RPR00002: Fortinet schließt 40 Lücken und BMC scores 10 von 10
Schwachstellen und Patches mit Fortinet, Veeam, Atlassian, Oracle, Linux, diversen HW-Herstellern und einem alten Bekannten
27.02.2023 16 min
Zusammenfassung & Show Notes
Zu den größten Bedrohungen 2023 zählen Malware/Ransomware, Lieferkettenangriffe, Phishing, Konfigurationsfehler und Diebstahl. Die Folgen sind unbenutzbare Daten durch Verschlüsselung oder andere Kompromittierung, unbefugte Zugriffe, Fehlfunktionen und gestohlene Endgeräte inkl. Zugangs- und anderen Daten. Ungepatchte Schwachstellen machen es Angreifern leicht.
Fortinet hat letzte Woche für 40 Schwachstellen Patches zur Verfügung gestellt. Alle CVE’s gibt’s bei Mitre in der CVE-Datenbank.
Für die Veeam-Schwachstellen CVE-2022-26500 und CVE-2022-26501 gibt es Patches vom Hersteller - allerdings nur für die Versionen 10 und 11. Wer noch die Version 9.5 verwendet, muss updaten und vorher ggf. seinen Supportvertrag erneuern.
CVE-2021-3493 ist eine Schwachstelle im Linux-Kernel und kann Angreifern darüber die vollständige Kontrolle über Endpunkte und IoT-Geräte ermöglichen. CVE-2021-4034 (PwnKit) betrifft Pkexec von Polkit, ein SUID-Root-Programm, das in allen Linux-Distributionen enthalten ist. Über die Links kommt ihr zu den Patches bei Mitre bzw. NIST.
Die Atlassian Bitbucket Vulnerability (CVE-2022-36804 ist ein Fehler bei der Befehlseingabe mit Auswirkung auf API-Endpunkte von Bitbucket Server und Data Center. Es gibt einen Patch vom Hersteller.
Über die Oracle-Schwachstelle CVE-2021-35587 kann ein nicht authentifizierten Angreifer mit Netzwerkzugang remote Access Manager-Instanzen in Oracle Fusion Middleware vollständig kompromittieren und übernehmen. Betroffen sind die Oracle Access Manager (OAM) Versionen 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0. Patches sind über die Hersteller-Seite verfügbar - du brauchst einen Oracle-Account mit aktivem Supportvertrag, um von da aus weiterzukommen. Auch Log4j ist noch ein Thema. Patches gibt es ebenfalls vom Hersteller – ebenfalls mit Supportpaywall.
Für die Veeam-Schwachstellen CVE-2022-26500 und CVE-2022-26501 gibt es Patches vom Hersteller - allerdings nur für die Versionen 10 und 11. Wer noch die Version 9.5 verwendet, muss updaten und vorher ggf. seinen Supportvertrag erneuern.
CVE-2021-3493 ist eine Schwachstelle im Linux-Kernel und kann Angreifern darüber die vollständige Kontrolle über Endpunkte und IoT-Geräte ermöglichen. CVE-2021-4034 (PwnKit) betrifft Pkexec von Polkit, ein SUID-Root-Programm, das in allen Linux-Distributionen enthalten ist. Über die Links kommt ihr zu den Patches bei Mitre bzw. NIST.
Die Atlassian Bitbucket Vulnerability (CVE-2022-36804 ist ein Fehler bei der Befehlseingabe mit Auswirkung auf API-Endpunkte von Bitbucket Server und Data Center. Es gibt einen Patch vom Hersteller.
Über die Oracle-Schwachstelle CVE-2021-35587 kann ein nicht authentifizierten Angreifer mit Netzwerkzugang remote Access Manager-Instanzen in Oracle Fusion Middleware vollständig kompromittieren und übernehmen. Betroffen sind die Oracle Access Manager (OAM) Versionen 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0. Patches sind über die Hersteller-Seite verfügbar - du brauchst einen Oracle-Account mit aktivem Supportvertrag, um von da aus weiterzukommen. Auch Log4j ist noch ein Thema. Patches gibt es ebenfalls vom Hersteller – ebenfalls mit Supportpaywall.
Ebenfalls bereits Ende 2022 wurden mehr als ein Dutzend neue Firmware-Fehler bei BMC gefunden. Die Schwachstellen machen OT- und IoT-Geräte anfällig für Fernangriffe. Betroffen ist der spezialisierte Service-Prozessor IAC-AST2500A (System-on-Chip, SoC), der in Server-Motherboards eingesetzt und für die Fernüberwachung und -verwaltung eines Host-Systems verwendet wird - einschließlich der Durchführung von Low-Level-Systemoperationen wie Firmware-Flashing und Stromversorgungssteuerung. Patches gibt es nicht. Es hilft nur ein Firmware-Upgrade. Nozomi hat die Schwachstellen gefunden und in einem Blogpost beschrieben.
Das Herz blutet weiter: Immer noch laufen auf vielen Geräten veraltete Firmware-Images mit verwundbaren Versionen der OpenSSL-Verschlüsselungsbibliothek. Viele Hersteller arbeiten mit dem EFI Development Kit (EDK), einer Open-Source-Implementierung des Unified Extensible Firmware Interface (UEFI). Die Firmware-Entwicklungsumgebung für die Schnittstelle zwischen dem Betriebssystem und in der Gerätehardware eingebetteten Firmware verfügt über ein eigenes Verschlüsselungspaket (CryptoPkg), das auf Diensten des OpenSSL-Projekts (Heartbeat) aufsetzt. Allein in Deutschland kennt shodan.io aktuell 6.820 IoT Geräte mit der Schwachstelle. Bei 27 Mio. offenen Ports ist die Chance groß, erfolgreich attackiert zu werden.
Tools:
Schwachstellensmanagement mit Runecast
Automatisiertes Pentesting mit Pentera