24.02.2025 Security Bulletin #1

Datenticker
1

Sicherheitsanfälligkeit CVE-2025-24989 in Microsoft Power Pages

Zusammenfassung:
Die Sicherheitslücke CVE-2025-24989 betrifft Microsoft Power Pages und ermöglicht eine Erhöhung von Berechtigungen über einen Netzwerkangriff. Aufgrund unzulänglicher Zugriffskontrollen (CWE-284) kann ein nicht authentifizierter Angreifer Benutzerregistrierungen umgehen und dadurch unautorisierte Zugriffsrechte erlangen. Microsoft hat die Schwachstelle als kritisch eingestuft (CVSS 8.2/7.1).

Details:

  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Vertraulichkeit: Niedrig
  • Integrität: Hoch
  • Verfügbarkeit: Keine Einschränkung

Status & Maßnahmen:

  • Die Schwachstelle wurde ausgenutzt, jedoch nicht öffentlich offengelegt.
  • Microsoft hat die Registrierungskontrolle angepasst, um die Anfälligkeit zu schließen.
  • Betroffene Kunden wurden benachrichtigt und erhalten Anweisungen zur Überprüfung sowie Maßnahmen zur Bereinigung.
  • Falls keine Benachrichtigung vorliegt, ist die eigene Umgebung nicht betroffen.

Empfehlung:

  • Überprüfung der bereitgestellten Microsoft-Anweisungen für betroffene Kunden.
  • Sicherstellen, dass alle relevanten Updates eingespielt wurden.
  • Regelmäßige Kontrolle der Zugriffskontrollen in Power Pages.

Quelle: Microsoft Security Response Center (MSRC)

Atlassian Security Bulletin – 18. Februar 2025

Zusammenfassung:
Der Security Bulletin für Februar 2025 enthält fünf kritische sowie sieben hochgradige Sicherheitslücken, die in nicht-Atlassian-Abhängigkeiten entdeckt wurden. Atlassian bewertet das Risiko für seine Anwendungen als geringer und veröffentlicht die Schwachstellen daher nicht als Critical Security Advisory, sondern im monatlichen Bulletin.

Details:

  • Betroffene Komponenten: Nicht-Atlassian-Abhängigkeiten
  • Schweregrad:
    • 5 kritische Schwachstellen
    • 7 hochgradige Schwachstellen
  • Erkennungsquellen:
    • Bug-Bounty-Programm
    • Penetrationstests
    • Third-Party-Library-Scans

Empfohlene Maßnahmen:

  • Patch-Management: Kunden sollten ihre Instanzen auf die neuesten Versionen oder eine der genannten Fixed Versions aktualisieren.
  • Überprüfung der betroffenen Produkte: Die Fixes wurden in den letzten Monaten veröffentlicht – aktuelle Versionen sind den Release Notes der jeweiligen Produkte zu entnehmen.
  • Unterschied zu Critical Security Advisories: Sicherheitslücken in den Bulletins haben eine geringere Priorität. Kritische Updates werden unabhängig vom monatlichen Bulletin veröffentlicht.

Weiterführende Informationen:

  • Kunden sollten regelmäßig den Vulnerability Disclosure Portal von Atlassian prüfen, um ihre Produktversionen auf bekannte Sicherheitslücken zu überprüfen.
  • Der Security Bulletin ist kein Ersatz für hochpriorisierte Sicherheitsmeldungen, sondern dient als zusätzliche Transparenzmaßnahme.

Quelle: Atlassian Security Bulletin – 18. Februar 2025

Ghost (Cring) Ransomware (AA25-050A)

Zusammenfassung:
Die FBI, CISA und MS-ISAC warnen in einem gemeinsamen Advisory vor der Ransomware Ghost (Cring), die seit 2021 aktiv ist und Netzwerke weltweit angreift. Ziel sind insbesondere veraltete und ungepatchte Software-Versionen. Die Akteure hinter Ghost sind in China ansässig und fokussieren sich auf finanzielle Erpressung. Betroffen sind kritische Infrastrukturen, Unternehmen, Hochschulen, Gesundheitseinrichtungen und Regierungsnetzwerke in über 70 Ländern.

Technische Details:

  • Angriffsvektor:
    • Nutzung öffentlicher Schwachstellen in Fortinet, Adobe ColdFusion, Microsoft SharePoint & Exchange.
    • Bekannte Exploits: CVE-2018-13379, CVE-2010-2861, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
  • Taktiken & Techniken (MITRE ATT&CK):
    • Initial Access: Exploit von öffentlich zugänglichen Diensten.
    • Ausführung: Nutzung von PowerShell und Cobalt Strike.
    • Lateral Movement: Windows Management Instrumentation (WMIC) & RDP.
    • Verschlüsselung: Ghost.exe, Cring.exe, ElysiumO.exe, Locker.exe.
    • Exfiltration: Begrenzte Datenübertragung über Cobalt Strike Team Servers oder Mega.nz.
  • Verhalten der Angreifer:
    • Schnelles Vorgehen: Vom Erstzugriff bis zur Ransomware-Depoyment oft innerhalb eines Tages.
    • Nutzung offener Quellen und legitimer Tools für Angriffe.
    • Verwendung von verschiedenen E-Mail-Adressen zur Erpressung.
    • Keine signifikante Datenausleitung, sondern primär Verschlüsselung.

Empfohlene Maßnahmen:

  • Regelmäßige & isolierte Backups (offline oder segmentiert).
  • Patch-Management: Kritische Sicherheitsupdates für Betriebssysteme, Software & Firmware installieren.
  • Netzwerksegmentierung, um laterale Bewegung zu erschweren.
  • Phishing-resistente Multi-Faktor-Authentifizierung (MFA) für privilegierte Konten.
  • Monitoring & Detektion:
    • Anomalien in Netzwerkaktivitäten analysieren.
    • Ungewöhnliche PowerShell- oder Command-Prompt-Nutzung identifizieren.
  • E-Mail-Sicherheit verbessern:
    • DMARC, DKIM & SPF zur Reduzierung von Spoofing.
    • Blockierung verdächtiger Anhänge & Filterung von Schad-E-Mails.
  • Sicherheitsmaßnahmen validieren:
    • Sicherheitsprogramm gegen MITRE ATT&CK-Techniken testen.
    • Angriffssimulationen durchführen, um Erkennungs- und Abwehrfähigkeiten zu optimieren.

Hinweise:

  • Ghost-Ransomware löscht Windows-Event-Logs & Schattenkopien, um Wiederherstellung zu verhindern.
  • Lösegeldzahlung wird nicht empfohlen, da dies weitere Angriffe fördert.
  • Vorfälle sollten umgehend an FBI, CISA oder MS-ISAC gemeldet werden.

Quelle:
#StopRansomware: Ghost (Cring) Ransomware – FBI/CISA/MS-ISAC Advisory

TOP CVE > 8.0

  • CVE-2024-43337 betrifft Gitea und ermöglicht das Umgehen von Sicherheitsvorkehrungen. Die Schwachstelle wurde mit einem CVSS-Wert von 9.1 als kritisch eingestuft. Weitere Informationen sind unter Warn- und Informationsdienst verfügbar.
  • CVE-2023-5244 betrifft GNU Emacs und erlaubt eine unerlaubte Codeausführung. Die Schwachstelle wird mit einem CVSS-Wert von 8.8 bewertet.
  • CVE-2025-26466 und CVE-2025-26465 betreffen OpenSSH und umfassen mehrere Schwachstellen, die zu Sicherheitsrisiken führen können. Diese wurden mit einem CVSS-Wert von 8.7 bewertet. Weitere Informationen sind unter Warn- und Informationsdienst verfügbar.
  • CVE-2025-21614 und CVE-2025-21613 betreffen Red Hat Enterprise Linux und OpenShift (go-git) und umfassen mehrere Schwachstellen. Diese werden mit einem CVSS-Wert von 8.1 eingestuft.
  • CVE-2023-1094 betrifft PostgreSQL und ermöglicht SQL-Injection und Codeausführung. Diese Schwachstelle hat einen CVSS-Wert von 8.1.