CISA warnt vor aktiver Ausnutzung von Sicherheitslücken bei Fortinet, Ivanti und Nice

Das U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat am Montag auf die aktive Ausnutzung von drei Sicherheitslücken in Produkten von Fortinet, Ivanti und Nice aufmerksam gemacht und diese in sein Verzeichnis bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen.

Die betroffenen Schwachstellen umfassen:

• CVE-2023-48788 (CVSS-Score: 9,3) – Eine SQL-Injection-Schwachstelle in Fortinet FortiClient EMS, die es einem nicht authentifizierten Angreifer ermöglicht, unautorisierten Code oder Befehle über speziell gestaltete Anfragen auszuführen.
• CVE-2021-44529 (CVSS-Score: 9,8) – Eine Code-Injection-Schwachstelle in Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA), die einem nicht authentifizierten Benutzer ermöglicht, bösartigen Code mit begrenzten Berechtigungen auszuführen.
• CVE-2019-7256 (CVSS-Score: 10,0) – Eine OS-Command-Injection-Schwachstelle in Nice Linear eMerge E3-Series-Zugangskontrollsystemen, die es einem Angreifer ermöglicht, Code aus der Ferne auszuführen.

Die Schwachstelle bei Fortinet FortiClient EMS wurde erst diesen Monat bekannt, und Fortinet hat bestätigt, dass sie aktiv ausgenutzt wird, obwohl bisher keine weiteren Details zu den Angriffen verfügbar sind.

Die Schwachstelle CVE-2021-44529 bei Ivanti wurde durch jüngste Forschungen als möglicherweise absichtlich eingeführte Hintertür in einem inzwischen eingestellten Open-Source-Projekt identifiziert.

CVE-2019-7256 bei Nice wurde bereits Anfang 2020 von Bedrohungsakteuren ausgenutzt, wobei Nice (früher Nortek) diesen Monat Abhilfemaßnahmen bereitgestellt hat.

Angesichts der aktiven Ausnutzung dieser Schwachstellen sind Bundesbehörden aufgefordert, die von den Anbietern bereitgestellten Abhilfemaßnahmen bis zum 15. April 2024 anzuwenden.

Diese Entwicklungen erfolgen parallel zu einer gemeinsamen Warnung von CISA und FBI, in der Softwarehersteller aufgefordert werden, Maßnahmen zur Minderung von SQL-Injection-Schwachstellen zu ergreifen, speziell im Hinblick auf die Ausnutzung der Schwachstelle CVE-2023-34362 durch die Cl0p-Ransomware-Gruppe.

Diese Vorfälle unterstreichen die anhaltende Bedrohung durch bekannte Schwachstellen und die Notwendigkeit für Unternehmen, ihre Sicherheitsmaßnahmen kontinuierlich zu überprüfen und zu aktualisieren.