Sieben bekannte ausgenutzte Schwachstellen zum CISA-Katalog hinzugefügt
Die CISA (Cybersecurity and Infrastructure Security Agency) hat am 12. Mai 2023 sieben neue Linux-Schwachstellen in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen.
Dazu gehören die Remotecodeausführung von Ruckus AP (CVE-2023-25717), die Red-Hat-Privilegienerweiterung (CVE-2021-3560), die Linux-Kernel-Privilegienerweiterung (CVE-2014-0196 und CVE-2010-3904), die Offenlegung von Jenkins UI-Informationen (CVE-2015-5317), die Remotecodeausführung von Apache Tomcat (CVE-2016-8735) und ein Problem mit Oracle Java SE und JRockit (CVE-2016-3427).
Die Schwachstelle im Ruckus-Produkt wurde vom AndoryuBot DDoS-Botnet ausgenutzt. Es gibt jedoch keine öffentlichen Berichte über die Ausnutzung anderer Schwachstellen. Allerdings sind technische Details und Proof-of-Concept (PoC)-Exploits verfügbar, da einige von ihnen bereits seit einem Jahrzehnt bekannt sind.
Sieben bekannte, ausgenutzte Schwachstellen
Ruckus Wireless Admin bis 10.4 ermöglicht Remotecodeausführung über eine nicht authentifizierte HTTP-GET-Anfrage, wie von einem /forms/doLogin?login_username=admin&password=password$(curl
Teilstring.
Diese Schwachstelle ermöglicht es einem nicht privilegierten lokalen Angreifer, einen neuen lokalen Administrator zu erstellen oder ähnliche Aktionen auszuführen. Die Hauptrisiken, die von dieser Schwachstelle ausgehen, sind die Beeinträchtigung der Vertraulichkeit und Integrität von Daten sowie eine mögliche Anfälligkeit des Systems.
Dieser Fehler ermöglicht es lokalen Benutzern, eine Race Condition auszunutzen, die lange Strings bei Lese- und Schreibvorgängen betrifft. Infolgedessen können Angreifer entweder eine Dienstverweigerung (Speicherbeschädigung und Systemabsturz) verursachen oder möglicherweise erweiterte Berechtigungen erlangen.
Im Linux-Kernel vor der Version 2.6.36 wurde die rds_page_copy_user
Funktion in net/rds/page.c
die das RDS-Protokoll (Reliable Datagram Sockets) handhabt, fehlt eine ordnungsgemäße Validierung von Adressen, die aus dem Benutzerbereich stammen. Diese Schwachstelle ermöglicht es lokalen Benutzern, erweiterte Privilegien zu erlangen, da die sendmsg- und recvmsg-Systemaufrufe mit manipulierter Verwendung ausgenutzt werden können.
In Jenkins-Versionen vor 1.638 und LTS-Versionen vor 1.625.2 weisen die Fingerprints-Seiten eine Schwachstelle auf, die es entfernten Angreifern ermöglichen könnte, durch direkte Abfrage auf sensible Informationen zu Jobs und Build-Namen zuzugreifen.
Dieser Fehler entsteht, weil der Listener nicht mit dem Oracle-Patch CVE-2016-3427 aktualisiert wurde, der sich auf Anmeldeinformationstypen auswirkt und Inkonsistenzen verursacht.
Eine Schwachstelle wurde in den Oracle Java SE Versionen 6u113, 7u99 und 8u77, Java SE Embedded 8u77 und JRockit R28.3.9 gefunden. Die Sicherheitslücke steht im Zusammenhang mit JMX (Java Management Extensions) und kann von Angreifern aus der Ferne ausgenutzt werden.
Lösungen für diese ausgenutzten Schwachstellen
Unternehmen müssen oft Linux-Distributionen verwenden, nachdem der Hersteller den Sicherheitssupport eingestellt hat. Cyberkriminelle suchen jedoch auch weiterhin nach Schwachstellen und nutzen diese aus, nachdem diese Produkte das Ende ihres Lebenszyklus erreicht haben (EOL).
Zum Glück bietet TuxCare eine Lösung in Form des Extended Lifecycle Supports. Mit diesem Service können Unternehmen diese Systeme über das offizielle End-of-Life-Datum hinaus bis zu vier Jahre lang weiter nutzen. In diesem erweiterten Zeitraum übernimmt TuxCare die Verantwortung für die Bereitstellung automatisierter Schwachstellen-Patches.
Darüber hinaus bietet TuxCare einen Live-Patching-Service für mehr als 40 Linux-Distributionen, darunter einige beliebte wie CentOS, AlmaLinux, Debian, Ubuntu, Oracle Linux, Amazon Linux, CloudLinux, Red Hat, Rocky Linux und Raspberry Pi OS.
Schlussfolgerung
Die oben genannten Schwachstellen haben einen gemeinsamen Bezug zu Linux, was darauf hindeutet, dass sie bei Angriffen auf Linux-Systeme ausgenutzt worden sein könnten. Die NIST-Hinweise zu den einzelnen Schwachstellen verweisen auf die Hinweise der Linux-Distributionen, in denen die Auswirkungen dieser Schwachstellen beschrieben und die Verfügbarkeit von Patches angegeben werden.
Es ist wahrscheinlich, dass einige dieser Probleme auch bei Angriffen auf Android-Geräte ausgenutzt wurden, da die Ausnutzung von Schwachstellen im Linux-Kernel bei Android-Angriffen keine Seltenheit ist.
Die CISA hat einen Zusammenhang zwischen zwei der Sicherheitslücken festgestellt. Das Vorhandensein der Apache-Tomcat-Schwachstelle wird auf eine Komponente zurückgeführt, die nicht aktualisiert wurde, um die von Oracle bereitgestellte Korrektur für CVE-2016-3427 zu übernehmen. Es ist jedoch nicht ersichtlich, ob mehrere Schwachstellen miteinander kombiniert oder in einem einzigen Angriff ausgenutzt wurden, oder ob die Schwachstellen von demselben Bedrohungsakteur ausgenutzt wurden.
Die Quellen für diesen Artikel sind u. a. ein Bericht von SecurityWeek.