Ivanti- und Veeam-Bugs werden angegriffen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt vor zwei aktiv gezielten Schwachstellen in ihrem Sicherheitskatalog.

Die Cybersicherheitsbehörde der US-Regierung sagte, dass CVE-2023-38035 und CVE-2023-2752 aktiv ausgenutzt würden.

CVE-2023-38035 beschreibt eine Sicherheitslücke bei der Authentifizierungsumgehung in MobileIron Security, die in Versionen vor 9.18.0 dazu führt, dass die Software Sicherheitsprüfungen nicht ordnungsgemäß durchführt. Dadurch können Angreifer auf APIs zugreifen und Befehle erteilen, die normalerweise auf Administratorkonten beschränkt sein sollten.

„Wenn Zugriffskontrollprüfungen falsch angewendet werden, können Benutzer auf Daten zugreifen oder Aktionen ausführen, die ihnen nicht gestattet sein sollten“, sagte Ivanti über die Sicherheitslücke.

„Dies kann zu einer Vielzahl von Problemen führen, einschließlich der Offenlegung von Informationen, Denial-of-Service und der Ausführung willkürlichen Codes.“

Ivanti weist darauf hin, dass das Risiko eines Angriffs durch die Beschränkung des Zugriffs vom Portal 8433 gemindert werden kann, und sagt, dass kein Angriffsrisiko besteht, wenn der Port, der üblicherweise für den MICS-Zugriff (MobileIron Configuration Services) verwendet wird, nicht aktiviert ist.

„Obwohl das Problem einen hohen CVSS-Score aufweist, besteht für Kunden, die Port 8443 nicht dem Internet zugänglich machen, ein geringes Risiko einer Ausnutzung“, sagte Ivanti.

Unterdessen ist es für Administratoren, die Veeam Backup & Replication betreiben, am besten, ihre Software zu aktualisieren, um die Sicherheitslücke CVE-2023-27532 zu umgehen.

Das Problem rührt angeblich von einem Fehler her, der es einem Angreifer ermöglicht, Authentifizierungsprüfungen zu umgehen.

„[Die Sicherheitslücke] ermöglicht den Zugriff auf verschlüsselte Anmeldeinformationen, die in der Konfigurationsdatenbank gespeichert sind. Dies kann dazu führen, dass Zugriff auf die Hosts der Backup-Infrastruktur erlangt wird.“

Durch ein Upgrade von Veeam auf Version 12 (Build 12.0.0.1420 P20230223) oder 11a (Build 11.0.1.1261 P20230227) wird die Schwachstelle behoben.

CISA machte keine Angaben zur Art der Angriffe, sagte jedoch, dass die Bundesbehörden gut beraten wären, beide Updates so schnell wie möglich zu testen und zu installieren.

Während CISA über keine Befugnisse außerhalb der US-Regierungsbehörden hinaus verfügt, hat die Regierung sowohl gegenüber dem Heimatschutzministerium als auch gegenüber der Privatwirtschaft, die sich mit dem DHS und CISA an Projekten der US-Regierung beteiligt, ein enormes Gewicht.

Daher tendieren auch private Unternehmen dazu, die CISA-Richtlinien als Best Practice zu befolgen.

„Obwohl BOD 22-01 nur für FCEB-Agenturen gilt, fordert CISA alle Organisationen dringend auf, ihre Gefährdung durch Cyberangriffe zu reduzieren, indem sie der rechtzeitigen Behebung von Katalogschwachstellen als Teil ihrer Schwachstellenmanagementpraxis Vorrang einräumen“, sagt CISA.