Barracuda behebt sieben teils kritische Sicherheitslücken
Barracuda hat Sicherheitslücken in den Web Application Firewalls entdeckt. Die Schwachstellen ermöglichen es Cyberkriminellen, Schutzmechanismen zu umgehen und so Malware auf Systemen zu deponieren. Eine aktualisierte Firmware für die Firewalls steht bereit.
![(Source: freepik / freepik.com)](https://d1leteosk75kgr.cloudfront.net/styles/np8_full/s3/media/2024/02/05/3818937.png?itok=nI9xH6fi)
Barracuda Networks hat Updates für die eigenen Web Application Firewalls (WAF) veröffentlicht und behebt damit sieben Schwachstellen. Die Schwachstellen erhielten jeweils eine Risikoeinstufung als "kritisch" oder "hoch", wie das Unternehmen mitteilt. Betroffen sind WAFs mit den Firmware-Versionen 11.x, 12.0 und 12.1. Die Firmware 12.2 soll die meisten Sicherheitslücken schliessen, wobei laut "Heise" noch weitere Konfigurationsänderungen nötig sind. Allerdings stehen laut dem Newsportal noch keine CVE-Einträge bereit. Auf eine Anfrage der Redaktion, wie das Unternehmen plane, die Kunden über die Lücken zu informieren, reagierte das Unternehmen zum Zeitpunkt der Publikation nicht.
Barracuda erklärt im eigens veröffentlichten Sicherheitshinweis, dass Angreifer den Datei-Upload-Schutz umgehen könnten. Dafür müssten sie nur eine andere HTTP-Methode als "POST" verwenden. Mit der "PUT"-Methode könnten sie so Dateien, auch schädliche, auf einem Zielsystem hochladen und ändern. Für die erste Sicherheitslücke beschreiben die Entwickler von Barracuda gleich vier Möglichkeiten, den Datei-Upload-Schutz auszutricksen. Standardmässig ist die PUT-Methode jedoch nicht zugelassen, wie die Entwickler erklären. Doch lasse sich der JSON-Schutz auch dort umgehen.
Wenn HTTP-Methoden nicht explizit in JSON-Sicherheitsrichtlinien hinterlegt seien, könnten kriminelle Hacker die Sicherheitsprotokolle so austricksen. Das Abgleichen der Richtlinien führe hierbei dazu, dass der Payload an das Backend-System übergeben wird, sobald die verwendete HTTP-Methode nicht mit den Richtlinien übereinstimmt. So liessen sich Prüfmechanismen ebenfalls umgehen.
Übrigens: 55 Prozent der Unternehmen im DACH-Raum sind im vergangenen Jahr Opfer eines Spear-Phishing-Angriffs geworden. Mehr dazu können Sie hier lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![(Source: pch.vector/Freepik.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/error.jpg?itok=eWCuhz6i)
Ein Bug hat zur IT-Panne geführt
![(Source: ryanking999 / stock.adobe.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/adobestock_367433824.jpg?itok=VU5IoZQ0)
Play-Ransomware hat es auf Linux abgesehen
![(Source: Growtika / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/growtika-rzv8t2yvu6m-unsplash.jpg?itok=8_fpjHyL)
Chrome warnt Nutzende mit KI vor gefährlichen Dateien
![(Source: DC Studio/Freepik.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: Kasia Derenda / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![(Source: OrsiO / Pixabay.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: Micha Brändli / unsplash.com)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![Teresa Anania übernimmt den Posten der CCO bei Sophos. (Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/teresaanania_sophos-cco_2024_0_1.jpg?itok=w6olj5FE)
Sophos beruft neue Chief Customer Officer
![Nadav Zafrir übernimmt im Dezember 2024 das Amt des CEO bei Check Point. (Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/24/check_point_nadav_zafrir_k.jpg?itok=ljYyRVBb)
Check Point hat einen neuen CEO
![(Source: zVg)](https://d1leteosk75kgr.cloudfront.net/styles/teaser_small/s3/media/2024/07/25/ausschnitt-bosa_logo.jpeg?itok=z9m78w7s)