Was sind die größten Schwachstellen für Websites und Apps?

Die US-amerikanische National Security Agency (NSA) hat heute einen ausführlichen Bericht veröffentlicht, in dem die 25 größten Schwachstellen aufgeführt sind, die derzeit von staatlich geförderten chinesischen Hackergruppen regelmäßig gescannt, angegriffen und ausgenutzt werden.

Alle 25 Sicherheitslücken sind bekannt und es stehen bei ihren Anbietern Patches zur Installation bereit.

Exploits für viele Schwachstellen sind ebenfalls öffentlich verfügbar. Einige wurden nicht nur von chinesischen Hackern ausgenutzt, sondern auch in das Arsenal von Ransomware-Banden, Malware-Gruppen auf niedriger Ebene und nationalstaatlichen Akteuren aus anderen Ländern (z. B. Russland und Iran) aufgenommen.

„Die meisten der unten aufgeführten Schwachstellen können ausgenutzt werden, um mithilfe von Produkten, die direkt über das Internet zugänglich sind und als Gateways zu internen Netzwerken fungieren, ersten Zugriff auf die Netzwerke der Opfer zu erhalten“, sagte die NSA heute.

Die US-amerikanische Cyber-Sicherheitsbehörde fordert Organisationen im öffentlichen und privaten Sektor der USA dringend auf, Systeme für die unten aufgeführten Schwachstellen zu patchen.

Diese umfassen:

1) CVE-2019-11510 – Auf Pulse Secure VPN-Servern kann ein nicht authentifizierter Remote-Angreifer einen speziell gestalteten URI senden, um eine Schwachstelle beim Lesen beliebiger Dateien auszulösen. Dies kann zur Offenlegung von Schlüsseln oder Passwörtern führen

2) CVE-2020-5902 – Auf F5 BIG-IP-Proxys und Load Balancer ist die Traffic Management User Interface (TMUI) – auch als Konfigurationsdienstprogramm bezeichnet – anfällig für eine Remote Code Execution (RCE)-Schwachstelle, die Remote ermöglichen kann Angreifer können das gesamte BIG-IP-Gerät übernehmen.

3) CVE-2019-19781 – Citrix Application Delivery Controller (ADC) und Gateway-Systeme sind anfällig für einen Directory-Traversal-Bug, der zur Remote-Codeausführung führen kann, ohne dass der Angreifer über gültige Anmeldeinformationen für das Gerät verfügen muss. Diese beiden Probleme können miteinander verknüpft werden, um Citrix-Systeme zu übernehmen.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Eine weitere Reihe von Citrix ADC- und Gateway-Fehlern. Diese wirken sich auch auf SDWAN WAN-OP-Systeme aus. Die drei Fehler ermöglichen den nicht authentifizierten Zugriff auf bestimmte URL-Endpunkte und die Offenlegung von Informationen für Benutzer mit geringen Berechtigungen.

7) CVE-2019-0708 (auch bekannt als BlueKeep) – In den Remotedesktopdiensten auf Windows-Betriebssystemen besteht eine Sicherheitslücke bezüglich der Remotecodeausführung.

8) CVE-2020-15505 – Eine Sicherheitslücke zur Remotecodeausführung in der MDM-Software (Mobile Device Management) von MobileIron, die es entfernten Angreifern ermöglicht, beliebigen Code auszuführen und entfernte Unternehmensserver zu übernehmen.

9) CVE-2020-1350 (auch bekannt als SIGRed) – Auf Windows Domain Name System-Servern besteht eine Sicherheitslücke bezüglich der Remotecodeausführung, wenn sie Anfragen nicht ordnungsgemäß verarbeiten.

10) CVE-2020-1472 (auch bekannt als Netlogon) – Es besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen, wenn ein Angreifer über das Netlogon Remote Protocol (MS-NRPC) eine anfällige sichere Netlogon-Kanalverbindung zu einem Domänencontroller aufbaut.

11) CVE-2019-1040 – In Microsoft Windows besteht eine Manipulationslücke, wenn ein Man-in-the-Middle-Angreifer den NTLM MIC-Schutz (Message Integrity Check) erfolgreich umgehen kann.

12) CVE-2018-6789 – Das Senden einer handgefertigten Nachricht an einen Exim-Mail-Transfer-Agent kann zu einem Pufferüberlauf führen. Damit lässt sich Code aus der Ferne ausführen und E-Mail-Server übernehmen.

13) CVE-2020-0688 – In der Microsoft Exchange-Software besteht eine Sicherheitslücke bezüglich Remotecodeausführung, wenn die Software Objekte im Speicher nicht ordnungsgemäß verarbeitet.

14) CVE-2018-4939 – Bestimmte Adobe ColdFusion-Versionen weisen eine ausnutzbare Sicherheitslücke bei der Deserialisierung nicht vertrauenswürdiger Daten auf. Eine erfolgreiche Ausnutzung könnte zur Ausführung willkürlichen Codes führen.

15) CVE-2015-4852 – Die WLS-Sicherheitskomponente in Oracle WebLogic 15 Server ermöglicht entfernten Angreifern die Ausführung beliebiger Befehle über ein manipuliertes serialisiertes Java-Objekt

16) CVE-2020-2555 – Im Oracle Coherence-Produkt der Oracle Fusion Middleware besteht eine Schwachstelle. Diese leicht ausnutzbare Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugriff über T3, Oracle Coherence-Systeme zu kompromittieren.

17) CVE-2019-3396 – Das Widget Connector-Makro in Atlassian Confluence 17 Server ermöglicht Remote-Angreifern die Pfadüberquerung und Remotecodeausführung auf einem Confluence Server oder einer Data Center-Instanz über serverseitige Template-Injection.

18) CVE-2019-11580 – Angreifer, die Anfragen an eine Atlassian Crowd- oder Crowd Data Center-Instanz senden können, können diese Schwachstelle ausnutzen, um beliebige Plugins zu installieren, die eine Remote-Codeausführung ermöglichen.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central ermöglicht die Remote-Codeausführung aufgrund der Deserialisierung nicht vertrauenswürdiger Daten.

20) CVE-2019-18935 – Progress Telerik UI für ASP.NET AJAX enthält eine .NET-Deserialisierungsschwachstelle. Ausnutzung kann zur Remote-Codeausführung führen.

21) CVE-2020-0601 (auch bekannt als CurveBall) – Es besteht eine Spoofing-Schwachstelle in der Art und Weise, wie Windows CryptoAPI (Crypt32.dll) ECC-Zertifikate (Elliptic Curve Cryptography) validiert. Ein Angreifer könnte die Sicherheitslücke ausnutzen, indem er ein gefälschtes Codesignaturzertifikat verwendet, um eine schädliche ausführbare Datei zu signieren und so den Anschein zu erwecken, dass die Datei von einer vertrauenswürdigen, legitimen Quelle stammt.

22) CVE-2019-0803 – In Windows besteht eine Sicherheitslücke bezüglich der Rechteerweiterung, wenn die Win32k-Komponente Objekte im Speicher nicht ordnungsgemäß verarbeiten kann.

23) CVE-2017-6327 – Beim Symantec Messaging Gateway kann ein Problem bei der Remote-Codeausführung auftreten.

24) CVE-2020-3118 – Eine Schwachstelle in der Cisco Discovery Protocol-Implementierung für die Cisco IOS XR-Software könnte es einem nicht authentifizierten, benachbarten Angreifer ermöglichen, beliebigen Code auszuführen oder ein Neuladen eines betroffenen Geräts zu veranlassen.

25) CVE-2020-8515 – DrayTek Vigor-Geräte ermöglichen die Remote-Codeausführung als Root (ohne Authentifizierung) über Shell-Metazeichen.

Lesen Sie weiter hier.