Im neuesten CVE-Update für November 2023 wurden mehrere kritische Schwachstellen und Sicherheitsbedrohungen aufgedeckt. Das Internetworking Operating System (IOS) XE Software Web User Interface (UI) von Cisco wurde durch zwei aktiv ausgenutzte kritische Schwachstellen verwundbar, über die Angreifer beliebigen Code aus der Ferne ausführen können. Das Befehlszeilen-Tool Curl, das auf verschiedenen Plattformen weit verbreitet ist, wies eine schwerwiegende Schwachstelle auf, die zur Ausführung von beliebigem Code, während SOCKS5-Proxy-Handshakes führen könnte. VMware drängt auf sofortige Updates für seinen vCenter Server aufgrund einer kritischen Sicherheitslücke, die möglicherweise zur Ausführung von Remote-Code führt. Mehrere Schwachstellen wurden in Versionen von PHP 8 gefunden; eine davon ist eine besonders kritische Deserialisierungsschwachstelle im PHAR-Extraktionsprozess. Außerdem wurde SolarWinds Access Rights Manager (ARM) für mehrere kritische Schwachstellen anfällig, was die Dringlichkeit eines Updates auf Version 2023.2.1 unterstreicht. Schließlich wurden zwei F5 BIG-IP-Schwachstellen entdeckt, die aktiv ausgenutzt werden, wobei Optionen zur Schadensbegrenzung zur Verfügung stehen, die im Folgenden beschrieben werden.
Cisco IOS XE: Mehrere kritische Sicherheitslücken
Zwei aktiv ausgenutzte kritische CVSS-10-Schwachstellen wurden in Ciscos Internetworking Operating System (IOS) XE-Software Web-User-Interface (UI) entdeckt; CVE-2023-20198 und CVE-2023-20273. Zusammen ermöglichen sie es einem Angreifer, beliebigen Code als Systembenutzer aus der Ferne auszuführen. Es wird geschätzt, dass in den letzten Wochen Zehntausende von verwundbaren Geräten ausgenutzt worden sind. Greenbone hat sowohl eine Erkennung für das verwundbare Produkt nach Version [1] als auch eine weitere zur Erkennung der implantierten Konfigurationsdatei BadCandy [2] hinzugefügt. Beides sind VTs, die in Greenbone’s Enterprise Schwachstellen-Feed enthalten sind.
Cisco IOS wurde in den 1980er Jahren entwickelt und als integriertes Betriebssystem in den Routern des Netzwerkriesen eingesetzt. Heute, im Jahr 2023, ist IOS XE eine führende Softwarelösung für Unternehmensnetzwerke, die Cisco-Plattformen für Zugang, Verteilung, Core, Wireless und WAN unterstützt. IOS XE ist Linux-basiert und speziell für Netzwerk- und IT-Infrastruktur, Routing, Switching, Netzwerksicherheit und Management optimiert. Cisco-Geräte sind in der globalen IT-Infrastruktur allgegenwärtig und werden von Organisationen aller Größenordnungen eingesetzt, darunter Großunternehmen, Regierungsbehörden, kritische Infrastrukturen und Bildungseinrichtungen.
Hier sehen Sie, wie die beiden kürzlich bekannt gewordenen CVEs funktionieren:
- CVE-2023-20198 (CVSS 10 kritisch): Ermöglicht einem entfernten, nicht authentifizierten Angreifer die Erstellung eines Kontos [T1136] auf einem betroffenen System mit Zugriff auf die Privilegstufe 15 (auch bekannt als privilegierte EXEC-Stufe) [CWE-269]. Die Privilegstufe 15 ist die höchste Zugriffsstufe auf Cisco IOS. Der Angreifer kann dann dieses Konto verwenden, um die Kontrolle über das betroffene System zu erlangen.
- CVE-2023-20273 (CVSS 7.2 hoch): Ein normaler Benutzer, der sich bei der IOS XE-Web-UI anmeldet, kann Befehle einschleusen [CWE-77], die anschließend auf dem zugrunde liegenden System mit den Systemrechten (root) ausgeführt werden. Diese Sicherheitslücke wird durch eine unzureichende Eingabevalidierung verursacht [CWE-20]. CVE steht auch im Zusammenhang mit einem Lua-basierten Web-Shell-Implantat [T1505.003] mit der Bezeichnung „Bad Candy“. Bad Candy besteht aus einer Nginx-Konfigurationsdatei namens ‚cisco_service.conf´, die einen URI-Pfad für die Interaktion mit dem Web-Shell-Implantat einrichtet, aber einen Neustart des Webservers erfordert.
Cisco hat Software-Updates zur Abschwächung beider CVEs in IOS-XE-Softwareversionen veröffentlicht, darunter die Versionen 17.9, 17.6, 17.3 und 16.12 sowie verfügbare Software-Maintenance-Upgrades (SMUs). IT-Sicherheitsteams wird dringend empfohlen, diese zu installieren. Cisco hat außerdem zugehörige Indikatoren für die Kompromittierung (Indicators of Compromise, IoC), Snort-Regeln für die Erkennung aktiver Angriffe und eine Seite mit technischen FAQs für das TAC veröffentlicht. Die Deaktivierung der Webbenutzeroberfläche verhindert die Ausnutzung dieser Schwachstellen und kann eine geeignete Abhilfemaßnahme sein, bis die betroffenen Geräte aufgerüstet werden können. Öffentlich veröffentlichter Proof-of-Concept (PoC)-Code [1][2] und ein Metasploit-Modul erhöhen die Dringlichkeit, die verfügbaren Sicherheitsupdates anzuwenden, zusätzlich.
Kritische Sicherheitslücke im Tool Curl
Eine weit verbreitete Sicherheitslücke wurde in dem beliebten Befehlszeilen-Tool Curl, Libcurl, und den vielen Softwareanwendungen, die diese auf einer Vielzahl von Plattformen nutzen, entdeckt. Die als CVE-2023-38545 (CVSS 9.8 Critical) eingestufte Schwachstelle führt dazu, dass Curl einen Heap-basierten Puffer [CWE-122] im SOCKS5-Proxy-Handshake überlaufen lässt, was zur Ausführung von beliebigem Code führen kann [T1203]. Der Community-Feed von Greenbone enthält mehrere NVTs [1], um viele der betroffenen Softwareprodukte zu erkennen, und wird weitere Erkennungen für CVE-2023-38545 hinzufügen, sobald weitere verwundbare Produkte identifiziert werden.
CVE-2023-38545 ist eine clientseitige Sicherheitslücke, die ausgenutzt werden kann, wenn ein Hostname an den SOCKS5-Proxy übergeben wird, der die maximale Länge von 255 Byte überschreitet. Wenn ein übermäßig langer Hostname übergeben wird, sollte Curl die lokale Namensauflösung verwenden und den Namen nur an die aufgelöste Adresse weitergeben. Aufgrund der Sicherheitslücke CVE-2023-38545 kann Curl jedoch den übermäßig langen Hostnamen in den Zielpuffer kopieren, anstatt nur die aufgelöste Adresse dorthin zu kopieren. Da der Zielpuffer ein heap-basierter Puffer ist und der Hostname aus der URL stammt, führt dies zu einem heap-basierten Überlauf.
Der Schweregrad der Sicherheitslücke wird als hoch eingestuft, da sie aus der Ferne ausgenutzt werden kann und eine große Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) des zugrunde liegenden Systems hat. Die SOCKS5-Proxy-Methode ist nicht der Standard-Verbindungsmodus und muss explizit angegeben werden. Außerdem muss ein Angreifer einen SOCKS5-Handshake herbeiführen, der langsam genug ist, um den Fehler auszulösen, damit es zu einem Überlauf kommt. Alle Versionen von curl zwischen v7.69.0 (veröffentlicht am 4. März 2020) bis v8.3.0 sind betroffen. Der verwundbare Code wurde in v8.4.0 Commit 4a4b63daaa gepatcht.
VMware vCenter Server: Mehrere Sicherheitslücken
CVE-2023-34048 ist eine schwerwiegende Sicherheitslücke, die es einem böswilligen Akteur mit Netzwerkzugriff auf vCenter-Server ermöglichen könnte, einen Out-of-Bounds-Schreibvorgang [CWE-787] auszulösen, der möglicherweise zur Remotecodeausführung (RCE) führt. Die betroffene Software umfasst VMware vCenter Server Versionen 6.5, 6.7, 7.0 und 8.0. VMware hat einen Sicherheitshinweis zu beiden Schwachstellen herausgegeben, der besagt, dass es außer der Installation der bereitgestellten Updates keine bekannten Abhilfemaßnahmen gibt. Beide Schwachstellen können über den Greenbone Enterprise Vulnerability Feed [1] entdeckt werden. Der Patch für vCenter Server behebt auch CVE-2023-34056, eine Sicherheitslücke mittleren Schweregrades, die durch unsachgemäße Autorisierung entstanden ist [CWE-285].
Obwohl es keine Berichte gibt, dass CVE-2023-34048 aktiv in freier Wildbahn ausgenutzt wird, haben Angreifer bewiesen, dass sie Bedrohungsinformationen schnell in Exploit-Code umwandeln können. Untersuchungen der Bedrohungsforschungsgruppe Unit 42 von Palo Alto Networks zeigen, dass ein Exploit im Durchschnitt 37 Tage nach der Veröffentlichung eines Sicherheitspatches veröffentlicht wird.
Hier finden Sie einige kurze Details zu beiden CVEs:
- CVE-2023-34048 (CVSS 9.8 Critical): vCenter Server enthält eine Schwachstelle in der Implementierung des DCERPC-Protokolls, die das Schreiben außerhalb der Grenzen erlaubt [CWE-787]. Ein böswilliger Akteur mit Netzwerkzugang zum vCenter-Server kann diese Schwachstelle ausnutzen, um Remotecodeausführung (RCE) zu erreichen. Das Distributed Computing Environment Remote Procedure Call (DCERPC)-Protokoll erleichtert Remote Procedure Calls (RPC) in verteilten Computerumgebungen und ermöglicht Anwendungen die Kommunikation und den Aufruf von Funktionen über vernetzte Systeme hinweg.
- CVE-2023-34056 (CVSS 4.3 Medium): vCenter Server enthält eine Sicherheitslücke, die eine teilweise Offenlegung von Informationen ermöglicht. Ein böswilliger Akteur mit nicht-administrativen Rechten für vCenter-Server kann dieses Problem ausnutzen, um auf nicht autorisierte Daten zuzugreifen.
Mehrere Sicherheitslücken in PHP 8 entdeckt
Es wurden mehrere Sicherheitslücken in PHP 8.0.X vor 8.0.28, 8.1.X vor 8.1.16 und 8.2.X vor 8.2.3 entdeckt. Obwohl die Gruppe der Schwachstellen eine kritische und zwei hochgradig gefährliche Schwachstellen enthält, erfordern diese Schwachstellen einen bestimmten Kontext, um ausgenutzt werden zu können: Entweder die Deserialisierung von PHP-Anwendungen mit PHAR oder die Verwendung der zentralen Pfadauflösungsfunktionen von PHP bei nicht vertrauenswürdigen Eingaben. Der VT-Feed von Greenbone für Unternehmen enthält mehrere Tests zur Erkennung dieser Schwachstellen auf verschiedenen Plattformen.
Hier finden Sie kurze Beschreibungen der schwerwiegendsten aktuellen PHP-8-Sicherheitslücken:
- CVE-2023-3824 (CVSS 9.8 kritisch): Eine PHAR-Datei (kurz für PHP-Archive) ist ein komprimiertes Paketierungsformat in PHP, das dazu dient, komplette PHP-Anwendungen in einer einzigen Archivdatei zu verteilen und bereitzustellen. Beim Lesen von Verzeichniseinträgen während des Ladevorgangs des PHAR-Archivs kann eine unzureichende Längenüberprüfung zu einem Stapelpufferüberlauf [CWE-121] führen, was eine Beschädigung des Speichers oder eine Remotecodeausführung (RCE) zur Folge haben kann.
- CVE-2023-0568 (CVSS 8.1 hoch): Die zentrale Pfadauflösungsfunktion von PHP weist einen Puffer zu, der ein Byte zu klein ist. Bei der Auflösung von Pfaden, deren Länge nahe an der Systemeinstellung ‚MAXPATHLEN´ liegt, kann dies dazu führen, dass das Byte nach dem zugewiesenen Puffer mit dem Wert NULL überschrieben wird, was zu unbefugtem Datenzugriff oder -änderung führen kann. Die zentrale Pfadauflösung von PHP wird für die Funktionen ‚realpath()´ und ‚dirname()´, beim Einbinden anderer Dateien mit Hilfe von ‚include()‘, ‚include_once()´, ‚require()‘ und ‚require_once()‘ sowie bei der Auflösung von PHPs „magischen“ Konstanten“ wie ‚__FILE__‘ und ‚__DIR__´ verwendet.
- CVE-2023-0567 (CVSS 6.2 Medium): Die Funktion ‚password_verify()´ von PHP kann einige ungültige Blow Fish-Hashes als gültig akzeptieren. Wenn ein solcher ungültiger Hash jemals in der Passwortdatenbank landet, kann dies dazu führen, dass eine Anwendung jedes Passwort für diesen Eintrag als gültig akzeptiert [CWE-287]. Bemerkenswert ist, dass diese Sicherheitslücke von NIST (CVSS 6.2 Medium) und der PHP-Group CNA (CVSS 7.7 High) unterschiedlich bewertet Der Unterschied besteht darin, dass die PHP-Group CNA CVE-2023-0567 als hohes Risiko für die Vertraulichkeit einstuft, während NIST dies nicht tut. CNAs sind eine Gruppe von unabhängigen Anbietern, Forschern, Open-Source-Softwareentwicklern, CERT, gehosteten Diensten und Bug Bounty-Organisationen, die vom CVE-Programm autorisiert sind, CVE-IDs zuzuweisen und CVE-Einträge innerhalb ihres eigenen spezifischen Abdeckungsbereichs zu veröffentlichen.
SolarWinds Access Rights Manager (ARM): Mehrere kritische Sicherheitslücken
SolarWinds Access Rights Manager (ARM) vor Version 2023.2.1 ist für 8 verschiedene Schwachstellen anfällig; eine kritische und zwei weitere hochgefährliche Schwachstellen (CVE-2023-35182, CVE-2023-35185 und CVE-2023-35187). Dazu gehören die authentifizierte und unauthentifizierte Privilegienerweiterung [CWE-269], Directory Traversal [CWE-22] und Remote Code Execution (RCE) auf der privilegiertesten Ebene „SYSTEM“. Greebone’s Enterprise-Schwachstellen-Feed umfasst sowohl die lokale Sicherheitsprüfung (LSC) [1] als auch die HTTP-Fernerkennung [2].
SolarWinds ARM ist eine Software für die Zugriffskontrolle in Unternehmen für Windows Active Directory (AD)-Netzwerke und andere Ressourcen wie Windows-File-Server, Microsoft-Exchange-Dienste und Microsoft SharePoint sowie für Virtualisierungsumgebungen, Cloud-Dienste, NAS-Geräte und mehr. Die weite Verbreitung von ARM und anderen SolarWinds-Softwareprodukten bedeutet, dass ihre Schwachstellen ein hohes Potenzial haben, sich auf eine Vielzahl von großen Organisationen einschließlich kritischer Infrastrukturen auszuwirken.
Diese und weitere aktuelle Schwachstellen werden in den Sicherheitshinweisen von SolarWinds bekannt-gegeben. Obwohl keine Berichte über eine aktive Ausnutzung veröffentlicht wurden, wird eine Abschwächung dringend empfohlen und ist durch die Installation von SolarWinds ARM-Version 2023.2.1 verfügbar.
F5 BIG-IP: Unauthentifizierte RCE- und authentifizierte SQL-Injection-Schwachstellen
Zwei RCE-Schwachstellen in F5 BIG-IP, CVE-2023-46747 (CVSS 9.8 Critical) und CVE-2023-46748 (CVSS 8.8 High), wurden von der CISA kurz nach der Veröffentlichung des PoC-Codes für CVE-2023-46747 als aktiv ausgenutzt beobachtet. Inzwischen wurde auch ein Metasploit-Exploit-Modul veröffentlicht. F5 BIG-IP ist eine Familie von Hardware- und Software-IT-Sicherheitsprodukten, die sicherstellen, dass Anwendungen stets sicher sind und so funktionieren, wie sie sollen. Die Plattform wird von F5 Networks hergestellt und konzentriert sich auf Anwendungsdienste, die von Zugang und Bereitstellung bis zur Sicherheit reichen. Greenbone hat die Erkennung für beide CVEs [1][2] hinzugefügt.
CVE-2023-46747 ist eine Remote-Authentifizierungsumgehung [CWE-288], während CVE-2023-46748 eine Remote-SQL-Injection-Schwachstelle [CWE-89] ist, die nur von einem authentifizierten Benutzer ausgenutzt werden kann. Bei den betroffenen Produkten handelt es sich um die zweite Nebenversion (X.1) für die Hauptversionen 14-17 von BIG-IP Advanced Firewall Manager (AFM) und F5 Networks BIG-IP Application Security Manager (ASM).
Wenn Sie eine betroffene Version verwenden, können Sie diese Sicherheitslücke durch die Installation der vom Hersteller bereitgestellten HOTFIX-Updates schließen. Der Begriff „Hotfix“ bedeutet, dass der Patch auf ein laufendes und betriebsbereites System angewendet werden kann, ohne dass ein Herunterfahren oder Neustart erforderlich ist. Wenn eine Aktualisierung nicht möglich ist, kann CVE-2023-46747 durch das Herunterladen und Ausführen eines Bash-Skripts entschärft werden, das das Attribut ‚requiredSecret´ in der Tomcat-Konfiguration hinzufügt oder aktualisiert, das für die Authentifizierung zwischen Apache und Tomcat verwendet wird. CVE-2023-46748 kann entschärft werden, indem der Zugriff auf das Konfigurationsprogramm eingeschränkt wird, um nur vertrauenswürdige Netzwerke oder Geräte zuzulassen, und indem sichergestellt wird, dass nur vertrauenswürdige Benutzerkonten existieren, wodurch die Angriffsfläche begrenzt wird.