13.10.2022 14:15
Shodan Verified Vulnerabilities – Statistiken zu Schwachstellen in Österreich (Updated)
Wir verarbeiten bereits seit einiger Zeit den Stream der Suchmaschine shodan.io, der sämtliche Daten Shodans für Österreich enthält. Dieser hat sich schon bei vielen unserer Aussendungen als extrem hilfreich erwiesen, um Schwachstellen zu identifizieren und Betroffene möglichst zeitnah zu informieren.
Seit einiger Zeit zeigt Shodan auch eine Liste von Schwachstellen an, für die die gescannten Geräte verwundbar sind. Einige davon werden aufgrund von Metadaten wie gefundenen Versionsnummern ermittelt, andere durch sicherere Methoden (Details finden sich z.B. in diesem Twitter-Thread). Wir haben dementsprechend ein kleines Script gebastelt, dass uns eine Zusammenfassung der "Verified Vulnerabilities" erstellt und diese in eine Grafik im SVG-Format umwandelt. Mit Stand 2020-09-22 sieht das Ergebnis folgendermaßen aus:
Das ist aktuell noch Work-in-Progress, geplant ist folgendes:
- Monatliche Updates unter https://cert.at/de/meldungen/aktuelles/ (done.)
- Jeweils kurze Vergleiche mit dem Vormonat und ggf. Referenzen zu Artikeln, die uns in der Medienbeobachtung dazu aufgefallen sind (done.)
- Potentiell: Erweiterung der Grafiken sodass die Schwachstellenbezeichnungen darin zu Links werden, um schnell zu einer Beschreibung des Problems zu kommen
Über Feedback zu diesem Plan würden wir uns freuen, wie immer an team@cert.at.
Liste der Schwachstellen (wird bei "Neuzugängen" aktualisiert)
| CVE-2013-1899 | Argument Injection Schwachstelle in PostgreSQL 9.2.x < 9.2.4, 9.1.x < 9.1.9 und 9.0.x < 9.0.13 | NIST NVD, PostgreSQL Advisory |
| CVE-2014-0160 | Heartbleed Schwachstelle in OpenSSL 1.0.1 vor 1.0.1g | NIST NVD, CERT.at Warnung, CISA Alert TA14-098A |
| CVE-2015-0204 | FREAK Schwachstelle in OpenSSL vor 0.9.8zd, 1.0.0 vor 1.0.0p und 1.0.1 vor 1.0.1k | NIST NVD, CERT.at Blog, Shadowserver Feed |
| CVE-2015-1635 | Potentielle RCE Schwachstelle in Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1 und Windows Server 2012 Gold und R2 | NIST NVD, Microsoft Advisory |
| CVE-2015-2080 | Auslesen potentiell sensitiver Informationen in Eclipse Jetty before 9.2.9.v20150224 über das Netzwerk und ohne Authentifizierung | NIST NVD, Eclipse Mail-Thread |
| CVE-2015-4000 | Logjam Schwachstelle in TLS <= 1.2 wenn eine DHE_EXPORT Ciphersuite am Server aber nicht am Client aktiviert ist | NIST NVD, CERT.at Blogpost, OpenSSL Advisory |
| CVE-2016-9244 | Potentielles Auslesen sensitiver Daten im BIG-IP Virtual Server | NIST NVD, F5 Advisory |
| CVE-2017-7269 | Remote Code Execution in Microsoft IIS 6.0 in Microsoft Windows Server 2003 R2 | NIST NVD |
| CVE-2019-0708 | Remote Code Execution in RDP | NIST NVD, CERT.at Warnung, Microsoft Advisory |
| CVE-2019-11510 | Auslesen beliebiger Dateien über das Netzwerk und ohne Authentifizierung in Pulse Secure Pulse Connect Secure (PCS) 8.2 vor 8.2R12.1, 8.3 vor 8.3R7.1 und 9.0 vor 9.0R3.4 | NIST NVD, Pulse Secure Advisory |
| CVE-2019-1652 | Authenticated RCE auf Cisco Small Business RV320 und RV325 Dual Gigabit WAN VPN Routern | NIST NVD, Cisco Advisory |
| CVE-2019-1653 | Auslesen sensitiver Informationen aus Cisco Small Business RV320 und RV325 Dual Gigabit WAN VPN Routern | NIST NVD, Cisco Advisory |
| CVE-2019-19781 | "Shitrix", eine Schwachstelle in Citrix Application Delivery Controller (ADC) und Gateway 10.5, 11.1, 12.0, 12.1, und 13.0, die die vollständige Übernahme des Geräts ermöglicht | NIST NVD, CERT.at Blogpost, Citrix Advisory |
| CVE-2020-5902 | Eine unauthenticated RCE im Traffic Management User Interface von F5s BIG IP Produkten | NIST NVD, F5 Advisory |
| CVE-2020-0796 | Remote Code Execution durch eine Schwachstelle in Microsoft Server Message Block 3.1.1 (SMBv3) | NIST NVD, CERT.at Warnung, Microsoft Advisory |
| CVE-2020-11651 | Fehlerhafte Überprüfung von Methoden-Aufrufen im SaltStack, was potentiell das Auslesen von Account-Tokens vom Salt Master bzw. RCE ohne Authentifizierung auf Salt Minions ermöglicht. | NIST NVD, SaltStack Advisory |
| CVE-2020-11652 | Fehlerhafte Pfad-Bereinigung, die authentifizierten NutzerInnen ermöglicht, auf beliebige Dateien zuzugreifen. | NIST NVD, SaltStack Advisory |
| CVE-2021-26855 | Microsoft Exchange Server Remote Code Execution Vulnerability | NIST NVD, Microsoft Advisory |
| CVE-2021-26857 | Microsoft Exchange Server Remote Code Execution Vulnerability | NIST NVD, Microsoft Advisory |
| CVE-2021-26858 | Microsoft Exchange Server Remote Code Execution Vulnerability | NIST NVD, Microsoft Advisory |
| CVE-2021-27065 | Microsoft Exchange Server Remote Code Execution Vulnerability | NIST NVD, Microsoft Advisory |
| CVE-2021-31206 | Microsoft Exchange Server Remote Code Execution Vulnerability | NIST NVD, Microsoft Advisory, ZDI Advisory |
| CVE-2021-31207 | Microsoft Exchange Server pre-auth path confusion (Teil von ProxyShell) | NIST NVD, Microsoft Advisory, ZDI Blogpost |
| CVE-2021-34473 | Microsoft Exchange Server Privilegieneskalation im PowerShell Backend (Teil von ProxyShell) | NIST NVD, Microsoft Advisory, ZDI Blogpost |
| CVE-2021-34523 | Microsoft Exchange Server Erstellung beliebiger Dateien (Teil von ProxyShell) | NIST NVD, Microsoft Advisory, ZDI Blogpost |
| CVE-2021-43798 | Grafana Path Traversal Vulnerability | NIST NVD, Grafana Blogpost |
| CVE-2022-32548 | DrayTek Authentication Bypass Vulnerability | NIST NVD, DrayTek Advisory |
| CVE-2022-36804 | Command Injection Schwachstelle in Atlassian Bitbucket Server und Data Center | NIST NVD, Atlassian Advisory |
| MS15-034 | Gleiches Microsoft Advisory wie für CVE-2015-1635 | Microsoft Advisory |
| MS17-010 | "Eternal Blue", eine Schwachstelle in Microsoft Server Message Block 1.0 (SMBv1) Server, die u.a. bei WannaCry ausgenutzt wurde | Microsoft Advisory, CERT.at Warnung zu WannaCry |