Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) führt eine hilfreiche Übersicht zu bekannten Schwachstellen, die Angreifer ausnutzen. Am 5. April hat die Behörde vier neue Sicherheitslücken in diese Übersicht aufgenommen. Hier erfahren Sie, worum es sich dabei handelt, welche Risiken bestehen und wie Sie sich dagegen schützen können.
Sicherheitslücke Spring4Shell ermöglicht Ausführung von Remote-Code
Was ist passiert?
Die Sicherheitslücke „Spring4Shell“ (CVE-2022-22965) treibt momentan Cybersicherheits-Expertinnen und -Experten um. Das quelloffene Framework Spring stellt Tools und Dienstprogramme für Unternehmensanwendungen zur Verfügung, die auf der Programmiersprache Java basieren. Spring trägt dazu bei, den Aufwand für die Erstellung der Anwendungen zu verringern.
Am 31. März bestätigte das Unternehmen die Zero-Day-Sicherheitslücke und veröffentlichte einen Patch, der das Problem beheben sollte.
Das amerikanische Sicherheitsunternehmen Sonatype stellte diese Woche jedoch fest, dass trotz der Veröffentlichung des Patches mehr als 80 % der jüngsten Downloads potenziell anfällige Versionen sind. Offenbar sind Programme von Unternehmen betroffen, die Spring nutzen und weltweit verwendet werden. Das CERT (Computer Emergency Response Team) der Carnegie Mellon University hat eine Liste mit Unternehmen veröffentlicht, die betroffen sind.
Das Cybersicherheitsunternehmen Kasada fand außerdem heraus, dass Cyberkriminelle automatische Schwachstellen-Scanner-Tools nutzen, um Tausende von URLs zu testen und herauszufinden, welche Systeme noch nicht gepatcht wurden.
Ein Sprecher des Telekommunikationsunternehmens versicherte gegenüber BleepingComputer, dass im Rahmen des Cyberangriffs keinerlei sensible Informationen oder Kundendaten gestohlen wurden. Den Cyberkriminellen gelang es lediglich, auf interne Betriebssoftware zuzugreifen, die jedoch in keinem Zusammenhang mit vertraulichen Informationen steht. Es seien keine Hinweise darauf gefunden worden, dass Daten oder Betriebsgeheimnisse abgegriffen wurden.
Aufgedeckt wurde der Vorfall durch hausinterne Überwachungstools, die das Eindringen der unautorisierten Akteure durch gestohlene Zugangsdaten dokumentierten. Laut T-Mobile, konnte der Zugriff der Kriminellen schnell gekappt werden, die verwendeten kompromittierten Zugangsdaten wurden umgehend deaktiviert. Die Systeme und Prozesse des Unternehmens wurden bereinigt und funktionieren wie vorgesehen.
Öffentlichkeitswirksam wurde der Cybervorfall durch den unabhängigen Enthüllungsjournalisten Brian Krebs, der als erstes über den Cybervorfall berichtete. Er war in der Lage, durchgesickerte Telegram-Chatnachrichten zwischen Mitgliedern der Lapsus$-Bande zu analysieren und festzustellen, dass es den Angreifern gelungen war, internen Quellcode von T-Mobile zu stehlen und daraufhin in die Systeme einzudringen.
Was kann ich tun?
Neben Spring4Shell katalogisierte die CISA zwei von Apple am 1. April bekannt gegebene Sicherheitslücken (CVE-2022-22675 und CVE-2022-22674), die seine meistgenutzten Geräte iPhone, iPad und Mac betreffen.
Was ist passiert?
Bei der Sicherheitslücke CVE-2022-22675 betrifft die Audio- und Video-Dekodierungskomponente AppleAVD. Auch bei dieser Schwachstelle kann es zur Ausführung von Remote Codes kommen.
In Kombination mit der zweiten Sicherheitslücke CVE-2022-22674, die das Lesen des macOS-Kernelspeichers ermöglicht, könnten Cyberkriminelle darüber hinaus sensible Informationen über ihre potentiellen Opfer erhalten.
Apple gab an, dass beide Schwachstellen behoben wurden. Allerdings bestünde das Risiko, dass die Sicherheitslücken bereits ausgenutzt wurden.
Was kann ich tun?
Die iOS- und iPad-Sicherheitsupdates (iOS 15.4.1 und macOS Monterey 12.3.1) sind für iPhone 6S und neuer, alle Modelle des iPad Pro, alle Modelle ab dem iPad Air 2 und neuer, das iPad 5. Generation und neuer, das iPad Mini 4 und neuer sowie den iPod Touch (7. Generation) verfügbar. Wer eines dieser Geräte nutzt, sollte die Updates schnellstmöglich installieren und nicht auf ein automatisches Sicherheitsupdate von Apple warten:
Ebenfalls wurde die Übersicht der CISA um die Sicherheitslücke CVE-2021-45382 erweitert. Sie betrifft die Router-Modelle DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L und DIR-836L der Firma D-Link. Die Schwachstelle öffnet ebenfalls Tür und Tor für Remote Code-Ausführungen.
Was ist passiert?
Für diese Geräte sind keine Updates mehr verfügbar – das letzte wurde am 19. Dezember 2021 veröffentlicht – da es sich um sogenannte End-of-life-devices handelt. Die Produkte haben das Ende ihrer Lebensdauer erreicht und werden nicht weiter gewartet. Entsprechend entwickeln sich bei diesen Geräten Schwachstellen und werden so zu einem beliebten Angriffsziel – vor allem, da die Geräte ständig eingeschaltet und mit dem Internet verbunden sind. Kompromittierte Router werden häufig von Cyberkriminellen verwendet, um ihren Standort zu verschleiern, während sie Angriffe starten.
Was kann ich tun?
D-Link selbst rät, die genannten Modelle auszumustern und zu ersetzen. Damit Unternehmen die Binding Operational Directive 22-01 einhalten können, muss dies vor dem 25. April 2022 geschehen.
Kontaktieren Sie uns.
Unser Team ist für Sie da!
Telefon: +49 30 95 999 8080
E-Mail: info@perseus.de
© 2025 Perseus Technologies GmbH. All rights reserved
