DRPR00001: VMware möchte bitte dringend patched werden
Schwachstellen und Patches im Februar mit VMware, Cisco, Intel & Anderen
20.02.2023 18 min
Zusammenfassung & Show Notes
Schwachstellen sind unvermeidbar. Sie bei Bekanntwerden nicht zu reparieren, ist grob fahrlässig. In der ersten Episode geht es um aktuelle CVEs, wie man sie reparieren kann und wer es dringend tun sollte.
Eine Schwachstelle in ESXi-Hosts ist seit zwei Jahren bekannt. Es gibt einen Patch. Trotzdem fielen ihr allein in Europa 500 Unternehmen zum Opfer. Auch andere Einfallstore für Angreifer sind teils offen wie Scheunentore. Und auch die Industrie (iIOT) rückt zunehmend ins Visier Cyberkrimineller.
Patch Notes am 19. Februar 2023:
Patch Notes am 19. Februar 2023:
- ESXiArgs Ransomware nutzt zwei Jahre alte Schwachstelle aus
- Link zum Patch
- Link zur CVE Datenbank
- Workarounds: Upgrade auf die neuesten unterstützten Versionen der vSphere-Komponenten und den OpenSLP-Dienst in ESXi deaktivieren; falls es schon zu spät ist: die CISA hat ein Recovery-Script veröffentlicht
- Kritische RCE-Schwachstelle in der Open-Source-Antivirensoftware ClamAV
- Link zum Patch
- Link zur CVE Datenbank: CVE-2023-20032 (CVSS score: 9.8)
- Workaround ist nicht bekannt -> Patchen!
- Neue teils kritische Schwachstellen in den Software Guard Extensions (SGX) von Intel
- Link zu den Patches
- Link zur CVE Datenbank: CVE-2022-38090, CVE-2022-33196, CVE-2022-36348, CVE-2022-21216,
- Workaround: keine (Tip der Redaktion: AMD nutzen!), Intel empfiehlt Firmware-Upgrades, wo es die noch nicht gibt, gibts kluge Ratschläge zur Recovery
- HeadCrab-Malware kompromittiert über 1.200 Redis-Server
- Link zum Patch gibt es keinen
- Link zur CVE Datenbank
- Workaround: Update auf neueste Redis-Version, Sicherheitsrichtlinien und Best Practices befolgen
- Schwerwiegende Sicherheitslücken in Cisco IOx und F5 BIG-IP Produkten
- Link zu den Patches bei F5 und bei Cisco
- Link zur CVE Datenbank (F5) und Cisco
- Workaround: Standardanmeldeinformationen ändern, nicht mehr benötigte Accounts löschen, Rechte einschränken
- Kritische Sicherheitslücken in Schneider Electric Modicon PLCs
- Link zu den Patches
- Weiterführende Informationen von Schneider Electric zu den Schwachstellen
- Link zur CVE Datenbank: CVE-2022-45788 (CVSS Score 7.5) und CVE-2022-45789 (CVSS Score 8.1)
- Workaround: allgemeine Sicherheitsmaßnahmen wie FW, Rendevouz-Konzept, Rollen- und Berechtigungskonzept, etc.
Musst du patchen? Generell ja. Denn selbst wenn ein Dienst oder System nicht mit dem öffentlichen Internet verbunden sind, gibt es immer noch die Gefahr der Innentäterschaft. Das muss noch nicht mal absichtlich passieren. Auch Unaufmerksamkeit, Ablenkung oder Druck können zu Fehlern führen. Die einzige Ausnahme, die dich von Patching befreit, ist, wenn du den betroffenen Dienst gar nicht nutzt. Zum Beispiel hat sysdig herausgefunden, dass zwar 87 Prozent der Container-Images hochriskante Schwachstellen aufweisen, aber nur 15% davon zur Runtime überhaupt aktiv sind. Mehr dazu und den aktuellen sysdig-Report gibt es auf data-disrupted.de