Release. Patch. Repeat.

Kerstin Stief

DRPR00005: Open Source, Cloud und andere Cyberherausforderungen

Diverse Schwachstellen, jede Menge Angriffsfläche und viele Reports

20.03.2023 23 min

Zusammenfassung & Show Notes

Die nicht ganz freiwilligen Mitwirkenden dieser Ausgabe sind Microsoft, Jenkins, Apache Spark, Teclib GLPI, Zoho, PHP und Google Cloud Platform. Außerdem gibt’s paar interessante Reports und natürlich jede Menge Links.

Die Schwachstellen der Woche:

Microsoft hat letzte Woche 2 aktiv ausgenutzte Zero-Day- und 83 weitere Schwachstellen geschlossen -> Ongoing-Apell: Bitte Micrososft regelmässig patchen/updaten.

Open Source Automation Jenkins leidet unter diversen Schwachstellen. Die neusten CVE-2023-27898 und CVE-2023-27905 betreffen Jenkins Server und Update Center. Bitte updaten:
  • Jenkins weekly auf Version 2.394
  • Jenkins LTS auf Version 2.375.4 oder 2.387.1
  • update-center2 auf Version 3.15
Ungepatchte SonicWall Secure Mobile Access (SMA) 100 Appliances sind aktuell aktiv unter Beschuss: Bitte updaten auf Version 10.2.1.7 - Das Update gibt es über MySonicWall! Schuld ist eine third-party OpenSSL Schwachstelle (CVE-2022-4304)

Drei neue  Sicherheitslücken im KEV-Katalog (Known Exploited Vulnerabilities) der CISA, da es Hinweise auf aktive Ausnutzung gibt:
  • CVE-2022-35914 (CVSS score: 9.8) - Teclib GLPI mit einer Sicherheitslücke bei der Remotecodeausführung
  • CVE-2022-33891 (CVSS score: 8.8) - Apache Spark mit einer Sicherheitslücke durch Command Injection
  • CVE-2022-28810 (CVSS score: 6.8) - Zoho ManageEngine ADSelfService mit einer Sicherheitslücke bei der Remotecodeausführung
Die Kritischste ist Teclib GLPI. Es hilft nur ein Update auf Version 10.0.3 - alles vorher ist betroffen.
Auch bei Spark hilft nur ein Update auf die von Apache Spark unterstützten Maintenance-Releases 3.1.3, 3.2.2, 3.3.0 oder höher. In der Release-Liste ganz runter scrollen.
ManageEngine hat ein ServicePack  für ein Update des  Zoho ManageEngine ADSelfService veröffentlicht.

Fehlende Transparenz in Bezug auf Dateizugriffe von Google Cloud Platform (GCP): Google empfiehlt, die von GCP unterstützten  Einschränkungen im Header zur Begrenzung von Cloud-Ressourcen-Anfragen zu nutzen sowie die Funktion Virtual Private Cloud. Hier hilft allerdings tatsächlich nur ein ganzheitlicher Ansatz mit NDR inkl. Cloud um früh komische Muster zu erkennen und Offboarding-Hygiene! Beschrieben wird das ganze in einem Blogpost von Mitiga.

Reports, Blogs, Artikel:
Report von Endor Labs mit den fünf größten Risiken bei Open Source.
DomainSec-Report von CSC
Blogpost von Cloudflare
PHP Landscape Report von Zend
2023 State of Cloud Native Security Report von Palo Alto Networks
2023 Global Threat Report von CrowdStrike
Artikel auf data-disrupted.de mit Vorschlägen geeigneter Werkzeuge
Artikel mit Vorstellung Umbrella-Tool zur Log-Noise-Reduction auf data-disrupted.de



_________________________________________________________________________________

Artikel, News, Veranstaltungskalender und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.

Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s mit meinem alter ego  FrauStief auf Bluesky.