Startseite " CISA nimmt drei neue Sicherheitslücken in die Liste der gefährlichsten" Sicherheitslücken auf: Was Sie wissen müssen

CISA nimmt drei neue Sicherheitslücken in die Liste der gefährlichsten" Sicherheitslücken auf: Was Sie wissen müssen

März 19, 2025 - César Daniel Barreto

Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat soeben den neuesten KEV-Katalog (Known Exploited Vulnerabilities) mit drei neuen Sicherheitsschwachstellen veröffentlicht, die Hacker derzeit ausnutzen, um in Systeme einzudringen. Die Bedeutung dieser Bekanntmachung liegt in der Tatsache begründet, dass die CISA-Warnungen nicht auf eine theoretische Situation hinweisen - diese Schwachstellen sind definitiv in dem Sinne, dass sie tatsächlich für reale Angriffe ausgenutzt werden.

Was wurde hinzugefügt?

Lassen Sie uns diese drei Schwachstellen in die Alltagssprache übersetzen:

1. Sicherheitslücke bei Edimax IP-Kameras (CVE-2025-1316)

Edimax IP-Kamera Sicherheitslücke

Das erwähnte Sicherheitsproblem in die Edimax IC-7100 Sicherheitskameras bezieht sich auf die so genannte "Befehlsinjektion". Die Idee dahinter ist, dass Angreifer die Kamera dazu bringen können, schädlichen Code auszuführen. Wenn diese Kameras zu Hause oder im Büro installiert sind, könnten sie von nicht autorisierten Benutzern ins Visier genommen werden, die sich Zugriff auf Ihre Kamera-Feeds verschaffen, Einstellungen ändern oder diese Kameras für Angriffe auf andere Geräte in Ihrem Netzwerk verwenden könnten.

2. Sicherheitslücke in der NAKIVO Backup-Software (CVE-2024-48248)

Sicherheitslücke in der NAKIVO Backup Software

NAKIVO entwickelt Sicherungs- und Wiederherstellungslösungen, die von vielen Unternehmen zum Schutz ihrer Daten eingesetzt werden. Die betreffende Schwachstelle wird als "absolute PfadverfolgungDadurch können sich Angreifer Zugang zu Dateien verschaffen, die sie nicht sehen sollen. Dies ist besonders riskant bei Sicherungssoftware, da die Sicherungen oft sensible Daten enthalten. Angreifer, die diese Sicherheitslücke ausnutzen, können möglicherweise auf die gesicherten Daten zugreifen, sie stehlen oder löschen.

3. SAP NetWeaver Sicherheitslücke (CVE-2017-12637)

SAP NetWeaver Sicherheitslücke

Dies ist besonders kritisch, da es aus dem Jahr 2017 stammt, was eine ziemlich lange Zeit zurückliegt - also fast acht Jahre. SAP NetWeaver ist eine der Technologieplattformen, die verschiedene wichtige Geschäftsanwendungen ausführen. Diese Lücke ist genau die Art von Sache, die eine "Directory Traversal", durch die Eindringlinge Zugriff auf unzulässige Dateien und Verzeichnisse erlangen konnten. Die Tatsache, dass viele Systeme auch nach so vielen Jahren noch nicht von dem Patch betroffen sind, ist der Grund, warum Angreifer ihn jetzt ausnutzen.

Warum dies für alle wichtig ist

Obwohl die Richtlinien der CISA nur für Bundesbehörden verbindlich sind, gilt ihr KEV-Katalog als die aktuellste Quelle für die Auswahl der wichtigsten zu behebenden Fehler. Sobald ein Fehler in dieser Liste enthalten ist, bedeutet dies Folgendes:

  • Hacker nutzen diese Schwachstellen
  • Die Angriffe sind so erfolgreich, dass sie bereits die nationale Ebene erreicht haben
  • Der potenzielle Schaden durch diese Schwachstellen ist erheblich

Was sollten Sie tun?

Für Heimanwender:

  • Wenn Sie Edimax-Kameras besitzen, überprüfen Sie auf der Website des Herstellers, ob Firmware-Updates veröffentlicht wurden.
  • Vergewissern Sie sich, dass Ihre Geräte mit allen erforderlichen Sicherheits-Patches ausgestattet sind.
  • Denken Sie an die brandneuen alten Geräte, die wahrscheinlich nicht mehr die Sicherheits-Patches erhalten

Für Geschäftskunden:

  • Geben Sie in Ihrem Inventar an, welche Produkte (Edimax-Kameras, NAKIVO-Backup-Software oder SAP NetWeaver) in Ihrem Unternehmen verwendet werden.
  • Setzen Sie das Patchen dieser Systeme ganz oben auf Ihre To-Do-Liste
  • Wenn Sie den Patch nicht sofort installieren können, sollten Sie versuchen, den potenziellen Schaden zu minimieren, indem Sie den Rest des Netzwerks durch Netzwerksegmentierung isolieren
  • Gehen Sie Ihre Backup-Routinen durch, um sicherzustellen, dass Sie nicht infizierte Kopien haben, die Sie im Falle eines Verstoßes wiederherstellen können.

Für IT-Fachleute:

  • Nutzen Sie die KEV-Katalog von CISAdie praktisch eine Scorecard für Ihr Schwachstellenmanagementprogramm ist
  • Vergessen Sie bei der Aktualisierung nicht alte Systeme, auf denen möglicherweise veraltete Versionen der SAP NetWeaver-Plattform laufen.
  • Vielleicht sollten Sie dazu übergehen, die sehr wichtigen Systeme häufiger auf Sicherheitslücken zu überprüfen
  • In diesem Fall sollten Sie sich in Windeseile einen Plan zurechtlegen, wie Sie mit den kritischsten Situationen umgehen können, solange sie sich noch in der Gegenwart befinden

Das Beispiel einer Schwachstelle von vor 8 Jahren ist eine gute Lektion, um zu verstehen, dass der Prozess der Cybersicherheit ist unaufhörlich. Es gibt viele Unternehmen, die noch ältere Software verwenden, die bekannte Schwachstellen haben könnte, und das führt dazu, dass Angreifer ein Problem haben. Dies erfordert regelmäßige Aktualisierungen der Software und der Systeme sowie Patches und Sicherheitsbewertungen, die für die funktionierenden Maschinen durchgeführt werden können.

Denken Sie daran, dass es sich bei der Aktualisierung des KEV-Katalogs durch die KAG nicht nur um eine weitere Schwachstelle handelt, sondern um eine Sicherheitslücke, die Angreifer derzeit häufig nutzen, um Daten zu infizieren und zu stehlen. Seien Sie schnell und gehören Sie zu einer neuen Verwaltung, die nicht durch eine Malware-Verletzung in Schwierigkeiten geraten wird.

Autorenavatar

César Daniel Barreto

César Daniel Barreto ist ein geschätzter Cybersecurity-Autor und -Experte, der für sein fundiertes Wissen und seine Fähigkeit, komplexe Cybersicherheitsthemen zu vereinfachen. Mit seiner umfassenden Erfahrung in den Bereichen Netzwerk Netzwerksicherheit und Datenschutz schreibt er regelmäßig aufschlussreiche Artikel und Analysen über die neuesten Trends in der Cybersicherheit, um sowohl Fachleute als auch die Öffentlichkeit zu informieren.

de_DE_formalGerman