De Amerikaanse overheid heeft een waarschuwing gegeven voor actief misbruikte kwetsbaarheden in SAP en Windows waarvan eerder nog niet bekend was dat ze bij aanvallen werden ingezet. Federale Amerikaanse overheidsinstanties zijn verplicht om de updates voor 8 september te installeren.
Begin dit jaar kwam SAP met een update voor een kwetsbaarheid (CVE-2022-22536) in SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server en SAP Web Dispatcher. Een onderdeel van de software is kwetsbaar voor "http request smuggling" en maakt het mogelijk voor een ongeauthenticeerde aanvaller om systemen op afstand over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Sap riep in februari organisaties op om de kwetsbaarheid direct te patchen.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers inmiddels actief misbruik van dit beveiligingslek om organisaties aan te vallen. Dat geldt ook voor twee kwetsbaarheden in Windows waar Microsoft in februari en mei van dit jaar updates voor uitbracht. Via een beveiligingslek in Active Directory Domain Services (CVE-2022-26923) kan een aanvaller met toegang tot een systeem een certificaat van Active Directory Certificate Services verkrijgen en zo zijn rechten verhogen tot die van SYSTEM.
Het andere beveiligingslek in Windows (CVE-2022-21971) laat een aanvaller lokaal willekeurige code uitvoeren, hoewel Microsoft spreekt over remote code execution. Aangezien het lek niet op afstand is te misbruiken heeft het een lagere impactscore en beoordeling gekregen. Verder waarschuwt het CISA federale organisaties ook voor actief aangevallen kwetsbaarheden in Google Chrome en Apple iOS en macOS, maar daarvan was al bekend dat er misbruik plaatsvindt.
Deze posting is gelocked. Reageren is niet meer mogelijk.