Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) führt eine hilfreiche Übersicht zu bekannten Schwachstellen, die Angreifer ausnutzen. Am 5. April hat die Behörde vier neue Sicherheitslücken in diese Übersicht aufgenommen. Hier erfahren Sie, worum es sich dabei handelt, welche Risiken bestehen und wie Sie sich dagegen schützen können.
Sicherheitslücke Spring4Shell ermöglicht Ausführung von Remote-Code
Was ist passiert?
Die Sicherheitslücke „Spring4Shell“ (CVE-2022-22965) treibt momentan Cybersicherheits-Expertinnen und -Experten um. Das quelloffene Framework Spring stellt Tools und Dienstprogramme für Unternehmensanwendungen zur Verfügung, die auf der Programmiersprache Java basieren. Spring trägt dazu bei, den Aufwand für die Erstellung der Anwendungen zu verringern.
Am 31. März bestätigte das Unternehmen die Zero-Day-Sicherheitslücke und veröffentlichte einen Patch, der das Problem beheben sollte.
Das amerikanische Sicherheitsunternehmen Sonatype stellte diese Woche jedoch fest, dass trotz der Veröffentlichung des Patches mehr als 80 % der jüngsten Downloads potenziell anfällige Versionen sind. Offenbar sind Programme von Unternehmen betroffen, die Spring nutzen und weltweit verwendet werden. Das CERT (Computer Emergency Response Team) der Carnegie Mellon University hat eine Liste mit Unternehmen veröffentlicht, die betroffen sind.
Das Cybersicherheitsunternehmen Kasada fand außerdem heraus, dass Cyberkriminelle automatische Schwachstellen-Scanner-Tools nutzen, um Tausende von URLs zu testen und herauszufinden, welche Systeme noch nicht gepatcht wurden.
Welche Risiken bestehen durch Spring4Shell für mein Unternehmen?
Wird die Schwachstelle böswillig ausgenutzt, kann sie für Remote Code-Ausführungen, auch Remote Code Execution (RCE) genannt, verwendet werden: Cyberkriminelle können aus der Ferne auf Computer und andere Endgeräte zugreifen und darauf Änderungen durchführen bzw. schadhafte Programme installieren.
Was kann ich tun?
- Überprüfen Sie beim Hersteller Ihrer Software, Programme und Dienste, ob Ihre Anwendungen betroffen sind. Spring hat einen Leitfaden veröffentlicht, mit dem Nutzerinnen und Nutzer erfahren, ob und inwiefern sie betroffen sind.
- Falls sofortiges Patchen nicht möglich ist, Spring Workarounds veröffentlicht, um das Problem vorerst zu umgehen
- Für IT-Administratoren: Isolieren Sie betroffene Systeme in ein „vulnerable VLAN“ (Virtual Local Area Network).
- Achten Sie auf nicht autorisierte Konfigurationsänderungen auf allen Systemen.
Apple veröffentlicht und schließt zwei kritische Sicherheitslücken
Was ist passiert?
Neben Spring4Shell katalogisierte die CISA zwei von Apple am 1. April bekannt gegebene Sicherheitslücken (CVE-2022-22675 und CVE-2022-22674), die seine meistgenutzten Geräte iPhone, iPad und Mac betreffen.
Bei der Sicherheitslücke CVE-2022-22675 betrifft die Audio- und Video-Dekodierungskomponente AppleAVD. Auch bei dieser Schwachstelle kann es zur Ausführung von Remote Codes kommen.
In Kombination mit der zweiten Sicherheitslücke CVE-2022-22674, die das Lesen des macOS-Kernelspeichers ermöglicht, könnten Cyberkriminelle darüber hinaus sensible Informationen über ihre potentiellen Opfer erhalten.
Apple gab an, dass beide Schwachstellen behoben wurden. Allerdings bestünde das Risiko, dass die Sicherheitslücken bereits ausgenutzt wurden.
Was kann ich tun?
Die iOS- und iPad-Sicherheitsupdates (iOS 15.4.1 und macOS Monterey 12.3.1) sind für iPhone 6S und neuer, alle Modelle des iPad Pro, alle Modelle ab dem iPad Air 2 und neuer, das iPad 5. Generation und neuer, das iPad Mini 4 und neuer sowie den iPod Touch (7. Generation) verfügbar. Wer eines dieser Geräte nutzt, sollte die Updates schnellstmöglich installieren und nicht auf ein automatisches Sicherheitsupdate von Apple warten:
- Öffnen Sie auf Ihrem iPhone oder iPad die Einstellungen. Klicken Sie auf “Allgemein”, anschließend auf “Software Update” und schließlich auf “Jetzt aktualisieren”.
- Mac-User öffnen das Apple-Menü, gehen zum Menüpunkt “Software Update” und klicken auf “Jetzt aktualisieren”.
Remote-Code-Ausführung auf D-Link Routern
Ebenfalls wurde die Übersicht der CISA um die Sicherheitslücke CVE-2021-45382 erweitert. Sie betrifft die Router-Modelle DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L und DIR-836L der Firma D-Link. Die Schwachstelle öffnet ebenfalls Tür und Tor für Remote Code-Ausführungen.
Für diese Geräte sind keine Updates mehr verfügbar – das letzte wurde am 19. Dezember 2021 veröffentlicht – da es sich um sogenannte End-of-life-devices handelt. Die Produkte haben das Ende ihrer Lebensdauer erreicht und werden nicht weiter gewartet. Entsprechend entwickeln sich bei diesen Geräten Schwachstellen und werden so zu einem beliebten Angriffsziel – vor allem, da die Geräte ständig eingeschaltet und mit dem Internet verbunden sind. Kompromittierte Router werden häufig von Cyberkriminellen verwendet, um ihren Standort zu verschleiern, während sie Angriffe starten.
Was kann ich tun?
D-Link selbst rät, die genannten Modelle auszumustern und zu ersetzen. Damit Unternehmen die Binding Operational Directive 22-01 einhalten können, muss dies vor dem 25. April 2022 geschehen.