CISA markiert vier aktiv ausgenutzte Schwachstellen im KEV-Katalog-Update

CISA aktualisiert KEV-Katalog mit vier aktiv ausgenutzten Schwachstellen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat vier neue Schwachstellen in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Als Grund nennt die Behörde Beweise für aktive Ausnutzung in freier Wildbahn. Bundesbehörden und Organisationen werden aufgefordert, die Behebung dieser Sicherheitslücken prioritär zu behandeln, um laufende Cyberbedrohungen abzuwehren.

Neu im KEV-Katalog aufgeführte Schwachstellen

Die neu gelisteten Schwachstellen umfassen:

1. CVE-2019-19006 – Sangoma FreePBX

   • Typ: Remote Code Execution (RCE)
   • Betroffenes Produkt: Sangoma FreePBX (ein weit verbreitetes Open-Source-PBX-System)
   • Auswirkung: Ermöglicht nicht authentifizierten Angreifern die Ausführung beliebigen Codes über manipulierte HTTP-Anfragen.

2. CVE-2019-2725 – Oracle WebLogic Server

   • Typ: Deserialization RCE
   • Betroffenes Produkt: Oracle WebLogic Server (Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0)
   • Auswirkung: Ohne Authentifizierung ausnutzbar, ermöglicht Angreifern die Übernahme verwundbarer Server.

3. CVE-2019-17621 – D-Link DIR-859 Router

   • Typ: Command Injection
   • Betroffenes Produkt: D-Link DIR-859 (Firmware-Versionen vor 1.06)
   • Auswirkung: Remote-Angreifer können beliebige Befehle über manipulierte HTTP-Anfragen ausführen.

4. CVE-2016-4117 – Adobe Flash Player

   • Typ: Use-After-Free RCE
   • Betroffenes Produkt: Adobe Flash Player (Versionen 21.0.0.226 und früher)
   • Auswirkung: Ausnutzbar über schädliche Flash-Inhalte, führt zur Ausführung beliebigen Codes.

Technische Analyse und Nachweise der Ausnutzung

Die Aufnahme dieser Schwachstellen in den KEV-Katalog durch die CISA deutet auf bestätigte Ausnutzung durch Bedrohungsakteure hin. Obwohl spezifische Angriffsdetails nicht veröffentlicht wurden, gelten folgende Beobachtungen:

• CVE-2019-19006 (Sangoma FreePBX): Angriffe zielen auf exponierte Webschnittstellen ab, die häufig in falsch konfigurierten VoIP-Implementierungen zu finden sind.
• CVE-2019-2725 (Oracle WebLogic): Wurde in der Vergangenheit von Ransomware-Gruppen (z. B. Sodinokibi/REvil) und Kryptowährungs-Minern ins Visier genommen.
• CVE-2019-17621 (D-Link DIR-859): Router-Schwachstellen werden häufig für die Rekrutierung von Botnetzen (z. B. Mirai-Varianten) genutzt.
• CVE-2016-4117 (Adobe Flash): Veraltete Flash-Schwachstellen bleiben in ungepatchten Umgebungen ein persistenter Angriffsvektor.

Auswirkungen und Empfehlungen zur Schadensbegrenzung

Organisationen, die betroffene Produkte einsetzen, sollten umgehend handeln:

• Patch-Priorisierung: Wenden Sie vom Hersteller bereitgestellte Updates unverzüglich an. Bundesbehörden müssen die Behebung bis zur von der CISA festgelegten Frist (in der Regel innerhalb von 2–4 Wochen) abschließen.
• Netzwerksegmentierung: Isolieren Sie verwundbare Systeme (z. B. VoIP-Server, Router) von kritischer Infrastruktur.
• Reduzierung der Angriffsfläche: Deaktivieren Sie unnötige Dienste (z. B. Flash Player) und beschränken Sie den Zugriff auf administrative Schnittstellen.
• Bedrohungsüberwachung: Setzen Sie Intrusion Detection/Prevention Systems (IDS/IPS) ein, um Ausnutzungsversuche zu erkennen.

Nächste Schritte für Sicherheitsteams

1. Bestandsaufnahme: Identifizieren Sie alle Instanzen betroffener Produkte in Ihrer Umgebung.
2. Schwachstellen-Scanning: Nutzen Sie Tools wie Nessus oder OpenVAS, um ungepatchte Systeme zu erkennen.
3. Incident Response: Untersuchen Sie mögliche Kompromittierungen, falls eine Ausnutzung vermutet wird.

Weitere Anleitungen finden Sie im KEV-Katalog der CISA sowie in den Sicherheitshinweisen der Hersteller.

Originaler Sicherheitshinweis: CISA Alert AA26-033A