Vereinigte Staaten von AmerikaNetzwerksicherheitund die Agentur für Infrastruktursicherheit (CISA(bei denen bekannt ist, dass sie in der Praxis verwendet wurden)Schlupfloch(Sechs neue Sicherheitslücken wurden in den (KEV)-Katalog aufgenommen, da es Hinweise gibt, dass sie aktiv ausgenutzt werden.
Zu ihnen gehören:
- CVE-2023-27524 (CVSS-Wertung: 8.9)Diese hochriskante Schwachstelle betrifft die Open-Source-Datenvisualisierungssoftware Apache Superset und ermöglicht es einem Angreifer, Code aus der Ferne auszuführen. Die Sicherheitslücke wurde in Version 2.1 behoben. Naveen Sunkavally von Horizon3.ai beschreibt die Schwachstelle als "eine gefährliche Standardkonfiguration in Apache Superset, die es einem nicht authentifizierten Angreifer ermöglicht, aus der Ferne Code auszuführen, Anmeldeinformationen zu stehlen und Daten zu beschädigen ". Es ist unklar, wie die Sicherheitslücke in der freien Wildbahn ausgenutzt wird.
- CVE-2023-38203 (CVSS-Wertung: 9.8)Adobe ColdFusion: Sicherheitslücke bei der Deserialisierung nicht vertrauenswürdiger Daten.
- CVE-2023-29300 (CVSS-Wertung: 9.8)Adobe ColdFusion: Sicherheitslücke bei der Deserialisierung nicht vertrauenswürdiger Daten.
- CVE-2023-41990 (CVSS-Wertung: 7.8)Codeausführungsschwachstellen in mehreren Apple-Produkten.
- CVE-2016-20017 (CVSS-Wertung: 9.8)D-Link DSL-2750B GerätBefehlsinjektionAnfälligkeit.
- CVE-2023-23752 (CVSS-Wertung: 5.3)Schwachstelle in der Zugriffskontrolle.
Die Sicherheitslücke CVE-2023-41990 wurde von Apple in iOS 15.7.8 und iOS 16.3 behoben, wurde jedoch von unbekannten Angreifern (über einen manipulierten iMessage-PDF-Anhang) für einen "Triangulations"-Spyware-Angriff ausgenutzt.Entfernte Code-Ausführung.
Die CISA empfiehlt den Bundesbehörden der Zivilen Exekutive (Federal Civil Executive Branch, FCEB), bis zum 29. Januar 2024 Korrekturen für die oben genannten Schwachstellen anzuwenden, um ihre Netzwerke vor aktiven Bedrohungen zu schützen.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/cisa-aktualisiert-kev-katalog-mit-6-sicherheitslucken-html