Jetzt patchen! Diese Sicherheitslücken könnten längst geschlossen sein, aber …

Die Sicherheitsbehörde der USA Cybersecurity & Infrastructure Security Agency (CISA) hat ihre Liste von bekannten Sicherheitslücken, die Angreifer derzeit ausnutzen, um 15 Einträge erweitert. Der Katalog umfasst mittlerweile über 450 Einträge. Darunter sind jede Menge als "kritisch" eingestufte Schwachstellen. Sicherheitspatches sind in der Regel verfügbar, aber offensichtlich noch nicht flächendeckend installiert.

Alt, aber immer noch aktuell

Admins sollten die Liste genaustens studieren und umgehend handeln, wenn sie betroffene Software einsetzen. In dem Katalog finden sich unter anderem zwölf Jahre alte Sicherheitslücken, etwa in SAP NetWeaver AS (CVE-2010-5326 "kritisch" CVSS Score 10 von 10). In diesem Beispiel könnten entfernte Angreifer Schadcode auf verwundbaren Computern ausführen. Das geht in der Regel mit der vollständigen Kompromittierung von Systemen einher.

Von Apple über Google bis Microsoft ist nahezu jeder große Softwarehersteller mehrfach in dem Katalog vertreten. Einer aktuellen Meldung zufolge hat die CISA kürzlich unter anderem Schwachstellen in VMware vCenter Server (CVE-2021-22-017 "mittel"), Fortinet FortiOS (CVE-2018-13382 "hoch") und Exim Mail Transfer Agent (CVE-2019-10149 "kritisch") hinzugefügt.

Immer auf dem aktuellen Stand

Um nichts zu verpassen, können Admins sich automatisch via Mail über neue Einträge informieren lassen. Die Liste steht auch als CSV- und JSON-Version zum Download bereit.

Wie Sie Cloud-Umgebungen, Computer und Netzwerke effektiv vor Attacken schützen, erfahren Sie im März 2022 auf der Security-Konferenz secIT 2022. Dort halten von c't, heise Security und iX ausgewählte Referenten und Referentinnen spannende und werbefreie Vorträge und Workshops. Dabei stehen hilfreiche Fakten und Handlungsweisen im Vordergrund.

(des)