server - Updates verfügbarCERT.at2021-05-12T14:29:00Z2021-05-12T13:44:00Z<p class="block">12. Mai 2021</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Microsoft hat im Zuge des monatlichen Patchdays eine Lücke in Microsoft Windows 10 und Microsoft Windows Server geschlossen, welche als potentiell wurmfähig eingestuft wird - d.h. es besteht die Möglichkeit, dass sich Schadsoftware von einem kompromittierten Server ohne weitere Benutzerinteraktion verbreitet.</p>
<p class="block">CVE-Nummer: CVE-2021-31166</p>
<p class="block">CVSS Base Score: 9.8</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Sicherheitslücke erlaubt entfernten, unauthentisierten AngreiferInnen potentiell das Ausführen von beliebigem Code mit Kernel-Rechten. Laut Microsoft ist dazu lediglich das Senden von präparierten Paketen an betroffene Systeme erforderlich; nach derzeitigem Stand wird die Lücke noch nicht aktiv ausgenützt.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>Microsoft Windows 10 2004</li>
<li>Microsoft Windows 10 20H2</li>
<li>Microsoft Windows Server 20H2</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der bereitgestellten Updates.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Üblicherweise veröffentlicht CERT.at keine Warnungen zu Schwachstellen, die im Zuge von Patchdays geschlossen wurden, da Microsoft die Sicherheitslücke jedoch als wurmfähig einstuft, haben wir beschlossen explizit auf das zeitnahe Einspielen der Updates hinzuweisen. Bitte beachten Sie, dass Microsoft mit diesem Patchday insgesamt 55 Lücken schliesst, davon 4 die als "kritisch" eingestuft werden.</p>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Artikel bei heise.de<br /> <a href="https://www.heise.de/news/Patchday-Windows-Trojaner-koennte-sich-wurmartig-auf-PCs-verbreiten-6044412.htmlL">https://www.heise.de/news/Patchday-Windows-Trojaner-koennte-sich-wurmartig-auf-PCs-verbreiten-6044412.html</a></em></p>
<p class="block"><em>Microsoft Advisory (Englisch)<br /> <a href="https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166">https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166</a></em></p>CERT.at2021-05-12T13:44:00ZKritische Sicherheitslücken im Exim E-Mail-Server - Patches verfügbarCERT.at2021-05-05T09:27:10Z2021-05-05T09:20:00Z<p class="block">5. Mai 2021</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Die Firma Qualys hat 21 Schwachstellen in Exim, einem verbreiteten E-Mail-Server, gefunden. Davon sind zehn über das Netzwerk ausnutzbar und bei vier davon gelang es den ResearcherInnen, beliebigen Code auf dem Server auszuführen (Remote Code Execution, "RCE"). In drei Fällen geschah dies ohne Authentifizierung unter dem Account <code>exim</code> ("Unauthenticated RCE"), in einem Fall mit Authentifizierung als <code>root</code> ("Authenticated RCE"). </p>
<p class="block">Zu den elf lokalen Schwachstellen legte Qualys vier Proof of Concepts (PoCs) für eine Privilegieneskalation zu <code>root</code> vor. Dementsprechend könnte die Kombination einer Unauthenticated RCE mit einer lokalen Privilegieneskalation insgesamt zu einer Unauthenticated RCE als <code>root</code> führen, was eine vollständige Übernahme des Systems ermöglicht.</p>
<p class="block">Nach Qualys' Einschätzung ist die Entwicklung funktionierender Exploits mit den Angaben in Ihrem Advisory problemlos möglich, weshalb davon auszugehen ist, dass diese Schwachstellen bald aktiv ausgenutzt werden.</p>
<p class="block">Lokal ausnutzbare Schwachstellen:</p>
<ul>
<li class="block">CVE-2020-28007: Manipulation beliebiger Dateien durch Erstellung von Sym-/Hardlinks in Exims log-Directory. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28008: Mehrere Angriffe auf Exims spool-Directory. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28014: Erstellen und Überschreiben beliebiger Dateien.</li>
<li class="block">CVE-2021-27216: Löschen beliebiger Dateien.</li>
<li class="block">CVE-2020-28011: Heap buffer overflow in <code>queue_run()</code>.</li>
<li class="block">CVE-2020-28010: Heap out-of-bounds write in <code>main()</code>.</li>
<li class="block">CVE-2020-28013: Heap buffer overflow in <code>parse_fix_phrase()</code>.</li>
<li class="block">CVE-2020-28016: Heap out-of-bounds write in <code>parse_fix_phrase()</code>.</li>
<li class="block">CVE-2020-28015: Einfügen eines Zeilenumbruchs in das spool Header-File (lokal). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28012: Fehlen der <code>close-on-exec</code> Flag bei einer privilegierten Pipe. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28009: Integer overflow in <code>get_stdinput()</code>.</li>
</ul>
<p class="block">Über das Netzwerk ausnutzbare Schwachstellen:</p>
<ul>
<li class="block">CVE-2020-28017: Integer overflow in <code>receive_add_recipient()</code>. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28020: Integer overflow in <code>receive_msg()</code>. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28023: Out-of-bounds read in <code>smtp_setup_msg()</code>.</li>
<li class="block">CVE-2020-28021: Einfügen eines Zeilenumbruchs in das spool Header-File (über das Netzwerk). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28022: Heap out-of-bounds read und write in <code>extract_option()</code>.</li>
<li class="block">CVE-2020-28026: Line truncation and injection in <code>spool_read_header()</code>.</li>
<li class="block">CVE-2020-28019: Fehlendes Zurücksetzen eines Funktions-Pointers nach einem Fehler des <code>BDAT</code> Befehls.</li>
<li class="block">CVE-2020-28024: Heap buffer underflow in <code>smtp_ungetc()</code>.</li>
<li class="block">CVE-2020-28018: Use-after-free in <code>tls-openssl.c</code>. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.</li>
<li class="block">CVE-2020-28025: Heap out-of-bounds read in <code>pdkim_finish_bodyhash()</code>.</li>
</ul>
<h2 class="block">Auswirkungen</h2>
<p class="block">AngreiferInnen können die Exim-Installation über das Netzwerk vollständig übernehmen.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Laut Qualys betreffen die meisten Schwachstellen sämtliche Versionen von Exim seit Beginn von dessen Git-History im Jahr 2004. Lediglich bei zwei Schwachstellen gibt Qualys eine Einschränkung an: CVE-2020-28020 betrifft nur Versionen < 4.92 und CVE-2020-28018 nur Versionen ab 4.90 bis exklusive 4.94.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der zur Vergügung gestellten Patches. Da mit funktionierenden Exploits in kurzer Zeit zu rechnen ist, sollte dies so schnell wie möglich geschehen.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Advisory von Qualys<br /><a href="https://www.qualys.com/2021/05/04/21nails/21nails.txt">https://www.qualys.com/2021/05/04/21nails/21nails.txt</a> </em></p>
<p class="block"><em>Hinweis auf die verfügbaren Patches auf der Exim Announce Mailingliste<br /><a title="https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html" href="https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html">https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html</a></em></p>
<p class="block"> </p>CERT.at2021-05-05T09:20:00ZKritische Sicherheitslücken in SonicWall Email SecurityCERT.at2021-04-21T12:32:44Z2021-04-21T12:30:00Z<p class="block">21. April 2021</p>
<h2 class="block">Beschreibung</h2>
<p class="block">SonicWall hat Updates für drei kritische Schwachstellen in SonicWall Email Security veröffentlicht, die es AngreiferInnen ermöglichen, einen Account mit Administrationsrechten zu erstellen und anschließend beliebige Dateien auf dem System zu lesen und zu schreiben. Dadurch ist es auch möglich, ausführbare Dateien hochzuladen und auf diesem Weg beliebigen Code auszuführen.</p>
<p class="block">Die Lücken werden bereits aktiv ausgenützt, d.h. auch nach Einspielen der Updates empfiehlt es sich, nach Spuren erfolgter Angriffe zu suchen.</p>
<p class="block">CVE-Nummern:</p>
<ul>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20021" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20021">CVE-2021-20021</a> (CVSS Base Score: 9.8): Unauthentifizierte Erstellung eines Accounts mit Administrationsrechten über das Netzwerk</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20022" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20022">CVE-2021-20022</a> (CVSS Base Score: 7.2): Hochladen beliebiger Dateien nach erfolgreicher Authentifizierung</li>
<li class="block"><a title="https://nvd.nist.gov/vuln/detail/CVE-2021-20023" href="https://nvd.nist.gov/vuln/detail/CVE-2021-20023">CVE-2021-20023</a> (CVSS Base Score: N/A): Auslesen beliebiger Dateien nach erfolgreicher Authentifizierung</li>
</ul>
<h2 class="block">Auswirkungen</h2>
<p class="block">AngreiferInnen haben Administrationsrechte auf der SonicWall Email Security Instanz und können dort beliebige Dateien erstellen und lesen sowie durch das Erstellen ausführbarer Dateien beliebigen Code ausführen.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>SonicWall Email Security versions 7.0.0-9.2.2</li>
<li>SonicWall Email Security 10.0.1</li>
<li>SonicWall Email Security 10.0.2</li>
<li>SonicWall Email Security 10.0.3</li>
<li>SonicWall Email Security 10.0.4</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der zur Verfügung gestellten Updates.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Sonic Wall Security Advisory (Englisch)<br /> <a title="https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/" href="https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/">https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/</a></em></p>
<p class="block"><em>Sonic Wall Anleitung zum Einspielen der Updates (Englisch)<br /><a title="https://www.sonicwall.com/support/knowledge-base/how-do-i-upgrade-firmware-on-an-email-security-appliance/170504270079039/" href="https://www.sonicwall.com/support/knowledge-base/how-do-i-upgrade-firmware-on-an-email-security-appliance/170504270079039/">https://www.sonicwall.com/support/knowledge-base/how-do-i-upgrade-firmware-on-an-email-security-appliance/170504270079039/</a><br /></em></p>
<p class="block"><em>Blogpost von FireEye (Englisch)<br /><a title="https://www.fireeye.com/blog/threat-research/2021/04/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise.html" href="https://www.fireeye.com/blog/threat-research/2021/04/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise.html">https://www.fireeye.com/blog/threat-research/2021/04/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise.html</a></em></p>CERT.at2021-04-21T12:30:00ZUpdate - Kritische Sicherheitslücke in Pulse Connect Secure - Patches verfügbarCERT.at2021-05-04T09:28:16Z2021-04-21T12:30:00Z<p class="block">21. April 2021</p>
<p class="block"><strong>Update: 4. Mai 2021</strong></p>
<h2 class="block">Beschreibung</h2>
<p class="block">Pulse Secure hat ein Out-Of-Cycle Advisory zu einer kritischen Sicherheitslücke in Pulse Connect Secure veröffentlicht, die das Ausführen von beliebigem Code ermöglicht.</p>
<p class="block">CVE-Nummer: CVE-2021-22893</p>
<p class="block">CVSS Base Score: 10</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Sicherheitslücke ermöglicht entfernten AngreiferInnen potentiell das Ausführen von Schadcode über derzeit nicht näher spezifizierte Angriffsvektoren und wird aktuell aktiv ausgenützt.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Betroffen sind laut Pulse Secure die folgenden Versionen:</p>
<ul>
<li>Pulse Connect Secure 9.0R3 und höher</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Deaktivieren von Windows File Share Browser und Pulse Secure Collaboration mittels Importieren der von Pulse Secure bereitgestellten XML-Datei (siehe <a title="https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/" href="https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/">Advisory</a>). Für die Versionen 9.0R1 - 9.0R4.1 bzw. 9.1R1-9.1R2 ist zuvor ein Update auf eine höhere Version notwendig. FireEye hat außerdem <a title="https://github.com/fireeye/pulsesecure_exploitation_countermeasures" href="https://github.com/fireeye/pulsesecure_exploitation_countermeasures">YARA- bzw. Snort-Rules</a> auf github veröffentlicht.</p>
<p class="block">Ein Update (Version 9.1R.11.4), welches die Lücke schließen soll, wird für Anfang Mai erwartet. Ein genaues Datum ist derzeit nicht bekannt.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 4. Mai 2021</strong></p>
<p class="block">Die Patches wurden am 3. Mai 2021 veröffentlicht, wie Pulse Secure <a title="https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/" href="https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/">in einem Blogpost</a> bekanntgab. Sie sind nun auch im <a title="https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/" href="https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/">Advisory</a> verlinkt.</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Pulse Secure hat mit <a title="https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s" href="https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s">Pulse Connect Secure (PCS) Integrity Assurance</a> ein Tool zur Verfügung gestellt, mit dem sich die Integrität unterstützter Pulse Connect Secure Installationen überprüfen lässt.</p>
<p class="block">Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Security Advisory von Pulse Secure (Englisch)<br /> <a href="https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/">https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/</a></em></p>
<p class="block"><em>Golem Artikel<br /> <a href="https://www.golem.de/news/remote-code-execution-angriffe-auf-vpn-geraete-von-pulse-secure-2104-155880.html">https://www.golem.de/news/remote-code-execution-angriffe-auf-vpn-geraete-von-pulse-secure-2104-155880.html</a></em></p>
<p class="block"><em>Blogpost von FireEye (Englisch)<br /> <a href="https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html">https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html</a></em></p>
<p class="block"><em>Pulse Secure Security Update Blog (Englisch)<br /> <a href="https://blog.pulsesecure.net/pulse-connect-secure-security-update/">https://blog.pulsesecure.net/pulse-connect-secure-security-update/</a></em></p>
<p class="block"><em>Pulse Connect Secure Integrity Assurance (Englisch)<br /> <a href="https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s">https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s</a></em></p>
<p class="block"><em>YARA/Snort Rules<br /> <a href="https://github.com/fireeye/pulsesecure_exploitation_countermeasures">https://github.com/fireeye/pulsesecure_exploitation_countermeasures</a></em></p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 4. Mai 2021</strong></p>
<p class="block"><em>Pulse Secure Blog zur Verfügbarkeit der Patches (Englisch)<br /><a href="https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/">https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/</a></em></p>
</div>CERT.at2021-04-21T12:30:00ZUpdate - Kritische Sicherheitslücken in Microsoft Exchange Server - Patches verfügbarCERT.at2021-03-05T17:07:21Z2021-03-03T10:20:00Z<p class="block">3. März 2021</p>
<p class="block"><strong>Update: 4. März 2021</strong></p>
<p class="block"><strong>Update: 5. März 2021</strong></p>
<h2 class="block">Beschreibung</h2>
<p class="block">Microsoft hat außerhalb des üblichen Update-Zyklus' mehrere Patches für Microsoft Exchange zur Verfügung gestellt. Einige der darin behobenen Sicherheitslücken werden nach Angaben von Microsoft und der IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen Internet erreichbare Exchange Server von außen auf Verwundbarkeit geprüft werden können. Öffentlich verfügbare Exploits zum Ausnutzen der Schwachstellen sind noch nicht bekannt.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 4. März 2021</strong></p>
<p class="block">Die Schwachstellen werden inzwischen auf breiter Ebene aktiv ausgenutzt.</p>
</div>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 5. März 2021</strong></p>
<p class="block">Die Zahlen zu potentiell verwundbaren Exchange Servern in Österreich finden Sie unter <a href="https://cert.at/de/aktuelles/2021/3/microsoft-exchange-server-von-neuen-und-alten-schwachstellen">https://cert.at/de/aktuelles/2021/3/microsoft-exchange-server-von-neuen-und-alten-schwachstellen</a>. Es ist derzeit davon auszugehen, dass sämtliche Instanzen potentiell kompromittiert sind. CERT.at empfiehlt daher allen Betroffenen, die Patches so schnell wie möglich einzuspielen und anschließend die eigene Infrastruktur mit den unten verlinkten Yara- bzw. Sigma-Regeln und einem Skript von CERT.LV (<a href="https://github.com/cert-lv/exchange_webshell_detection">https://github.com/cert-lv/exchange_webshell_detection</a>) auf bereits erfolgte Angriffe zu überprüfen. Auch Microsoft hat <a href="https://github.com/microsoft/CSS-Exchange/tree/main/Security">Scripte zur Verfügung gestellt</a>, mit denen einen Kompromittierung (<a href="https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log">durch eine Analyse der Logfiles</a>) festgestellt werden kann.</p>
</div>
<p class="block">CVE-Nummern:</p>
<ul>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855">CVE-2021-26855</a> (CVSS Base Score: 9.1): Hierbei handelt es sich um eine SSRF (Server-Side Request Forgery) Schwachstelle, die es AngreiferInnen ermöglicht, den Exchange-Server dazu zu bringen, sich gegen sich selbst zu authentisieren und infolge Zugriff auf sämtliche E-Mail-Postfächer zu erhalten. Für einen erfolgreichen Angriff muss lediglich die externe IP-Adresse des Exchange Servers bekannt sein. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857">CVE-2021-26857 </a>(CVSS Base Score: 7.8): Dies ist eine Deserialisierungsschwachstelle im Unified Messaging Service, die es AngreiferInnen ermöglicht, beliebige Befehle als <code>NT Auhority\SYSTEM</code> auszuführen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858">CVE-2021-26858</a> (CVSS Base Score: 7.8): Dabei handelt es sich um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065">CVE-2021-27065 </a>(CVSS Base Score: 7.8): Dabei handelt es sich ebenfalls um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt.</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412">CVE-2021-26412</a> (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird.</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854">CVE-2021-26854</a> (CVSS Base Score: 6.6): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird.</li>
<li class="block"><a title="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078" href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078">CVE-2021-27078</a> (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird.</li>
</ul>
<h2 class="block">Auswirkungen</h2>
<p class="block">Die Kombination von CVE-2021-26855 mit einer der anderen Schwachstellen ermöglicht die vollständige Übernahme des Exchange Servers sowie den Diebstahl des Inhalts sämtlicher E-Mail-Postfächer.</p>
<h2 class="block">Betroffene Systeme</h2>
<ul>
<li>Microsoft Exchange Server 2013</li>
<li>Microsoft Exchange Server 2016</li>
<li>Microsoft Exchange Server 2019</li>
</ul>
<p class="block">Laut Microsoft sind ausschließlich die On-Premise Varianten betroffen und nicht Exchange Online.</p>
<h2 class="block">Abhilfe</h2>
<p>Einspielen der von Microsoft zur Verfügung gestellten Patches. Bitte beachten Sie, dass die Patches lediglich für folgende Exchange Versionen funktionieren:</p>
<ul>
<li>Exchange Server 2010: RU 31 for Service Pack 3</li>
<li>Exchange Server 2013: CU 23</li>
<li>Exchange Server 2016: CU 19, CU 18</li>
<li>Exchange Server 2019: CU 8, CU 7</li>
</ul>
<p class="block">Sollten Sie ältere Versionen betreiben, müssen diese vor dem Einspielen der out-of-band Patches auf eine der oben genannten Versionen aktualisiert werden.</p>
<div style="margin-left: 20px; border-left: solid black 1px; padding-left: 5px;">
<p class="block"><strong>Update: 4. März 2021</strong></p>
<p class="block">Zur Detektion einer möglichen Kompromittierung sind <a title="https://github.com/Neo23x0/signature-base/blob/master/yara/apt_hafnium.yar" href="https://github.com/Neo23x0/signature-base/blob/master/yara/apt_hafnium.yar">Yara</a>- und <a title="https://github.com/SigmaHQ/sigma/blob/master/rules/web/web_exchange_exploitation_hafnium.yml" href="https://github.com/SigmaHQ/sigma/blob/master/rules/web/web_exchange_exploitation_hafnium.yml">Sigma</a>-Regeln verfügbar</p>
</div>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Microsoft Exchange Team Blog mit Links zu den Updates<br /> <a title="https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901" href="https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901">https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901</a></em><br /><em>Meldung des Microsoft Security Response Center<br /><a href="https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/">https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/</a><br />Microsofts Meldung zur Kampagne, die die Schwachstellen bereits ausnutzt</em><br /><em><a href="https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/">https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/</a> </em><br /><em>Blogpost von Volexity zu den Angriffen<br /></em><em><a href="https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/">https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/</a> </em></p>CERT.at2021-03-03T10:20:00ZKritische RCE Schwachstelle in Oracle WebLogic ServerCERT.at2020-11-04T09:20:09Z2020-11-04T09:20:00Z<p class="block">04. November 2020</p>
<h2>Beschreibung</h2>
<p>Mehrere Versionen des Oracle WebLogic Servers weisen eine via HTTP(S) ausnutzbare Remote Code Execution (RCE) auf. Für einen Angriff ist keinerlei Authentifikation nötig. Weitere Details gehen aus dem öffentlichen Oracle Advisory nicht hervor. Laut Oracle steht die Lücke jedoch mit der im Oktober geschlossenen Lücke CVE-2020-14882 in Verbindung, bei der es sich ebenfalls um eine RCE via HTTP(S) handelt und für die bereits (mindestens) ein öffentlicher Exploit verfügbar ist.</p>
<p>CVSS3 Score: 9.8 (laut Oracle)<br /> CVE-Nummer: CVE-2020-14750</p>
<h2>Auswirkungen</h2>
<p>Angreifende können Code auf dem Webserver ausführen.</p>
<h2>Betroffene Systeme</h2>
<p>Oracle WebLogic Server, Versionen:</p>
<ul>
<li>10.3.6.0.0</li>
<li>12.1.3.0.0</li>
<li>12.2.1.3.0</li>
<li>12.2.1.4.0</li>
<li>14.1.1.0.0</li>
</ul>
<h2>Abhilfe</h2>
<p>Updates stehen zur Verfügung und sind im unten verlinkten Advisory zu finden.</p>
<h2>Hinweis</h2>
<p>Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen , parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.</p>
<hr />
<p class="block"><strong>Informationsquelle(n):</strong><br /><br /><em>Oracle Advisory (englisch)</em></p>
<p class="block"><a href="https://www.oracle.com/security-alerts/alert-cve-2020-14750.html">https://www.oracle.com/security-alerts/alert-cve-2020-14750.html</a></p>
<p class="block"><em>Heise Artikel</em><br /><a href="https://www.heise.de/news/Eine-Luecke-kommt-selten-allein-Oracle-meldet-weitere-Gefahr-fuer-WebLogic-Server-4945084.html">https://www.heise.de/news/Eine-Luecke-kommt-selten-allein-Oracle-meldet-weitere-Gefahr-fuer-WebLogic-Server-4945084.html</a></p>
<p class="block"><em>Oracle Oktober 2020 Patchday (englisch)</em><br /><a href="https://www.oracle.com/security-alerts/cpuoct2020.html">https://www.oracle.com/security-alerts/cpuoct2020.html</a></p>
<p class="block"><em>PoC Exploit für CVE-2020-14882 (englisch)</em><br /><a href="https://packetstormsecurity.com/files/159769/Oracle-WebLogic-Server-Remote-Code-Execution.html">https://packetstormsecurity.com/files/159769/Oracle-WebLogic-Server-Remote-Code-Execution.html</a></p>CERT.at2020-11-04T09:20:00ZKritische Sicherheitslücke in Microsoft Exchange Server - Patches verfügbarCERT.at2020-09-11T12:59:23Z2020-09-11T11:18:00Z<p class="block">11. September 2020</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Microsoft hat zum Patch Tuesday ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Exchange Server veröffentlicht, bei der unter bestimmten Voraussetzungen das Ausführen von beliebigem Code ermöglicht wird. Proof-of-Concept-Code wurde bereits veröffentlicht.</p>
<p class="block">CVE-Nummern: CVE-2020-16875</p>
<p class="block">CVSS Base Score: 8.4</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Eine unzureichende Validierung im New-DlpPolicy cmdlet von MS Exchange Server erlaubt aktiven User-Accounts mit der Rolle "Data Loss Prevention" das Erstellen von potentiell bösartigen Policy-Templates. Diese ermöglichen entfernten, authentifizierten AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und dadurch die vollständige Übernahme des Systems.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Betroffen sind laut Microsoft die folgenden Versionen: </p>
<ul>
<li>Microsoft Exchange Server 2016 Cumulative Update 16</li>
<li>Microsoft Exchange Server 2016 Cumulative Update 17</li>
<li>Microsoft Exchange Server 2019 Cumulative Update 5</li>
<li>Microsoft Exchange Server 2019 Cumulative Update 6</li>
</ul>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der von Microsoft bereitgestellten Patches. Diese sind über die automatische Windows Update-Funktion verfügbar.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Microsoft Advisory (englisch)<br /> <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875</a></em></p>
<p class="block"><em>Advisory des ursprünglichen Reporters an Microsoft und PoC-Code (englisch)<br /> <a href="https://srcincite.io/advisories/src-2020-0019/">https://srcincite.io/advisories/src-2020-0019/</a></em></p>CERT.at2020-09-11T11:18:00ZKritische Sicherheitslücke in Microsoft Windows DNS Server - Patches und Workarounds verfügbarCERT.at2020-07-15T16:17:42Z2020-07-15T13:47:00Z<p class="block">15. Juli 2020</p>
<h2 class="block">Beschreibung</h2>
<p class="block">Microsoft hat zum Patch Tuesday zeitgleich mit den zugehörigen Patches ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Windows DNS Server veröffentlicht, bei der DNS-Anfragen fehlerhaft verarbeitet werden.</p>
<p class="block">CVE-Nummer: CVE-2020-1350</p>
<p class="block">CVSS Base Score: 10.0</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Ein erfolgreicher Angriff ermöglicht AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und kann möglicherweise zu einer vollständigen Kompromittierung des betroffenen Systems führen. Die Sicherheitslücke wird als wurmfähig eingestuft und es besteht die Möglichkeit, dass sich Schadsoftware von einem kompromittierten Server ohne weitere Benutzerinteraktion verbreitet.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="">Betroffen sind laut Microsoft alle Versionen von Windows Server 2008 bis Windows Server 2019 sowie Windows Server Versionen 1903, 1909 und 2004.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der von Microsoft bereitgestellten Patches. Diese sind über die automatische Windows Update-Funktion verfügbar, AdministratorInnen sollten sichergehen, auch Systeme, welche nicht aus öffentlichen Netzwerken erreichbar sind zu patchen.<br />Organisationen, denen das Einspielen der Sicherheitsupdates derzeit nicht möglich ist, wird geraten, die Workarounds aus dem Microsoft Advisory anzuwenden.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>Microsoft Advisory<br /> <a href="https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2020-1350">https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2020-1350</a></em></p>
<p class="block"><em>Report von Checkpoint zu SIGRed (englisch)<br /> <a href="https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers">https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/</a></em></p>
<p class="block"><em>Meldung bei heise.de<br /> <a href="https://www.heise.de/security/meldung/Patchday-Trojaner-koennte-von-einem-zum-naechsten-Windows-DNS-Server-springen-4844150.html">https://www.heise.de/security/meldung/Patchday-Trojaner-koennte-von-einem-zum-naechsten-Windows-DNS-Server-springen-4844150.html</a></em></p>
<p class="block"><em>Meldung bei The Hacker News (englisch)<br /> <a href="https://thehackernews.com/2020/07/windows-dns-server-hacking.html">https://thehackernews.com/2020/07/windows-dns-server-hacking.html</a></em></p>CERT.at2020-07-15T13:47:00ZKritische Sicherheitslücke in SAP NetWeaver AS Java - Patches verfügbarCERT.at2020-07-14T13:26:15Z2020-07-14T12:05:00Z<p class="block">14. Juli 2020</p>
<h2 class="block">Beschreibung</h2>
<p class="block">SAP hat einen Patch zur Behebung einer kritischen Sicherheitslücke in der Komponente LM Configuration Wizard des SAP NetWeaver Application Server Java veröffentlicht.</p>
<p class="block">CVE-Nummern: CVE-2020-6287</p>
<p class="block">CVSS Base Score: 10.0</p>
<h2 class="block">Auswirkungen</h2>
<p class="block">Ein erfolgreicher Angriff ermöglicht entfernten, unauthentifizierten AngreiferInnen potentiell das Anlegen eines SAP-Benutzers mit maximalen Zugriffsrechten sowie das Ausführen von Befehlen mit den Rechten des SAP-Service-Accounts im darunterliegenden Betriebssystem.</p>
<h2 class="block">Betroffene Systeme</h2>
<p class="block">Diese Sicherheitslücke betrifft potentiell alle SAP-Anwendungen die auf SAP NetWeaver Java AS Version 7.3 bis einschließlich Version 7.5 laufen.</p>
<h2 class="block">Abhilfe</h2>
<p class="block">Einspielen der entsprechenden Updates/Patches, auch Systeme welche nicht aus öffentlichen Netzwerken erreichbar sind sollten gepatcht werden. AnwenderInnen denen ein Upgrade auf eine nicht verwundbare Version derzeit nicht möglich ist, wird geraten den LM Configuration Wizard zu deaktivieren.</p>
<h2 class="block">Hinweis</h2>
<p class="block">Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.</p>
<hr />
<h2 class="block">Informationsquelle(n):</h2>
<p class="block"><em>CISA Alert AA20-195A (englisch)<br /> <a href="https://us-cert.cisa.gov/ncas/alerts/aa20-195a">https://us-cert.cisa.gov/ncas/alerts/aa20-195a</a></em></p>
<p class="block"><em>Meldung auf heise.de<br /> <a href="https://www.heise.de/security/meldung/Patchday-Kritische-Sicherheitsluecke-bedroht-40-000-SAP-Kunden-4843322.html">https://www.heise.de/security/meldung/Patchday-Kritische-Sicherheitsluecke-bedroht-40-000-SAP-Kunden-4843322.html</a></em></p>
<p class="block"><em>SAP Security Patch Day Notes (englisch)<br /> <a href="https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675">https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675</a></em></p>CERT.at2020-07-14T12:05:00Z