Technologische Neuigkeiten, Bewertungen und Tipps!

CISA listet 17 neue, aktiv ausgenutzte Schwachstellen auf und empfiehlt Patches

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ihrer Liste „Known Exploited Vulnerabilities Catalog“ 17 neue Schwachstellen hinzugefügt.

Diese Schwachstellen werden aktiv ausgenutzt, daher möchte die Agentur, dass sich ihre der zivilen Exekutive des Bundes unterstellten Büros vor ihnen schützen, indem sie Patches oder Workarounds bereitstellen. 10 der 17 aufgeführten Schwachstellen müssen bis zur ersten Februarwoche gesichert werden, sagte CISA.

CISAs Katalog bekannter ausgenutzter Schwachstellen

In regelmäßigen Abständen veröffentlicht die Cybersecurity and Infrastructure Security Agency (CISA) der USA eine aktualisierte Katalog bekannter ausgenutzter Schwachstellen“, wo Sicherheitslücken aufgelistet werden, die derzeit aktiv ausgenutzt werden. Und diese Woche hat die Agentur 17 neue Schwachstellen zur Liste hinzugefügt.

Diese ermöglichen es Bedrohungsakteuren laut CISA, verschiedene Angriffe durchzuführen, wie etwa die Remote-Ausführung von Befehlen, den Diebstahl von Anmeldeinformationen und sensiblen Informationen, den Zugriff auf Netzwerke sowie das Herunterladen und Ausführen von Malware.. Da diese in freier Wildbahn missbraucht werden, möchte CISA, dass die Behörden der Federal Civilian Executive Branch (FCEB) unverzüglich dagegen vorgehen.

10 der insgesamt 17 neuen Schwachstellen, die jetzt hinzugefügt wurden, sind von hoher Risikoqualität. Daher erklärte CISA, dass diese 10 bemerkenswerten Schwachstellen bis zur ersten Februarwoche gepatcht werden müssten. Insgesamt sind dies die 17 Schwachstellen, die der neuen verbindlichen Betriebsrichtlinie (BOD) 22-01 hinzugefügt wurden:

CVE-Nummer CVE-Titel Fälligkeitsdatum für erforderliche Aktion
CVE-2021-32648 Oktober CMS Unsachgemäße Authentifizierung 01.02.2022
CVE-2021-21315 Systeminformationsbibliothek für die Sicherheitslücke bei der Befehlsinjektion von node.js 01.02.2022
CVE-2021-21975 Serverseitige Anforderungsfälschung in der API-Sicherheitslücke von vRealize Operations Manager 01.02.2022
CVE-2021-22991 Sicherheitslücke durch Pufferüberlauf im Mikrokernel des BIG-IP-Datenverkehrs 01.02.2022
CVE-2021-25296 Sicherheitslücke bei der Befehlsinjektion im Nagios XI OS 01.02.2022
CVE-2021-25297 Sicherheitslücke bei der Befehlsinjektion im Nagios XI OS 01.02.2022
CVE-2021-25298 Sicherheitslücke bei der Befehlsinjektion im Nagios XI OS 01.02.2022
CVE-2021-33766 Sicherheitslücke bei der Offenlegung von Informationen in Microsoft Exchange Server 01.02.2022
CVE-2021-40870 Aviatrix Controller: Uneingeschränkter Upload von Dateischwachstellen 01.02.2022
CVE-2021-35247 SolarWinds Serv-U: Sicherheitslücke bei unsachgemäßer Eingabeüberprüfung 02.04.2022
CVE-2020-11978 Sicherheitslücke bei der Befehlsinjektion in Apache Airflow 18.07.2022
CVE-2020-13671 Drupal Core: Uneingeschränkter Upload von Dateischwachstellen 18.07.2022
CVE-2020-13927 Sicherheitslücke bei der Umgehung der experimentellen API-Authentifizierung von Apache Airflow 18.07.2022
CVE-2020-14864 Sicherheitslücke bei Path Traversal in Oracle Corporate Business Intelligence Enterprise Edition 18.07.2022
CVE-2006-1547 Apache Struts 1 ActionForm Denial of Service-Sicherheitslücke 21.07.2022
CVE-2012-0391 Apache Struts 2: Sicherheitslücke bei unsachgemäßer Eingabevalidierung 21.07.2022
CVE-2018-8453 Sicherheitslücke bei der Rechteausweitung in Microsoft Windows Win32k 21.07.2022

Diese Offenlegung soll das erhebliche Risiko bekannter ausgenutzter Schwachstellen verringern, sagt CISA. Die aktualisierte Liste umfasst nun insgesamt etwa 341 Schwachstellen.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.