Sechs schwerwiegende Sicherheitslücken in Atlassian Confluence wurden den letzten Monaten bekannt, die es jetzt für Anwender dringend erfordern, ein Upgrade durchzuführen. Die gefährlichste davon wurde in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (CVE-2023-22527) aufgenommen. Die kürzlich bekannt gewordenen Schwachstellen weisen einen Schweregrad von CVSS 7.5 (hoch) bis 10 (kritisch) auf. Der Greenbone Vulnerability Manager kann alle Schwachstellen mit aktiven Prüfungen und Versionserkennungstests aufdecken, einschließlich der kritischsten, CVE-2023-22527.

CVE-2023-22527 kann von einem Angreifer ausgenutzt werden, um nicht authentifizierten Code via Remote Code Execution (RCE) auszuführen. Zu den betroffenen Produkten gehören Confluence Data Center und Server in den Versionen 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x und 8.5.0 bis 8.5.3 sowie auch die Version 8.4.5, die gemäß der Atlassian Security Bug Fix Policy keine zurückübertragenen Korrekturen mehr erhält. CVE-2023-22527 kann intern über das Jira-Portal von Atlassian (CONFSERVER-93833) und über den öffentlichen Link verfolgt werden. Die Schwachstelle wurde im Rahmen des Bug Bounty-Programms von Atlassian vom Teilnehmer m1sn0w gemeldet.

Die weiteren fünf Schwachstellen können sämtlich remote ohne Benutzeraktion ausgenutzt werden. Ihre Auswirkungen reichen von möglichen DoS-Angriffen (CVE-2023-3635) bis hin zur Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die meisten Schwachstellen, einschließlich mehrerer schwerwiegender RCE-Sicherheitslücken, wurden in Version 7.13.0 von Confluence Data Center und Server eingeführt. Kunden, die die betroffenen Produkte an öffentlich zugänglichen IP-Adressen nutzen, sind dabei einem erhöhten Risiko ausgesetzt.

Confluence erschien bereits neun Mal in CISA KEV-Warnungen. Drei Schwachstellen hat die CISA in den letzten Monaten dem KEV-Katalog hinzugefügt:

  • 24. Januar 2024: CVE-2023-22527
  • 07. November 2023: CVE-2023-22518
  • 05. Dezember 2023: CVE-2023-22515

In einem kürzlich veröffentlichten Bericht, der auf Shodan-Daten basiert, schätzt die Forschungsgruppe VulnCheck, dass mehr als 235.000 Confluence-Honeypots mit Internetanschluss an öffentlich zugänglichen IP-Adressen existieren, während die tatsächliche Anzahl der Confluence-Server mit Internetanschluss eher bei 4.000 liegt.

Zusammenfassung der Sicherheitslücken in Atlassian Confluence

Hier finden Sie eine kurze Zusammenfassung aller kürzlich bekannt gewordenen Sicherheitslücken in Atlassian Confluence:

  • CVE-2023-22527 (CVSS 10 kritisch): Eine Template-Injection-Schwachstelle [CWE-284] in älteren Versionen von Confluence Data Center und Server ermöglicht es einem nicht authentifizierten Angreifer, dort einen RCE durchzuführen. Die meisten neueren Versionen von Confluence Data Center und Server sind nicht betroffen. Nach der ersten Offenlegung hat Atlassian den CVSS-Score für CVE-2023-22527 von 9.1 auf den höchstmöglichen Score von 10 angehoben.
  • CVE-2024-21673 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Ressourcen [CWE-284] aus der Ferne freizulegen, um Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity and Availability; CIA) des Systems ohne weitere Aktionen zu beeinträchtigen. Die Schwachstelle wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.
  • CVE-2023-22526 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, beliebigen Code remote auszuführen, um ohne Benutzerinteraktion großen Schaden bei der Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu verursachen.
  • CVE-2024-21672 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, aus der Ferne beliebigen Code auszuführen, um ohne Benutzerinteraktion die CIA des Systems stark zu beeinträchtigen. Die Schwachstelle wurde in Version 2.1.0 (veröffentlicht im Dezember 2005) von Confluence Data Center und Server eingeführt, das heißt sie betrifft praktisch alle Versionen.
  • CVE-2023-3635 (CVSS 7.5 Hoch): Eine DoS-Schwachstelle in der Okio-Client-Java-Library, die in Confluence X verwendet wird. GzipSource behandelt keine Ausnahme, die beim Parsen eines fehlerhaften Gzip-Puffers ausgelöst werden könnte, was zu einem Denial of Service des Okio-Clients führen könnte, wenn ein manipuliertes GZIP-Archiv verarbeitet wird, indem die GzipSource-Klasse verwendet wird.
  • CVE-2024-21674 (CVSS 7.5 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Assets [CWE-284] remote offenzulegen, um die Vertraulichkeit ohne Aktionen der User zu beeinträchtigen, hat aber keine Auswirkungen auf Integrität oder Verfügbarkeit. Die Sicherheitslücke wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.

Entschärfung der Sicherheitslücken in Atlassian Confluence

Es sind keine Abhilfen zum Schutz vor diesen Sicherheitslücken bekannt. Die schwerwiegendste, CVE-2023-22527, wirkt sich nur auf ältere Versionen von Confluence Data Center und Server aus. Die allgemeine Empfehlung von Atlassian für alle anderen oben aufgeführten CVEs lautet, die neueste Version von Confluence Data Center und Server herunterzuladen und zu aktualisieren. Sollte dies jedoch nicht möglich sein, gibt Atlassian für jedes CVE eine andere Empfehlung zur Schadensbegrenzung.

Der Hersteller hat auch versionsspezifische Abhilfemaßnahmen für CVE-2024-21673, CVE-2023-22526, CVE-2023-3635 und CVE-2024-21674 beschrieben. Kunden, die nicht auf die neueste Version von Confluence Data Center und Server aktualisieren können, haben die Möglichkeit, auf eine kleinere Version zu aktualisieren, die bereits gepatcht wurde.

  • Kunden, die Confluence Data Center und Server 7.19 verwenden: Aktualisieren Sie auf Version 19.18 oder eine höhere 7.19.x-Version.
  • Kunden, die Confluence Data Center und Server 8.5 verwenden: Aktualisieren Sie auf Version 5.5 oder ein höheres 8.5.x-Release.
  • Kunden, die Confluence Data Center und Server 8.7 verwenden: Upgrade auf Version 7.2 oder ein höheres 8.7.x-Release.

Zusammenfassung

Im Januar 2024 wurde eine kritische Sicherheitslücke mit Auswirkungen auf Atlassian Confluence Data Center und Server bekannt gegeben, die in die Fußstapfen von fünf weiteren kürzlich bekannt gegebenen CVEs mit hoher Auswirkung tritt. Es ist bekannt, dass die kritischste Schwachstelle, CVE-2023-22527, weidlich ausgenutzt wird, sodass die Benutzer der betroffenen Produkte dringend ein Upgrade durchführen müssen. Am stärksten gefährdet sind die öffentlich zugänglichen Instanzen von Confluence mit schätzungsweise 4.000 Instanzen (Stand: 2. Februar 2024).

Eine Reihe von Schwachstellen im Connect Secure VPN von Ivanti wird von Angreifern aktiv ausgenutzt. Sowohl das deutsche BSI als auch die Cybersecurity & Infrastructure Security Agency (CISA) der US-Regierung haben eine Warnung herausgegeben. Die CISA hat sogar eine Notfallanweisung hierzu veröffentlicht, die alle Bundesbehörden der zivilen Exekutive (FCEB) auffordert, sofort Patches zu installieren.

Tausende von öffentlich zugänglichen Ivanti-Systemen weltweit sind gefährdet, viele davon in Deutschland. Die Schwachstellen werden aktiv ausgenutzt. Da die Geräte von Ivanti schon vor mehreren Jahren in die Schwachstellentests von Greenbone im Enterprise Feed aufgenommen wurden, konnten wir unsere Kunden bereits am 10. Januar warnen und haben kontinuierlich Tests für die neuesten Schwachstellen erstellt. Dennoch müssen Ivanti-Kunden wachsam sein und Maßnahmen ergreifen – die Patches von Ivanti erfordern ein Zurücksetzen der Geräte auf den Auslieferungszustand.

Remote Code Execution und Authentification Bypass

Im Dezember hatte der amerikanische Sicherheitsexperte Volexity zwei schwerwiegende Sicherheitslücken (CVE-2023-46805 und CVE-2024-21887, beide veröffentlicht am 12. Januar 2024) in Geräten mit Ivanti Connect Secure VPN gefunden. Zu den betroffenen Produkten gehören Ivanti Connect Secure (früher Ivanti Pulse Secure), Ivanti Policy Secure und Ivanti Neurons für Zero Trust Access (ZTA).

Die Schwachstellen ermöglichen es Angreifern, Authentifizierungsmechanismen zu umgehen, eigenen Code unbefugt auszuführen und die Kontrolle über Systeme zu übernehmen, heißt es in einer offiziellen Stellungnahme von Ivanti. Der Hersteller rät seinen Kunden dringend, die Workarounds zu implementieren und aktualisiert die Kommunikation laufend in einem Artikel im Forum.

Vor wenigen Tagen wurden nun Patches ausgeliefert, die auch Korrekturen für drei weitere schwerwiegende Sicherheitslücken enthielten, vor denen Ivanti Ende Januar und Anfang Februar warnen musste (CVE-2024-21893, CVE-2024-21888 und CVE-2024-22024). Diese drei Sicherheitsprobleme sind mit einem hohen Risiko behaftet und umfassen serverseitige Request Forgery, Privilege Escalation und eine XXE-Schwachstelle (XML External Entity).

Nach Angaben des Herstellers wurden am 31. Januar Sicherheitspatches für alle Schwachstellen bereitgestellt. Nutzer, die den Februar-Patch angewendet und einen Reset auf die Werkseinstellungen durchgeführt haben, sollten jetzt keinen weiteren benötigen.

Greenbone-Kunden wurden gewarnt, aber Administratoren müssen aktiv werden

Aufgrund der weiten Verbreitung von Ivanti-Geräten in Deutschland bietet Greenbone bereits seit mehreren Jahren Tests für Ivanti Connect Secure an. Während andere verfügbare Tests nur die Versionsnummern der verwendeten Software prüfen, nutzen die Schwachstellenscans von Greenbone erweiterte Funktionen und erreichen so eine deutlich höhere Genauigkeit.

Doch auch wenn unsere Produkte Greenbone-Kunden schneller und genauer vor potenziellen Schwachstellen in Avanti-Geräten warnen, müssen die Anwender weiterhin alle vom Hersteller empfohlenen Maßnahmen ergreifen. So ist es beispielsweise möglich, dass Angreifer eine Schwachstelle bereits vor ihrer Veröffentlichung ausgenutzt haben. Daher müssen alle Kunden den von Ivanti bereitgestellten Integrity Checker verwenden, um die Integrität ihrer Installation sicherzustellen.

Die fünf Schwachstellen in Ivanti VPN Gateway Appliances laut NIST:

  • CVE-2023-46805 (CVSS 8.2 Hoch): Die Schwachstelle bei der Authentifizierung [CWE-287] in der Webkomponente von Ivanti ICS 9.x, 22.x und Ivanti Policy Secure ermöglicht einem Angreifer den Zugriff auf eingeschränkte Ressourcen unter Umgehung von Kontrollinstanzen.
  • CVE-2024-21887 (CVSS 9.1 Hoch): Die Schwachstelle erlaubt das Einschleusen von Befehlen [CWE-77] in die Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) und ermöglicht es Administratoren, speziell gestaltete Anfragen zu senden und beliebige Befehle auf der Appliance auszuführen.
  • CVE-2024-21893 (CVSS 8.2 Hoch): Auf Serverseite erlaubt es die Schwachstelle, Anforderungen zu fälschen [CWE-918]. In der SAML-Komponente von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und Ivanti Neurons for ZTA ermöglicht sie es einem Angreifer, Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zu erhalten.
  • CVE-2024-21888 (CVSS 8.8 Hoch): Die Schwachstelle in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) ermöglicht einen ausgeweiteten Zugriff [CWE-265]. Mit ihrer Hilfe kann ein Benutzer seine Rechte auf die eines Administrators ausdehnen.
  • CVE-2024-22024 (CVSS 8.3 High): Die XML External Entity oder XXE-Schwachstelle [CWE-643] in den SAML-Komponenten von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und ZTA-Gateways erlaubt einem Angreifer Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung.

Sofortmaßnahmen

Die Patches wurden erstmals am 22. Januar veröffentlicht. Bis die Benutzer die offiziellen Patches von Ivanti herunterladen und installieren können, sollten sie folgende Schritte befolgen:

  • Download: Aktuelles Mitigation Release aus dem offiziellen Mitigation Advisory von Ivanti
  • Befolgen Sie die Anweisungen, um einen korrekten Import sicherzustellen, und setzen Sie das Gerät auf die Werkseinstellungen zurück, wenn Sie dazu aufgefordert werden.
  • Laden Sie das externe Integritätsprüfungs-Tool von Ivanti herunter und führen Sie es aus.

Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.

Tracking-News: Critical Vunerability in MS Sharepoint

Remote Priviledge Execution

Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.

Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.

Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.

Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.

5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können

Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.

Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.

Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:

  • CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
  • CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
  • CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
  • CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
  • CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.

Verstehen des Angriffsverlaufs

Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.

Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:

Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.

CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.

Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.

Abschwächung der jüngsten Juniper Junos-Schwachstellen

Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.

Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.