Recent searches

No recent searches

Search options

Only available when logged in.
social.bund.de is one of the many independent Mastodon servers you can use to participate in the fediverse.
Dies ist der Mastodon-Server der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Administered by:

Server stats:

99
active users

social.bund.de: AboutProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.4.3

#CERTWarnung

0 posts0 participants0 posts today
CERT-Bund

❗ ❗
In dem weit verbreiteten Ingress NGINX Controller für Kubernetes wurden kritische geschlossen, die entfernten Angreifenden eine vollständige Clusterübernahme ermöglichen können. Administratoren sollten schnellstmöglich ihre Cluster prüfen und Patches installieren.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Kubernetes - Kritische Schwachstelle im Ingress NGINX Controller ermöglicht ClusterübernahmeAm 24. März 2025 veröffentlichte Kubernetes Advisories zu mehreren Schwachstellen im weit verbreiteten Ingress NGINX Controller für Kubernetes. Dieser wird häufig als Reverse Proxy und Load Balancer eingesetzt, um externen HTTP(s) Traffic auf interne Kubernetes-Services weiterzuleiten. Insgesamt wurden fünf Schwachstellen geschlossen, wovon vier die unautorisierte Ausführung von Code aus der Ferne (RCE) ermöglichen. Hervorzuheben ist dabei insbesondere die nach CVSS:3.1 mit 9.8 als "kritisch" bewertete Sicherheitslücke CVE-2025-1974. Den drei weiteren RCE-Verwundbarkeiten wird mit jeweils 8.8 eine "hohe" Kritikalität attestiert (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514). Das IT-Sicherheitsunternehmen Wiz veröffentlichte weitere Details zu den schwerwiegendsten Schwachstellen, die demnach einen Angreifer dazu in die Lage versetzen können, aus der Ferne unautorisierten Zugriff auf sensible Daten zu erlangen und somit letztendlich das gesamte Cluster zu übernehmen. Aufgrund des großen Gefährdungspotentials bezeichnet das IT-Sicherheitsunternehmen den Sachverhalt auch als "IngressNightmare".  Betroffen von der Schwachstelle sind die Versionen: < v1.11.0 v1.11.0 - 1.11.4 v1.12.0 Eine Ausnutzung der genannten Schwachstellen ist bislang nicht bekannt.
CERT-Bund

❗ ❗
In dieser Woche veröffentlichten Sicherheitsforscher einen Proof of Concept-Exploit zu einer in SonicOS. Demnach könnten Angreifer Sessions von aktiven SSLVPN-Usern kapern und unbefugt Zugriff auf Netzwerke erhalten. Betreiber von SonicWall Firewalls sollten daher zeitnah die Empfehlungen des Herstellers prüfen, da kurzfristig mit Angriffsversuchen gerechnet werden muss: bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: SonicWall SonicOS - Proof-of-Concept Exploit für Schwachstelle im SSLVPN veröffentlichtAm 7. Januar veröffentlichte SonicWall ein Advisory zu mehreren Schwachstellen im Firewall-Betriebssystem SonicOS. Unter anderem wurde eine schwerwiegende Schwachstelle in der SSLVPN Komponente von SonicOS geschlossen, welche die Umgehung der Authentifizierung ermöglicht (CWE-287). Die Sicherheitslücke mit der Kennung CVE-2024-53704 wurde nach dem Common Vulnerability Scoring System (CVSS) mit 8.2 ("hoch") bewertet. Am 28. Januar veröffentlichten IT-Sicherheitsforscher von Rapid 7 zu der Schwachstelle ein Proof-of-Concept Exploit sowie technische Details. Demnach kann ein nicht-authentifizierter Angreifer den SSLVPN Authentifizierungs-Vorgang umgehen, indem er eine existierende authentifizierte SSLVPN Client-Session kapert. In der Folge werden Angreifer in die Lage versetzt, auf interne Netzwerke zuzugreifen. Für die Ausnutzung benötigt der Angreifer keine Kenntnis über Benutzername oder Passwort. Eine womöglich implementierte Multi-Faktor-Authentifizierung (MFA) würde ebenfalls nicht greifen.
CERT-Bund

❗ ❗
SonicWall veröffentlichte ein Advisory zu einer Schwachstelle in seiner SMA 1000-Serie. Hinweise legen nahe, dass bereits Angriffe stattfinden. IT-Sicherheitsverantwortliche sollten daher zeitnah die empfohlenen Maßnahmen umsetzen: bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: SonicWall SMA 1000 Serie - Zero-Day Schwachstelle in Management Konsole geschlossenAm 22. Januar veröffentlichte SonicWall ein Advisory zu einer Zero-Day Schwachstelle in der Produktserie Secure Mobile Access (SMA) 1000. Die Schwachstelle mit der Kennung CVE-2025-23006 wurde nach dem Common Vulnerability Scoring System (CVSS 3.0) mit 9.8 ("kritisch") bewertet. Es handelt sich um eine Pre-Authentication Schwachstelle, ausgelöst durch Deserialisierung von nicht vertrauenswürdigen Daten (CWE-502) in der Appliance Management Console (AMC) und Central Management Console (CMC). Ein entfernter, nicht-authentifizierter Angreifer ist dadurch in der Lage, Befehle auf verwundbaren SMA 1000 Firewalls auszuführen. SonicWall gibt an, dass die Schwachstelle CVE-2025-23006 wahrscheinlich bereits von Akteuren ausgenutzt wird.
CERT-Bund

❗❗
In Firewalls von Palo Alto Networks soll sich eine ungepatchte Schwachstelle befinden, die über das Management Interface ausgenutzt werden kann. Angriffe finden bereits statt. Kunden sollten unverzüglich ihre Firewalls absichern. bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Palo Alto Networks Firewalls - Zero-Day Angriffe auf Management Interface beobachtetAm 14. November aktualisierte Palo Alto Networks ein Advisory auf seiner Webseite. Nachdem der Hersteller dort erst wenige Tage zuvor eine mögliche Gefährdung durch eine Sicherheitslücke in seinem Firewall-Management Interface bekanntgegeben hatte, wies er nun darauf hin, dass inzwischen Angriffe auf verwundbare Geräte stattfinden. Demnach habe man eine begrenzte Anzahl an Attacken auf Firewalls, die das Management Interface exponieren, bestätigen können. Die Dringlichkeit des Sachverhalts wurde daher auf die höchste Stufe angehoben. Zum aktuellen Zeitpunkt gibt der Hersteller keine Details über die betroffenen Versionen bzw. Geräte an. Es sollen jedoch alle Modelle, die das Management Interface nicht nach Best Practices absichern und daher nach außen exponieren, potentiell gefährdet sein.
CERT-Bund

❗ ❗
In von Fortinet wurde eine Zero-Day geschlossen, die seit Juni ausgenutzt wird. Eine Kompromittierung ist zu prüfen. Kunden sollten unverzüglich ihre Geräte absichern.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Fortinet FortiManager - Aktive Ausnutzung einer Zero-Day SchwachstelleAm 23. Oktober veröffentlichte Fortinet ein Advisory zur einer Zero-Day Schwachstelle im Produkt FortiManager, welches zur Verwaltung von Fortinet-Sicherheitsgeräten, u.a. FortiGate-Firewalls verwendet wird. Die Schwachstelle mit der Kennung CVE-2024-47575 erlaubt es externen Angreifenden ohne Authentifizierung Code und Befehle auf verwundbaren FortiManager auszuführen. Die Schwachstelle wurde dementsprechend nach dem Common Vulnerability Scoring System (CVSS) mit dem Wert 9.8 ("kritisch") bewertet. Die Ursache für die Schwachstelle liegt bei der fehlenden Authentifizierung für eine kritische Funktion (CWE-306), genauer im FGFM-Daemon. Nach Angaben des Herstellers wird die Schwachstelle bereits aktiv ausgenutzt.
CERT-Bund

❗❗
Ivanti veröffentlichte gestern Details zu beobachteten Angriffen auf seine Cloud Services Appliance (CSA). Institutionen, die CSA in Version 4.6 (EOL) verwenden, sollten den vom 10.9. installieren oder besser auf CSA 5.0 wechseln.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Ivanti Cloud Services Appliance –Schwachstellen werden aktiv ausgenutzt
CERT-Bund

❗❗
Nach einem fehlerhaften Update von Falcon Sensoren kam es zu zahlreichen Abstürzen von Windows-Systemen.
Der Hersteller nennt verschiedene Workarounds.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikFehlerhaftes Update von Crowdstrike FalconCrowdstrike Falcon ist eine weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Während des Betriebs werden regelmäßig Softwareupdates mittels sogenannter Channel-Dateien ausgerollt. Mit Hilfe der Channel-Dateien verteilt Crowdstrike dynamische Updates und Detektionsregeln. Durch ein jüngst ausgerolltes fehlerhaftes Update, welches die auf Endgeräten und Servern installierten Crowdstrike Falcon Sensoren betrifft, kam es zu einer Situation, die unter Windows zu Abstürzen führen kann.
CERT-Bund

❗❗
In Transfer und Gateway von Progress wurden kritische geschlossen, die einen Datenabfluss ermöglichen. Angriffsversuche finden bereits statt. Kunden sollten schnellst möglichst Maßnahmen ergreifen.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Progress MOVEit - Ausnutzung einer kritischen SchwachstelleAm 25. Juni veröffentlichte der Hersteller Progress zwei Advisories zu kritischen Schwachstellen. Die Schwachstelle mit der Kennung CVE-2024-5806 betrifft das SFTP Modul im Produkt MOVEit Transfer und wurde mit einem CVSS Base-Score von 9.1 ("kritisch") bewertet. Entfernte Angreifenden können die Authentifizierung umgehen (CWE-287 - Improper Authentication) und so Zugriff auf vertrauliche Daten erhalten (Lesen, Bearbeiten, Löschen). Nach aktuellem Kenntnisstand benötigen Angreifende dafür die Kenntniss über einen verwendeten Nutzernamen, der sich von extern authentifizieren kann bzw. darf und zudem muss der SFTP Dienst exponiert sein. Bereits kurz nach der Veröffentlichung wurden Angriffsversuche der Schwachstelle CVE-2024-5806 von ShadowServer erkannt.
CERT-Bund

❗❗
In von Cisco wurde eine geschlossen, die den Abfluss von Metadaten und unautorisiertes Einwählen in Meetings ermöglichte. Das BSI empfiehlt Kunden Maßnahmen zu ergreifen.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Webex by Cisco: Schwachstelle ermöglicht Abfluss von MetadatenWebex by Cisco ist ein Kommunikations- und Kolaborationstool welches vor allem für Videokonferenzen genutzt wird. Journalisten und Sicherheitsforschende haben darin eine Sicherheitslücke aufgedeckt Cisco darüber informiert und den Sachverhalt veröffentlicht. Daraufhin hat Cisco am 04.06.2024 ein Advisory veröffentlicht und den Sachverhalt grundsätzlich bestätigt. Die Sicherheitslücke erlaubte es auf Metadaten des Meetings zuzugreifen und durch Enummeration weitere Meetings zu identifizieren. In Kombination mit unsicher konfigurierten, insbesondere nicht mit einem Passwort geschützten Meetings, konnten sich die Sicherheitsforschenden unautorisiert in einige dieser Meetings einwählen.
CERT-Bund

❗ ❗

In Check Point Security Gateways wurde eine mit bereits beobachteten Angriffen geschlossen. Der Hersteller hat ein Skript bereitgestellt, mit dem verwundbare Komponenten im eigenen Netzwerk identifiziert werden können.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikCheck Point Security Gateways: Abfluss von Zugangsdaten möglichDas Unternehmen Check Point veröffentlichte ein Advisory, in dem auf eine neu entdeckte Schwachstelle in den Produktreihen Quantum und Maestro hingewiesen wird. Diese ermöglicht, es aus der Ferne und ohne Authentifizierung Credentials und VPN-Zugangsdaten auszulesen. Es werden bereits Angriffe über die Schwachstelle beobachtet, daher sollten Organisationen, die das Produkt einsetzen, schnellstmöglich die empfohlenen Maßnahmen umsetzen. 
*
CERT-Bund

❗❗
Gemeinsam mit dem Hersteller haben NCSC
und cybercentre_ca Angriffe auf Cisco ASA-Lösungen analysiert. für die entdeckten Schwachstellen stehen bereit und sollten geprüft werden: bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Cisco ASA: Aktiv ausgenutzte Schwachstellen geschlossenAm 24. April 2024 veröffentlichte der Hersteller Cisco drei Advisories zu Schwachstellen in seinem Produkt Cisco ASA (Adaptive Security Appliance). Auslöser waren Beobachtungen, wonach zwei der Verwundbarkeiten bereits in gezielten Attacken verwendet werden. Den Veröffentlichungen vorangegangen waren Untersuchungen von Ciscos Product Security Incident Response Team (PSIRT) sowie der Threat Intelligence Sparte des Unternehmens, Cisco Talos, nachdem diese im Januar 2024 Hinweise auf den Sachverhalt erhalten hatten. In Kooperation mit mehreren internationalen Partnern ergaben die Analysen, dass Täter mithilfe einer sehr ausgefeilten Angriffsvariante in der Lage waren, eine kleine Anzahl an Systemen bei Kunden zu kompromittieren und Daten zu exfiltrieren. Betroffen waren Behörden und Unternehmen aus den Kritischen Infrastrukturen auf der ganzen Welt.
CERT-Bund

❗❗
Aktive Ausnutzung einer und noch kein Patch: Institutionen, die Firewalls von Palo Alto Networks einsetzen, sollten die Hinweise des Herstellers beachten und kurzfristig handeln:
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.3: Palo Alto Networks Firewalls - Aktive Ausnutzung einer ungepatchten SchwachstelleAm 12. April 2024 veröffentlichte das Unternehmen Palo Alto Networks ein Advisory zu einer aktiv ausgenutzten Schwachstelle in PAN-OS, dem Betriebssystem der Firewalls des Herstellers. Bei der Sicherheitslücke mit der Kennung CVE-2024-3400 handelt es sich um eine OS Command Injection im GlobalProtect Gateway Feature, die einem unauthentifizierten Angreifenden aus der Ferne das Ausführen von Code mit Root-Rechten auf der Firewall ermöglicht. Die Schwachstelle wurde nach dem Common Vulnerability Scoring System (CVSS) mit dem höchsten Wert 10.0 ("kritisch"; CVSS 4.0) bewertet. Die Patches (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) werden nach Angaben im Advisory voraussichtlich am 14. April 2024 veröffentlicht. Palo Alto Networks gibt an, eine begrenzte Anzahl an Angriffen mittels dieser Schwachstelle beobachtete zu haben. Update 1: Am 15. April 2024 gab der Hersteller die Hotfixes 11.1.2-h3, 11.0.4-h1 und 10.2.9-h1 heraus, welche die Schwachstelle schließen. Das IT-Sicherheitsunternehmen Volexity veröffentlichte letzte Woche einen Blogbeitrag zur beobachteten Ausnutzung von CVE-2024-3400. Dort enthalten sind Details zum Vorgehen der Angreifenden sowie Indikatoren einer Kompromittierung. Update 2: Palo Alto Networks hat das Advisory angepasst und weist darauf hin, dass der bisherige Workaround, das Deaktivieren der Telemetrie-Funktion, nicht mehr vor dem Ausnutzen der Schwachstelle CVE-2024-3400 schützt. Des Weiteren wird eine zunehmend breite Ausnutzung beobachtet und Exploits sind öffentlich verfügbar. Update 3: Neben den physischen Geräten von Palo Alto können auch Produkte anderer Hersteller, welche die verwundbaren PAN-OS Versionen (beispielsweise als virtuelle Maschine) integriert und Global Protect konfiguriert haben, anfällig sein.
CERT-Bund

❗❗
@CISACyber
und
@Mandiant
veröffentlichten Berichte über mögliche persistente Malware auf Ivanti Systemen. Ivanti stellt daher eine aktualisierte Version des Integritätsprüfungs-Tools zur Verfügung, um diese besser erkennen zu können.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.4: Zero-Day Schwachstellen bei Cyber-Angriffen auf verschiedene Ivanti-Produkte genutztAm Abend des 10. Januar 2024 veröffentlichte der Hersteller Ivanti ein Advisory zu zwei bislang ungepatchten Schwachstellen in mehreren Produkten, die bereits für Cyber-Angriffe ausgenutzt werden. Betroffen sind demnach folgende Lösungen: - Ivanti Connect Secure (ehemals Ivanti Pulse Secure) - Ivanti Policy Secure - Ivanti Neurons for Zero Trust Access (ZTA) (siehe weiter unten) Grundsätzlich sind alle derzeit im Support befindlichen Versionen dieser Produkte betroffen. Für ältere, nicht mehr unterstützte Patchstände hat der Hersteller bislang keine Untersuchungen vorgenommen. In Ivantis Neurons for ZTA Gateways liegen die Schwachstellen zwar grundsätzlich vor, können im laufenden Betrieb bislang jedoch nicht angegriffen werden. Bei den entdeckten Attacken kombinierten Angreifende eine Authentication Bypass- (CVE-2023-46805) (CVSS-Bewertung: 8.2) und eine Command Injection-Schwachstelle (CVE-2024-21887) (CVSS-Bewertung: 9.1) miteinander, um aus der Ferne Schadcode auf den Ivanti-Geräten auszuführen. Der Hersteller berichtet von Angriffen auf weniger als 10 Kunden. Update 1: Volexity veröffentlichte am 15. Januar 2024 einen Blogbeitrag über eine breite Ausnutzung der Schwachstellen. Mehr als 1.700 kompromittierte Ivanti Connect Secure Instanzen konnten von Volexity weltweit identifiziert werden. Update 2: Am 31. Januar 2024 informierte der Hersteller über die Entdeckung einer neuen Privilege Escalation (CVE-2024-21888) sowie einer Server Side Request Forgery (SSRF) Schwachstelle (CVE-2024-21893) in den o.g. Produkten. Ivanti gibt an, dass die SSRF Schwachstelle (CVE-2024-21893), die Angreifenden ohne Authentifizierung Zugriff auf bestimmte Ressourcen erlaubt, bereits ausgenutzt wurde. Ivanti hat inzwischen erste Patches für Ivanti Connect Secure veröffentlicht, die schnellstmöglichst installiert werden sollten. Ebenso steht eine neue Mitigationsmaßnahme zur Verfügung, die, falls kein Patch installiert werden kann, eingespielt werden sollte. Es wurde außerdem beobachtet, dass Angreifende Detektionsmaßnahmen umgehen und sich auf interne Systeme ausbreiten konnten. Update 3: Am Abend des 8. Februar informierte Ivanti über die Entdeckung einer weiteren Schwachstelle in der Security Assertion Markup Language (SAML)-Komponente der o.g. Geräte. Mithilfe einer XML External Entity (XXE)-Sicherheitslücke könnten Angreifende in die Lage versetzt werden, ohne Authentifizierung auf geschützte Bereiche von Ivanti Connect Secure, Policy Secure oder ZTA Gateways zuzugreifen. Die Schwachstelle mit der Kennung CVE-2024-22024 wurde nach dem Common Vulnerability Scoring System (CVSS) mit einer hohen Kritikalität (8.3) bewertet. Betroffen sind nur bestimmte Software-Versionen, darunter jedoch auch Patchstände von Anfang Februar, für die Patches bereitstehen, welche eingespielt werden müssen. Eine Ausnutzung von CVE-2024-22024 ist bislang nicht bekannt. Update 4: Ivanti hat eine neue Version des externen Integritätsprüfungs-Tools (ICT) veröffentlicht, das nun alle Dateien auf dem System anzeigen kann sowie einen unverschlüsselten Snapshot zur Analyse zur Verfügung stellt. Die IT-Sicherheitsforscher von Mandiant konnten bei Analysen von beobachteter Malware auf Ivanti Appliances feststellen, dass Angreifende versuchten, persistente Malware zu installieren, die nicht durch das Zurücksetzen oder durch ein Update entfernt wird. Bislang sind jedoch keine Fälle bekannt, in denen derartige Installationsversuche erfolgreich waren.
CERT-Bund

❗❗
Microsoft gab bekannt, dass auf eine kritische in , die im Rahmen des Februar-Patchdays geschlossen wurde, bereits Angriffe stattfinden.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Microsoft Exchange - Aktive Ausnutzung einer Zero-Day-SchwachstelleAm 14. Februar 2024 aktualisierte Microsoft sein Advisory zu einer Schwachstelle in Microsoft Exchange Server (CVE-2024-21410), die der Hersteller im Rahmen des Februar Patchdays geschlossen hatte. Ergänzt wurde der Hinweis, dass die Sicherheitslücke bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen. Die Bewertung nach dem Common Vulnerability Scoring System (CVSS) in Version 3.1 ist mit einem Wert von 9.8 daher "kritisch". Diese sogenannten NTLM-Relay-Angriffe können durch die Schutzfunktion Extended Protection (EP), auch Extended Protection for Authentication (EPA) genannt, unterbunden werden, die das Update Exchange Server 2019 CU14 standardmäßig aktiviert. Betroffen sind Versionen von Microsoft Exchange Server vor Cumulative Update 14 für Exchange Server 2019, ohne aktiviertes Extended-Protection-Feature.
CERT-Bund

❗❗
Für eine OS Command Injection in den sehr weitverbreiteten NAS-Lösungen wurde -Code veröffentlicht. Betreiber sollten schnellstmöglich die empfohlenen Schutzmaßnahmen prüfen!
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: QNAP - Proof-of-Concept für Schwachstelle in QNAP QTS, QuTS hero und QuTScloud veröffentlichtAm 13. Februar 2024 veröffentlichte der Hersteller QNAP ein Advisory zu mehreren Schwachstellen in den Betriebssystemen QTS, QuTS hero und QuTScloud. Diese kommen in zahlreichen Network Attached Storage (NAS)-Lösungen des Herstellers zum Einsatz. Den Hinweisen des Unternehmens zufolge könnte es Angreifenden gelingen, aus der Ferne ohne Authentifizierung Befehle auf QNAP-Geräten auszuführen. Ausschlaggebend hierfür ist zum einen die Schwachstelle CVE-2023-50358, zum anderen die Sicherheitslücke CVE-2023-47218. Beide Verwundbarkeiten wurden nach dem Common Vulnerability Scoring System (CVSS) zwar nur mit einer mittleren Kritikalität (5.8) bewertet, die äußerst hohe Anzahl an über das Internet erreichbaren Geräten - sowohl in Deutschland als auch im Allgemeinen - könnte jedoch zu großen Schäden führen. Zusätzlich begünstigt wird diese Bedrohung aufgrund der Tatsache, dass die IT-Sicherheitsforschenden von Unit42 nun Proof of Concept (PoC)-Hinweise zu den Schwachstellen herausgegeben haben. Die Veröffentlichung erfolgte, nachdem die Sicherheitsforschenden seit November 2023 mit QNAP bezüglich des o.g. Sachverhalts im vertraulichen Austausch waren. Grund dafür waren Beobachtungen von Unit42, die das Team im Rahmen eines IT-Sicherheitsvorfalls gemacht hatte.
CERT-Bund

❗❗
Der Hersteller hat für zwei kritische in FortiOS Patches veröffentlicht. Eine der Schwachstellen wird wahrscheinlich bereits ausgenutzt.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Fortinet FortiOS - Aktive Ausnutzung kritischer SchwachstellenAm 8. Februar veröffentlichte der Hersteller Fortinet ein Advisory zu einer kritischen Schwachstelle in mehreren Versionen seines Betriebssystems FortiOS, das u.a. in den Firewalls der FortiGate-Serie zum Einsatz kommt. Bei der gefundenen Schwachstelle CVE-2024-21762 handelt es sich um eine Out-of-bounds Write Sicherheitslücke (CWE-787), die einem nicht authentifizierten, externen Angreifenden über preparierte HTTP Anfragen die Ausführung von Code und Befehlen ermöglicht. Nach dem Common Vulnerability Scoring System (CVSS) erhielt die Schwachstelle mit einem Wert von 9.8 eine "kritische" Bewertung. Fortinet hat Patches für die betroffenen, folgenden Versionen von FortiOS veröffentlicht und gibt im Advisory an, dass die Schwachstelle wahrscheinlich schon ausgenutzt wird.
CERT-Bund

❗❗
Bei dem Hersteller der Fernzugriffssoftware gab es eine Kompromittierung interner Systeme. Als Reaktion wird das Code-Signing-Zertifikat kurzfristig ausgetauscht.
Weitere Informationen: bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Cybersicherheitsvorfall bei einem Remote-Screen-Sharing-AnbieterDie AnyDesk Software GmbH – Hersteller der gleichnamigen und weit verbreiteten Software für Fernzugriff und Screensharing – veröffentlichte eine Pressemitteilung zu einem Angriff mit erfolgter Kompromittierung interner Systeme. Das BSI steht mit dem Unternehmen in Kontakt und kann den Vorfall bestätigen. Öffentliche Quellen berichten darüber, dass im Zuge dieser Kompromittierung auch Quellcode sowie Zertifikate zum Signieren der Software abgeflossen seien. AnyDesk hat die Bereinigung und Wiederherstellung unmittelbar gemeinsam mit einem Dienstleister durchgeführt. Im Rahmen dessen wurden Zertifikate zurückgezogen und Updates bereitgestellt, durch die die Zertifikate bei den Endnutzern ausgetauscht werden. AnyDesk hat den Quellcode zudem gründlich überprüft und konnte keine Manipulation feststellen. Die AnyDesk Software GmbH äußerte gegenüber dem BSI, dass das Unternehmen derzeit keine positive Kenntnis einer Kompromittierung von Nutzerdaten hat.
CERT-Bund

❗❗
In einer Veröffentlichung hat heute über zwei weitere in Ivanti Connect Secure, Policy Secure und ZTA informiert. IT-Sicherheitsverantwortliche sollten die empfohlenen Schutzmaßnahmen kurzfristig prüfen.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.4: Zero-Day Schwachstellen bei Cyber-Angriffen auf verschiedene Ivanti-Produkte genutztAm Abend des 10. Januar 2024 veröffentlichte der Hersteller Ivanti ein Advisory zu zwei bislang ungepatchten Schwachstellen in mehreren Produkten, die bereits für Cyber-Angriffe ausgenutzt werden. Betroffen sind demnach folgende Lösungen: - Ivanti Connect Secure (ehemals Ivanti Pulse Secure) - Ivanti Policy Secure - Ivanti Neurons for Zero Trust Access (ZTA) (siehe weiter unten) Grundsätzlich sind alle derzeit im Support befindlichen Versionen dieser Produkte betroffen. Für ältere, nicht mehr unterstützte Patchstände hat der Hersteller bislang keine Untersuchungen vorgenommen. In Ivantis Neurons for ZTA Gateways liegen die Schwachstellen zwar grundsätzlich vor, können im laufenden Betrieb bislang jedoch nicht angegriffen werden. Bei den entdeckten Attacken kombinierten Angreifende eine Authentication Bypass- (CVE-2023-46805) (CVSS-Bewertung: 8.2) und eine Command Injection-Schwachstelle (CVE-2024-21887) (CVSS-Bewertung: 9.1) miteinander, um aus der Ferne Schadcode auf den Ivanti-Geräten auszuführen. Der Hersteller berichtet von Angriffen auf weniger als 10 Kunden. Update 1: Volexity veröffentlichte am 15. Januar 2024 einen Blogbeitrag über eine breite Ausnutzung der Schwachstellen. Mehr als 1.700 kompromittierte Ivanti Connect Secure Instanzen konnten von Volexity weltweit identifiziert werden. Update 2: Am 31. Januar 2024 informierte der Hersteller über die Entdeckung einer neuen Privilege Escalation (CVE-2024-21888) sowie einer Server Side Request Forgery (SSRF) Schwachstelle (CVE-2024-21893) in den o.g. Produkten. Ivanti gibt an, dass die SSRF Schwachstelle (CVE-2024-21893), die Angreifenden ohne Authentifizierung Zugriff auf bestimmte Ressourcen erlaubt, bereits ausgenutzt wurde. Ivanti hat inzwischen erste Patches für Ivanti Connect Secure veröffentlicht, die schnellstmöglichst installiert werden sollten. Ebenso steht eine neue Mitigationsmaßnahme zur Verfügung, die, falls kein Patch installiert werden kann, eingespielt werden sollte. Es wurde außerdem beobachtet, dass Angreifende Detektionsmaßnahmen umgehen und sich auf interne Systeme ausbreiten konnten. Update 3: Am Abend des 8. Februar informierte Ivanti über die Entdeckung einer weiteren Schwachstelle in der Security Assertion Markup Language (SAML)-Komponente der o.g. Geräte. Mithilfe einer XML External Entity (XXE)-Sicherheitslücke könnten Angreifende in die Lage versetzt werden, ohne Authentifizierung auf geschützte Bereiche von Ivanti Connect Secure, Policy Secure oder ZTA Gateways zuzugreifen. Die Schwachstelle mit der Kennung CVE-2024-22024 wurde nach dem Common Vulnerability Scoring System (CVSS) mit einer hohen Kritikalität (8.3) bewertet. Betroffen sind nur bestimmte Software-Versionen, darunter jedoch auch Patchstände von Anfang Februar, für die Patches bereitstehen, welche eingespielt werden müssen. Eine Ausnutzung von CVE-2024-22024 ist bislang nicht bekannt. Update 4: Ivanti hat eine neue Version des externen Integritätsprüfungs-Tools (ICT) veröffentlicht, das nun alle Dateien auf dem System anzeigen kann sowie einen unverschlüsselten Snapshot zur Analyse zur Verfügung stellt. Die IT-Sicherheitsforscher von Mandiant konnten bei Analysen von beobachteter Malware auf Ivanti Appliances feststellen, dass Angreifende versuchten, persistente Malware zu installieren, die nicht durch das Zurücksetzen oder durch ein Update entfernt wird. Bislang sind jedoch keine Fälle bekannt, in denen derartige Installationsversuche erfolgreich waren.
CERT-Bund

❗❗
Eine kritische in erlaubt es Konten ohne 2FA zu übernehmen. Durch die Veröffentlichung eines Proof-of-Conecepts ist von einer stattfindenden Ausnutzung auszugehen.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Proof-of-Concept für kritische Schwachstelle in GitLab veröffentlichtAm 11. Januar veröffentlichte GitLab ein Security Advisory zu kritischen Schwachstellen in GitLab Community Edition (CE) und Enterprise Edition (EE). Besonders kritisch ist die Sicherheitslücke CVE-2023-7028, die es Angreifenden erlaubt, ohne Authentifizierung Konten zu übernehmen und die daher eine CVSS-Bewertung von 10.0 ("kritisch") erhielt. Angreifende können mit nicht verifizierten Email-Adressen Passwörter zurücksetzen und somit Zugang zu Benutzerkonten erhalten, sofern keine 2-Faktor Authentifizierung aktiviert ist. Mittlerweile wurden Proof-of-Concepts veröffentlicht, die ein sehr einfaches Ausnutzen der Schwachstelle ermöglichen. Von bereits stattfindenden Angriffen kann daher ausgegangen werden.
TrendingLive feeds
About