Schnelle CVE-Mitigation durch Cato Security Research

OWASP definiert virtuelles Patching als „eine Maßnahme zur Durchsetzung von Sicherheitsrichtlinien, die die Ausnutzung einer bekannten Schwachstelle verhindert“. Cato führt das virtuelle Patching über die IPS-Ebene der Cato Single Pass Cloud Engine (SPACE) durch. Die Experten von Cato stellen neue IPS-Regeln auf, um sich schnell an neue CVEs anzupassen, ohne dass der Kunde selbst aktiv werden muss.

Ausgewählte kritische CVEs, die von Cato entschärft wurden

Name

Apache Struts 2 File Upload Remote Code Execution

CVE

CVE-2023-50164

Severity Score

9.8 (Critical)

Detect to Protect

1 Tag

Description

Remotecodeausführung über fehlerhafte Datei-Upload-Logik im Apache Struts 2-Webframework, die den Upload beliebiger Dateien und die Codeausführung ermöglicht

Detection

POC verfügbar – 12. Dezember 2023

Opt-in Protection

12. Dezember 2023

Global Protection

13. Dezember 2023

Name

Cisco IOS XE Web UI-Privilegienerweiterung-Sicherheitslücke

CVE

CVE-2023-20198

Severity Score

10 (Critical)

Detect to Protect

2 Tage

Description

Eine Privilegienerweiterung ist auf internetfähigen Cisco-Geräten möglich, die unter IOS XE laufen und die HTTP Web UI-Funktion nutzen.

Detection

POC verfügbar – 30. Oktober 2023 20:30 UTC

Opt-in Protection

31. Oktober 2023 um 20:00 Uhr UTC

Global Protection

1. November 2023 um 20:00 Uhr UTC

Name

cURL SOCKS5 Proxy-Heap-Buffer-Overflow

CVE

CVE-2023-38545

Severity Score

7.5 (High)

Detect to Protect

1 Tag und 3 Stunden

Description

Eine Heap-Buffer-Overflow-Schwachstelle in der Hostnamenauflösung während eines SOCKS5-Proxy-Handshake kann zur Ausführung von bösartigem Code durch eine anfällige libcurl-Implementierung führen

Detection

11. Oktober 2023 um 06:30 Uhr UTC

Opt-in Protection

11. Oktober 2023 um 20:00 Uhr UTC

Global Protection

12. Oktober 2023 um 9:30 Uhr UTC

Name

Atlassian Confluence-Datenzentrum- und Server-Privilegieneskalation-Schwachstelle

CVE

CVE-2023-22515

Severity Score

10 (Critical)

Detect to Protect

1 Tag und 23 Stunden

Description

In der On-Premises-Version von Atlassian Confluence Server & Data Center besteht eine Sicherheitslücke bezüglich der Privilegieneskalation, die es Angreifern ermöglicht, einen anfälligen Endpunkt auszunutzen, um nicht autorisierte Administratorbenutzer zu erstellen und sich Serverzugriff zu verschaffen

Detection

4. Oktober 2023 um 13:00 Uhr UTC

Opt-in Protection

5. Oktober 2023 um 11:00 Uhr UTC

Global Protection

6. Oktober 2023 um 12:00 Uhr UTC

Name

MOVEit Transfer SQLi

CVE

CVE-2023-34362

Severity Score

10 (Critical)

Detect to Protect

3 Tage und 6 Stunden

Description

Ein SQLi in der Managed File Transfer (MFT)-Lösung MOVEit Transfer von InProgress ermöglicht Angreifern die Ausführung von SQL-Befehlen und kann zur Installation einer speziellen Hintertür führen, die eine RCE-Attacke ermöglicht.

Detection

6. Juni 2023 um 8:00 Uhr

Opt-in Protection

8. Juni 2023 um 16:30 Uhr

Global Protection

9. Juni 2023 um 14:00 Uhr

Name

Microsoft Outlook Remote-Hash-Schwachstelle

CVE

CVE-2023-23397

Severity Score

9.8 (Critical)

Detect to Protect

0*

Description

Sicherheitslücke in Microsoft Outlook bezüglich der Erweiterung von Berechtigungen * Zur Nullzeit: Ausgehender SMB-Verkehr wird standardmäßig in der Firewall von Cato blockiert

Detection

3. März 2023 um 8:02 Uhr

Opt-in Protection

3. März 2023 um 8:02 Uhr

Global Protection

3. März 2023 um 8:02 Uhr

Name

OWASSRF, MS Exchange RCE

CVE

CVE-2022-41082

Severity Score

8.8 (High)

Detect to Protect

23 Tage, 45 Minuten

Description

Als Teil der ProxyNotShell-Exploit-Kette sind einige Versionen von MS Exchange anfällig für RCE (Remote Code Execution)

Detection

21. Dezember 2022 um 17:00 Uhr

Opt-in Protection

21. Dezember 2022 um 23:29 Uhr

Global Protection

22. Dezember 2022 um 16:45 Uhr

Name

Microsoft Exchange Remote-Code-Ausführung

CVE

CVE-2022-41040, CVE-2022-41082

Severity Score

8.8 (High)

Detect to Protect

2 Tage, 10 Stunden, 6 Minuten

Description

Sicherheitslücke in Microsoft Exchange Server hinsichtlich der Erweiterung von Berechtigungen

Detection

30. September 2022 um 13:19 Uhr

Opt-in Protection

30. September 2022 um 23:25 Uhr

Global Protection

2. Oktober 2022 um 12:40 Uhr

Name

DogWalk – Microsoft Windows-Support-Diagnosetool für Remote-Code-Ausführung

CVE

CVE-2022-34713

Severity Score

7.8 (High)

Detect to Protect

2 Tage, 4 Stunden, 54 Minuten

Description

Remote-Code-Ausführung-Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT)

Detection

10. August 2022 um 11:22 Uhr

Opt-in Protection

11. August 2022 um 18:38 Uhr

Global Protection

12. August 2022 um 16:16 Uhr

Name

Apache-Spark-Remote-Code-Ausführung

CVE

CVE-2022-33891

Severity Score

8.8 (High)

Detect to Protect

1 Tage, 7 Stunden, 17 Minuten

Description

Die Apache-Spark-Benutzeroberfläche bietet die Möglichkeit, ACLs über die Konfigurationsoption spark.acls.enable zu aktivieren. Mit einem Authentifizierungsfilter wird überprüft, ob ein Benutzer Zugriffsrechte hat, um die Anwendung anzuzeigen oder zu ändern. Wenn ACLs aktiviert sind, kann jemand mithilfe eines Codepfads in HttpSecurityFilter einen Identitätswechsel durchführen, indem er einen beliebigen Benutzernamen angibt. Ein böswilliger Benutzer könnte dann in der Lage sein, eine Berechtigungsprüfungsfunktion zu erreichen, die schließlich einen Unix-Shell-Befehl auf der Grundlage seiner Eingabe erstellt und ausführt. Dies führt zur Ausführung willkürlicher Shell-Befehle, da der Benutzer Spark derzeit ausführt

Detection

19. Juli 2022 um 10:06 Uhr

Opt-in Protection

19. Juli 2022 um 19:25 Uhr

Global Protection

20. Juli 2022 um 17:23 Uhr

Name

Microsoft-Support-Diagnosetools für Remote-Code-Ausführung

CVE

CVE-2022-30190

Severity Score

7.8 (High)

Detect to Protect

1 Tage, 8 Stunden, 17 Minuten

Description

Remote-Code-Ausführung-Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT).

Detection

31. Mai 2022 um 8:43 Uhr

Opt-in Protection

31. Mai 2022 um 22:06 Uhr

Global Protection

1. Juni 2022 um 17:00 Uhr

Name

VMware Tanzu Spring Cloud Function-Remote-Code-Ausführung

CVE

CVE-2022-22963

Severity Score

9.8 (Critical)

Detect to Protect

2 Tage, 1 Stunden, 54 Minuten

Description

In den Spring Cloud Function-Versionen 3.1.6, 3.2.2 und älteren, nicht unterstützten Versionen ist es bei der Verwendung von Routing-Funktionen möglich, dass ein Benutzer einen speziell gestalteten SpEL als Routing-Ausdruck bereitstellt, der zur Ausführung von Remotecode und zum Zugriff auf lokale Ressourcen führen kann

Detection

30. März 2022 um 18:00 Uhr

Opt-in Protection

30. März 2022 um 23:09 Uhr

Global Protection

1. April 2022 um 19:54 Uhr

Name

Log4shell

CVE

CVE-2021-44228

Severity Score

10.0 (Critical)

Detect to Protect

17 Stunden, 2 Minuten

Description

Apache Log4j2 2.0-beta9 bis 2.15.0 (mit Ausnahme der Sicherheitsversionen 2.12.2, 2.12.3 und 2.3.1) JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der die Kontrolle über Protokollnachrichten oder Protokollnachrichtenparameter hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Detection

10. Dezember 2021 um 20:45 Uhr

Opt-in Protection

11. Dezember 2021 um 3:16 Uhr

Global Protection

11. Dezember 2021 um 13:47 Uhr

Name

Apache-HTTP-Server-Pfadüberquerung

CVE

CVE-2021-41773

Severity Score

7.5 (High)

Detect to Protect

1 Tage, 16 Stunden, 46 Minuten

Description

Ein Fehler wurde in einer Änderung der Pfadnormalisierung in Apache HTTP Server 2.4.49 gefunden. Ein Angreifer könnte einen Pfadüberquerungsangriff verwenden, um URLs auf Dateien außerhalb der durch Alias-ähnliche Direktiven konfigurierten Verzeichnisse abzubilden. Wenn Dateien außerhalb dieser Verzeichnisse nicht durch die übliche Standardkonfiguration „Alles verweigern erforderlich“ geschützt sind, können diese Anforderungen erfolgreich sein. Wenn auch CGI-Skripte für diese Alias-Pfade aktiviert sind, könnte dies eine Remote-Codeausführung ermöglichen

Detection

6. Oktober 2021 um 7:19 Uhr

Opt-in Protection

7. Oktober 2021 um 14:01 Uhr

Global Protection

8. Oktober 2021 um 00:05 Uhr

Name

Exchange Autodiscover-Kennwort

CVE

Severity Score

(Critical)

Detect to Protect

5 Tage, 5 Stunden, 30 Minuten

Description

Detection

30. September 2021 um 14:33 Uhr

Opt-in Protection

30. September 2021 um 17:40 Uhr

Global Protection

5. Oktober 2021 um 20:03 Uhr

Name

VMware vCenter RCE (II)

CVE

CVE-2021-22005

Severity Score

9.8 (Critical)

Detect to Protect

3 Tage, 10 Stunden, 1 Minuten

Description

Der vCenter Server enthält eine Schwachstelle beim Hochladen willkürlicher Dateien im Analytics-Dienst. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 443 auf vCenter Server kann dieses Problem ausnutzen, um Code auf vCenter Server auszuführen, indem er eine speziell gestaltete Datei hochlädt

Detection

23. September 2021 um 8:36 Uhr

Opt-in Protection

23. September 2021 um 18:23 Uhr

Global Protection

26. September 2021 um 18:37 Uhr

Name

PrintNightmare-Spooler RCE-Sicherheitslücke

CVE

CVE-2021-1675

Severity Score

8.8 (High)

Detect to Protect

6 Tage, 6 Stunden, 28 Minuten

Description

Sicherheitslücke im Windows Print Spooler bezüglich der Erhöhung von Berechtigungen

Detection

5. Juli 2021 um 12:16 Uhr

Opt-in Protection

11. Juli 2021 um 10:52 Uhr

Global Protection

11. Juli 2021 um 18:44 Uhr

Name

Sphere Client (HTML5) Remote Code Execution

CVE

CVE-2021-21985

Severity Score

9.8 (Critical)

Detect to Protect

3 days, 11 hours, 29 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in the Virtual SAN Health Check plug-in which is enabled by default in vCenter Server. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server

Detection

May 31, 2021 at 10:55 AM

Opt-in Protection

June 1, 2021 at 9:47 PM

Global Protection

June 3, 2021 at 10:24 PM

Name

F5 Vulnerability

CVE

CVE-2021-22986

Severity Score

9.8 (Critical)

Detect to Protect

2 days, 19 hours, 38 minutes

Description

On specific versions of BIG-IP and BIG-IQ , the iControl REST interface has an unauthenticated remote command execution vulnerability

Detection

Mar 20th, 2021 at 11:43 PM

Opt-in Protection

Mar 23rd, 2021 at 12:12 PM

Global Protection

March 23, 2021 at 7:21 PM

Name

MS Exchange SSRF

CVE

CVE-2021-26855

Severity Score

9.8 (Critical)

Detect to Protect

4 days, 2 hours, 23 minutes

Description

Microsoft Exchange Server Remote Code Execution Vulnerability

Detection

March 3, 2021 at 11:03 AM

Opt-in Protection

March 4, 2021 at 10:48 PM

Global Protection

March 7, 2021 at 1:26 PM

Name

VMWare VCenter RCE

CVE

CVE-2021-21972

Severity Score

9.8 (Critical)

Detect to Protect

1 day, 1 hour, 57 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.

Detection

February 25, 2021 at 10:06 AM

Opt-in Protection

February 25, 2021 at 7:16 PM

Global Protection

February 26, 2021 at 12:03 PM

Name

Apache Struts 2 File Upload Remote Code Execution

CVE

CVE-2023-50164

Severity Score

9.8

Detect to Protect

1 Tag

Description

Remotecodeausführung über fehlerhafte Datei-Upload-Logik im Apache Struts 2-Webframework, die den Upload beliebiger Dateien und die Codeausführung ermöglicht

Detection

POC verfügbar – 12. Dezember 2023

Opt-in Protection

12. Dezember 2023

Global Protection

13. Dezember 2023

Name

Cisco IOS XE Web UI-Privilegienerweiterung-Sicherheitslücke

CVE

CVE-2023-20198

Severity Score

10

Detect to Protect

2 Tage

Description

Eine Privilegienerweiterung ist auf internetfähigen Cisco-Geräten möglich, die unter IOS XE laufen und die HTTP Web UI-Funktion nutzen.

Detection

POC verfügbar – 30. Oktober 2023 20:30 UTC

Opt-in Protection

31. Oktober 2023 um 20:00 Uhr UTC

Global Protection

1. November 2023 um 20:00 Uhr UTC

Name

cURL SOCKS5 Proxy-Heap-Buffer-Overflow

CVE

CVE-2023-38545

Severity Score

7.5

Detect to Protect

1 Tag und 3 Stunden

Description

Eine Heap-Buffer-Overflow-Schwachstelle in der Hostnamenauflösung während eines SOCKS5-Proxy-Handshake kann zur Ausführung von bösartigem Code durch eine anfällige libcurl-Implementierung führen

Detection

11. Oktober 2023 um 06:30 Uhr UTC

Opt-in Protection

11. Oktober 2023 um 20:00 Uhr UTC

Global Protection

12. Oktober 2023 um 9:30 Uhr UTC

Name

Atlassian Confluence-Datenzentrum- und Server-Privilegieneskalation-Schwachstelle

CVE

CVE-2023-22515

Severity Score

10

Detect to Protect

1 Tag und 23 Stunden

Description

In der On-Premises-Version von Atlassian Confluence Server & Data Center besteht eine Sicherheitslücke bezüglich der Privilegieneskalation, die es Angreifern ermöglicht, einen anfälligen Endpunkt auszunutzen, um nicht autorisierte Administratorbenutzer zu erstellen und sich Serverzugriff zu verschaffen

Detection

4. Oktober 2023 um 13:00 Uhr UTC

Opt-in Protection

5. Oktober 2023 um 11:00 Uhr UTC

Global Protection

6. Oktober 2023 um 12:00 Uhr UTC

Name

MOVEit Transfer SQLi

CVE

CVE-2023-34362

Severity Score

10

Detect to Protect

3 Tage und 6 Stunden

Description

Ein SQLi in der Managed File Transfer (MFT)-Lösung MOVEit Transfer von InProgress ermöglicht Angreifern die Ausführung von SQL-Befehlen und kann zur Installation einer speziellen Hintertür führen, die eine RCE-Attacke ermöglicht.

Detection

6. Juni 2023 um 8:00 Uhr

Opt-in Protection

8. Juni 2023 um 16:30 Uhr

Global Protection

9. Juni 2023 um 14:00 Uhr

Name

Microsoft Outlook Remote-Hash-Schwachstelle

CVE

CVE-2023-23397

Severity Score

9.8

Detect to Protect

0*

Description

Sicherheitslücke in Microsoft Outlook bezüglich der Erweiterung von Berechtigungen * Zur Nullzeit: Ausgehender SMB-Verkehr wird standardmäßig in der Firewall von Cato blockiert

Detection

3. März 2023 um 8:02 Uhr

Opt-in Protection

3. März 2023 um 8:02 Uhr

Global Protection

3. März 2023 um 8:02 Uhr

Name

OWASSRF, MS Exchange RCE

CVE

CVE-2022-41082

Severity Score

8.8

Detect to Protect

23 Tage, 45 Minuten

Description

Als Teil der ProxyNotShell-Exploit-Kette sind einige Versionen von MS Exchange anfällig für RCE (Remote Code Execution)

Detection

21. Dezember 2022 um 17:00 Uhr

Opt-in Protection

21. Dezember 2022 um 23:29 Uhr

Global Protection

22. Dezember 2022 um 16:45 Uhr

Name

Microsoft Exchange Remote-Code-Ausführung

CVE

CVE-2022-41040, CVE-2022-41082

Severity Score

8.8

Detect to Protect

2 Tage, 10 Stunden, 6 Minuten

Description

Sicherheitslücke in Microsoft Exchange Server hinsichtlich der Erweiterung von Berechtigungen

Detection

30. September 2022 um 13:19 Uhr

Opt-in Protection

30. September 2022 um 23:25 Uhr

Global Protection

2. Oktober 2022 um 12:40 Uhr

Name

DogWalk – Microsoft Windows-Support-Diagnosetool für Remote-Code-Ausführung

CVE

CVE-2022-34713

Severity Score

7.8

Detect to Protect

2 Tage, 4 Stunden, 54 Minuten

Description

Remote-Code-Ausführung-Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT)

Detection

10. August 2022 um 11:22 Uhr

Opt-in Protection

11. August 2022 um 18:38 Uhr

Global Protection

12. August 2022 um 16:16 Uhr

Name

Apache-Spark-Remote-Code-Ausführung

CVE

CVE-2022-33891

Severity Score

8.8

Detect to Protect

1 Tage, 7 Stunden, 17 Minuten

Description

Die Apache-Spark-Benutzeroberfläche bietet die Möglichkeit, ACLs über die Konfigurationsoption spark.acls.enable zu aktivieren. Mit einem Authentifizierungsfilter wird überprüft, ob ein Benutzer Zugriffsrechte hat, um die Anwendung anzuzeigen oder zu ändern. Wenn ACLs aktiviert sind, kann jemand mithilfe eines Codepfads in HttpSecurityFilter einen Identitätswechsel durchführen, indem er einen beliebigen Benutzernamen angibt. Ein böswilliger Benutzer könnte dann in der Lage sein, eine Berechtigungsprüfungsfunktion zu erreichen, die schließlich einen Unix-Shell-Befehl auf der Grundlage seiner Eingabe erstellt und ausführt. Dies führt zur Ausführung willkürlicher Shell-Befehle, da der Benutzer Spark derzeit ausführt

Detection

19. Juli 2022 um 10:06 Uhr

Opt-in Protection

19. Juli 2022 um 19:25 Uhr

Global Protection

20. Juli 2022 um 17:23 Uhr

Name

Microsoft-Support-Diagnosetools für Remote-Code-Ausführung

CVE

CVE-2022-30190

Severity Score

7.8

Detect to Protect

1 Tage, 8 Stunden, 17 Minuten

Description

Remote-Code-Ausführung-Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT).

Detection

31. Mai 2022 um 8:43 Uhr

Opt-in Protection

31. Mai 2022 um 22:06 Uhr

Global Protection

1. Juni 2022 um 17:00 Uhr

Name

VMware Tanzu Spring Cloud Function-Remote-Code-Ausführung

CVE

CVE-2022-22963

Severity Score

9.8

Detect to Protect

2 Tage, 1 Stunden, 54 Minuten

Description

In den Spring Cloud Function-Versionen 3.1.6, 3.2.2 und älteren, nicht unterstützten Versionen ist es bei der Verwendung von Routing-Funktionen möglich, dass ein Benutzer einen speziell gestalteten SpEL als Routing-Ausdruck bereitstellt, der zur Ausführung von Remotecode und zum Zugriff auf lokale Ressourcen führen kann

Detection

30. März 2022 um 18:00 Uhr

Opt-in Protection

30. März 2022 um 23:09 Uhr

Global Protection

1. April 2022 um 19:54 Uhr

Name

Log4shell

CVE

CVE-2021-44228

Severity Score

10.0

Detect to Protect

17 Stunden, 2 Minuten

Description

Apache Log4j2 2.0-beta9 bis 2.15.0 (mit Ausnahme der Sicherheitsversionen 2.12.2, 2.12.3 und 2.3.1) JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der die Kontrolle über Protokollnachrichten oder Protokollnachrichtenparameter hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Detection

10. Dezember 2021 um 20:45 Uhr

Opt-in Protection

11. Dezember 2021 um 3:16 Uhr

Global Protection

11. Dezember 2021 um 13:47 Uhr

Name

Apache-HTTP-Server-Pfadüberquerung

CVE

CVE-2021-41773

Severity Score

7.5

Detect to Protect

1 Tage, 16 Stunden, 46 Minuten

Description

Ein Fehler wurde in einer Änderung der Pfadnormalisierung in Apache HTTP Server 2.4.49 gefunden. Ein Angreifer könnte einen Pfadüberquerungsangriff verwenden, um URLs auf Dateien außerhalb der durch Alias-ähnliche Direktiven konfigurierten Verzeichnisse abzubilden. Wenn Dateien außerhalb dieser Verzeichnisse nicht durch die übliche Standardkonfiguration „Alles verweigern erforderlich“ geschützt sind, können diese Anforderungen erfolgreich sein. Wenn auch CGI-Skripte für diese Alias-Pfade aktiviert sind, könnte dies eine Remote-Codeausführung ermöglichen

Detection

6. Oktober 2021 um 7:19 Uhr

Opt-in Protection

7. Oktober 2021 um 14:01 Uhr

Global Protection

8. Oktober 2021 um 00:05 Uhr

Name

Exchange Autodiscover-Kennwort

CVE

Severity Score

Detect to Protect

5 Tage, 5 Stunden, 30 Minuten

Description

Detection

30. September 2021 um 14:33 Uhr

Opt-in Protection

30. September 2021 um 17:40 Uhr

Global Protection

5. Oktober 2021 um 20:03 Uhr

Name

VMware vCenter RCE (II)

CVE

CVE-2021-22005

Severity Score

9.8

Detect to Protect

3 Tage, 10 Stunden, 1 Minuten

Description

Der vCenter Server enthält eine Schwachstelle beim Hochladen willkürlicher Dateien im Analytics-Dienst. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 443 auf vCenter Server kann dieses Problem ausnutzen, um Code auf vCenter Server auszuführen, indem er eine speziell gestaltete Datei hochlädt

Detection

23. September 2021 um 8:36 Uhr

Opt-in Protection

23. September 2021 um 18:23 Uhr

Global Protection

26. September 2021 um 18:37 Uhr

Name

PrintNightmare-Spooler RCE-Sicherheitslücke

CVE

CVE-2021-1675

Severity Score

8.8

Detect to Protect

6 Tage, 6 Stunden, 28 Minuten

Description

Sicherheitslücke im Windows Print Spooler bezüglich der Erhöhung von Berechtigungen

Detection

5. Juli 2021 um 12:16 Uhr

Opt-in Protection

11. Juli 2021 um 10:52 Uhr

Global Protection

11. Juli 2021 um 18:44 Uhr

Name

Sphere Client (HTML5) Remote Code Execution

CVE

CVE-2021-21985

Severity Score

9.8

Detect to Protect

3 days, 11 hours, 29 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in the Virtual SAN Health Check plug-in which is enabled by default in vCenter Server. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server

Detection

May 31, 2021 at 10:55 AM

Opt-in Protection

June 1, 2021 at 9:47 PM

Global Protection

June 3, 2021 at 10:24 PM

Name

F5 Vulnerability

CVE

CVE-2021-22986

Severity Score

9.8

Detect to Protect

2 days, 19 hours, 38 minutes

Description

On specific versions of BIG-IP and BIG-IQ , the iControl REST interface has an unauthenticated remote command execution vulnerability

Detection

Mar 20th, 2021 at 11:43 PM

Opt-in Protection

Mar 23rd, 2021 at 12:12 PM

Global Protection

March 23, 2021 at 7:21 PM

Name

MS Exchange SSRF

CVE

CVE-2021-26855

Severity Score

9.8

Detect to Protect

4 days, 2 hours, 23 minutes

Description

Microsoft Exchange Server Remote Code Execution Vulnerability

Detection

March 3, 2021 at 11:03 AM

Opt-in Protection

March 4, 2021 at 10:48 PM

Global Protection

March 7, 2021 at 1:26 PM

Name

VMWare VCenter RCE

CVE

CVE-2021-21972

Severity Score

9.8

Detect to Protect

1 day, 1 hour, 57 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.

Detection

February 25, 2021 at 10:06 AM

Opt-in Protection

February 25, 2021 at 7:16 PM

Global Protection

February 26, 2021 at 12:03 PM

Warum ist die CVE-Minderung eine solche Herausforderung?

Kunden kämpfen oft mit dem Prozess, den Ressourcen und der Zeit, die nötig sind, um ihre Netzwerke vor neuen CVEs zu schützen. Hier ist der Grund dafür:

Der Anbieter muss das CVE recherchieren und eine Signatur entwickeln

Der Kunde muss die Signatur innerhalb eines Wartungsfensters testen

Durch Tests beim Kunden muss sichergestellt werden, dass die Signatur den Datenverkehr nicht unterbricht oder die Inspektionsleistung oder die Benutzerfreundlichkeit beeinträchtigt.

Erst wenn der Test erfolgreich war, kann die Signatur aktiviert werden.

Dieser ressourcenintensive Prozess veranlasst viele Kunden, ihr Intrusion Prevention System (IPS) in den Erkennungsmodus zu versetzen oder mit der Aufrechterhaltung einer optimalen Sicherheitslage in Verzug zu geraten. Dies erhöht das Risiko einer Sicherheitsverletzung, da Angreifer versuchen, ungepatchte CVEs, einschließlich alter CVEs, auszunutzen.

Vollständig automatisiertes virtuelles Patchen von neu auftretenden CVEs mit Cato Networks

Das Cato-Verfahren für das virtuelle Patching besteht aus vier Schritten, die vom Cato-Sicherheitsteam durchgeführt werden:

Beurteilung

Bewertung des Umfangs des CVE und Erforschung der Schwachstelle. Insbesondere jedes Auftreten von Angriffen, die dieses CVE in der Öffentlichkeit nutzen.

Verstehen, welche Systeme betroffen sind und wie Bedrohungsakteure den Angriff durchführen

Entwicklung

Erstellen einer neuen IPS-Regel, um die Sicherheitslücke virtuell zu schließen

Eliminierung von Fehlalarmen auf der Grundlage von Rückvergleichen mit Verkehrs-Metadaten

Opt-in-Schutz

Selektive Bereitstellung des virtuellen Patches im „Simulationsmodus“

Ermöglichung der Opt-in-Prävention für bestimmte Kunden

Globaler Schutz

Verschieben des virtuellen Patches in den Präventionsmodus

Durchsetzung des virtuellen Patches für alle Kunden und den gesamten Datenverkehr

Dieser Prozess läuft ohne jegliche Beteiligung von Kundenressourcen und ohne Risiko für den Geschäftsbetrieb des Kunden.

Request a Demo