Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat diese Woche 95 weitere Sicherheitslücken in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen, so dass die Gesamtzahl der aktiv ausgenutzten Schwachstellen nun bei 478 liegt.
„Diese Art von Schwachstellen sind ein häufiger Angriffsvektor für böswillige Cyber-Akteure und stellen ein erhebliches Risiko für Bundesunternehmen dar“, so die Behörde in einem am 3. März 2022 veröffentlichten Advisory.
Von den 95 neu hinzugefügten Schwachstellen betreffen 38 Cisco, 27 Microsoft, 16 Adobe, sieben Oracle und jeweils eine Apache Tomcat, ChakraCore, Exim, Mozilla Firefox, Linux Kernel, Siemens SIMATIC CP und Treck TCP/IP Stack.
Auf der Liste stehen auch fünf Schwachstellen in Cisco RV-Routern, die laut CISA in realen Angriffen ausgenutzt werden. Die Schwachstellen, die Anfang letzten Monats bekannt wurden, ermöglichen die Ausführung von beliebigem Code mit Root-Rechten.
Drei der Schwachstellen – CVE-2022-20699, CVE-2022-20700 und CVE-2022-20708 – werden auf der CVSS-Bewertungsskala mit 10 von 10 Punkten bewertet und ermöglichen es einem Angreifer, böswillige Befehle einzuschleusen, die Rechte auf Root zu erhöhen und beliebigen Code auf anfälligen Systemen auszuführen.
CVE-2022-20701 (CVSS-Score: 9.0) und CVE-2022-20703 (CVSS-Score: 9.3) unterscheiden sich insofern nicht, als sie es einem Angreifer ermöglichen, „beliebigen Code auszuführen, die Rechte zu erhöhen, beliebige Befehle auszuführen, den Authentifizierungs- und Autorisierungsschutz zu umgehen, unsignierte Software zu holen und auszuführen oder einen Denial-of-Service auszulösen“, so die CISA.
Cisco hat seinerseits bereits eingeräumt, dass es „weiß, dass Proof-of-Concept-Exploit-Code für mehrere der Schwachstellen verfügbar ist“. Die weitere Art der Angriffe oder die Bedrohungsakteure, die sie durchführen, sind noch nicht bekannt.
Um das erhebliche Risiko der Schwachstellen zu verringern und zu verhindern, dass sie als Vektor für potenzielle Cyberangriffe genutzt werden, sind die Bundesbehörden in den USA verpflichtet, die Patches bis zum 17. März 2022 zu installieren.
Die Entwicklung kommt kurz nachdem Cisco in dieser Woche Patches für kritische Sicherheitslücken veröffentlicht hat, die die Expressway Series und den Cisco TelePresence Video Communication Server (VCS) betreffen und von einer böswilligen Partei ausgenutzt werden könnten, um erhöhte Rechte zu erlangen und beliebigen Code auszuführen.