Schwachstellen in Softwareprodukten (13% davon kritisch) wurden im Jahr 2021 bekannt. das entspricht einem Zuwachs von 10% gegenüber dem vorjahr.

HP kümmert sich mit BIOS-Updates um Schadcode-Lücken

Angreifer könnten verschiedene Computermodelle von HP wie EliteBook, Elite Mini und Mobile Thin Client attackieren. Sind Attacken erfolgreich, könnten Daten leaken oder sogar Schadcode auf Systeme gelangen. BIOS-Updates schaffen Abhilfe. Wie aus einer Warnmeldung hervorgeht, betreffen fünf Lücken PCs auf AMD-Basis. Zwei der Schwachstellen (CVe-2020-12930, CVE-2020-12931) sind mit dem bedrohungsgrad „hoch“ eingestuft. In der Meldung listet HP die betroffenen Modelle und gegen solche Attacken abgesicherten UEFI-Firmwares auf. Wie konkrete Angriffe aussehen könnten, ist bislang nicht bekannt. Eine weitere Lücke (CVE-2022-27538 „hoch“) betrifft ebenfalls Intel-Systeme. Auch hier listen die Entwickler verwundbare Geräte und die verfügbaren Sicherheitspatches in einem Beitrag auf.

Quelle: Heise

Kerberos-Authentifizierung: Sicherheitsprobleme in Samba gelöst

Admins, die Samba zum Bereitstellen von Windows-Funktionen, wie die Druckerfreigabe über das Netzwerk, etwa unter macOS nutzen, sollten die aktuellen Versionen installieren. Geschieht das nicht, könnten Angreifer PCs attackieren und sie kompromittieren. Im Sicherheitsbereich der Samba-Website listen die Entwickler die gegen mögliche Attacken abgesicherten Versionen auf. Alle Ausgaben vor 4.15.13, 4.16.8 und 4.17.4 sollen verwundbar sein. Die Lücken gegen auf einige Kerberos-Komponenten zurück, die auch Samba betreffen. Alle Schwachstellen (CVE-2022-37966CVE-2022-37967CVE-2022-38023CVE-2022-45141) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Aufgrund von einer schwachen Verschlüsselung (RC4, MD5-Prüfsumme) könnte ein Angreifer Daten manipulieren und sie Opfern mit identischer Prüfsumme unterschieben. Das klappt aber nur, wenn die Verbindung nicht verschlüsselt ist, was Samba zufolge standardmäßig der Fall ist. Außerdem könnten Angreifer über verschiedene Wege an Tickets gelangen. Erfolgreiche Attacken sind besonders gefährlich, wenn Samba als Domain Controller zum Einsatz kommt. So könnten Angreifer ganze Rechnernetze kompromittieren.

Quelle: Heise

Das Ende vom unsicheren Hash-Algorithmus SHA-1 zieht sich wie Kaugummi

Wer heutzutage noch den Hash-Algorithmus SHA-1 einsetzt, handelt grob fahrlässig und gefährdet die IT-Sicherheit. Das Verfahren gilt schon lange als unsicher. Nun zieht die US-Behörde National Institute of Standards and Technology (NIST) den Stecker. Richtig Schluss soll aber erst Ende 2030 sein. Mit der kryptologischen Hashfunktion berechnet man Prüfsummen, um so etwa die Integrität von Dateien zu wahren. Es kommt aber auch für digitale Signaturen zum Einsatz. Außerdem setzen die veralteten Transportverschlüsslungen TLS 1.0 und TLS 1.1 auf das unsichere Verfahren. Spätestens seit der Shattered getauften Attacken von Anfang 2017 gilt SHA-1 als zerschmettert. Forscher haben mit viel Aufwand eine Kollisionsattacke ausgeführt. Dabei erstellten sie zwei verschiedene PDF-Dokumente mit demselben SHA-1-Wert. So könnten Angreifer ein Opfer ein PDF-Dokument mit unbedenklichem Inhalt unterschreiben lassen, die Signatur abschneiden und sie unter ein PDF mit etwa einer Zahlungsaufforderung setzen. Ein Hashtest würde die Signatur als echt bestätigen. Ebenfalls 2017 zeigten Forscher auf, wie sie rund 320 Millionen mit SHA-1 „geschützte“ Passwörter geknackt haben. Nun hat das NIST einen Beitrag veröffentlicht und darin das endgültige Ende des seit 1995 im Einsatz befindlichen Verfahrens verkündet. Darin empfehlen sie allen einen zügigen Umstieg auf SHA-2 oder SHA-3. Doch bis SHA-1 endgültig verschwindet, soll es noch bis Ende 2030 andauern. Erst dann beabsichtigt die US-Behörde die Verwendung von SHA-1 in seinen letzten verbleibenden spezifizierten Protokollen einzustellen. Bis dahin will das NIST unter anderem Publikationen betreffend SHA-1 überarbeiten und Übergangsstrategien erstellen und veröffentlichen. Nach 2030 darf die US-Regierung dann keine Module mit SHA-1 mehr einsetzen.

Quelle: Heise

Codeschmuggel möglich: Microsoft stuft Sicherheitslücke auf „kritisch“ herauf

Eine Sicherheitslücke, für die Microsoft am September-Patchday ein Update bereitgestellt hat, ist doch kritisch. Zunächst wurde die Schwachstelle als mittleres Risiko eingestuft, da vermeintlich lediglich Informationen unbefugt dadurch auslesbar waren. Die IBM-Sicherheitsforscherin Valentina Palmiotti hat nun festgestellt, dass die Lücke das Ausführen von Schadcode erlaubt – ohne vorherige Authentifizierung, aus dem Netz. Die Schwachstelle befindet sich im SPNEGO Extended Negotiation (NEGOEX)-Sicherheitsmechanismus, mit dem Client und Server den zu verwendenden Sicherheitsmechanismus von Verbindungen aushandeln können. Angreifer könnten beliebigen Code aus dem Netz einschleusen, indem sie ein beliebiges Windows-Anwendungsprotokoll mit manipuliertem Verkehr aufrufen, das Nutzer standardmäßig authentifiziert. Dazu gehören etwa SMB, das Remote-Desktop-Protokoll (RDP), aber auch SMTP. Wenn für HTTP-Zugriffe auf einen Dienst SPNEGO-Authentifizierung aktiviert wurde, etwa als Anmeldung mittels Kerberos, ist auch das Protokoll anfällig. Die Schwachstelle könnte Wurm-Potenzial haben, schätzen einige IT-Spezialisten, sie fühlen sich an die WannaCry-Angriffe auf eine ähnliche SMB-Schwachstellevor fünf Jahren erinnert. Microsoft schreibt in der aktualisierten Sicherheitsnotizzur Schwachstelle, dass die Entwickler daher die Risikobewertung, die Auswirkungen sowie die CVSS-Einstufung auf „kritische Remote Code Execution“ heraufgestuft hätten. Der CVSS-Wert der Sicherheitsmeldung CVE-2022-37958 landet nun bei 8.1 anstatt 7.5, was weiterhin einem hohen Risiko entspricht. Allerdings stuft Microsoft die Angriffskomplexität als hoch ein, da Angreifer vorher einige Informationen oder Zugriff im lokalen Netzwerk erlangen müssten. Diese Einschätzung dürfte mit der vorgenannten WannaCry-Infektionswelle im Blick zumindest diskussionswürdig sein. Betroffen sind alle Windows-Versionen von Windows 7 bis Windows 11, auch Windows RT 8.1, sowie Windows Server 2008 R2 bis Server 2022. Falls noch nicht geschehen, sollten Administratoren den Sicherheitspatch zum Schließen der Schwachstelle jetzt zügig installieren.

Quelle: Heise

Mehrere Verhaftungen: Strafverfolger gehen gegen DDoS-Booter-Dienste vor

Strafverfolgungsbehörden aus den USA sowie aus Großbritannien, den Niederlanden, Polen und Deutschland haben im Rahmen der Operation „Power Off“ 48 Internetdomains beschlagnahmt und stillgelegt, die im großen Stil für Distributed-Denial-of-Service-Angriffe (DDoS) missbraucht worden sein sollen. Dahinter verbargen sich sogenannte Booter-Dienste. Diese lassen sich mieten, um andere Webseiten und Server gezielt anzugreifen, mit Anfragen zu bombardieren und lahmzulegen. Bei den beschlagnahmten Services handelte es sich „um die bei Weitem beliebtesten DDoS-Booter-Dienste auf dem Markt“, erklärte Europol am Donnerstag. Diese hätten teils in Suchmaschinen ganz oben auf der Liste gestanden. Ein einziger der abgeschalteten Mietservices sei für über 30 Millionen DDoS-Attacken genutzt worden. Bei der aktuellen Aktion verhaften die Behörden bisher sieben Administratoren. Sechs davon in den USA und einen in Großbritannien. Die Operation laufe weiter, betonte Europol. Es seien etwa auch Schritte gegen „die Nutzer dieser illegalen Dienste geplant“. Eine frühere Razzia richtete sich bereits gegen die Administratoren und Nutzer des DDoS-Marktplatzes webstresser.org. In den USA haben Staatsanwälte nach Angaben des US-Justizministeriumsinfolge der Festnahmen durch das FBI jetzt zwei 32-Jährige in Alaska angeklagt, die aus Hawaii und New York stammen. Ihnen wird vorgeworfen, seit vielen Jahren die Dienste IPStressor.com beziehungsweise TrueSecurityServices.io betrieben zu haben. In Los Angeles soll vier Verdächtigen im Alter zwischen 19 und 37 Jahren der Prozess gemacht werden, die aus Florida und Texas stammen. Die von ihnen betriebenen Domains gibt die Justiz mit RoyalStresser.com, SecurityTeam.io, Astrostress.com und Booter.sx an. Die gesamte Liste der abgeschalteten Dienste hat der IT-Security-Journalist Brian Krebs veröffentlicht. Die internationale polizeiliche Zusammenarbeit sei „von zentraler Bedeutung für den Erfolg dieser Operation“, betont Europol. Die Administratoren, Nutzer, betroffene kritische Infrastrukturen und andere Opfer seien „über die ganze Welt verstreut“ gewesen. Das Europäische Zentrum für Cyberkriminalität von Europol habe die Aktivitäten in Europa über seine Joint Cybercrime Action Taskforce koordiniert. Aus Deutschland waren das Bundeskriminalamt (BKA), die Polizeidirektion Hannover und die Staatsanwaltschaft Verden eingebunden. „DDoS-Boot-Dienste haben die Einstiegshürde in die Cyberkriminalität effektiv gesenkt“, erläutert Europol. Für ein Entgelt von nur 10 Euro könne „jede gering qualifizierte Person mit einem Mausklick DDoS-Angriffe starten, die ganze Webseiten und Netze ausschalten“. Der Schaden, den sie anrichten, könne beträchtlich sein. „Ermutigt durch die vermeintliche Anonymität lassen sich viele junge IT-Enthusiasten auf dieses scheinbar einfache Verbrechen ein“, gibt das EU-Polizeiamt zu bedenken. Dabei seien sie sich oft der Konsequenzen nicht bewusst, die solche Online-Aktivitäten haben können. DDoS-Angriffe nähmen die Strafverfolgungsbehörden aber ernst. Dabei spiele die Größe keine Rolle: Die Ermittler hätten alle Nutzerebenen im Visier, „ob es sich nun um einen Gamer handelt, der die Konkurrenz aus einem Videospiel ausschaltet, oder um einen hochrangigen Hacker“, der finanzielle Gewinne erzielen wolle. Die Konsequenzen könnten schwerwiegend sein und „in einigen Ländern sogar zu einer Gefängnisstrafe führen“. Die Betreiber einiger der hochgenommenen Dienste behaupteten, nur „Stresstests“ für Netzwerke anzubieten, heißt es beim US-Justizressort. Das FBI habe aber festgestellt, dass dies nicht stimme. Tausende von Mitschnitten der Kommunikationen zwischen den Administratoren von Booter-Seiten und ihren Klienten machten deutlich: Beide Parteien wüssten, dass der Kunde nicht versuche, „seine eigenen Computer anzugreifen“. Dies gehe aus einer eidesstattlichen Erklärung hervor, die zur Unterstützung der gerichtlich genehmigten Anordnung zur Beschlagnahme der Dienste eingereicht worden sei.

Quelle: Heise

FBI-Daten hochrangiger Verantwortlicher für Kritische Infrastrukturen geklaut

Das FBI will den Schutz kritischer Infrastrukturen im InfraGard-Programm verbessern. Cyberkriminellen gelang es, sich dort anzumelden und die Daten von den Mitgliedern zu ergattern – offenbar mehrere zehntausend Menschen. Diese Datensammlung steht nun in einem Darknet-Forum zum Verkauf. Das InfraGard-Programm soll den Schutz kritischer Infrastrukturen stärken, indem es die Schlüsselfiguren etwa aus Führungspersonal und IT-Verantwortlichen in beteiligten Unternehmen und Einrichtungen vernetzt und etwa Informationen und Schulungen zu Sicherheitsbedrohungen anbietet. Dazu gehören etwa Trinkwasser- und Energieversorger, Finanzdienstleister, Transportunternehmen, Organisationen des Gesundheitswesens sowie Kernenergieunternehmen. InfraGard versammelt daher das Who-is-Who der privaten kritischen Infrastrukturbeteiligten und behandelt dabei physische wie Cyber-Sicherheit. Gegenüber Brian Krebs, der über den Datenabfluss berichtet, hat das FBI geäußert, dass es sich um eine nicht abgeschlossene „Situation handelt und wir sind nicht in der Lage, etwaige weiterführende Information zu diesem Zeitpunkt zu liefern“. Die Datenhehler im Darknet waren Krebs gegenüber auskunftsfreudiger. Sie hätten Zugriff zum InfraGard-System des FBI erhalten, indem sie sich für ein neues Konto beworben und dazu den Namen, Sozialversicherungsnummer, Geburtsdatum und andere persönliche Details eines Geschäftsleiters von einem Unternehmen angeben haben, der sehr wahrscheinlich eine InfraGard-Mitgliedschaft erhalten würde. Der fragliche CEO, derzeit Leiter eines großen US-Finanzunternehmens, das direkten Einfluss auf die Kreditwürdigkeit der meisten US-Amerikaner hat, teilte mit, dass er vom FBI nicht bezüglich der Prüfung einer InfraGard-Bewerbung kontaktiert wurde. Die Bewerbung hätten die Angreifer im November gesendet und dabei die korrekte Telefonnummer des CEOs, aber eine eigene E-Mail-Adresse angegeben. Die Zugangsbestätigung folgte rasch und verlangte nach einer Mehr-Faktor-Authentifizierung. Hier stand jedoch Telefon oder Mail zur Wahl, sodass sich die Angreifer mit der Mail-Adresse freischalten konnten. Der Zugang zu den Daten der InfraGard-Teilnehmer war anschließend einfach, erklärten die bösartigen Akteure gegenüber Krebs. Das InfraGard-System sei eine Art soziales Netzwerk und Knotenpunkt für hochrangige Personen. Sogar ein Diskussionsforum sei enthalten. Eine Programmierschnittstelle (API) verknüpfe die Schlüsselkomponenten und erlaube den Zugriff auf Nutzerdaten, offenbar komplett ungeschützt. Mit einem selbst programmierten Python-Skript ließen sich alle Nutzerdaten über diese API abrufen. Gegenüber Krebs haben die Cyberkriminellen die Echtheit der Daten bewiesen, indem sie über das InfraGard-System einen CEO einer anderen Firma kontaktiert haben; dieser hat die Kontaktaufnahme anschließend bestätigt. Die Datenhehler verlangen 50.000 US-Dollar für die Datenbank. Den Preis sehen sie als Verhandlungsbasis. Sie schränken selbst ein, dass es sich um sicherheitssensibilisierte Personen handele und zu lediglich der Hälfte der Konten liege überhaupt eine E-Mail-Adresse vor; die meisten Datenbankfelder wie Sozialversicherungsnummern und Geburtsdatum seien komplett leer. Wenn auch der konkrete Schaden durch den Einbruch bislang überschaubar bleibt, wirft er einen Schatten auf ein Projekt, das die Cyber-Sicherheit verbessern soll. Sogenanntes Scrapen von Zugangsdaten, also das automatisierte programmatische Abklappern aller Konten, hat immer wieder zu derartigen Datenabflüssen geführt. Das gelingt tatsächlich recht einfach mit verfügbaren Tools. Das FBI sollte dem InfraGard-Programm offensichtlich noch einige Sicherheitsmechanismen spendieren.

Quelle: Heise

Typo3: Neue Fassungen schließen hochriskante Sicherheitslücke

Drei neue Versionen haben die Entwickler des Typo3-Content-Management-Systems herausgegeben. Darin schließen sie mehrere Sicherheitslücken, von denen eine als hochriskant eingestuft wurde. Administratoren sollten die Aktualisierung zügig vornehmen. Die schwerwiegendste Schwachstelle findet sich im Formular-Designer-Modul. Von Nutzerinnen und Nutzern übergebene Daten wurden nicht von interner Konfiguration getrennt, wodurch bösartige Akteure Befehle einschleusen konnten, die durch TypoScript als PHP-Code ausgeführt wurden. Für ein Formular müssten dazu individuelle TypoScript-Anweisungen, in der Sicherheitsmeldung nennen die Typo3-Entwickler formDefintionsOverrides, und ein gültiger Zugang zum Backend-System vorhanden sein (CVE-2022-23503, CVSS 7.5, Risiko „hoch“). Fünf weitere Schwachstellen stufen die Entwickler als mittleres Risiko ein; sie sind in der Versionsmeldung von Typo3 verlinkt. Die neuen Fassungen enthalten keine weiteren Funktionsupdates, das Changelog nennt lediglich die abgedichteten Sicherheitslücken. Betroffen sind diverse ältere Typo3-Versionen. Die aktuellen Fassungen 12.1.2, 11.5.20 LTS sowie 10.4.33 LTS korrigieren die sicherheitsrelevanten Fehler. Die ursprüngliche Bugfix-Version 12.1.1 hat das Projekt zügig durch 12.1.2 ersetzt, da sie bekannte Regressionen enthielt und somit ebenfalls fehlerhaft war. Das Typo3-Update können Administratorinnen und Administratoren als Quellcode auf der Webseite des Projekts herunterladen. Weitere Möglichkeiten beschreibt Typo3 auf der Upgrade-Guide-Webseite. Admins sollten zeitnah ein Wartungsfenster zur Aktualisierung der Software einplanen. Die Entwickler weisen zudem darauf hin, dass kein Datenbank-Update für die Sicherheitsaktualisierungen nötig ist.

Quelle: Heise

Datenleck in JVA Straubing: Ministerium mahnt Beschäftigte zur Vorsicht

Das bayerische Justizministerium warnt Angestellte der JVA Straubing, wachsam zu bleiben. Grund dafür ist ein Datenleck: Die JVA hat deren Adressdaten und insgesamt mehr als tausend Datensätze mit persönlichen Informationen an einen Gefangenen und dessen Anwalt weitergeleitet. Persönliche Daten wie die Anschrift und Covid-19-Testergebnisse von rund 1.200 Menschen hat die Verwaltung der JVA Straubing an einen Inhaftierten und seinen Anwalt gesendet. Darunter finden sich auch die von 700 Insassen und 90 JVA-Angestellten. Zu dem Datenleck kam es, als der Corona-Test des Gefangenen Teil eines Verfahrens wurde. Das Gesundheitsamt Straubing-Bogen hat das Testergebnis in einer Datei mit den weiteren Datensätzen gespeichert. Die JVA-Verwaltung hat diese Datei schließlich Ende Oktober dieses Jahres unverändert an den Häftling weitergeleitet. Das Justizministerium erörtert der dpa zufolge, dass durch einen „unbewussten Bearbeitungsfehler“ nicht nur die Daten des Häftlings dabei waren, sondern auch jene von hunderten weiteren Menschen. Die JVA-Leitung habe die Polizei hinzugezogen und stehe mit ihr in einem engen Austausch, erklärt das Ministerium. Die vom Datenleck Betroffenen könnten sich von den Fachdiensten der JVA beraten lassen. Der Leiter des anstaltseigenen Kriseninterventionsteams sei ein erfahrener Psychologe und stehe ebenfalls zur Verfügung. Die JVA-Angestellten sollen erhöhte Aufmerksamkeit an den Tag legen. Sofern ihnen etwas Verdächtiges auffalle, sollten sie Kontakt zur Polizei aufnehmen, hat eine Ministeriumssprecherin in München mitgeteilt. Laut dem Ministerium dauere die Aufarbeitung des Vorfalls noch an. Es werden dienstrechtliche Maßnahmen geprüft. Um künftig derartige Fehler zu verhindern, seien Abläufe in der JVA angepasst worden. Die Daten dieses Vorfalls seien aus der Verfahrensakte gelöscht worden; in der JVA solle dies in Kürze ebenfalls geschehen.

Quelle: Heise

US-Cybersicherheitsbehörde warnt vor Angriffen unter anderem auf Veeam

Die Cybersicherheitbehörde CISA aus den USA hat ihrem Katalog von aktiv im Internet ausgenutzten Sicherheitslücken neue Schwachstellen hinzugefügt. Administratoren sollten diese Lecks zügig abdichten, um Angreifern keine Chance zu lassen. Der Known Exploited Vulnerabilities Catalog der CISA ist jetzt um fünf Einträge länger. Diese beschreiben derzeit aktiv angegriffene Schwachstellen. Aufgrund der Weisungsbefugnis der CISA müssen US-Bundesbehörden diese Lücken innerhalb von zwei Wochen abdichten. Natürlich tun auch hiesige Organisationen, Unternehmen und Einrichtungen gut daran, diese bekannten Sicherheitslücken zu schließen. Von drei der neu hinzugekommen Lücken ist bereits bekannt, dass Cyberkriminelle sie etwa zum Eindringen in Netzwerke missbrauchen. Darunter fallen die am gestrigen Dienstag gemeldete Lücke in FortiOS, die heute berichtete Schwachstelle in Citrix ADC und Gateway sowie die am gestrigen Microsoft Patchday behobene Lücke, die das Umgehen des SmartScreen-Filters ermöglichte. Alle diese Schwachstellen nutzen Cyberkriminelle in diesem Moment aus, um etwa in Systeme oder Netzwerke einzubrechen. Zwei der Attacken sind jedoch bislang noch unbekannt gewesen und betreffen eine kritische und eine hochriskante Sicherheitslücke in Veeam Backup and Replication. Diese Schwachstellen hat der Hersteller bereits im März des Jahres behoben. Während die US-Behörden die Lücken nun bis zum 03. Januar 2023 schließen müssen, sollten sich IT-Verantwortliche keine Zeit mehr lassen und die bereitstehenden Aktualisierungen umgehend herunterladen und installieren. Andernfalls laufen sie Gefahr, Opfer eines Cyber-Angriffs zu werden.

Quelle: Heise

Webbrowser: Chrome-Update dichtet acht Sicherheitslecks ab

Neue Versionen des Webbrowsers Chrome beheben acht sicherheitsrelevante Fehler. Google stuft mindestens vier davon als hohes Risiko ein, eine als mittleres. Die anderen Lücken wurden offenbar nicht von externen IT-Forschern gemeldet, sodass die Entwickler keine weiteren Informationen dazu liefern. Alle Schwachstellen, zu denen Google in den Release Notes Kurzinformationen liefert, sind vom Typ Use-after-free. Dabei greift der Programmcode auf Speicherbereiche oder Zeiger zu, nachdem diese bereits freigegeben wurden. Dadurch ist der dort vorzufindende Inhalt zunächst undefiniert, kann oftmals von Angreifern jedoch mit anderen Mitteln mit eigenem Code gefüllt werden, dessen Ausführung bei Auftreten der Lücke dann startet. In Google Chrome 108.0.5359.128 für Android, 108.0.5359.112 für iOS, 108.0.5359.124 für Linux und Mac sowie 108.0.5359.124/.125 für Windows haben die Programmierer von Google die Fehler ausgebessert. Die aktualisierten Browser-Fassungen will Google im Laufe der kommenden Tage und Wochen verteilen. Chrome-Nutzende können selbst prüfen, ob der Browser auf dem neuen Softwarestand ist und die Aktualisierung unter Umständen beschleunigen. Dazu genügt ein Klick auf das Einstellungsmenü, also dem Symbol mit den drei gestapelten Punkten oben rechts neben der Adressleiste. Dann ruft der Pfad „Hilfe“ – „Über Google Chrome“ den Versionsdialog auf. Ist die Version bereits aktuell, zeigt der Dialog nur die Nummer an. Anderenfalls startet jetzt der Download und die Installation der Aktualisierung, die durch einen manuell auszuführenden Neustart des Browsers dann abgeschlossen wird. Linux-Nutzer müssen hingegen die Softwareverwaltung ihrer eingesetzten Distribution bemühen, um davon das Update installieren zu lassen. Erst vor nicht einmal zwei Wochen hatte Google ein Notfall-Update für Chrome herausgegeben. Eine hochriskante Sicherheitslücke wurde dort bereits aktiv in freier Wildbahn mit Exploits angegriffen.

Quelle: Heise

Firefox 108 und Thunderbird 102.6 bessern Schwachstellen aus

Die Mozilla-Stiftung hat den Webbrowser Firefox in der Version 108 veröffentlicht. Zeitgleich haben die Entwickler den Browser mit Langzeit-Support, Firefox ESR, und im gleichen Atemzug das Mailprogramm Thunderbird in Version 102.6 herausbegeben. Alle Software-Versionen dichten Sicherheitslücken ab. Die Release Notes zu Firefox 108 liefern kaum interessante Neuerungen für Browser-Nutzende. Wie in Chrome öffnet das Tastaturkürzel Shift + Esc einen Prozess-Manager, in dem sich der Ressourcenverbrauch einzelner Browser-Prozesse identifizieren lässt. Prozesse für Tabs im Hintergrund nutzen unter Windows 11 einen Effizienz-Modus, um Ressourcen einzusparen. Beim Speichern und Drucken von PDF-Formularen unterstützt Firefox jetzt auch nicht-englische Zeichen. Zudem zog die Unterstützung für die WebMIDI-API sowie ein experimenteller Kontrollmechanismus zur Eindämmung potenziell gefährlicher Funktionen davon ein. Zudem dichten die Entwickler ihrer Sicherheitsmeldung zufolge vier Schwachstellen mit hohem Schweregrad ab, drei mittelschwere sowie eine mit niedriger Gefahreneinstufung. Darunter riss eine veraltete Drittherstellerkomponente, die Bibliothek libusrsctp, Sicherheitslücken auf; unter Firefox für Linux könnten Angreifer unter Umständen aus einem kompromittierten Prozess aus der Browser-Sandbox ausbrechen und so beliebige Dateien auslesen. Dateien mit langem Dateinamen konnten bei Drag’n’Drop-Operationen die Dateiendungen abgeschnitten werden und so eine andere Dateiendung erhalten – potenziell böser Art, etwa als .exe. Auch Firefox ESR 102.6 dichtet dem Sicherheitsbericht zufolge vier hochriskante Lücken ab. Neben der vorgenannten Lücke unter Linux finden sich zwei Lücken in der WebGL-Komponente mit hohem Risiko. Drei weitere Schwachstellen erreichen mittleren Schweregrad, eine davon abermals in WebGL. Bei den Sicherheitslücken meldet die Mozilla-Foundation dieselben für Thunderbird 102.6 wie für den ESR-Firefox. Die Release Notes heben einige Fehlerbehebungen hervor. Der Import von OpenPGP-Schlüsseln schlug fehl, wenn ein öffentlicher Schlüssel mit einem öffentlichen Sub-Key schon vorhanden war. Hatten Nutzer zu viele Ordner geöffnet, wurden Nachrichten-Indexdateien fälschlicherweise gelöscht. Zudem konnte Thunderbird synchronisierte vCards manchmal falsch formatieren. Wiederholende Ereignisse wurden nach einer bestimmten Zahl von Wiederholungen nicht mehr angezeigt. Außerdem hat Thunderbird Cookies, die aus dem „Cookies anzeigen“-Dialog gelöscht wurden, nicht auf der Platte gelöscht. Das Pausieren von RSS-Feed funktionierte auch nicht. Die Entwickler schließen die Auflistung mit diversen optischen und Nutzungs-Verbesserungen. Aufgrund der mit den neuen Versionen geschlossen Sicherheitslücken sollten Firefox- und Thunderbird-Nutzende die bereitstehende Aktualisierung zügig anwenden.

Quelle: Heise

Continental: IT-Einbruch erfolgte über heruntergeladenen Browser von Mitarbeiter

Ein nicht autorisierter Browser, den ein einzelner Mitarbeiter aus dem Internet heruntergeladen, installiert und benutzt hat, diente angeblich als Einfallstor für den Cyberangriff auf Continental. Das berichtet das Handelsblatt unter Berufung auf ein internes Firmenvideo, in dem der IT-Sicherheitschef des Konzerns neue Details nennt. Der Mitarbeiter habe es den Cyberkriminellen der Lockbit-Gruppe damit ermöglicht, seinen Benutzeraccount und das Passwort abzugreifen, womit die in die Systeme gelangt seien. Dort hätten die Kriminellen immer wichtigere Accounts erlangt und wochenlang unbemerkt Daten abgegriffen. Warum der Browser überhaupt installiert werden konnte, sei bislang noch unklar. Gegenüber heise online hat Continental den Bericht nicht kommentiert, aber auf eine Informationsseite dazu verwiesen. Dort steht, dass der Beschäftigte „eine getarnte Schadsoftware ausgeführt“ hat. Intern war der Cyberangriff bei Continental bereits am 4. August entdeckt worden, zu diesem Zeitpunkt waren die Cyberkriminellen seit einem Monat in den Systemen. Trotzdem konnte die Lockbit-Gruppe etwa 40 Terabyte an Daten herunterladen. Bei der Analyse der erbeuteten Daten sei bislang kein Muster festgestellt worden, zitiert das Handelsblatt weiter. Der Konzern aus Hannover habe einen Krisenrat einberufen, die Auswertung werde aber noch Wochen dauern. Besonders sensible und geschützte Daten der Personalabteilung sollen nicht betroffen sein, die suche aber noch nach potenziell kritischen Daten. Die Lockbit-Gruppe hat die Daten im Darknet für 50 Millionen US-Dollar zum Verkauf angeboten, allein ein Verzeichnis der enthaltenen Dateien umfasst komprimiert 421 MByte. Continental hatte zunächst gemeldet, dass der Angriff abgewehrt wurde und die IT-Systeme unter Kontrolle seien, Beeinträchtigungen habe es nicht gegeben. Später hat der Konzern die Schwere des Einbruchs dann doch eingestanden und versichert, mit höchster Priorität an der Aufklärung zu arbeiten. Nachdem es zuvor Kritik aus dem Unternehmen gegeben habe, dass intern zu wenige Informationen dazu geteilt würden, werde das jetzt erstellte Video als Verbesserung gewertet, zitiert das Handelsblatt.

Quelle: Heise

iOS 16.2 und macOS 13.1: Apple behebt zahlreiche Sicherheitslücken und Zero-Days

Apple hat nach Freigabe von iOS und iPadOS 16.2, macOS 13.1, watchOS 9.2 und tvOS 16.2 am Mittwochabend in der Nacht nun auch Angaben zu den geschlossenen Sicherheitslücken in den Updates nachgereicht. Die Liste ist einmal mehr lang und umfasst teils schwerwiegende Probleme. Außerdem wurden auch Zero-Day-Exploits angegangen, bei denen Apple bereits Berichte über mögliche Angriffe vorliegen. Entsprechend wichtig ist das Einspielen der Updates. Bei iOS und iPadOS 16.2 wurden allein knapp drei Dutzend Sicherheitslücken behoben. Hinzu kommen drei Bereiche (Kernel, Safari Extensions, WebKit), in denen es weitere Fixes gab, zu denen Apple aber bislang keine näheren Angaben macht. Die gestopften Löcher betreffen zahlreiche Systembereiche, von Accounts über AppleMobileFileIntegrity, CoreServices, diverse Treiber- und IO-Bereiche bis hin zu iTunes Store, Kernel, Druck, Safari und immer wieder WebKit. Es gibt diverse Fälle, in denen über die Bugs beliebiger Code ausgeführt werden kann, teilweise mit Root-Rechten. Auch verschiedene Remote-Exploits sind dabei – teilweise mit Kernel-Code. macOS 13.1 behebt laut Apple ebenfalls rund 30 Sicherheitslücken, inklusive vieler schwerer bis mittelschwerer Lecks. Darunter ist ein WebKit-Bug, der laut Apple bereits aktiv ausgenutzt wird (CVE-2022-42856). Apple zufolge ist hier aktuell nur der Mac betroffen, zudem iOS-Versionen vor 15.1. Web-Inhalte können dabei zum Ausführen beliebigen Codes (wenn auch ohne Root-Rechte) verwendet werden. Die weiteren Bugs betreffen ebenfalls zahlreiche Systembereiche, bei Kernel, Lock Screen, Safari Extensions und WebKit sind (auch) Fehler behoben worden, die Apple zunächst nicht näher ausführt. Apple hat parallel zu den Updates der neuen Betriebssystemversionen auch Bugs in Altprogrammen gefixt. Dabei sollte man allerdings stets beachten, dass das Unternehmen nicht alle Fehler behebt, was mittlerweile offen zugegeben wurde. Heißt: Nur macOS 13.1, iOS 16.2 und Co. sind voll gepatcht. Für macOS Monterey liegt Update 12.6.2 vor, für macOS Big Sur Version 11.7.2. Ältere iPhones und iPads erhalten Version 15.7.2. Safari wird für Monterey und Big Sur zudem nochmals einzeln in Version 16.2 verteilt. Alle Updates erhalten Fixes. watchOS 9.2 und tvOS 16.2 beheben ebenfalls relevante Sicherheitslücken und sollten zeitnah aufgespielt werden.

Quelle: Heise

Kritische Sicherheitslücken in VMware-Anwendungen geschlossen

Wer virtuelle Maschinen mit Anwendungen von VMware realisiert, sollte die aktuellen Sicherheitspatches installieren. Andernfalls könnte es zu Schadcode-Attacken kommen. Wie aus einer Warnmeldung hervorgeht, stuft VMware in vRealize Network Insight (vRNI) eine Sicherheitslücke (CVE-2022-31702) als „kritisch“ ein. Angreifer mit Netzwerkzugriff auf vRNI REST API könnten ohne Authentifizierung eigene Befehle ausführen. Das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2022-31703 „hoch“) in diesem Kontext könnten Angreifern Serverzugriffe ermöglichen. Abhilfe schaffen die gegen solche Attacken abgesicherten vRNI-Versionen 6.2 HF, 6.3 HF, 6.4 HF, 6.5.x HF, 6.6 HF und 6.7 HF. Eine „kritische“ Schwachstelle (CVE-2022-31705) bedroht VMware Cloud Foundation, ESXi, Fusion und Workspace/Player. Hier könnte ein Angreifer mit lokalen Admin-Rechten in einigen Fällen sogar Schadcode auf Host-Systemem ausführen. Die dagegen abgesicherten Ausgaben listet VMware in einer Warnmeldung auf.

Quelle: Heise

Patchday Adobe: Angreifer könnten Schadcode auf Systeme schieben

Angreifer könnten mehrere verwundbare Anwendungen von Adobe attackieren und im schlimmsten Fall Schadcode auf Systemen ausführen. Sicherheitspatches schaffen Abhilfe. Adobe stuft alle Updates als „wichtig“ ein. Campaign Classic ist unter Linux und Windows bedroht. Sind Attacken erfolgreich, könnten Angreifer den Entwicklern zufolge am Ende mit höheren Nutzerrechten dastehen (CVE-2022-42343). Repariert sind die Ausgaben 7.3.2 und 8.4.2. Experience Manager ist auf allen Plattformen bedroht. Auch wenn Schadcode-Attacken möglich sind, ist der Bedrohungsgrad jeweils nur mit „mittel“ eingestuft. Die Versionen Cloud Service Release 2022.10.0 und 6.5.15.0 sind gegen mögliche Attacken gerüstet. Illustrator haben die Entwickler in den Versionen Illustrator 2022 26.5.2 und Illustrator 2023 27.0.1 unter macOS und Windows abgesichert. Hier könnte es einer Warnmeldung zufolge zu Speicherfehlern kommen.

Quelle: Heise

Kritische Zero-Day-Lücke in Citrix ADC und Gateway wird angegriffen

Neben Citrix warnen die US-Cyber-Sicherheitsbehörde CISA und weitere IT-Sicherheitsinstitutionen vor einer kritischen Schwachstelle in Citrix ADC und Gateways. Angreifer können sie ohne Anmeldung aus dem Netz missbrauchen, um beliebigen Code auf die Maschinen zu schieben und den zur Ausführung zu bringen (CVE-2022-27518, CVSS 9.8, Risiko „kritisch“). Und das machen sie derzeit bereits. Damit können sie die Maschinen folglich kompromittieren. Details zur Sicherheitslücke gibt es noch nicht. Citrix erklärt in der Sicherheitsmeldung, dass ein Citrix ADC oder Gateway als SAML SP oder SAML IdP konfiguriert sein müsse. Ob das in den eingesetzten Produkten der Fall ist, können IT-Verantwortliche herausfinden, indem sie die ns.conf-Datei auf die Einträge add authentication samlAction (SAML SP) oder add authentication samlIdPProfile (SAML IdP) untersuchen. Sind die vorhanden, ist die Maschine verwundbar. Citrix erläutert, dass die Fehler in Citrix ADC und Citrix Gateway 13.0 vor Version 13.0-58.32, Citrix ADC und Citrix Gateway 12.1 vor 12.1-65.25, Citrix ADC 12.1-FIPS vor 12.1-55.291 sowie Citrix ADC 12.1-NDcPP vor 12.1-55.291 zu finden sind. Nicht von der Schwachstelle betroffen sind demzufolge Citrix ADC und Citrix Gateway in Version 13.1. Die Sicherheitslücke wird bereits aktiv angegriffen, Citrix berichtet von „einer kleinen Anzahl an gezielten Attacken in freier Wildbahn“. Der Hersteller weist dringend darauf hin, dass Kunden die bereitstehenden Updates so schnell wie nur möglich installieren sollen. In einem Blog-Beitrag erklärt Citrix zudem, dass es keine Übergangslösung für die Schwachstelle gibt. Die NSA hat eine Handreichung mit Hinweisen auf eine Kompromittierung (Indicators of Compromise, IoCs) bereitgestellt, die Citrix-Administratoren gegebenenfalls berücksichtigen sollten. Zuletzt mussten IT-Verantwortliche vor rund einem Monat Updates für ihre Citrix ADCs und Gateways anwenden. Auch da wurde eine kritische Sicherheitslücke geschlossen.

Quelle: Heise

Patchday: Schutzmechanismus von Windows ausgehebelt

Am Patchday im Dezember haben die Entwickler von Microsoft unter anderem sechs „kritische“ Sicherheitslücken geschlossen. Eine Schwachstelle in Windows haben Angreifer derzeit im Visier. Eine DirectX-Lücke ist öffentlich bekannt und Attacken könnten bevorstehen. Die kritischen Lücken betreffen konkret Microsoft Dynamics/Dynamics 365 Business Central (On Premises) (CVE-2022-41127), SharePoint Server (CVE-2022-44960, CVE-2022-44693), PowerShell (CVE-2022-41076) und Windows Secure Socket Tunneling Protocol (SSTP) (CVE-2022-44670, CVE-2022-44676). In allen Fällen könnten entfernte Angreifer nach erfolgreichen Attacken Schadcode ausführen. Bei den SSTP-Lücken müsste ein Angreifer dafür lediglich präparierte Verbindungsanforderungen an einen RAS-Server schicken. Die derzeit von Angreifern ausgenutzte Windows-Lücke (CVE-2022-33698) stuft Microsoft als „moderat“ ein. Angreifer könnten den Windows-Schutzmechanismus SmartScreen umgehen. Im Zusammenspiel mit der Zonenerkennung Mark of the Web sorgt der Mechanismus dafür, dass aus dem Internet geladene Dateien entsprechend gekennzeichnet sind und etwa in Office in einer geschützten Ansicht geöffnet werden. Das könnten Angreifer Microsoft zufolge umgehen. Eine ähnliche Schwachstelle wurde bereits am Patchday im November geschlossen. Um die Lücke auszunutzen, müssten sie Opfer aber auf eine von ihnen kontrollierte Website locken. Öffnet ein Opfer dann eine mit Schadcode präparierte Datei, kann das zu einer Trojaner-Infektion führen. Beispielsweise mit Makros versehen Word-Dokumente sind immer noch das Haupteinfallstor für Erpressungstrojaner. Die verbleibenden Lücken stuft Microsoft als „wichtig“ ein, auch wenn der CVSS Score in den meisten Fällen mit „hoch“ angesetzt ist. Hier könnten Angreifer etwa die Grafikkomponente von Office attackieren, um eigenen Code auszuführen. Wie Attacken aussehen könnten, ist derzeit nicht bekannt. Darunter sind noch einige Windows-Lücken, die unter anderem die Virtualisierungslösung Hyper-V und den Kernel betreffen. Hier könnten Angreifer für DoS-Attacken ansetzen. Außerdem hat Microsoft bekanntgegeben, dass Cyberkriminelle über das Windows-Hardware-Entwicklerprogramm erfolgreich mit Schadcode versehene Treiber signiert haben. Diese Treiber sollen Angreifer, die auf bereits kompromittierten Systemen Admin-Rechte erlangt haben, zum Nachladen von etwa Ransomware genutzt haben. Microsoft gibt an, die entsprechenden Entwicklerkonten gesperrt zu haben und über Windows Update und Microsoft Defender (ab 1.377.987.0) das Zertifikat widerrufen zu haben. Windows-Nutzer sollten sicherstellen, dass Windows Update aktiv ist und das System auf dem aktuellen Stand ist.

Quelle: Heise

1,5 Millionen Mailadressen aus CoinTracker-Datenleck bei Have I been pwned

Mehr als 1,5 Millionen Datensätze aus einem Datenleck beim Kryptowährungs- und NFT-Steuerdienstleister CoinTracker sind im Untergrund aufgetaucht. Jetzt konnte das Have-I-been-pwned-Projekt die Daten zum eigenen Fundus hinzufügen. Dort lässt sich überprüfen, ob man selbst betroffen ist. CoinTracker bietet als Dienstleistung an, auf verbundene Kryptowährungs-Wallets zu achten und die Umsätze und Anlagen für die Steuer fachgerecht aufzubereiten. Das Unternehmen erklärte in einer Meldung zu einem Datenabfluss Anfang Dezember, dass es lediglich lesenden Zugriff auf die Kryptobörsen-Konten und öffentlichen Blockchain-Adressen habe. Das Datenleck sei Teil einer größeren Datenkompromittierung bei einem der Dienstleister von CoinTracker gewesen, erklärte das Unternehmen. Die eigene Datenbank sei zu keiner Zeit unterwandert worden. Vorrangig konnten E-Mail-Adressen der CoinTracker-Konten erbeutet werden. Have-I-been-pwned ergänzt, dass in dem Fundus Teile der Telefonnummern zu finden seien. Insgesamt von 1.557.153 Nutzerinnen und Nutzern sind diese Daten jetzt im Umlauf. Ob die eigenen Adressen von diesem Datenleck betroffen sind, können Interessierte einfach auf der Homepage von Have-I-been-pwned herausfinden. Mit den erbeuteten Daten lässt sich auf den ersten Blick nicht viel anfangen. Allerdings sind diese Daten bereits mit Informationen verknüpft: Die E-Mail-Adressen gehören zu Menschen, die mit Kryptowährungen und NFTs umgehen. Sie haben daher naheliegenderweise Wallets. Das erleichtert Phishing-Angriffe sehr stark. CoinTracker warnt daher selbst davor, etwa in vermeintlichen Mails vom Anbieter die Links auf Plausibilität zu prüfen, bevor dort Aktionen jeglicher Art ausgeführt werden. Auch sollten Empfänger niemals das Passwort oder geheime Wallet-Seeds teilen beziehungsweise bestätigen. Außerdem sollten sie keine Wallet-Transaktionen direkt aus einer E-Mail heraus signieren. Schließlich empfiehlt CoinTracker das Aktivieren von Zwei-Faktor-Authentifizierung (2FA), was den Zugriff auf freigegebene Geräte beschränkt. Solche Datenabflüsse gehören inzwischen zum Alltag. So hat das Have-I-been-pwned-Projekt erst in diesem Sommer etwa mehr als 5 Millionen Datensätze zu Twitter-Nutzern hinzugefügt. Ein Sprecher von CoinTracker hat uns informiert, dass eine Stichprobe mit Freiwilligen gezeigt hat, dass die vermeintlichen Telefonnummern nicht echt oder korrekt seien. Das Unternehmen frage keine Telefonnummern von Nutzenden an.

Quelle: Heise

Patchday SAP: 14 neue Sicherheitsmeldungen im Dezember

Der Dezember-Patchday von SAP bringt Updates zum Schließen von teils kritischen Sicherheitslücken in mehreren Programmen. Insgesamt 14 neue Sicherheitsmeldungen veröffentlicht der Hersteller. Zudem aktualisiert er vier ältere Notizen. Von den 14 Meldungen behandeln gleich vier kritische Sicherheitslücken, drei hochriskante Bedrohungen und sechs Schwachstellen mit mittlerem Risiko; eine Meldung mittleren Schweregrads kennzeichnet SAP als Update und gleichzeitig als neu, da noch weitere dadurch verwundbare Systeme hinzugekommen sind. Details zu den Sicherheitslücken hält SAP wie üblich zurück. Eine Andeutung des Schwachstellentyps und betroffene Software nennt das Unternehmen jedoch öffentlich. Eine Server-Side Request Forgery vulnerability (SSRF)-Schwachstelle findet sich in SAP BusinessObjects Business Intelligence Platform (CVE-2022-41267, CVSS 9.9, Risiko „kritisch“). Bei einer SSRF können Angreifer Server missbrauchen, um an Informationen etwa aus dem internen Netz zu gelangen, auf die lediglich der Server zugreifen kann, die aber eigentlich vertraulich und gegen Zugriffe von außen geschützt sind. Unzureichende Zugriffskontrollen bei der benutzerdefinierten Suche von SAP NetWeaver Process Integration reißen eine kritische Lücke auf (CVE-2022-41272, CVSS 9.9, kritisch). In SAP Commerce kommt eine verwundbare Version von Apache Commons Text zum Einsatz, durch die Angreifer aus dem Netz mit manipulierten Anfragen Code einschleusen und zur Ausführung bringen könnten (CVE-2022-42889, CVSS 9.8, kritisch). Das Messaging-System von SAP NetWeaver Process Integration nimmt ebenfalls inkorrekte Zugriffsprüfungen vor, wodurch eine weitere Lücke aufgerissen wird (CVE-2022-41271, CVSS 9.4, kritisch). Weitere hochriskante Lücken finden sich in SAP Basis, SAP Business Planning and Consolidation und SAP Commerce. Schwachstellen mittleren Schweregrads betreffen SAP Disclosure Management, SAP NetWeaver AS for Java, SAP Solution Manager (Enterprise Search), SAP NetWeaver AS ABAP, SAP Solution Manager (Diagnostic Agent), SAP Business Objects Business Intelligence Platform (Web intelligence) und schließlich noch in SAP Sourcing and SAP Contract Lifecycle Management. Links zu den SAP-Eigenen Sicherheitsnotizen finden sich in der SAP Patchday-Übersicht. Administratoren können dort mit ihren Zugangsdaten auf die Details zu den Meldungen sowie die bereitgestellten Aktualisierungen zugreifen. Der SAP-November-Patchday brachte neun Sicherheitsnotizen, von denen zwei als kritisches Risiko eingestufte Lücken behandelt hatten.

Quelle: Heise

Jetzt patchen! Kritische Zero-Day-Lücke in FortiOS wird angegriffen

Eine kritische Sicherheitslücke in FortiOS von Fortinet wird bereits aktiv angegriffen, warnt der Hersteller. Eine Aktualisierung ist verfügbar. IT-Verantwortliche sollten diese umgehend herunterladen und installieren. Viele Details nennt Fortinet in der Sicherheitsmeldung nicht. Im SSL-VPN von FortiOS kann ein Heap-basierter Pufferüberlauf beim Verarbeiten sorgsam präparierter Anfragen auftreten. In dessen Folge können Angreifer aus dem Netz ohne Anmeldung am System beliebigen Code einschleusen und ausführen (CVE-2022-42475, CVSS 9.3, Risiko „kritisch“). Fortinet erklärt, dass das Unternehmen von mindestens einem Vorfall wisse, bei dem die Lücke in freier Wildbahn missbraucht wurde. Administratoren sollten ihre Geräte auf Angriffsspuren (Indicators of Compromise) untersuchen, die die Autoren der Meldung auch nennen. So liefern Log-Einträge das Indiz, dass die Lücke vermutlich angegriffen wurde: „Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]““. Es könnten sich nach erfolgreichem Angriff folgende Dateien im Dateisystem befinden:

data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Außerdem weisen laut Fortinet IP-Verbindungen zu folgenden Hosts auf einen erfolgreichen Einbruch hin:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Fortinet schließt die Schwachstelle mit den Aktualisierungen auf FortiOS 7.2.3, 7.0.9, 6.4.11 sowie 6.2.12 und höheren Versionen. Zudem gibt es Updates für die FortiOS-6K7K-Versionen auf 7.0.8, 6.4.10, 6.2.12 und 6.0.15 oder neuer. Erst vergangene Woche hatte Fortinet mehrere Sicherheitslücken in den Produkten des Unternehmens geschlossen. Die schwerwiegendste davon betraf den SSH-Log-in und kam auf die Risikoeinschätzung „hoch“.

Quelle: Heise