Die amerikanische IT-Sicherheitsbehörde CISA warnt davor, dass Cyberkriminelle Schwachstellen in IBM Aspera Faspex und Mitel MiVoice ausnutzen könnten. Updates sind bereits verfügbar.
Die US-Cyber-Sicherheitsbehörde CISA veröffentlichte eine Warnmeldung bezüglich möglichen Cyberattacken auf IBM Aspera Faspex und Mitel MiVoice. Cyberkriminelle könnten die Sicherheitslücken ausnutzen, um dadurch in Netzwerke einzubrechen oder die Schwachstellen erweitern. Updates stehen bereits zur Verfügung und können installiert werden.
Eine kritische Sicherheitslücke
IBM Aspera Faspex ist ein System, das zum umfassenden Datei- und Datenaustausch genutzt wird. IBM Aspera Faspex 4.4.2 Patch Level 1 sowie ältere Versionen könnten externen Bedrohungsakteuren die Gelegenheit geben, Schadcode auf dem System auszuführen. Die entsprechende Sicherheitslücke besteht aufgrund eines YAML-Deserialisierungsfehler. Um den Deserialisierungsfehler auszulösen, ist es bereits ausreichend einen speziell präparierten sowie veralteten API-Aufruf zu senden. Die Schwachstelle ist unter der Bezeichnung CVE-2022-47986 bekannt und wird mit einem Bedrohungsgrad von 9.8 eingestuft. Aufgrund dessen gilt die Sicherheitslücke als kritisch.
Zwei weitere Schwachstellen mit mittlerem Schweregrad
Zwei der Schwachstellen befinden sich in der Kommunikations- und Kollaborationssoftware Mitel MiVoice Connect. Eine Sicherheitslücke in der Edge-Gateway-Komponente von Mitel MiVoice Connect bis einschließlich Version 19.3 (22.22.6100.0) ermöglicht es einem authentifizierten Angreifer im internen Netz, der Software, infolge von unzulänglich beschränkten URL-Parameter, Befehle zu erteilen. Die Schwachstelle ist unter der Bezeichnung CVE-2022-40765 bekannt und wurde mit einem Schweregrad von 6.8 eingestuft. Aufgrund der Bewertung gilt diese als mittelmäßige Bedrohung. In der gleichen MiVoice Connect Version könnten authentifizierte Angreifer außerdem mit Hilfe von manipulierten Daten Schadcode einschleusen. Ermöglicht wird dieses Vorgehen potenzieller Angreifer, da der Datentyp der Datenbank nicht hinreichend eingeschränkt ist. Die jeweilige Sicherheitslücke ist unter der Bezeichnung CVE-2022-41223 bekannt und wird ebenfalls mit einem Bedrohungsgrad von 6.8 eingestuft.
Problemlösung
Es stehen bereits Updates zur Verfügung, um die Sicherheitslücken zu schließen. Durch die Erfassung der Schwachstellen im Known Exploited Vulnerabilities Catalog der CISA, sind US-Behörden dazu verpflichtet die Softwareaktualisierungen umgehend zu installieren oder sind angehalten anderweitige Maßnahmen umzusetzen, um die Situation zu deeskalieren. Die Warnmeldung bezüglich der Schwachstellen, die es Cyberkriminelle erlauben IBM Aspera Faspex sowie Mitel MiVoice anzugreifen, sollte Administratoren darauf hinweisen, unverzüglich die bereitstehenden Sicherheitsupdates zu installieren.
Falls die Installation nicht wie empfohlen erfolgt, besteht die Gefahr eines Ransomware-Angriffs. Kürzlich trat dieser Fall bei einer älteren Sicherheitslücke in VMware ESXi ein, welcher zu einer internationalen Angriffswelle führte.