CISA deckt zwei aktiv ausgenutzte Sicherheitslücken auf
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat zwei aktiv ausgenutzte Schwachstellen in ihrer KEV-Liste (Known Exploited Vulnerabilities) gefunden. Bei der ersten handelt es sich um eine Android Framework Privilege Escalation Vulnerability, CVE-2023-20963, und bei der zweiten um eine Insecure Deserialization Vulnerability im Novi Survey Programm, CVE-2023-29492.
Die Android Framework Privilege Escalation Vulnerability ermöglicht es laut CISA einem Angreifer, sich auf ungepatchten Android-Geräten größeren Zugriff zu verschaffen, ohne dass der Benutzer irgendetwas unternehmen muss. Google hat zugegeben, dass die Schwachstelle in begrenztem Umfang und gezielt ausgenutzt werden kann, und das chinesische E-Commerce-Startup Pinduoduo soll die Schwachstelle als Zero-Day-Waffe eingesetzt haben, um persönliche Daten zu stehlen und die Kontrolle über Geräte zu übernehmen.
Eine ungesicherte Deserialisierungsschwachstelle in der Novi Survey Software kann entfernten Angreifern die Ausführung von beliebigem Code auf dem Server im Kontext des Dienstkontos in der zweiten Schwachstelle ermöglichen. Das Problem wurde in der aktuellen Version behoben, es ist jedoch noch unklar, wie die Sicherheitslücke in realen Angriffen genutzt wird.
Den FCEB-Behörden in den Vereinigten Staaten wurde empfohlen, die entsprechenden Updates bis zum 4. Mai 2023 zu implementieren, um die durch die Schwachstellen verursachten Risiken zu mindern. Die verbindliche operative Anordnung vom November 2021 (BOD 22-01) verlangt, dass alle Sicherheitsschwachstellen im KEV-Katalog der CISA in allen Regierungsnetzwerken überprüft und behoben werden.
Es ist erwähnenswert, dass Google das Android-Problem im März 2023 behoben hat. Die Tatsache, dass Pinduoduo die Lücke als Zero-Day ausgenutzt hat, um die Kontrolle über Geräte zu übernehmen und sensible Daten zu stehlen, weckt andererseits große Bedenken hinsichtlich der Sicherheit von Apps, die aus nicht autorisierten Quellen stammen. Google löschte die offizielle App von Pinduoduo im März aus dem Play Store, obwohl es unklar ist, wie die APK-Dateien mit demselben Schlüssel signiert wurden, der auch für die Signierung der eigentlichen Pinduo-App verwendet wurde.
Die Gefahren, die von den Schwachstellen ausgehen, unterstreichen die Notwendigkeit, Software rechtzeitig zu aktualisieren und schwerwiegende Schwachstellen so schnell wie möglich zu beheben, um sich vor Cyberangriffen zu schützen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.