CISA warnt vor aktiver Ausnutzung von Schwachstellen in Zyxel, ProjectSend und CyberPanel

WASHINGTON / MÜNCHEN (IT BOLTWISE) – Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat mehrere Sicherheitslücken in Produkten von Zyxel, North Grid Proself, ProjectSend und CyberPanel in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Diese Entscheidung basiert auf Beweisen für eine aktive Ausnutzung dieser Schwachstellen in freier Wildbahn.

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich mehrere Sicherheitslücken in Produkten von Zyxel, North Grid Proself, ProjectSend und CyberPanel in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Diese Entscheidung basiert auf Beweisen für eine aktive Ausnutzung dieser Schwachstellen in freier Wildbahn. Zu den identifizierten Schwachstellen gehören unter anderem CVE-2024-51378, eine Schwachstelle mit einem CVSS-Score von 10,0, die eine Authentifizierungsumgehung und die Ausführung beliebiger Befehle ermöglicht.

Eine weitere Schwachstelle, CVE-2023-45727, weist einen CVSS-Score von 7,5 auf und betrifft die unsachgemäße Einschränkung von XML-Externen-Entitäten-Referenzen, die es einem entfernten, nicht authentifizierten Angreifer ermöglichen könnte, einen XXE-Angriff durchzuführen. CVE-2024-11680, mit einem CVSS-Score von 9,8, erlaubt es einem Angreifer, Konten zu erstellen, Web-Shells hochzuladen und bösartigen JavaScript-Code einzubetten.

Die Schwachstelle CVE-2024-11667, die einen CVSS-Score von 7,5 aufweist, betrifft eine Pfadüberquerung im Web-Management-Interface, die es einem Angreifer ermöglichen könnte, Dateien über eine manipulierte URL herunterzuladen oder hochzuladen. Die Aufnahme von CVE-2023-45727 in den KEV-Katalog erfolgt im Zuge eines Berichts von Trend Micro, der die aktive Ausnutzung dieser Schwachstelle mit einer China-nahen Cyber-Spionage-Gruppe namens Earth Kasha in Verbindung bringt.

In der vergangenen Woche enthüllte der Cybersicherheitsanbieter VulnCheck, dass böswillige Akteure bereits seit September 2024 versuchen, CVE-2024-11680 zu nutzen, um nach der Ausnutzung Schadsoftware zu platzieren. Die Ausnutzung von CVE-2024-51378 und CVE-2024-11667 wird hingegen verschiedenen Ransomware-Kampagnen wie PSAUX und Helldown zugeschrieben.

Die Bundesbehörden der zivilen Exekutive (FCEB) werden aufgefordert, die identifizierten Schwachstellen bis zum 25. Dezember 2024 zu beheben, um ihre Netzwerke zu sichern. Parallel dazu warnt JPCERT/CC vor der Ausnutzung von drei Sicherheitslücken in I-O DATA-Routern durch unbekannte Bedrohungsakteure.

Diese Schwachstellen umfassen CVE-2024-45841, eine Schwachstelle mit einem CVSS-Score von 6,5, die es einem Angreifer mit Gastzugang ermöglicht, sensible Dateien zu lesen. CVE-2024-47133, mit einem CVSS-Score von 7,2, betrifft eine Betriebssystem-Befehlsinjektion, die es einem angemeldeten Benutzer mit Administratorkonto ermöglicht, beliebige Befehle auszuführen.

Die Schwachstelle CVE-2024-52564, die einen CVSS-Score von 7,5 aufweist, betrifft die Einbeziehung undokumentierter Funktionen, die es einem entfernten Angreifer ermöglichen, die Firewall-Funktion zu deaktivieren und beliebige Betriebssystembefehle auszuführen oder die Routerkonfiguration zu ändern. Während Patches für CVE-2024-52564 mit der Firmware-Version 2.1.9 verfügbar sind, werden die Behebungen für die verbleibenden Schwachstellen erst am 18. Dezember 2024 erwartet.

Das japanische Unternehmen empfiehlt seinen Kunden, den Zugriff auf die Einstellungsoberfläche aus dem Internet zu beschränken, indem sie die Fernverwaltung deaktivieren, Standard-Gastbenutzerpasswörter ändern und sicherstellen, dass Administratorpasswörter nicht leicht zu erraten sind.