Die Zero Day Initiative hat im 1. Halbjahr 2023 über 1.000 Hinweise auf Schwachstellen veröffentlicht. Unter den Schwachstellen befinden sich kritische Microsoft Zero-Days. Initiator der Zero Day Initiative Trend Micro warnt vor immer häufiger fehlerhaften oder unvollständigen Patches.
Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, gibt bekannt, dass seine Zero Day Initiative (ZDI) in diesem Jahr bereits über 1.000 Hinweise („Advisories“) auf einzelne Schwachstellen in IT-Produkten veröffentlichte. Vor diesem Hintergrund warnt das Unternehmen davor, dass immer häufiger fehlerhafte oder unvollständige Patches veröffentlicht oder diese durch die betroffenen Hersteller heimlich ausgerollt werden.
Silent Patching verheimlicht Schwachstellen
Trend Micro spricht sich für ein Ende des „Silent Patching“ aus – eine Praxis, die die Offenlegung und Dokumentation von Schwachstellen und Patches verzögert oder verharmlost. Als eines der größten Hindernisse bei der Bekämpfung von Cyberkriminalität ist diese Methode vor allem bei großen Anbietern und Cloud-Providern gängig.
„Die Zero Day Initiative wurde gegründet, um Schwachstellen zu schließen, bevor sie von Cyberkriminellen missbraucht werden. Die Notwendigkeit derartiger Maßnahmen wird in der Europäischen Union auch durch die neue NIS2-Direktive weiter betont“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Wir sehen jedoch einen besorgniserregenden Trend hinsichtlich mangelnder Transparenz bei der Offenlegung von Schwachstellen im Zusammenhang mit Hersteller-Patches. Das stellt eine Gefahr für die IT-Security der digitalen Welt dar, da sie Kunden die Möglichkeit nimmt eigene, weiterführende Maßnahmen zu ergreifen.“
Viele Cloudanbieter setzen auf Silent Patching
Im Rahmen der Sicherheitskonferenz Black Hat USA 2023 zeigten Vertreter von Trend Research, dass Silent Patching besonders bei Cloud-Anbietern üblich ist. Diese verzichten immer häufiger auf die Zuweisung einer Common Vulnerabilities and Exposures (CVE)-ID, die eine nachvollziehbare Dokumentation ermöglicht, und geben stattdessen Patches in nichtöffentlichen Prozessen heraus. Das Fehlen von Transparenz oder Versionsnummern für Cloud-Dienste behindert die Risikobewertung und entzieht der Security-Gemeinschaft wertvolle Informationen zur Verbesserung der Sicherheit im gesamten Ökosystem.
Schon im vergangenen Jahr warnte Trend Micro vor einer wachsenden Zahl unvollständiger oder fehlerhafter Patches und einer zunehmenden Zurückhaltung von Anbietern, verlässliche Informationen über Patches in einfacher Sprache zu liefern. Dieser Trend verstärkte sich in der Zwischenzeit, wobei einige Unternehmen das Patchen gänzlich vernachlässigen. Dies führt dazu, dass ihre Kunden und ganze Branchen vermeidbaren und zunehmenden Risiken ausgesetzt sind. Deswegen besteht dringender Handlungsbedarf, Patches zu priorisieren, Schwachstellen zu beheben und die Zusammenarbeit zwischen Forschern, Cybersecurity-Anbietern und Cloud-Service-Anbietern zu fördern, um Cloud-basierte Dienste zu stärken und Nutzer vor potenziellen Risiken zu schützen.
Über 1.000 Schwachstellen in der Liste für 2023
Mit dem Programm der ZDI setzt Trend Micro sich für ein transparentes Patching von Schwachstellen und eine Verbesserung der Security in der gesamten Branche ein. Im Rahmen dieses Engagements hat die Zero Day Initiative aktuell Hinweise auf mehrere Zero-Day-Schwachstellen veröffentlicht. Eine vollständige Liste der durch die Trend Micro Zero Day Initiative (ZDI) veröffentlichten Hinweise auf Schwachstellen finden Sie in englischer Sprache auf der Webseite der Initiative. Hier ein Auszug der Schwachstellen mit einem CVSS-Wert von 9.9 oder 9.8. Die Liste auf der Webseite der Zero Day Initiative listet noch über 1.000 weitere Schwachstellen mit dem CVSS-Wert von 9.1 bis 2.5.
Auszug von 39 Schwachstellen mit CVSS 9.9 bzw. 9.8
| ZDI ID | AFFECTED VENDOR(S) | CVE | CVSS v3.0 |
| ZDI-23-1044 | Microsoft | 9.9 | |
| ZDI-23-055 | VMware | CVE-2022-31702 | 9.8 |
| ZDI-23-093 | Cacti | CVE-2022-46169 | 9.8 |
| ZDI-23-094 | Netatalk | CVE-2022-43634 | 9.8 |
| ZDI-23-115 | VMware | CVE-2022-31706 | 9.8 |
| ZDI-23-118 | Oracle | CVE-2023-21838 | 9.8 |
| ZDI-23-168 | SolarWinds | CVE-2022-47506 | 9.8 |
| ZDI-23-175 | Oracle | CVE-2023-21890 | 9.8 |
| ZDI-23-228 | Ivanti | CVE-2022-44574 | 9.8 |
| ZDI-23-233 | PaperCut | CVE-2023-27350 | 9.8 |
| ZDI-23-444 | Schneider Electric | CVE-2023-29411 | 9.8 |
| ZDI-23-445 | Schneider Electric | CVE-2023-29412 | 9.8 |
| ZDI-23-452 | TP-Link | CVE-2023-27359 | 9.8 |
| ZDI-23-482 | VMware | CVE-2023-20864 | 9.8 |
| ZDI-23-490 | KeySight | CVE-2023-1967 | 9.8 |
| ZDI-23-587 | Trend Micro | CVE-2023-32523 | 9.8 |
| ZDI-23-588 | Trend Micro | CVE-2023-32524 | 9.8 |
| ZDI-23-636 | Schneider Electric | CVE-2022-42970 | 9.8 |
| ZDI-23-637 | Schneider Electric | CVE-2022-42971 | 9.8 |
| ZDI-23-672 | Delta Electronics | CVE-2023-1133 | 9.8 |
| ZDI-23-674 | Delta Electronics | CVE-2023-1140 | 9.8 |
| ZDI-23-679 | Delta Electronics | CVE-2023-1136 | 9.8 |
| ZDI-23-680 | Delta Electronics | CVE-2023-1139 | 9.8 |
| ZDI-23-681 | Delta Electronics | CVE-2023-1145 | 9.8 |
| ZDI-23-683 | Delta Electronics | CVE-2023-1133 | 9.8 |
| ZDI-23-687 | Canonical | 9.8 | |
| ZDI-23-690 | Canonical | 9.8 | |
| ZDI-23-702 | Linux | CVE-2023-32254 | 9.8 |
| ZDI-23-714 | D-Link | CVE-2023-32169 | 9.8 |
| ZDI-23-716 | D-Link | CVE-2023-32165 | 9.8 |
| ZDI-23-720 | Moxa | CVE-2023-33236 | 9.8 |
| ZDI-23-840 | VMware | CVE-2023-20887 | 9.8 |
| ZDI-23-882 | Microsoft | CVE-2023-29357 | 9.8 |
| ZDI-23-897 | Progress Software | CVE-2023-36934 | 9.8 |
| ZDI-23-906 | Delta Electronics | CVE-2023-34347 | 9.8 |
| ZDI-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
| ZDI-23-1025 | Triangle MicroWorks | CVE-2023-39457 | 9.8 |
| ZDI-23-1046 | Inductive Automation | CVE-2023-39476 | 9.8 |
| ZDI-23-1047 | Inductive Automation | CVE-2023-39475 | 9.8 |
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..