Viele Sicherheitslücken aus 2021 auch 2022 aktuell
Alte und neue Sicherheitslücken bedrohen IT-Sicherheit: Patchen erfordert auch Eigeninitiative von Anwendenden
Viele Sicherheitslücken aus 2021 sind auch 2022 noch aktuell und noch lange nicht gänzlich behoben
Software ist überall im Einsatz: Der Außendienst nutzt Smartphones und Notebooks, im Büro erfolgt die Arbeit mit Workstations und E-Mails werden über E-Mail-Server und Clients versendet. Befinden sich Sicherheitslücken in der verwendeten Software, haben es Cyberkriminelle relativ leicht, an Informationen, Daten oder Zugänge zu kommen. Deshalb ist es unabdingbar, immer über Patches informiert zu sein.
"Sicherheitslücken können verschiedene Auswirkungen haben: Vom Verteilen von Malware über das Abgreifen von wertvollen Informationen bis hin zur Übernahme von Systemen ist vieles möglich. Leider vergeht immer einige Zeit zwischen dem Feststellen einer Sicherheitslücke bis zur Bereitstellung eines Patches, der diese schließen soll. In diesem Zeitraum können Sicherheitslücken bereits ausgenutzt werden, in anderen Fällen werden Cyberkriminelle auf Schwachstellen erst aufmerksam, wenn Sicherheits-Patches bereitstehen. Und nicht immer reicht ein Patch aus, um sämtliche Sicherheitslücken zu schließen", so Patrycja Schrenk, Geschäftsführerin der PSW Group. Die IT-Sicherheitsexpertin und ihr Team haben die bedrohlichsten Sicherheitslücken, für die es jedoch bereits Patches gibt, zusammengestellt:
Alte und neue Sicherheitslücken aus 2021 und 2022
Viele Sicherheitslücken aus 2021 sind auch 2022 noch aktuell und noch lange nicht gänzlich behoben. Dazu gehören vor allem die Lücken auf dem Update-Server der IT-Management-Software Orion aus dem Hause SolarWinds, Schwachstellen in Microsofts Exchange Server, die dafür sorgten, dass das Bundesamt für Sicherheit in der Informationstechnik im letzten Jahr sogar die IT-Bedrohungslage "rot" ausrief, sowie die Log4j-Sicherheitslücke, über die es Angreifenden gelingt, remote Code zu injizieren. "Und auch in diesem Jahr können Administratoren nicht durchatmen, denn schon sind zahlreiche neue Sicherheitslücken aufgetaucht. OpenSSL bleibt durch eine neue Schwachstelle weiterhin verwundbar, es tauchten Sicherheitslücken in der Backup-Software Veeam Backup & Replication sowie in der IBM-Backup-Software Spectrum Protect auf und auf Lenovo Notebooks wurden gleich drei gefährliche Schwachstellen entdeckt", warnt Patrycja Schrenk.
So sorgt nach 2014 eine neue Schwachstelle in OpenSSL für neuerliche Verwundbarkeit: Die jetzige Lücke erlaubt es Angreifenden, Clients und Server durch präparierte TLS-Zertifikate lahmzulegen. Damit das gelingt, müssen Angreifende dafür sorgen, dass durch sie präparierte TLS-Zertifikate beziehungsweise private Schlüssel mit elliptischen Kurven von Servern verarbeitet werden. Die mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke findet sich in den OpenSSL-Versionen 1.0.2, 1.1.1 sowie 3.0. "Wir empfehlen dringend ein zeitnahes Update auf die abgesicherten Ausgaben 1.1.1n oder 3.0.2. Für die 1.1.0-Version ist der Support bereits ausgelaufen, sodass es hierfür keine Sicherheitspatches mehr gibt", ergänzt die IT-Sicherheitsexpertin.
Im März dieses Jahres fielen Sicherheitslücken in der Backup-Software Veeam Backup & Replication sowie in der IBM-Backup-Software Spectrum Protect auf. In beiden Fällen konnten Angreifende die Kontrolle über die Systeme übernehmen. Veeam Backup & Replication stufen zwei Sicherheitslücken als "kritisch" ein und haben die abgesicherte Versionen 10a sowie 11a veröffentlicht. IBM hat auf seiner Website die fehlerbereinigte Version 8.1.14.100 der Backup-Software Spectrum Protect zum Donwload bereitgestellt.
"Sicherheitsanbieter ESET fand Ende letzten Jahres gleich drei gefährliche Schwachstellen auf Lenovo-Geräten, durch die es Angreifenden beispielsweise möglich wäre, Malware einzuschleusen. Die Backdoors, die durch Angreifende ausgenutzt werden könnten, stammen übrigens von Lenovo selbst: Sie sollten eigentlich ausschließlich beim Fertigungsprozess zugänglich sein. Ein Fehler jedoch sorgte dafür, dass die Hintertüren in die BIOS-Images übernommen wurden, die an Kundinnen und Kunden ausgeliefert wurden", erzählt Patrycja Schrenk. Inzwischen wurden auch hier Patches veröffentlicht.
Sicherheitslücken zeitnah zu patchen verlangt auch Eigeninitiative
"Um Sicherheitslücken zu schließen bedarf es vor allem auch Eigeninitiative von Anwendenden", meint Patrycja Schrenk. "Sobald Patches von den Software-Herstellern bereitstehen, müssen diese auch eingespielt werden", so die Expertin weiter. Dabei gibt es verschiedene Mittel und Wege, sich regelmäßig über eventuelle Sicherheitslücken, Update und Patches bei der verwendeten Software zu informieren. "Jeder Anwendende kann für seine Software automatische Benachrichtigungen einrichten, beispielsweise Google Alerts, Talkwalker Alerts oder auch den heise Security-Alerts-Service. Hilfreich ist es auch, sich regelmäßig die Sicherheitswarnungen des BSI anzusehen oder diese zu abonnieren. Das BSI hat hierfür einen E-Mail-Service eingerichtet, sodass garantiert keine Warnung verpasst wird", gibt Patrycja Schrenk einen Tipp. (PSW Group: ra)
eingetragen: 01.05.22
Newsletterlauf: 28.06.22
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
