CISA warnt vor aktiven Exploits in Windows, Cisco

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat am Montag zwei Sicherheitsanfälligkeiten, die Cisco- und Windows-Produkte betreffen, zu ihrem Katalog der bekannten ausgenutzten Schwachstellen (KEV) hinzugefügt und warnt Organisationen vor aktiven Ausnutzungen durch böswillige Akteure.

Die unten genannten Schwachstellen, die basierend auf Beweisen für Ausnutzungskampagnen zum KEV hinzugefügt wurden, sind häufige Angriffsvektoren für böswillige Cyberakteure und stellen erhebliche Risiken für Organisationen dar. Diese sind:

CVE-2023-20118 (CVSS-Score: 6.5) – Schwachstelle zur Befehlsausführung in Cisco Small Business RV Series Routern:

Dieser Fehler besteht in der webbasierten Verwaltungsoberfläche von Cisco Small Business Routern RV016, RV042, RV042G, RV082, RV320 und RV325.

Die Schwachstelle ermöglicht es einem authentifizierten, entfernten Angreifer, beliebige Befehle auf einem betroffenen Gerät auszuführen, was auf eine unsachgemäße Validierung der Benutzereingaben innerhalb eingehender HTTP-Pakete zurückzuführen ist.

Diese Schwachstelle kann vom Angreifer ausgenutzt werden, indem er eine speziell gestaltete HTTP-Anfrage an die webbasierte Verwaltungsoberfläche sendet.

Wenn dies erfolgreich ist, könnte der Angreifer Root-Rechte erlangen und unbefugte Daten zugreifen. Allerdings erfordert die Ausnutzung gültige administrative Anmeldeinformationen auf dem betroffenen Gerät.

CVE-2018-8639 (CVSS-Score: 7.8) – Microsoft Windows Win32k Unsachgemäße Ressourcenabschaltung oder -freigabe:

Dieser Fehler ist eine Erhöhung der Berechtigungen, die in Windows besteht, wenn die Win32k-Komponente Objekte im Speicher nicht ordnungsgemäß behandelt, auch bekannt als „Win32k Erhöhung der Berechtigungen Schwachstelle“.

Die Ausnutzung dieser Schwachstelle kann es lokalen Angreifern ermöglichen, erhöhte Berechtigungen zu erlangen und potenziell beliebigen Code im Kernel-Modus auszuführen, wodurch sie die Kontrolle über das betroffene Windows-System übernehmen.

Laut einer Sicherheitswarnung von Microsoft aus Dezember 2018 betrifft die Schwachstelle CVE-2018-8639 Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 und Windows 10 Server.

Als Reaktion auf die aktive Ausnutzung dieser Schwachstellen hat CISA allen Bundesbehörden (FCEB) gemäß der im November 2021 veröffentlichten verbindlichen operativen Richtlinie (BOD) 22-01 auferlegt, die Patches bis zum 24. März 2025 anzuwenden, um die identifizierten Schwachstellen zu beheben und ihre Netzwerke vor potenziellen Bedrohungen zu schützen.

Was die Schwachstelle CVE-2023-20118 betrifft, hat Cisco keinen Patch veröffentlicht, um sie zu beheben, da die betroffenen Modelle das Ende ihrer Lebensdauer (EoL) erreicht haben.

Andererseits hat Microsoft die Schwachstelle CVE-2018-8639 im Dezember 2018 mit einem Sicherheitsupdate für Microsoft Windows gepatcht.

Organisationen, die diese Produkte verwenden, wird geraten, sofortige Abwehrmaßnahmen zu ergreifen, wie z. B. die Deaktivierung der Fernverwaltung, das Upgrade auf die neueste Firmware, die Überwachung ungewöhnlicher Netzwerkaktivitäten, die Verwendung starker Anmeldeinformationen wie komplexer Passwörter, die Einschränkung des Zugriffs auf vertrauenswürdige Quellen und die Implementierung mehrschichtiger Verteidigungsstrategien.