Niet alleen nieuwe kwetsbaarheden worden actief misbruikt door cybercriminelen. Hackers weten twee kwetsbaarheden in PRTG Network Monitor van fabrikant Paessler uit 2018 nog steeds te vinden.
Op 4 februari 2025 voegde CISA nieuwe kwetsbaarheden toe aan de Known Exploited Vulnerabilities Catalog, ofwel de KEV-lijst. Dit gebeurde op basis van bewijs van actieve exploitatie. Twee van de kwetsbaarheden vormen een risico binnen Paessler PRTG Network Monitor.
Het betreft ten eerste CVE-2018-9276. Deze kwetsbaarheid maakt OS command injection mogelijk. Een hacker met beheerdersrechten in de PRTG System Administrator-webconsole kan daardoor gemanipuleerde parameters versturen binnen het sensor- of notificatiebeheer. Zo verkrijgen aanvallers mogelijk controle over de server en verbonden apparaten.
De andere kwetsbaarheid, CVE-2018-19410, vormt een nog grotere dreiging voor gebruikers van PRTG Network Monitor. Versies vóór 18.2.40.1683 maken het voor niet-geauthenticeerde aanvallers mogelijk om gebruikers aan te maken met lees-, schrijf- en beheerdersrechten.
Dit gebeurt door een specifiek gemanipuleerd HTTP-verzoek te versturen waarmee de include-directive in `/public/login.htm` wordt overschreven. Hierdoor kan een Local File Inclusion-aanval worden uitgevoerd door `/api/addusers` op te nemen en uit te voeren. Door de parameters ‘id’ en ‘users’ te specificeren, kan een aanvaller een volwaardige gebruiker met beheerdersrechten creëren zonder authenticatie. Qua gevaar krijgt deze kwetsbaarheid een score van 9.8.
The Shadowserver Foundation, een organisatie die dagelijks kwetsbare IP-adressen scant en rapporteert trof deze kwetsbaarheid op 15 februari 2025 wereldwijd op 2149 servers aan.
CISA dringt aan op patchen
Aanvallers gebruiken dergelijke kwetsbaarheden vaak als aanvalsvector. Ze vormen aanzienlijke risico’s voor netwerken en organisaties. Om deze dreiging tegen te gaan riep CISA de Binding Operational Directive (BOD) in het leven. Dit initiatief stelt de KEV Catalog op als een dynamische lijst van bekende kwetsbaarheden die een significant risico vormen. Federale overheidsinstellingen moeten de kwetsbaarheden in deze catalogus binnen de gestelde termijnen te verhelpen om hun netwerken te beschermen tegen actieve dreigingen.
Hoewel BOD specifiek van toepassing is op federale instanties, dringt CISA er bij alle organisaties op aan om hun blootstelling aan cyberaanvallen te minimaliseren. Dit kan men doen door kwetsbaarheden uit de catalogus tijdig te verhelpen.
CISA blijft de lijst uitbreiden met kwetsbaarheden die aan de vastgestelde criteria voldoen, om zo de digitale veiligheid van organisaties te versterken en om verder misbruik door kwaadwillenden te voorkomen.