CVE-2024-43468 (Last Update: 17.10.2024 23:17) - Products: Microsoft Configuration Manager - Info: Microsoft Configuration Manager Remote Code Execution Vulnerability || CVE-2024-38124 (Last Update: 17.10.2024 23:17) - Products: Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installation), Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Netlogon Elevation of Privilege Vulnerability || CVE-2022-34722 (Last Update: 17.10.2024 17:48) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows 10 Version 21H1, Windows Server 2022, Windows 10 Version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows 7, Windows 7 Service Pack 1, Windows 8.1, Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Internet Key Exchange (IKE) Protocol Extensions Remote Code Execution Vulnerability || CVE-2024-38175 (Last Update: 16.10.2024 01:53) - Products: Azure Managed Instance for Apache Cassandra - Info: Azure Managed Instance for Apache Cassandra Elevation of Privilege Vulnerability || CVE-2024-38109 (Last Update: 16.10.2024 01:53) - Products: Azure Health Bot - Info: Azure Health Bot Elevation of Privilege Vulnerability || CVE-2024-38140 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 11 version 22H3, Windows 11 Version 23H2, Windows Server 2022, 23H2 Edition (Server Core installation), Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation), Windows 11 Version 24H2 - Info: Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution Vulnerability || CVE-2024-38063 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 11 version 22H3, Windows 11 Version 23H2, Windows Server 2022, 23H2 Edition (Server Core installation), Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation), Windows 11 Version 24H2 - Info: Windows TCP/IP Remote Code Execution Vulnerability || CVE-2024-38199 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 11 version 22H3, Windows 11 Version 23H2, Windows Server 2022, 23H2 Edition (Server Core installation), Windows 11 Version 24H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Line Printer Daemon (LPD) Service Remote Code Execution Vulnerability || CVE-2024-38160 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation) - Info: Windows Network Virtualization Remote Code Execution Vulnerability || CVE-2024-38159 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation) - Info: Windows Network Virtualization Remote Code Execution Vulnerability || CVE-2024-38108 (Last Update: 16.10.2024 01:53) - Products: Azure Stack Hub - Info: Azure Stack Hub Spoofing Vulnerability || CVE-2024-45115 (Last Update: 10.10.2024 13:41) - Products: Adobe Commerce - Info: Adobe Commerce | Improper Authentication (CWE-287) || CVE-2024-21403 (Last Update: 09.10.2024 01:50) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-21376 (Last Update: 09.10.2024 01:50) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability || CVE-2024-21364 (Last Update: 09.10.2024 01:50) - Products: Azure Site Recovery - Info: Microsoft Azure Site Recovery Elevation of Privilege Vulnerability || CVE-2024-21413 (Last Update: 09.10.2024 01:49) - Products: Microsoft Office 2019, Microsoft 365 Apps for Enterprise, Microsoft Office LTSC 2021, Microsoft Office 2016 - Info: Microsoft Outlook Remote Code Execution Vulnerability || CVE-2024-21410 (Last Update: 09.10.2024 01:49) - Products: Microsoft Exchange Server 2016 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 13, Microsoft Exchange Server 2019 Cumulative Update 14 - Info: Microsoft Exchange Server Elevation of Privilege Vulnerability || CVE-2024-21401 (Last Update: 09.10.2024 01:49) - Products: Entra - Info: Microsoft Entra Jira Single-Sign-On Plugin Elevation of Privilege Vulnerability || CVE-2024-29990 (Last Update: 09.10.2024 01:41) - Products: Azure Kubernetes Service - Info: Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability || CVE-2024-43491 (Last Update: 09.10.2024 01:26) - Products: Windows 10 Version 1507 - Info: Microsoft Windows Update Remote Code Execution Vulnerability ||

In einem kürzlich veröffentlichten Bericht wurde eine ernste Sicherheitslücke im Betriebssystem IOS XE von Cisco aufgedeckt. Diese Schwachstelle ermöglicht es Angreifern, Geräte mit IOS XE und Web-UI aus der Ferne zu übernehmen. Cisco hat zwar noch keine Patches bereitgestellt (Stand: 17.10.2023), jedoch Empfehlungen für Betroffene abgegeben, um das Risiko einer Ausnutzung zu minimieren.

Die Sicherheitslücke erhält den höchstmöglichen CVSS-Wert von 10.0.

Unter Anderem ist es zu empfehlen die Webadministration zu deaktivieren.

Nach einem Artikel der Cisco Tochter Talos ist einem Angreifer bereits am 18.09.2023 ein erfolgreicher Login über die Sicherheitslücke gelungen. Des kompletten Artikel lesen sie hier: https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

Sowohl Cisco als auch mehrere Sicherheitsbehörden haben vor der zunehmenden Ausnutzung älterer Schwachstellen in Cisco IOS und IOS-XE gewarnt und betonen die Bedeutung von Sicherheitsupdates und fortlaufender Überwachung, um Netzwerke zu schützen.

Hinweise für Cisco Administratoren

Indizien für eine Kompromittierung ergeben sich laut dem Talos Bericht aus folgenden Punkten:

Eine als Config getarntes LUA Backrohr unter:

/usr/binos/conf/nginx-conf/cisco_service.conf

Zugriffe von den IP Adressen:

5.149.249.74
154.53.56.231

Benutzerkonten mit den Namen:

cisco_tac_admin
cisco_support

Auch der folgende Log-Einträge können auf die Angriffe hinweisen:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Es wird dringend empfohlen, dass Netzwerkadministratoren die Sicherheitsrichtlinien von Cisco befolgen und ihre Systeme auf die neueste, sicherste Version aktualisieren, um die Integrität und Sicherheit ihrer Netzwerke zu gewährleisten.

Details zur Lücke: https://nvd.nist.gov/vuln/detail/CVE-2023-20198

Weitere Beiträge zum Thema IT_Sicherheit: IT-Sicherheit im Unternehmen: Wie Sie als Entscheider effektiv handeln können