Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ihrer Liste „Known Exploited Vulnerabilities Catalog“ 17 neue Schwachstellen hinzugefügt.
Diese Schwachstellen werden aktiv ausgenutzt, daher möchte die Agentur, dass sich ihre der zivilen Exekutive des Bundes unterstellten Büros vor ihnen schützen, indem sie Patches oder Workarounds bereitstellen. 10 der 17 aufgeführten Schwachstellen müssen bis zur ersten Februarwoche gesichert werden, sagte CISA.
CISAs Katalog bekannter ausgenutzter Schwachstellen
In regelmäßigen Abständen veröffentlicht die Cybersecurity and Infrastructure Security Agency (CISA) der USA eine aktualisierte Katalog bekannter ausgenutzter Schwachstellen“, wo Sicherheitslücken aufgelistet werden, die derzeit aktiv ausgenutzt werden. Und diese Woche hat die Agentur 17 neue Schwachstellen zur Liste hinzugefügt.
Diese ermöglichen es Bedrohungsakteuren laut CISA, verschiedene Angriffe durchzuführen, wie etwa die Remote-Ausführung von Befehlen, den Diebstahl von Anmeldeinformationen und sensiblen Informationen, den Zugriff auf Netzwerke sowie das Herunterladen und Ausführen von Malware.. Da diese in freier Wildbahn missbraucht werden, möchte CISA, dass die Behörden der Federal Civilian Executive Branch (FCEB) unverzüglich dagegen vorgehen.
10 der insgesamt 17 neuen Schwachstellen, die jetzt hinzugefügt wurden, sind von hoher Risikoqualität. Daher erklärte CISA, dass diese 10 bemerkenswerten Schwachstellen bis zur ersten Februarwoche gepatcht werden müssten. Insgesamt sind dies die 17 Schwachstellen, die der neuen verbindlichen Betriebsrichtlinie (BOD) 22-01 hinzugefügt wurden:
CVE-Nummer | CVE-Titel | Fälligkeitsdatum für erforderliche Aktion |
CVE-2021-32648 | Oktober CMS Unsachgemäße Authentifizierung | 01.02.2022 |
CVE-2021-21315 | Systeminformationsbibliothek für die Sicherheitslücke bei der Befehlsinjektion von node.js | 01.02.2022 |
CVE-2021-21975 | Serverseitige Anforderungsfälschung in der API-Sicherheitslücke von vRealize Operations Manager | 01.02.2022 |
CVE-2021-22991 | Sicherheitslücke durch Pufferüberlauf im Mikrokernel des BIG-IP-Datenverkehrs | 01.02.2022 |
CVE-2021-25296 | Sicherheitslücke bei der Befehlsinjektion im Nagios XI OS | 01.02.2022 |
CVE-2021-25297 | Sicherheitslücke bei der Befehlsinjektion im Nagios XI OS | 01.02.2022 |
CVE-2021-25298 | Sicherheitslücke bei der Befehlsinjektion im Nagios XI OS | 01.02.2022 |
CVE-2021-33766 | Sicherheitslücke bei der Offenlegung von Informationen in Microsoft Exchange Server | 01.02.2022 |
CVE-2021-40870 | Aviatrix Controller: Uneingeschränkter Upload von Dateischwachstellen | 01.02.2022 |
CVE-2021-35247 | SolarWinds Serv-U: Sicherheitslücke bei unsachgemäßer Eingabeüberprüfung | 02.04.2022 |
CVE-2020-11978 | Sicherheitslücke bei der Befehlsinjektion in Apache Airflow | 18.07.2022 |
CVE-2020-13671 | Drupal Core: Uneingeschränkter Upload von Dateischwachstellen | 18.07.2022 |
CVE-2020-13927 | Sicherheitslücke bei der Umgehung der experimentellen API-Authentifizierung von Apache Airflow | 18.07.2022 |
CVE-2020-14864 | Sicherheitslücke bei Path Traversal in Oracle Corporate Business Intelligence Enterprise Edition | 18.07.2022 |
CVE-2006-1547 | Apache Struts 1 ActionForm Denial of Service-Sicherheitslücke | 21.07.2022 |
CVE-2012-0391 | Apache Struts 2: Sicherheitslücke bei unsachgemäßer Eingabevalidierung | 21.07.2022 |
CVE-2018-8453 | Sicherheitslücke bei der Rechteausweitung in Microsoft Windows Win32k | 21.07.2022 |
Diese Offenlegung soll das erhebliche Risiko bekannter ausgenutzter Schwachstellen verringern, sagt CISA. Die aktualisierte Liste umfasst nun insgesamt etwa 341 Schwachstellen.