Wer seine Wärmepumpe von Alpha Innotec oder Novelan mit Luxtronic-Controller ans Netz gestöpselt hat und plötzlich tropische Verhältnisse oder eine nicht mehr funktionierende Wärmepumpe in der Hütte vorfindet, könnte Opfer eines Angriffs geworden sein: Das Root-Passwort ist in der Firmware fest kodiert und zudem nur schwach geschützt. Bösartige Akteure können sich dadurch als root anmelden und mit diesen Rechten sogar eigenen Code ausführen. Die Schwachstelle beschreibt der Entdecker mit dem Handle Jaarden auf Github. In der Firmware-Datei hat er eine shadow-Datei mit einem 3DES-verschlüsselten Passwort gefunden. Dieses zu entschlüsseln, gelang den Angaben nach in fünf Sekunden und offenbarte das Klartext-Root-Passwort eschi. Da auf der Wärmepumpe ein SSH-Dienst läuft, konnte der IT-Forscher sich damit anmelden. Die Kernel-Informationen zeigen dann an, dass der Linux-Kernel 2.6.33.20 für die ARMv5-Prozessorarchitektur kompiliert wurde. Nach der Kontaktaufnahme habe AIT, der OEM-Hersteller hinter Alpha Innotec und Novelan, sich für ein Treffen zum Vorführen der Lücke Mitte vergangenen Jahres interessiert. Bis Anfang Dezember habe der Hersteller dann an fehlerkorrigierter Firmware für die betroffenen Geräte gearbeitet. Am 31. Januar haben AIT und Jaarden die Schwachstelle koordiniert publik gemacht, sie hat den CVE-Eintrag CVE-2024-22894 erhalten. Ein CVSS-Wert und eine standardisierte Risikoeinschätzung liegen dafür bislang nicht vor. Die Luxtronic-Controller der Alpha Innotec- und Novelan-Wärmepumpen sind mit dem Firmware-Stand 2.88.3, 3.89.0 sowie 4.81.3 oder höher nicht mehr verwundbar. Wer seine Wärmepumpe von diesen Marken mit dem Netzwerk verbunden hat, sollte die aktualisierte Firmware vom Hersteller herunterladenund installieren – das geschieht jedoch auf eigene Gefahr. Gegebenenfalls hilft der Support der Firmen beim konkreten Update unter Beibehaltung der Gewährleistung. Jaarden schreibt, dass er mit der Suchmaschine Shodan 47 Wärempumpen offen im Netz mit zu den verwundbaren Versionen passenden SSH-Stand und -Fingerabdruck aufgespürt hat. Einige stellen offenbar ihre Wärmepumpe ohne weiteren Schutz ins Netz. Der Zugriff sollte zumindest auf ein VPN beschränkt werden, wie es etwa die Fritzboxen mit WireGuard anbieten.

Quelle: Heise

HCL hat für seine Produkte Bigfix Platform, Devops Deploy und Launch (UCD) Updates veröffentlicht. Sie schließen teils kritische Sicherheitslücken darin. IT-Verwantwortliche sollten schnell sicherstellen, auf dem aktuellen Stand zu sein. Laut Sicherheitsmitteilung schließt HCL in Bigfix Platform allein acht Sicherheitslücken. Eine kritische betrifft die Drittherstellersoftware cURL, Angreifer könnten einen Pufferüberlauf bei der Verarbeitung von SOCKS5-Verbindungen zum Einschmuggeln von Schadcode missbrauchen (CVE-2023-38545, CVSS 9.8, Risiko „kritisch“). Die weiteren Lücken betreffen den Bigfix Sourcecode. Angreifer mit einer gültigen Basic-Authentication können aufgrund einer Lücke unbefugt an sensible Nutzerinformationen gelanfen (CVE-2024-23553, CVSS 8.2, hoch). Zudem stufen die Entwickler von HCL eine Cross-Site-Scripting-Lücke in den Web Reports als mittlere Bedrohung ein (CVE-2023-37528, CVSS 6.5, mittel). Die Komponente enthielt zudem eine Reflected Cross-Site-Scripting-Lücke, die Angreifern das Ausführen von Javascript-Code in einer Anwendungssitzung oder in der Datenbank erlaubt (CVE-2023-37527, CVSS 5.4, mittel). Die weiteren Schwachstellen stuft HCL als niedriges Risiko ein. Temporäre Gegenmaßnahmen zur Absicherung nennt HCL nicht. Die Updates auf die Versionen 11.0.1, 10.0.11 sowie 9.5.24 stopfen die Sicherheitslecks. Administratorinnen und Administratoren sollen die zugehörigen Upgrade-Patch-Fixlets genannten Patches in der Konsole suchen und diese starten und anwenden. Zudem schließt HCL in Devops Deploy und Launch (UCD) mit den Versionen 8.0.0.1, 7.3.2.4, 7.2.3.9, 7.1.2.16 und 7.0.5.20 eine HTTP-Request-Schmuggel-Lücke im mitgelieferten Apache Tomcat-Server (CVE-2023-46589, CVSS 6.5, mittel). Wenn der Windows-Agent als Dienst installiert wurde, können bösartige Akteure sensible Nutzerinformationen ausspähen (CVE-2024-23550, CVSS 6.2, mittel). Für beide Schwachstellen finden sich die genannten aktualisierten Versionen im HCL Download-Center, das nach einer Anmeldung zugreifbar ist.

Quelle: Heise

In Hongkong ist ein Angestellter eines internationalen Konzerns mit einer Videokonferenz voller KI-generierter Teilnehmer dazu gebracht worden, fast 24 Millionen Euro an Betrüger zu überweisen. Das berichtet Radio Television Hong Kong (RTHK) und führt aus, wie die aufwendige Erweiterung der bekannten „Chef-Masche“ funktioniert hat. Das Betrugsopfer wurde demnach per E-Mail zu einer Videokonferenz eingeladen. Alle anderen darin seien dann KI-generierte Deepfakes von Personen aus dem Konzern gewesen, die das Opfer zu den insgesamt 15 Überweisungen im Gesamtwert von 200 Millionen Hongkong-Dollar angestiftet hätten. Das Opfer habe den Betrug erst während eines persönlichen Gesprächs mit dem eigenen Chef erkannt. Die Details zu dem Vorfall stammen dem Bericht zufolge von der Cybersicherheitsabteilung der Hongkonger Polizei. Diese geht demnach davon aus, dass sich die Kriminellen interne Videos des nicht namentlich genannten Konzerns beschafft haben. Die seien dann um KI-generierte Stimmen ergänzt worden, unter Umständen waren die Bewegtbilder selbst also nicht einmal computergeneriert. In der Videokonferenz sei das Betrugsopfer dann die einzige echte Person gewesen, habe dann aber nichts davon bemerkt. Was mit dem überwiesenen Geld passiert ist, geht aus der Meldung nicht hervor, es ist aber davon auszugehen, dass die Millionensumme weg ist. Mit der Bekanntmachung will die Polizei der chinesischen Sonderverwaltungszone die Öffentlichkeit auf die neue Betrugsmasche aufmerksam machen, heißt es weiter. Bislang laufen solche Betrügereien meist über Vieraugengespräche: Per E-Mail oder am Telefon werden Angestellte von angeblichen Vorgesetzten dazu gebracht, Geld an ein Konto zu überweisen. Der Vorfall in Hongkong zeige nun, dass Kriminelle inzwischen in der Lage sind, ganze Online-Meetings zu simulieren, schreibt die Polizei. Auch bei Meetings mit vielen Teilnehmern und Teilnehmerinnen müssten Menschen deshalb nun wachsam sein. Details sollten deshalb auf bekannten Kommunikationskanälen hinterfragt werden, in den Meetings selbst sollte man Fragen stellen, um die Identitäten zu verifizieren.

Quelle: Heise

In einem Forum für Cyberkriminielle sind rund 18.000 Datensätze von Kunden der Fernwartungssoftware Anydesk aufgetaucht. Entdeckt und großteils überprüft hat sie die Sicherheitsfirma Resecurity. Das Unternehmen hat nach eigenen Angaben die Betroffenen kontaktiert und konnte verifizieren, dass sie tatsächlich Kunden von Anydesk sind. Auch mit dem Anbieter des Datensatzes sprachen die Security-Forscher. Als Beleg schickte er ihnen eine Probe (Sample) der Daten. Daraus geht hervor, dass es sich um Log-in-Daten für das Kundenportal von Anydesk handelt. Wie das Unternehmen kürzlich mitteilte, hat es dort jedoch alle Logins für ungültig erklärt. Kunden müssen sich mindestens ein neues Passwort setzen, besser noch eine Authentifizierung mit mehreren Faktoren aktivieren. Das bedeutet dennoch nicht, dass durch den mutmaßlichen Leak keine Gefahr ausgeht. In den Datensätzen sind nämlich auch Details der Kunden enthalten, unter anderem die Zahl der Geräte, mit denen Anydesk genutzt wurde, der Lizenzschlüssel der Software, Log-in-Zeiten und einiges mehr. Das erlaubt potenziellen Angreifern einen Blick etwa in die Struktur und Verhaltensweisen eines Unternehmens. Finanzinformationen wie Kreditkartendaten sind dem Bericht von Resecurity zufolge in dem Datensatz immerhin nicht enthalten. Der mutmaßliche Ersteller des Angebots – für das Interessierte 15.000 US-Dollar in Kryptowährung bezahlt sollen – gab demnach an, die Daten seien „ideal für Support-Betrug und Phishing“. Der erste Teil, die „technical support scams“ sind nicht nur im US-amerikanischen Raum in den letzten Jahren zu einer regelrechten Plage geworden. Betrüger rufen dabei tatsächliche oder auch nur vorgebliche Kunden von Softwarelizenzen an und drängen sie dazu, etwa für ein Ende des angeblichen Vertrages oder mit anderen Vorwänden teils große Summen zu zahlen. Um die Opfer weiter unter Druck zu setzen, wird dabei teils auch mit Fernwartungssoftware wie Anydesk Schadsoftware auf Geräten der Geprellten installiert, der Rechner gesperrt oder Onlinebanking manipuliert. Letzteres geschieht beispielweise mit gefälschten Webseiten, die wie die Bank des Opfers aussehen, das Geld aber an die Betrüger leiten. Noch ist nicht ganz klar, wie aktuell die Datensätze sind. Laut Resecurity konnte deren Anbieter noch am 3. Februar 2024 auf Systeme von Anydesk zugreifen. Das ist in etwa der Zeitraum, in dem das Unternehmen den Angriff öffentlich machte. Schon kurz zuvor hat es aber offenbar Lücken in der Sicherheit des Unternehmens gegeben. Wie bei allen mutmaßlichen Cyberkriminellen ist dennoch nicht auszuschließen, dass nun alte Informationen als Trittbrettfahrerei zu Geld gemacht werden sollen. Allen Nutzern von Anydesk rät Resecurity, mit dem Unternehmen Kontakt aufzunehmen, um eine Gefährdung der eigenen Infrastruktur zu überprüfen. Zudem sollten bestehende Accounts mit mehrfacher Authentifizierung, nicht nur einem Passwort abgesichert werden. Und auch E-Mails, die sich um das Thema Anydesk drehen, sollten Empfänger kritisch betrachten; auch dann, wenn man gar nicht Kunde des Unternehmens ist.

Quelle: Heise

Setzen Unternehmen IBM Business Automation Workflow zur Automatisierung digitaler Workflows ein, sollten Admins die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Insgesamt haben die Entwickler vier Sicherheitslücken geschlossen. Die betroffenen und reparierten Versionen kann man in den unterhalb dieser Meldung verlinkten Warnmeldungen nachlesen. Drei Schwachstellen (CVE-2023-26159, CVE-2023-45857, CVE-2023-43642) sind mit dem Bedrohungsgrad „hoch“ versehen. Hier können Angreifer unter anderem für DoS-Attacken ansetzen. Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2023-31582 „mittel“) ist der Zugriff auf Hashes von Passwörtern möglich und im Anschluss sind weitere Attacken auf ein System vorstellbar. Liste nach Bedrohungsgrad absteigend sortiert:

• Denial of service vulnerability affects IBM Business Automation Workflow Event Emitters – CVE-2023-43642
• Multiple vulnerabilities in nodejs packages affect IBM Business Automation Workflow – CVE-2023-26159, CVE-2023-45857
•  Information Disclosure vulnerability affect IBM Business Automation Workflow – CVE-2023-31582

Quelle: Heise

Eigentlich sollen SIEM-Lösungen zum Schutz von IT-Systemen und Netzwerken beitragen. Doch aufgrund von mehreren Sicherheitslücken in Juniper Secure Analysis Applications (JSA) gibt es Ansatzpunkte für Angreifer. Admins sollten zeitnah die Sicherheitsupdates installieren. Wie aus einer Warnmeldung hervorgeht, sind folgende Applikationen betroffen. In der Auflistung stehen die reparierten Ausgaben. Alle vorigen Versionen sind den Entwicklern zufolge attackierbar.

• Deployment Intelligence App 3.0.12
• Log Collector v1.8.4
• SOAR Plugin App 5.3.1
• User Behavior Analytics Application 4.1.14

Zwei Schwachstellen (CVE-2021-4048, CVE-2023-37920) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. An diesen Stellen können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen und so einen Crash auslösen oder bestimmte Speicherbereiche einsehen. Im anderen Fall könnten e-Tugra-Zertifikate als vertrauenswürdig durchgewinkt werden, die es eventuell gar nicht sind. Der Anbieter von TLS-Zertifikaten sorgte in der Vergangenheit mit einem Sicherheitsvorfall in seinen Systemen für Schlagzeilen. Für den Großteil der verbleibenden Lücken gilt der Bedrohungsgrad „hoch“. An diesen Stellen können Angreifer unter anderem Systeme via DoS-Attacken außer Gefecht setzen. Außerdem sind unbefugte Zugriffe auf eigentlich abgeschottete Informationen vorstellbar.

Quelle: Heise

Anydesk teilte in der Nacht zum Samstag mit, dass das Unternehmen mit einem IT-Vorfall zu kämpfen hatte. Es betont, dass es sich nicht um einen Ransomware-Angriff handelte. Den Angaben zufolge gab es auf einigen Systemen Hinweise auf einen IT-Sicherheitsvorfall. Die darauffolgende Untersuchung der Systeme brachte Gewissheit, sie förderte Belege dafür hervor, dass Produktionssysteme kompromittiert wurden. Daraufhin hat das Unternehmen seine Notfallpläne zur Reaktion auf Cybervorfälle aktiviert. Zudem habe man externe IT-Sicherheitsexperten zur Hilfe geholt, Crowdstrike unterstützte bei der Untersuchung und bei der Umsetzung von Gegenmaßnahmen. Der Notfallplan sei erfolgreich abgeschlossen worden. Die zuständigen Behörden habe man informiert und arbeite eng mit ihnen zusammen. Das Unternehmen hat in diesem Zuge alle sicherheitsbezogenen Zertifikate zurückgezogen (revoked). Systeme seien repariert oder ersetzt worden, wo das nötig war. Das bislang genutzte Code-Signing-Zertifikat werde in Kürze zurückgezogen, der Hersteller habe angefangen, ein neues zu verwenden. Die Anydesk-Systeme seien nicht so designt, dass sie private Schlüssel, Sicherheitstoken oder Passwörter speicherten, ergänzt Anydesk in der Stellungnahme. Das deutet darauf, dass Einbrecher bis zu den Entwicklungssystemen vorgedrungen sind. Daher sollte die Client-Software auf den aktuellen Stand gebracht werden, der bereits das neue Code-Signing-Zertifkat nutze, empfiehlt Anydesk. Welche Versionen bereits das neue Zertifikat tragen, erläutert der Hersteller jedoch nicht. Allerdings deutet der Hinweis auf Sicherheitsfixes in den Changelogs darauf hin, dass etwa die aktuell herunterladbaren Windows-Dateien bereits mit den neuen Zertifikaten signiert wurden. Als weitere Sicherheitsmaßnahme hat Anydesk alle Passwörter für das Web-Portal my.anydesk.com zurückgesetzt und empfiehlt Nutzerinnen und Nutzern, die Passwörter bei anderen Angeboten wieder benutzt haben, sie dort ebenfalls zu ändern. Bislang gebe es demnach keine Hinweise, dass Endkundensysteme betroffen seien. Die Situation sei unter Kontrolle und die Nutzung von Anydesk sicher, betont das Unternehmen. Anydesk hatte in den vergangenen Tagen mit einigen Server- und Systemausfällen und Störungen zu kämpfen. Dies lässt sich jetzt offenbar mit den Maßnahmen gegen die kompromittierten IT-Systeme erklären.

Quelle: Heise

Der NAS-Hersteller QNAP hat aktuelle Firmware-Versionen für seine Speichergeräte angekündigt, die eine Vielzahl an Sicherheitslücken beheben. Sowohl die Firmware QTS als auch die als High-End-Variante vermarktete Version „QuTS hero“ sind betroffen; teils auch QuTScloud, ein Betriebssystemstrang zur Installation virtueller QNAP-NAS in öffentlichen Clouds. Die Flicken stopfen teils kritische Löcher. Die gefährlichste Lücke betrifft die Zweige 5.1 und 4.5 beider Betriebssystemversionen sowie das QuTScloud 5 und hat die CVE-ID CVE-2023-45025 erhalten. Mit einem CVSS-Wert von 9.0 gilt der Fehler als kritisch, obgleich QNAP in der Web-Version des Sicherheitshinweises offenbar irrtümlich und abweichend von einem hohen Schweregrad ausgeht. Angreifer können aus der Ferne eigene Kommandos auf dem NAS einschleusen, ohne dazu berechtigt zu sein. Auch die Sicherheitslücke CVE-2023-47568 betrifft dieselben QuTS-, hero- und QuTScloud-Versionen. Hier handelt es sich um eine SQL-Injection mit hohemSchweregrad (CVSSv3.1: 8.8/10). Da sie über das Netzwerk ausnutzbar ist, schrammt die Lücke nur aufgrund der notwendigen Nutzerberechtigungen an einem höheren Punktwert vorbei. Dasselbe, verbunden mit identischem CVSS-Wert gilt für CVE-2023-39297, eine weitere Lücke hohen Schweregrads, die das Einschleusen von Betriebssystembefehlen durch angemeldete Nutzer ermöglicht. Auf den Plätzen befinden sich eine Vielzahl an Sicherheitslücken hohen, mittleren und niedrigen Schweregrads in verschiedenen Versionen und Build-Nummern der QNAP-Betriebssysteme. Insgesamt sind die folgenden 31 CVE-IDs in der Februar-Ausgabe des QNAP-Sicherheitsbulletins behoben:

CVE-2023-32967, CVE-2023-39297, CVE-2023-39302, CVE-2023-39303, CVE-2023-41273, CVE-2023-41274, CVE-2023-41275, CVE-2023-41276, CVE-2023-41277, CVE-2023-41278, CVE-2023-41279, CVE-2023-41280, CVE-2023-41281, CVE-2023-41282, CVE-2023-41283, CVE-2023-41292, CVE-2023-45025, CVE-2023-45026, CVE-2023-45027, CVE-2023-45028, CVE-2023-45035, CVE-2023-45036, CVE-2023-45037, CVE-2023-47561, CVE-2023-47562, CVE-2023-47564, CVE-2023-47566, CVE-2023-47567, CVE-2023-47568, CVE-2023-48795 und CVE-2023-50359.

Da die Sicherheitslücken verschiedene Revisionen des QNAP-Betriebssystems und seiner Apps betreffen, sollten Admins in der Regel auf die neueste verfügbare Version wechseln. Wer aus Kompatibilitätsgründen von einer bestimmten Revision seines NAS abhängig ist, dem sei ein Blick in die Sicherheits-Übersichtsseite bei QNAP empfohlen. Aber Achtung: Die Risikoeinschätzungen („Impact“) sind nicht hundertprozentig zuverlässig. QNAP veröffentlicht regelmäßig Sicherheitshinweise zu seinen NAS-Systemen, so etwa im vergangenen Januar und im Dezember letzten Jahres.

Quelle: Heise

Angreifer können an mehreren Schwachstellen im Add on User Behavior Analytics von IBM QRadar SIEM unter Linux ansetzen. Eine aktualisierte Version schafft Abhilfe. In einer Warnmeldung führen die Entwickler aus, dass die Sicherheitslücken in verschiedenen Komponenten zu finden sind. Darunter fällt beispielsweise eine „kritische“ Schwachstelle (CVE-2021-4048) in der Programmbibilothek LAPACK. An dieser Stelle können Angreifer mit präparierten Eingaben ansetzen, um durch eine DoS-Attacke einen Crash auszulösen. Weitere Schwachstelle betreffen unter anderem CPAN.pm (Man in the Middle CVE-2023-31484 „hoch“) und netplex json-smart v2 (DoS CVE-2023-1370 „hoch“). Die Entwickler geben an, dass davon QRadar User Behavior Analytics 1.0.0 bis einschließlich 4.1.13 betroffen sind. Die Ausgabe 4.1.14 soll abgesichert sein.

Quelle: Heise

Die kürzlich aufgedeckten Sicherheitslücken in Netzwerkprodukten des Herstellers Ivanti haben für diesen ernste Konsequenzen. In einer jetzt veröffentlichten „Emergency Directive“ (etwa: „Notfall-Anordnung“) weist die US-amerikanische Cybersicherheitsbehörde CISA alle Bundesbehörden an, Produkte vom Typ „Ivanti Connect Secure“ oder „Ivanti Policy Secure“ unverzüglich vom Netz zu nehmen. Sie reagiert damit auf massenhafte Angriffe gegen die schadhaften Geräte. Zudem müssen Sicherheitsexperten alle Systeme genau im Auge behalten, die kürzlich mit den Ivanti-Appliances verbunden waren und „weiter auf die Jagd nach Bedrohungen gehen“, so die CISA weiter. Sie gibt ebenfalls genaue Anweisungen, unter welchen Bedingungen Geräte des US-Herstellers wieder ans Netz dürfen: Neben dem Zurücksetzen auf die Werkseinstellungen steht ein Update auf eine von fünf fehlerbereinigten Versionen auf dem Laufzettel für Ivanti-Admins. Auch Passwörter, API-Keys und Zertifikate müssen zurückgezogen und neu ausgestellt werden. Die von CISA gesetzte Frist ist durchaus sportlich und illustriert, wie ernst die Sicherheitsbehörden die Bedrohung nehmen. Bis 23:59 Uhr am Freitag, dem 2. Februar 2024, müssen die Bundesbehörden den Maßnahmenkatalog umgesetzt haben und das bis spätestens Montagnacht bei der CISA melden. Behörden, welche die betroffenen Ivanti-Produkte verwenden, müssen zudem Passwörter, Kerberos-Tickets und registrierte Geräte in ihren Active-Directory-Domänen ungültig machen. Die CISA ist als oberste Cybersicherheitsbehörde in den USA weisungsbefugt für alle Behörden auf Bundesebene („federal agency“). Sie hatte bereits in der vierten Januarwoche Handlungsanweisungen zum Umgang mit den neuesten Ivanti-Sicherheitslücken herausgegeben und diese nun weiter verschärft. Ivanti steht seit Jahren unter Beschuss. Nachdem bereits im Jahr 2021 mutmaßlich chinesische Angreifer Sicherheitslücken in den Produkten des US-Herstellers ausnutzten, um in Regierungsnetze einzubrechen, sind in diesem Jahr neue schwere Lücken aufgetaucht. Tausende Geräte mit der fehlerhaften VPN-Lösung sind bereits übernommen worden, wie Sicherheitsforscher herausgefunden haben. Ivanti tut sich schwer mit Updates, erst Mitte Februar sollen die Fehler vollständig beseitigt sein.

Quelle: Heise

Mit seinem Content Delivery Network (CDN) und seinem DNS-Dienst spielt Cloudflare weltweit eine zentrale Rolle im Internet. Demzufolge ist der Dienst besonders schützenswert. Ende 2023 konnten sich Angreifer Zugriff auf bestimmte Netzwerkbereiche verschaffen. In einem aktuellen Bericht schildert das Unternehmen den Ablauf der Attacke. In einem Blogbeitrag gibt Cloudflare an, dass der Vorfall im November 2023 stattgefunden hat. Die Aufarbeitung des Falls ergab, dass die unbekannten Angreifer mehrere Tage Zugriff auf verschiedene Systeme hatten. Cloudflare geht von staatlich gesponserten Angreifern aus. Das Unternehmen versichert, dass es keine Zugriffe auf Daten oder Systeme von Kunden gegeben hat. Eigenen Angaben zufolge wurden die Systeme mittlerweile bereinigt. Cloudflare betont, dass aufgrund der Zero-Trust-Infrastruktur nur bestimmte Bereiche von dem Sicherheitsvorfall betroffen waren. So sollen etwa keine Dienste in Mitleidenschaft gezogen worden sein und die Angreifer konnten auch keine Änderungen im globalen Netzwerksystem vornehmen. Dennoch konnten sie Cloudflare zufolge unter anderem auf das interne Wiki und die Bug-Datenbank zugreifen. Außerdem haben sie sich persistenten Zugriff auf einen Atlassian-Server mit Sourcecode verschafft. Überdies habe es Zugriffe auf ein Datencenter in Brasilien gegeben, das aber bislang nicht in Betrieb war. Primär sollen die Angreifer Ausschau nach Informationen über die interne Cloudflare-Architektur und Sicherheitsaspekte des globalen Netzwerks gehalten haben. Einstiegspunkte für die Angreifer waren ein Zugriffstoken und drei Service-Accounts, die bei einer Attacke auf den Identitäts- und Zugangsverwaltungsdienstleister Okta im November 2023 kopiert wurden. An dieser Stelle räumt das Unternehmen Versäumnisse ein. Nach dem Okta-Hack haben sie nicht alle Zugangsdaten geändert. Weiterführende Informationen zu der Attacke und dem zeitlichen Ablauf führt das Unternehmen in seinem Blog aus.

Quelle: Heise

Unter einer Attacke auf ihre IT leidet die Caritas-Klinik Dominikus in Berlin-Reinickendorf. Der Angriff wurde am 29. Januar entdeckt, anschließend wurden erste IT-Sicherheitsmaßnahmen eingeleitet. Diesen Schritt mussten kürzlich auch die Kliniken in Mittelfranken setzen; sie sind von Ransomware betroffen. Die Patientensicherheit war und ist nach Angaben der Klinik nicht gefährdet – jedoch ist die Caritas-Klinik von der Notfallversorgung abgemeldet, wie eine Sprecherin gegenüber heise online gesagt hat. Zudem handele es sich bei dem Angriff ebenfalls um Ransomware. Termine für Operationen werden bei Dominikus in Berlin nicht abgesagt, lediglich die „Erreichbarkeit und […] digitale Kommunikation“ sei eingeschränkt. Derzeit laufe eine „detaillierte Analyse“ der Vorfälle durch die IT-Abteilung und externe Sicherheitsexperten. Details zum Ausmaß des Angriffs und eventuell abgeflossenen Daten sind noch nicht bekannt. Sollten Daten in falsche Hände gelangt sein, würden Betroffene umgehend informiert, verspricht die Klinik. Sie stehe bereits im Austausch mit dem Datenschutzbeauftragten, auch die zuständige Datenschutzbehörde sei informiert. Bisher sind die Täter unbekannt. Ein Krisenstab ist eingerichtet, Ermittlungen bei der Kriminalpolizei laufen. Da das Klinikum mit entsprechenden Notfallplänen bereits auf derartige Fälle vorbereitet gewesen sei, könne die „Krisensituation“ reibungslos gemeistert werden. Zudem sei eine klare Backup-Strategie vorhanden. Aufgrund der „riesigen Datenmenge“ werde der Prozess dauern, zumal die Datensicherheit nicht gefährdet werden soll. In Mittelfranken läuft derweil ein Neustart der Krankenhaus-Systeme. Mit den Erpressern wird nicht verhandelt.

Quelle: Heise

Die Cyber-Sicherheitsbehörde CISA warnt vor einer alten Kernel-Schwachstelle in Apple-Betriebssystemen, für die bereits ein Patch vorliegt. Es gebe Hinweise auf aktive Ausnutzung der Sicherheitslücke, teilte die Behörde jetzt mit. Sie hat den Bug deshalb in ihren Katalog für „Known Exploited Vulnerabilities“ aufgenommen, wodurch US-Behörden nun angehalten sind, ihre Geräte zu patchen – oder diese nicht länger einzusetzen, falls es dafür keine Updates mehr gibt. Die als CVE-2022-48618 geführte und als schwer eingestufte Schwachstelle erlaubt es einem Angreifer mit erweiterten Lese- und Schreibrechten, den Sicherheitsmechanismus Pointer Authentication zu umgehen, wie Apple erst vor Kurzem mitteilte. Der Bug sei durch verbesserte Prüfungen behoben worden. Auf den Fehler war der Konzern offenbar selbst gestoßen. Die Lücke wurde demnach bereits mit den Updates iOS 16.2, iPadOS 16.2, macOS 13.1, watchOS 9.2 und tvOS 16.2 im Dezember 2022 behoben. Einen entsprechenden Nachtrag in seinen Sicherheitshinweisen pflegte Apple aber erst Anfang Januar 2024 nach und wies dort auch darauf hin, dass die Lücke „möglicherweise für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden“. Zwar liefert Apple auch noch sporadisch Updates für iOS 15, ein Patch für CVE-2022-48618 ist aber nicht dokumentiert, entsprechend bleibt unklar, ob die Lücke dort weiter offensteht. Apple versorgt zwar auch ältere Betriebssysteme weiter mit Sicherheits-Updates, alle bekannten Schwachstellen werden aber nur in der jeweils allerneuesten Version beseitigt, derzeit also iOS 17 und macOS 14 Sonoma. Einst populäre iPhone-Reihen wie das iPhone 6s und iPhone 7 laufen maximal mit iOS 15, auch iPads wie das iPad Air 2 können nicht auf iPadOS 16 oder neuer aktualisiert werden.

Quelle: Heise

Der föderierte Kurznachrichtendienst Mastodon hat offenbar ein massives Problem, das Identitätsklau sehr einfach macht. Wie die Entwickler in einem Sicherheitshinweis melden, können Angreifer beliebige Konten übernehmen und deren Identität stehlen. Der Sicherheitshinweis, veröffentlicht auf der Kollaborationsplattform Github, geizt absichtlich mit Details: Man wolle Admins Zeit zum Aktualisieren ihrer Instanzen geben und potentiellen Angreifern nicht den Modus Operandi verraten, mit dem sie die Lücke ausnutzen könnten. Die Sicherheitslücke hat die CVE-ID CVE-2024-23832 erhalten und hat immerhin 9,4 von 10 CVSS-Punkten. Es handelt sich nach Einschätzung des Mastodon-Teams um eine leicht aus der Ferne ausnutzbare Lücke, die keinerlei Vorbedingungen mitbringt. Weder muss der Angreifer über besondere Privilegien verfügen, noch einen legitimen Nutzer austricksen, etwa mit einem gefälschten Link. Weitere Details verraten die Entwickler erst am 15. Februar. Nur wenige Minuten nach Veröffentlichung des Sicherheitshinweises begannen Administratoren großer Mastodon-Instanzen mit den notwendigen Updates. Das bestätigte etwa Jerry Bell, der Verwalter der Instanz infosec.exchange, gegenüber heise security. Wer selber eine Mastodon-Instanz betreibt, sollte sich zügig ans Update machen. Vom Fehler betroffen sind die Mastodon-Versionen

• 3.5.16 und älter,
• 4.0.12 und älter,
• 4.1.12 und älter sowie
• 4.2.4 und älter.

Die Versionen 3.5.17, 4.0.13, 4.1.13 und 4.2.5 beheben die Sicherheitslücke. Nach den Kapriolen um den Kurznachrichtendienst X dient Mastodon vielen Nutzern als neue Heimat und kann sich über regen Zulauf freuen. Zwar ist das soziale Netzwerk nicht so dezentral und ausfallsicher wie erhofft, jedoch haben auch viele Behörden und Netz-Promis sich mittlerweile dort angemeldet. Die Aussicht auf einen Identitätsdiebstahl dürfte ihnen nicht gefallen.

Quelle: Heise

Sogenannte Überlastungsangriffe, auch als Distributed Denial of Service-Attacken (DDoS) bekannt, haben am vergangenen Wochenende zu Störungen auf kanadischen Flughäfen geführt. Eine prorussische Cybergang hat sich zu den Cyberangriffen auf die kanadische Grenzbehörde (Canada Border Services Agency, CBSA) bekannt. Normalerweise sind aufgrund von DDoS-Angriffen Webseiten für einen zumeist überschaubaren Zeitraum nicht erreichbar. In diesem Fall haben die Attacken auf die CBSA jedoch zum Ausfall von Grenzterminals und elektronischer Türen an kanadischen Flughäfen geführt. Das hat die Behörde am Dienstag dieser Woche der Zeitung LaPresse zufolge bestätigt. Demnach kam es zu einem landesweiten Computerausfall an den Check-in-Kiosken, was wiederum die Abfertigung der Ankommenden an den Grenzkontrollstellen im ganzen Land über eine ganze Stunde verlangsamte. Unter anderem war der internationale Flughafen Montreal-Trudeau betroffen, bestätigte der Betreiber Aéroports de Montréal (ADM). Die CBSA erklärte daraufhin, dass es an den Flughäfen im ganzen Land zu „zeitweiligen Verbindungsproblemen mit Kiosken und elektronischen Gates“ gekommen sei. Auf dem Telegram-Kanal der kriminellen Vereinigung NoName057 haben die Betreiber die DDoS-Attacke angekündigt. LaPresse zufolge hat die Cybergang bereits die Verantwortung für frühere Attacken auf kanadische Websites übernommen, einschließlich auf die des Premierministers Justin Trudeau im vergangenen April. „Wir arbeiten eng mit unseren Partnern zusammen, um die Situation zu bewerten und zu untersuchen. Die Sicherheit von Kanadiern und Reisenden hat für die CBSA oberste Priorität, und nach diesen Angriffen wurden keine persönlichen Daten weitergegeben“, sagte eine Sprecherin der Organisation. Normalerweise haben DDoS-Angriffe kaum Auswirkungen außer auf die Verfügbarkeit der betroffenen Webseiten. Dass Überlastungsangriffe wie in diesem Fall realen Einfluss außerhalb von Netzwerken haben, ist sehr ungewöhnlich. Mitte Februar kam es zu Ausfällen von Websites mehrerer deutscher Flughäfen. Als Auslöser wurde ebenfalls eine DDoS-Attacke vermutet. Auswirkungen auf den Flugverkehr gab es jedoch nicht.

Quelle: Heise

Mit HPE OneView verwalten Admins IT-Infrastrukturen. Aufgrund von zwei Sicherheitslücken können Angreifer die Authentifizierung umgehen. Eine dagegen abgesicherte Ausgabe steht zum Download bereit. In einer Warnmeldung sind die beiden als „kritisch“ eingestuften Schwachstellen (CVE-2023-30908, CVE-2023-30909) aufgelistet. Angriffe sollen aus der Ferne möglich sein. Ist eine Attacke erfolgreich, können Angreifer die Authentifizierung umgehen. Wie das im Detail ablaufen könnte, führt HPE derzeit nicht aus. Die Entwickler geben an, die Lücken in der Version 8.30.01 geschlossen zu haben. Alle vorigen Ausgaben sollen bedroht sein.

Quelle: Heise

„Durch unsere automatisierten Aufzeichnungen haben wir am 15.09.2023 um 17:33 Uhr Urheberrechtsverletzungen identifiziert, die geschützte Werke unseres Mandanten betreffen“: So steht es in betrügerischen E-Mails, die derzeit vermehrt in den Posteingängen von Internetnutzern landen. Mit täuschend echter Aufmachung sehen die Mails wie Anwaltsschreiben aus und drängen potenzielle Opfer zur raschen Überweisung einer Vergleichssumme, wozu sie zunächst einem Link folgen sollen. Mal würden die Namen und Kontaktdaten echter Kanzleien missbraucht, etwa von Dr. Matthias Losert. In anderen Phishing-Mails nutzen die Betrüger frei erfundene Namen wie von Manuel Holleis, ergänzen dazu jedoch Kontaktdaten einer echten Kanzlei in Hamburg, erklärt die Verbraucherzentrale Nordrhein-Westfalen in ihrer Warnung. Durch das Herunterladen eines Films hätten die Mail-Empfänger angeblich eine Urheberrechtsverletzung begangen. Dafür seien mehrere hundert Euro – die Beträge variieren in unterschiedlichen Mail-Fassungen – zu zahlen. Dazu sei es nötig, sich zunächst auf einer offenbar manipulierten Webseite zu verifizieren. Die Verbraucherzentrale NRW warnt, dass Empfänger dies keinesfalls machen sollten, da der Link auf eine Phishing-Seite führe und möglicherweise Schadsoftware verteile. Zudem sollen Empfänger keine persönlichen Daten übermitteln. Diese können die Betrüger sonst etwa für Identitätsdiebstahl missbrauchen. Auch zahlen sollen Betroffene nichts. Zunächst sollten sie viel mehr überprüfen, ob die vorgeworfene Urheberrechtsverletzung tatsächlich von dem verwendeten Anschluss aus begangen worden sein kann. Auch, wenn zuvor keine erste Abmahnung kam, sollten Empfänger misstrauisch sein. Eine sehr kurze Frist mit Drohung zum Aufbau von Druck ist ein weiteres Indiz dafür, dass solch eine E-Mail nicht echt ist. Im seriösen Geschäftsverkehr sei zudem die Verwendung von Sätzen in Großschrift unüblich. Wichtige, offizielle Schreiben würden zudem mit der Post und nicht als E-Mail verschickt. Die Verbraucherzentrale ergänzt, dass Vor- und Zunahmen sich oftmals aus den E-Mail-Adressen ableiten ließen oder zusammen etwa mit echten Adressdaten von Datenlecks oder von Adresshändlern stammen können. Auch der Aufbau der Internetadresse liefere Indizien, so seien Adressen mit der Top-Level-Domain .com anstatt .de verdächtig. Mit der Suchmaschine lässt sich gegebenenfalls ein Anwalt ausfindig machen – allerdings sollten Recherchewillige vorsichtig sein, da Ergebnisse mit dem Hinweis „Anzeige“ oder „Werbung“ unter Umständen von Betrügern eingestellt wurden. Empfänger solcher E-Mails sollten gar nicht darauf reagieren und in den Spam-Ordner verschieben. Sofern potenzielle Opfer bereits Daten oder Geld übermittelt haben, sollen sie sich umgehend an die Polizei wenden und gegebenenfalls Strafanzeige stellen. Die Phishing-Masche mit gefälschten Abmahnungen ist nicht neu. Bereits 2020 waren gehäuft gefälschte Abmahnungs-Mails im Namen von echten Anwälten im Umlauf, wovor das LKA Niedersachsen warnte.

Quelle: Heise

Admins, die Server mit der Open-Source-Software Nagios XI überwachen, sollten die Monitoring-Lösung zeitnah auf den aktuellen Stand bringen. Andernfalls können Angreifer an vier Sicherheitslücken ansetzen. Wie aus einem Beitrag hervorgeht, sind Sicherheitsforscher von Outpost24 auf die Schwachstellen (CVE-2023-40931, CVE-2023-40932, CVE-2023-40933, CVE-2023-40934) gestoßen. Eine Einstufung des Bedrohungsgrads steht derzeit noch aus. Angreifer können unter anderem auf der Admin-Seite für eine SQL-Attacke an den Announcement-Banner-Einstellungen ansetzen. Dafür benötigen Angreifer aber bestimmte Rechte. Wie eine Attacke ablaufen kann, ist zurzeit unklar. Eine XSS-Lücke betrifft individuell angelegte Firmenlogos, die auf allen Unterseiten platziert sind. Darin können Angreifer JavaScript mit Schadcode unterbringen und so über das gesamte Produkt verteilen. Darüber ist unter anderem der Mitschnitt von unverschlüsselten Passwörtern möglich, warnen die Sicherheitsforscher. Auf ihrer Changelog-Website geben die Entwickler an, die Sicherheitsprobleme in der Ausgabe Nagios XI 5.11.2 gelöst zu haben.

Quelle: Heise

Atlassian hat Warnungen vor Sicherheitslücken in mehreren Produkten herausgegeben. Betroffen sind Atlassian Bitbucket Data Center und Server, Confluence Data Center und Server sowie Jira Service Management Data Center und Server. Aktualisierte Software steht bereit, die die Sicherheitslücken schließt. Im Atlassian Bitbucket Data Center und Server klafft eine Lücke, die authentifizierten Angreifern das Ausführen beliebigen Codes ermöglicht. Das habe starke Auswirkungen auf die Vertraulichkeit, Integrität, Verfügbarkeit. Nutzerinteraktion sei dazu nicht nötig (CVE-2023-22513, CVSS 8.5, Risiko „hoch“). Der Fehler habe sich mit dem Release 8.0.0 von Bitbucket Data Center und Server eingeschlichen. Die Versionen 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 und 8.14.0 korrigieren ihn. IT-Verantwortliche sollen 8er-Versionen vor 8.9 auf einen unterstützten Stand hieven, schreiben die Atlassian-Entwickler in der Sicherheitsmeldung. Bösartige Akteure aus dem Netz können ohne vorherige Anmeldung einen Denial-of-Service-Angriff auf Atlassian Confluence Data Center und Server starten. Dazu ist keine weitere Nutzerinteraktion nötig (CVE-2023-22512, CVSS 7.5, hoch). Betroffen ist Confluence ab Version 5.6. Die Lücke stopfen die Fassungen 7.19.14 sowie 8.5.1; wer Version 8.6 oder neuer einsetzt, kommt bereits in den Genuss der Fehlerkorrekturen, schreibt Atlassian. Eine ernsthafte Schwachstelle im Patch Management von Atlassian Jira Service Management Data Center und Server ermöglicht Angreifern, Posten aus der IT-Umgebung zu enthüllen, die möglicherweise angreifbar sind. Wie das konkret aussieht, erläutert Atlassian jedoch nicht (CVE-2022-25647, CVSS 7.5, hoch). Der Fehler besteht seit Fassung 4.20.0 von Jira Service Management Data Center und Server und ist in den Versionsständen 4.20.25, 5.4.9, 5.9.2 sowie 5.10.1 und 5.11.0 und jüngeren Vergangenheit. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig herunterladen und installieren, sofern das bislang nicht geschehen ist. Im Februar dieses Jahres hatte Atlassian eine kritische Sicherheitslücke in Jira Service Management geschlossen. Sie ermöglichte Angreifern die Kontenübernahme.

Quelle: Heise

Gitlab warnt vor einer kritischen Sicherheitslücke und fordert die Anwender nachdrücklich zum sofortigen Update auf. Betroffen sind die Enterprise-Versionen des Repository- und DevOp-Diensts von 13.12 bis 16.2.6 respektive die Releases 16.3. bis 16.3.3. Versionen vor 16.2. sind nur dann gefährdet, wenn die Funktionen „Direct transfers“ und „Security policies“ gleichzeitig aktiviert sind. Bei diesen Versionen können Nutzer sich schützen, indem sie eine der beiden Optionen ausschalten. Die Updates auf Gitlab 16.3.4 und 16.2.7 dichten die Schwachstellen ab – hoffentlich vollständig. Über die Lücke mit Nummer CVE-2023-5009 sind wenige Details bekannt, es handelt sich jedoch um eine Umgehung der Fehlerkorrekturen für die Schwachstelle mit dem CVE-Eintrag CVE-2023-3932 – diese hatte mit einem CVSS-Wert von 5.3 lediglich einen mittleren Bedrohungsgrad. Kurz gesagt: Angreifer sind durch das Sicherheitsleck in der Lage, Git-Pipeline-Jobs als beliebiger Anwender über geplante Sicherheits-Scans auszuführen. Die Gitlab-Entwickler stufen das Risiko der Lücke mit einem CVSS-Wert von 9.8 als kritisch ein. Bei der Lücke handelt es sich um eine ungenügende Zugriffskontrolle (Improper Access Control), mit der Common-Weakness-Enumeration-Nummer CWE-284. Das heißt, Angreifer können sich höhere Privilegien aneignen, auf sensible Daten zugreifen und Kommandos ausführen. Der IT-Sicherheitsforscher Johan Carlsson mit dem Handle joaxcar hat das Sicherheitsproblem entdeckt, auf der Bug-Bounty-Plattform Hacker One gemeldet und sich 29.000 US-Dollar Belohnung einstreichen können. Gitlab korrigiert mit den Updates zudem eine Reihe kleinerer Bugs. Zuletzt hatte Gitlab im Mai eine Sicherheitslücke gestopft. Durch die Schwachstelle hätte es zum Datenleck kommen können.

Quelle: Heise