Cisco, Fortinet und VMware haben Sicherheitsupdates für mehrere Sicherheitslücken veröffentlicht, darunter auch kritische Schwachstellen, die für beliebige Aktionen auf betroffenen Geräten ausgenutzt werden könnten.
Das erste Set von Cisco besteht aus drei Schwachstellen – CVE-2024-20252 und CVE-2024-20254 (CVSS Score: 9.6) sowie CVE-2024-20255 (CVSS Score: 8.2) – die die Cisco Expressway Series betreffen und es einem nicht authentifizierten, entfernten Angreifer ermöglichen könnten, Cross-Site Request Forgery (CSRF)-Angriffe durchzuführen.
Alle Mängel, die während interner Sicherheitstests gefunden wurden, resultieren aus unzureichenden CSRF-Schutzmaßnahmen für die webbasierte Management-Schnittstelle, die einem Angreifer ermöglichen könnten, beliebige Aktionen mit dem Privilegenniveau des betroffenen Benutzers durchzuführen.
„Wenn der betroffene Benutzer über administrative Privilegien verfügt, könnten diese Aktionen die Modifikation der Systemkonfiguration und das Erstellen neuer privilegierter Konten umfassen“, sagte Cisco über CVE-2024-20252 und CVE-2024-20254.
Die erfolgreiche Ausnutzung von CVE-2024-20255, die sich gegen einen Benutzer mit administrativen Privilegien richtet, könnte es dem Bedrohungsakteur ermöglichen, Systemkonfigurationseinstellungen zu überschreiben, was zu einer Denial-of-Service (DoS)-Bedingung führt.
Ein weiterer wesentlicher Unterschied zwischen den beiden Sets von Schwachstellen ist, dass die ersten beiden Cisco Expressway Series-Geräte in der Standardkonfiguration betreffen, während CVE-2024-20252 sie nur betrifft, wenn die Cluster Database (CDB) API-Funktion aktiviert wurde. Sie ist standardmäßig deaktiviert.
Patches für die Schwachstellen sind in den Cisco Expressway Series Release-Versionen 14.3.4 und 15.0.0 verfügbar.
Fortinet hat seinerseits eine zweite Runde von Updates veröffentlicht, um das Umgehen einer zuvor gemeldeten kritischen Schwachstelle (CVE-2023-34992, CVSS Score: 9.7) im FortiSIEM Supervisor zu beheben, die zur Ausführung beliebigen Codes führen könnte, so der Horizon3.ai-Forscher Zach Hanley.
Die als CVE-2024-23108 und CVE-2024-23109 (CVSS Scores: 9.8) verfolgten Schwachstellen „können es einem entfernten nicht authentifizierten Angreifer ermöglichen, nicht autorisierte Befehle über speziell gestaltete API-Anfragen auszuführen“.
Es ist erwähnenswert, dass Fortinet eine andere Variante von CVE-2023-34992 bereits im November 2023 durch Schließung von CVE-2023-36553 (CVSS Score: 9.3) behoben hat. Die beiden neuen Schwachstellen werden in folgenden Versionen behoben sein:
FortiSIEM Version 7.1.2 oder höher
FortiSIEM-Version 7.2.0 oder höher (zukünftig)
FortiSIEM-Version 7.0.3 oder höher (zukünftig)
FortiSIEM-Version 6.7.9 oder höher (zukünftig)
FortiSIEM-Version 6.6.5 oder höher (zukünftig)
FortiSIEM-Version 6.5.3 oder höher (zukünftig)
FortiSIEM-Version 6.4.4 oder höher (zukünftig)
Den Abschluss bildet VMware, das vor fünf Schwachstellen mit moderater bis wichtiger Schwere in Aria Operations for Networks (ehemals vRealize Network Insight) warnt –
CVE-2024-22237 (CVSS Score: 7.8) – Schwachstelle für die lokale Privilegieneskalation, die einem Konsolenbenutzer regulären Root-Zugriff ermöglicht
CVE-2024-22238 (CVSS Score: 6.4) – Cross-Site Scripting (XSS)-Schwachstelle, die es einem bösartigen Akteur mit Admin-Rechten ermöglicht, bösartigen Code in Benutzerprofilkonfigurationen einzufügen
CVE-2024-22239 (CVSS Score: 5.3) – Schwachstelle für die lokale Privilegieneskalation, die einem Konsolenbenutzer regulären Shell-Zugriff ermöglicht
CVE-2024-22240 (CVSS Score: 4.9) – Schwachstelle für das Lesen lokaler Dateien, die es einem bösartigen Akteur mit Admin-Rechten ermöglicht, auf sensible Informationen zuzugreifen
CVE-2024-22241 (CVSS Score: 4.3) – Cross-Site Scripting (XSS)-Schwachstelle, die es einem bösartigen Akteur mit Admin-Rechten ermöglicht, bösartigen Code einzufügen und das Benutzerkonto zu übernehmen
Um die Risiken zu minimieren, wird allen Benutzern von VMware Aria Operations for Networks Version 6.x empfohlen, auf Version 6.12.0 zu aktualisieren.
Angesichts der Geschichte von Ausnutzungen bei Schwachstellen von Cisco, Fortinet und VMware ist das Patchen der erste notwendige und entscheidende Schritt, den Organisationen unternehmen müssen, um mit den Mängeln umzugehen.