Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
CISA fordert Bundesbehörden auf, Zero-Day-Sicherheitslücken zu schließen
April 13, 2023 - TuxCare PR Team
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat Regierungsbehörden angewiesen, Sicherheitsmängel zu beheben, die bei Zero-Day-Angriffen in jüngsten Vorfällen verwendet wurden, bei denen kommerzielle Spyware auf mobilen Geräten installiert wurde.
Diese Schwachstellen wurden in zahlreichen Angriffsketten in zwei separaten Kampagnen ausgenutzt, die auf Android- und iOS-Nutzer abzielten. Laut der Threat Analysis Group (TAG) von Google bestand das Ziel darin, Spionagesoftware auf Android zu installieren, die Daten aus verschiedenen Chat- und Internetanwendungen entschlüsseln und sammeln konnte.
Die erste Angriffswelle begann im November 2022, als Kriminelle mehrere Exploit-Ketten nutzten, um iOS- und Android-Geräte anzugreifen. Laut Clément Lecigne von Google TAG nutzten die Angreifer die lange Zeitspanne zwischen der Veröffentlichung der Lösung und ihrer vollständigen Einführung auf Verbrauchergeräten. Die Ergebnisse des Amnesty International Security Lab führten zur Entdeckung und Veröffentlichung von Informationen über die an den Angriffen beteiligten Domänen und Infrastrukturen.
Infolgedessen hat die CISA fünf der zehn Schwachstellen, die in den beiden Spyware-Kampagnen verwendet wurden, in ihren KEV-Katalog (Known Exploited Vulnerabilities - bekannte ausgenutzte Schwachstellen) aufgenommen. Dazu gehören CVE-2021-30900 Apple iOS, iPadOS und macOS Out-of-Bounds Write Vulnerability; CVE-2022-38181 Arm Mali GPU Kernel Driver Use-After-Free Vulnerability; CVE-2023-0266 Linux Kernel Use-After-Free Vulnerability; CVE-2022-3038 Google Chrome Use-After-Free Vulnerability; und CVE-2022-22706 Arm Mali GPU Kernel Driver Unspecified Vulnerability.
Die CISA hat den Bundesbehörden der zivilen Exekutive (Federal Civilian Executive Branch Agencies, FCEB) drei Wochen Zeit gegeben, bis zum 20. April, um anfällige mobile Geräte gegen potenzielle Angriffe zu patchen, die auf diese fünf Sicherheitslücken abzielen würden. FCEB-Behörden müssen ihre Netzwerke gegen alle Fehler absichern, die auf der CISA-Liste der Schwachstellen aufgeführt sind, die bekanntermaßen für Angriffe ausgenutzt werden. Dies ergibt sich aus der verbindlichen operativen Richtlinie BOD 22-01 vom November 2021. Obwohl die Richtlinie nur für FCEB-Behörden gilt, fordert die CISA alle Organisationen nachdrücklich auf, diese Fehler vorrangig zu patchen, um Ausbeutungsversuche zu vereiteln.
Die CISA hat außerdem zehn neue Sicherheitslücken in ihren Katalog der bekannten Sicherheitslücken aufgenommen, die nachweislich aktiv ausgenutzt werden. Zu diesen Schwachstellen gehören CVE-2013-3163 Microsoft Internet Explorer Memory Corruption Vulnerability; CVE-2014-1776 Microsoft Internet Explorer Memory Corruption Vulnerability; CVE-2017-7494 Samba Remote Code Execution Vulnerability; CVE-2022-42948 Fortra Cobalt Strike User Interface Remote Code Execution Vulnerability; CVE-2022-39197 Fortra Cobalt Strike Teamserver Cross-Site Scripting (XSS) Vulnerability; CVE-2021-30900 Apple iOS, iPadOS und macOS Out-of-Bounds-Write-Schwachstelle; CVE-2022-38181 Arm Mali GPU Kernel Driver Use-After-Free-Schwachstelle; CVE-2023-0266 Linux Kernel Use-After-Free-Schwachstelle; CVE-2022-3038 Google Chrome Use-After-Free-Schwachstelle; und CVE-2022-22706 Arm Mali GPU Kernel Driver Unspecified Vulnerability.
Die CISA warnte, dass diese Arten von Schwachstellen häufige Angriffsvektoren für böswillige Cyber-Akteure sind und ein erhebliches Risiko für das Bundesunternehmen darstellen. Der Known Exploited Vulnerabilities Catalog (Katalog bekannter ausgenutzter Schwachstellen) ist eine fortlaufende Liste bekannter gemeinsamer Schwachstellen und Gefährdungen (CVEs), die ein erhebliches Risiko für das Bundesunternehmen darstellen, wie in der Binding Operational Directive (BOD) 22-01 festgelegt: Verringerung des erheblichen Risikos bekannter ausgenutzter Schwachstellen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
