Der Frühling der Schwachstellen

Der März 2024 war ein ereignisreicher Monat für Schwachstellen und Cybersicherheit. Es war der zweite Monat in Folge, in dem das CVE-Enrichment (Common Vulnerability Exposure) auslief, was die Verteidiger in eine prekäre Lage brachte, da die Risiken weniger sichtbar waren. Der Linux-Kernel setzte sein hohes Tempo bei der Offenlegung von Schwachstellen fort und wurde als neue „CVE Numbering Authority“ (CNA) beauftragt. Darüber hinaus wurden mehrere kritische Schwachstellen in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen, darunter Microsoft Windows, Fortinet FortiClientEMS, alle wichtigen Browser und der Anbieter von „Continuous Integration And Delivery“-Software JetBrains.

Die wichtigsten Cybersecurity-Ereignisse im März:

Informationsfluss des NIST versiegt?

Das NVD-Team (National Vulnerability Database) des NIST (National Institute of Standards and Technology) hat die Anreicherung von CVE-Daten mit weiterführenden Informationen im Februar 2024 ohne Vorwarnung weitgehend eingestellt. Die CVE-Anreicherungsrate der NIST-Database verlangsamte sich im März auf knapp über 5%, und es wurde deutlich, dass es sich bei der abrupten Unterbrechung nicht nur um eine kurzfristige Störung handelte. Das gereicht Cybersicherheitsoperationen auf der ganzen Welt sehr zum Nachteil, da die NVD die größte zentrale Datenbank für Informationen über den Schweregrad von Schwachstellen ist. Ohne diese Anreicherungen stehen den Verantwortlichen für Cybersicherheit nur sehr wenige Informationen für die Priorisierung von Schwachstellen und die Entscheidungsfindung beim Risikomanagement zur Verfügung.

Experten in der Cybersicherheits-Community tauschten öffentlich Spekulationen aus, bis Tanya Brewer vom NIST auf dem VulnCon & Annual CNA Summit ankündigte, dass die nicht-regulatorische US-Regierungsbehörde einige Aspekte der NVD-Verwaltung an ein Industriekonsortium abtreten würde. Brewer erläuterte zwar nicht den genauen Grund für den Ausfall, kündigte aber mehrere zusätzliche Ziele für NIST NVD an:

  • Mögliche Einreichung von Zusatzinformationen durch mehr externe Stellen
  • Verbesserung der NVD-Software zur Identifizierung
  • Hinzufügen neuer Arten von Bedrohungsdaten wie EPSS und das NIST Bugs Framework
  • Verbesserung der Benutzerfreundlichkeit der NVD-Daten und Unterstützung neuer Anwendungsfälle
  • Automatisierung einiger Aspekte der CVE-Analyse

Es rappelt im Linux-Kernel

Insgesamt wurden im März 259 CVEs mit einer Beschreibung veröffentlicht, die mit „Im Linux-Kernel“ begannen. Dies ist der zweitaktivste Monat aller Zeiten bei der Veröffentlichung von Sicherheitslücken in Linux. Den bisherigen Rekord stellte der Vormonat mit insgesamt 279 CVEs auf. Der März markierte auch einen neuen Meilenstein für kernel.org, den Betreuer des Linux-Kernels, da dieser als CVE Numbering Authority (CNA) aufgenommen wurde. Kernel.org wird nun die Rolle der Zuweisung und Anreicherung von CVEs übernehmen, die den Linux-Kernel betreffen. Kernel.org versichert, dass CVEs nur für Schwachstellen vergeben werden, wenn ein Patch verfügbar ist, und CVEs werden nur für Versionen des Linux-Kernels vergeben, die aktiv unterstützt werden.

Brisante Sicherheitslücken in Fortinet-Produkten

In FortiOS und FortiClientEMS wurden mehrere schwere Sicherheitslücken aufgedeckt. Davon wurde CVE-2023-48788 in die KEV-Datenbank der CISA aufgenommen. Das Risiko, das von CVE-2023-48788 ausgeht, wird durch das Vorhandensein eines öffentlich zugänglichen PoC-Exploits (Proof of Concept) noch verstärkt. CVE-2023-48788 ist zwar vor allem eine SQL-Injection-Schwachstelle (CWE-89), kann aber in Verbindung mit der xp_cmdshell-Funktion von Microsoft SQL Server zur Remote Code Execution (RCE) ausgenutzt werden. Selbst wenn xp_cmdshell nicht standardmäßig aktiviert ist, haben Forscher gezeigt, dass die Schwachstelle über SQL-Injection aktiviert werden kann.

Greenbone verfügt über einen Network Vulnerability Test (NVT), mit dem Systeme identifiziert werden können, die von CVE-2023-48788 betroffen sind, über lokale Sicherheitsprüfungen, mit denen Systeme identifiziert werden können, die von CVE-2023-42790 und CVE-2023-42789 betroffen sind, sowie über eine weitere Prüfung, die von CVE-2023-36554 betroffene Systeme identifiziert. Ein PoC-Exploit für CVE-2023-3655 wurde auf GitHub veröffentlicht.

  • CVE-2023-48788 (CVSS 9.8 Kritisch): Eine SQL-Injection-Schwachstelle, die es einem Angreifer ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete Pakete in Fortinet FortiClientEMS Version 7.2.0 bis 7.2.2 auszuführen.
  • CVE-2023-42789 (CVSS 9.8 Kritisch): Ein Out-of-bounds-Write in Fortinet FortiOS ermöglicht es einem Angreifer, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen. Betroffene Produkte sind FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12, 2.0.0 bis 2.0.13.
  • CVE-2023-42790 (CVSS 8.1 Hoch): Ein Stapel-basierter Buffer Overflow in Fortinet FortiOS ermöglicht es einem Angreifer, über speziell gestaltete HTTP-Anfragen nicht autorisierten Code oder Befehle auszuführen. Zu den betroffenen Produkten gehören FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12 und 2.0.0 bis 2.0.13.
  • CVE-2023-36554 (CVSS 9.8 Kritisch): FortiManager ist anfällig für eine Sicherheitslücke in der Zugriffskontrolle bei Backup- und Restore-Funktionen, die es Angreifern ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Requests auszuführen. Betroffene Produkte sind FortiManager Version 7.4.0, Version 7.2.0 bis 7.2.3, Version 7.0.0 bis 7.0.10, Version 6.4.0 bis 6.4.13 und 6.2, alle Versionen.

Zero Day-Schwachstellen in allen wichtigen Browsern

Pwn2Own, ein spannender Hacking-Wettbewerb, fand vom 20. bis 22. März auf der Sicherheitskonferenz CanSecWest statt. Bei der diesjährigen Veranstaltung wurden 29 verschiedene Zero-Days entdeckt und über eine Million Dollar an Preisgeldern an Security-Forscher vergeben. Der unabhängige Teilnehmer Manfred Paul erhielt insgesamt 202.500 Dollar, davon 100.000 Dollar für zwei Zero-Day-Sandbox-Escape-Schwachstellen in Mozilla Firefox. Mozilla veröffentlichte rasch Updates für Firefox mit der Version 124.0.1.

Manfred Paul schaffte auch eine Remote Code Execution (RCE) in Apples Safari durch die Kombination von Pointer Authentication Code (PAC; D3-PAN) Bypass und Integer Underflow Zero-Days (CWE-191). PACs in Apples Betriebssystemen sind kryptografische Signaturen zur Überprüfung der Integrität von Pointern, um die Ausnutzung von Fehlern in korrumpierten Speichern zu verhindern. PAC wurde bereits früher für RCE in Safari umgangen. Manfred Paul hat Google Chrome und Microsoft Edge über die Schwachstelle Improper Validation of Specified Quantity in Input (CWE-1284) überlistet und damit das Browser-Exploit-Dreigestirn komplettiert.

Die Tatsache, dass alle großen Browser angegriffen wurden, unterstreicht das hohe Risiko, das der Besuch von nicht vertrauenswürdigen Internetseiten mit sich bringt, und die insgesamt mangelnde Sicherheit der großen Browserhersteller. Greenbone enthält Tests, um verwundbare Versionen von Firefox und Chrome zu identifizieren.

  • CVE-2024-29943 (CVSS 10 kritisch): Ein Angreifer konnte in Firefox über Out-of-bounds auf ein JavaScript-Objekt zugreifen, indem er die bereichsbasierte Begrenzungsprüfung austrickste. Diese Sicherheitslücke betrifft Versionen von Firefox vor 124.0.1.
  • CVE-2024-29944 (CVSS 10 kritisch): Firefox behandelte Message Manager-Listener falsch, was einem Angreifer erlaubt, einen Event Handler in ein privilegiertes Objekt einzuschleusen, um beliebigen Code auszuführen.
  • CVE-2024-2887 (hoch): Eine Type-Confusion-Schwachstelle (CWE-843) in der Implementierung von WebAssembly (Wasm) im Chrome-Browser.

Neue, aktiv ausgenutzte Microsoft-Schwachstellen

Microsofts Sicherheitshinweis vom März enthielt insgesamt 61 Sicherheitslücken, die sich auf viele Produkte auswirken. Der Windows-Kernel wies mit insgesamt acht CVEs die meisten Schwachstellen auf, von denen fünf als besonders schwerwiegend eingestuft wurden. Microsoft WDAC OLE DB provider for SQL, Windows ODBC Driver, SQL Server und Microsoft WDAC ODBC Driver sind zusammen für zehn CVEs mit hohem Schweregrad verantwortlich. Für keine der Schwachstellen in dieser Gruppe gibt es Workarounds, was bedeutet, dass Updates auf alle betroffenen Produkte angewendet werden müssen. Greenbone enthält Schwachstellentests, um die neu bekannt gewordenen Schwachstellen aus Microsofts Sicherheitshinweis zu erkennen.

Microsoft hat bisher sechs der neuen Sicherheitslücken vom März als „Ausnutzung wahrscheinlich“ gekennzeichnet, während zwei neue Sicherheitslücken, die Microsoft-Produkte betreffen, der CISA KEV-Liste hinzugefügt wurden; CVE-2023-29360 (CVSS 8.4 hoch), die den Microsoft Streaming Service betrifft, und CVE-2024-21338 (CVSS 7.8 hoch), die im Jahr 2023 veröffentlicht wurden, erhielten im März den Status „Aktiv ausgenutzt“.

CVE-2024-27198: kritische Schwachstelle in JetBrains TeamCity

TeamCity ist ein beliebter Continuous-Integration- und Continuous-Delivery-Server (CI/CD), der von JetBrains entwickelt wurde, dem Unternehmen, das auch hinter weit verbreiteten Entwicklungstools wie IntelliJ IDEA, der führenden integrierten Entwicklungsumgebung (IDE) für Kotlin, und PyCharm, einer IDE für Python, steht. TeamCity wurde entwickelt, um Softwareentwicklungsteams bei der Automatisierung und Rationalisierung ihrer Build-, Test- und Deployment-Prozesse zu unterstützen, und konkurriert mit anderen CI/CD-Plattformen wie Jenkins, GitLab CI/CD, Travis CI und Azure DevOps. TeamCity hat einen geschätzten Anteil von knapp 6 % am Gesamtmarkt für Continuous Integration and Delivery und rangiert insgesamt an dritter Stelle. Nach Angaben von JetBrains nutzen mehr als 15,9 Millionen Entwickler ihre Produkte, darunter 90 der Fortune Global Top 100-Unternehmen.

Angesichts der Marktposition von JetBrains wird eine kritische Schwachstelle in einem ihrer Produkte schnell die Aufmerksamkeit potenzieller Angreifer auf sich ziehen. Innerhalb von drei Tagen nach der Veröffentlichung von CVE-2024-27198 wurde die Schwachstelle in den KEV-Katalog der CISA aufgenommen. Der Schwachstellen-Feed von Greenbone Enterprise umfasst Tests zur Identifizierung betroffener Produkte, darunter eine Versionsprüfung und den Active Check, bei dem eine manipulierte HTTP-GET-Anfrage gesendet und die Antwort analysiert wird.

In Kombination ermöglichen CVE-2024-27198 (CVSS 9.8 kritisch) und CVE-2024-27199 einem Angreifer, die Authentifizierung über einen alternativen Pfad oder Kanal (CWE-288) zu umgehen, um geschützte Dateien zu lesen, auch solche außerhalb des eingeschränkten Verzeichnisses (CWE-23), und begrenzte Admin-Aktionen durchzuführen.

Zusammenfassung

Der Frühling beginnt mit wachsenden Software-Schwachstellen aufgrund des NIST NVD-Ausfalls und der aktiven Ausnutzung mehrerer Schwachstellen in Unternehmens- und Verbrauchersoftware. Positiv ist, dass mehrere Zero-Day-Schwachstellen, die alle wichtigen Browser betreffen, identifiziert und gepatcht wurden.

Die Tatsache, dass ein einzelner Forscher in der Lage war, so schnell alle wichtigen Browser auszunutzen, ist jedoch ein ernsthafter Weckruf für alle Unternehmen, da der Browser eine so grundlegende Rolle im modernen Unternehmensbetrieb spielt. Schwachstellenmanagement ist nach wie vor ein Kernelement der Cybersicherheitsstrategie. Durch regelmäßiges Scannen der IT-Infrastruktur auf Schwachstellen wird sichergestellt, dass die neuesten Bedrohungen identifiziert und behoben werden können – und so die Lücken geschlossen werden, die Angreifer für den Zugriff auf wichtige Systeme und Daten auszunutzen versuchen.