26. März 2025
Beschreibung
Im Kubernetes Ingress NGINX Controller, einer Kernkomponente von
Kubernetes, wurden mehrere kritische Sicherheitslücken entdeckt. Diese
ermöglichen unter anderem unauthentifizierte Remote Code Execution
(RCE) und unberechtigten Zugriff auf Secrets.
CVE-Nummern: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514,
CVE-2025-1974, CVE-2025-24513
CVSS Score: 9.8 (kritisch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung beliebigen Code ausführen und auf sensible
Informationen zugreifen. Dies ermöglicht potenziell eine vollständige
Kompromittierung von Kubernetes-Clustern, die den verwundbaren Ingress
NGINX Controller verwenden.
Betroffene Systeme
Betroffen sind vor den Versionen 1.12.1 und 1.11.5 veröffentlichte
Versionen des Ingress NGINX Controllers.
Abhilfe
Die am 25. März 2025 veröffentlichten Versionen 1.12.1 und 1.11.5 des
Ingress NGINX Controllers beheben diese Sicherheitslücken. Es wird
dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann durch die Deaktivierung des
Validating Admission Controller Features das Risiko signifikant
reduziert werden.
* Für Installationen via Helm:
+ Neuinstallation mit dem
Parameter controller.admissionWebhooks.enabled=false
* Für manuelle Installationen
+ Löschen der ValidatingWebhookconfiguration mit dem
Namen ingress-nginx-admission
+ Bearbeiten des Ingress NGINX Controller Deployments oder
DaemonSets und Entfernen des
Parameters --validating-webhook aus der Argumentliste des
Controller-Containers
Generell sollte der Netzwerkzugriff auf den Validierungs-Webhook des
Ingress NGINX Controllers eingeschränkt werden, und nur vom Kubernetes
API-Server aus erreichbar sein. Jeder andere Zugriff sollte als nicht
vertrauenswürdig eingestuft werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Kubernetes Blog:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-CVE-2025-1974
Wiz Blog:
http://wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
20. März 2025
Beschreibung
CERT.at beobachtet weiterhin eine Welle von Ransomware-Angriffen, bei
denen Cyberkriminelle bekannte kritische Schwachstellen in FortiOS- und
FortiProxy-Geräten gezielt ausnutzen. Die Schwachstellen ermöglichen es
Angreifern, unauthentifiziert super_admin-Rechte auf verwundbaren
Geräten zu erlangen und langfristige Persistenz einzurichten.
Besonders auffällig ist, dass die Angreifer nach der erfolgreichen
Infektion und Einrichtung ihrer Persistenz die Software betroffener
Geräte selbst aktualisieren. Dies dient der Verschleierung und
verhindert, dass weitere Angreifer dieselbe Sicherheitslücke erneut
ausnutzen können. Organisationen könnten daher fälschlicherweise
annehmen, dass ihre Systeme sicher und aktuell gepatcht seien, obwohl
sie bereits kompromittiert sind.
CVE-Nummer(n): CVE-2024-55591, CVE-2025-24472
Auswirkungen
Angreifer können durch Ausnutzung der Schwachstellen vollständigen
administrativen Zugriff auf anfällige Fortinet-Geräte erlangen. In
beobachteten Angriffen erstellen die Angreifer persistente
Administrator-Accounts, laden Konfigurationsdateien herunter, erlangen
VPN-Zugang und bewegen sich lateral im Netzwerk. Das endgültige Ziel
ist die Verbreitung von Ransomware.
Die Angriffe können zu folgenden Schäden führen:
* Vollständige Kompromittierung der Netzwerk-Sicherheitsinfrastruktur
* Datendiebstahl vor der Verschlüsselung
* Verschlüsselung von kritischen Servern und Dateien
* Erpressung durch Lösegeldforderungen
Betroffene Systeme
* FortiOS-Geräte in Versionen unterhalb von 7.0.16 mit exponierten
Management-Schnittstellen, aber auch bereits gepatchte mit
Persistenz
Abhilfe
CERT.at empfiehlt dringend:
* Sofortige forensische Untersuchung aller Fortinet-Geräte, die nach
dem 27. Jänner 2025 noch verwundbar waren, auch wenn diese
inzwischen vermeintlich gepatcht erscheinen.
* Überprüfung und Löschung unbekannter Administrator- und VPN-Konten
sowie verdächtiger Automatisierungsaufgaben.
* Konsequente Beschränkung des externen Zugriffs auf
Management-Schnittstellen.
* Sofortige Aktualisierung aller FortiOS-Geräte auf Versionen, die
die Schwachstellen CVE-2024-55591 und CVE-2025-24472 beheben,
sofern nicht bereits geschehen.
Hinweis
Wir haben die Betreiber von verwundbaren Geräten erneut über die uns
bekannten Abuse-Kontakte informiert.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Blog von Forescout Research - Vedere Labs (englisch)
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vu…
Fortinet Advisory FG-IR-24-535 (englisch)
https://www.fortiguard.com/psirt/FG-IR-24-535
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
04. März 2025
Beschreibung
In VMware ESXi, Workstation und Fusion existieren mehrere kritische
Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden.
Diese ermöglichen unter anderem die Ausführung von beliebigem Code und
die Offenlegung von Informationen.
CVE-Nummer(n): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
CVSS Base Score: bis zu 9.3 (kritisch)
Auswirkungen
Die schwerwiegendste Schwachstelle (CVE-2025-22224, CVSS 9.3) ist ein
"Time of Check – Time of use" (TOCTOU)-Fehler, der zu einem
Heap-Überlauf führt. Angreifer mit Administratorrechten in einer
virtuellen Maschine können darüber Code im VMX-Prozess auf dem Host
ausführen und somit aus der VM ausbrechen.
Die zweite Schwachstelle (CVE-2025-22225, CVSS 8.2) ermöglicht
beliebige Schreibzugriffe. Mit Berechtigungen innerhalb des
VMX-Prozesses können Angreifer Kernel-Schreiboperationen auslösen und
aus der Sandbox ausbrechen.
Die dritte Schwachstelle (CVE-2025-22226, CVSS 7.1) erlaubt das
unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb
vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Damit
können Angreifer mit Admin-Rechten in einer VM Speicherinhalte aus dem
VMX-Prozess auslesen.
Betroffene Systeme
* VMware ESXi 8.0 und 7.0
* VMware Workstation Pro / Player 17.x
* VMware Fusion 13.x
* VMware Cloud Foundation 5.x und 4.5.x
* VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
* VMware Telco Cloud Infrastructure 3.x, 2.x
Abhilfe
VMware stellt für die betroffenen Produkte Sicherheitsupdates bereit,
deren umgehende Installation dringend empfohlen wird:
ESXi 8.0: ESXi80U3d-24585383 oder ESXi80U2d-24585300
ESXi 7.0: ESXi70U3s-24585291
Workstation: Version 17.6.3
Fusion: Version 13.6.3
Cloud Foundation 5.x und 4.5.x: Async Patches entsprechend der
Versionen
Telco Cloud Platform: Siehe KB389385
Der Hersteller gibt an, dass es keine Workarounds gibt, daher ist die
Installation der Sicherheitsupdates die einzige Schutzmöglichkeit.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Warnung von VMware (englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/externa…
FAQ zu den Schwachstellen (englisch)
https://brcm.tech/vmsa-2025-0004
Artikel bei Heise:
https://www.heise.de/news/Kritische-Luecke-in-VMware-ESXi-Fusion-und-Workst…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien