Schwachstellen in Softwareprodukten (13% davon kritisch) wurden im Jahr 2021 bekannt. das entspricht einem Zuwachs von 10% gegenüber dem vorjahr.

Android: Google schließt teils kritische Lücken am Juli-Patchday

Google hat die Aktualisierungen zum Juli-Patchday für das Smartphone- und Tablet-Betriebssystem Android veröffentlicht. In allen derzeit unterstützten Android-Versionen, namentlich 12, 12L, 13 und 14, klaffen teils hochriskante, teils sogar als kritisch einsortierte Sicherheitslücken. Alle Schwachstellen in den Android-Komponenten ermöglichen Angreifern laut Beschreibung, ihre lokalen Rechte auszuweiten. Die Sicherheitslücken betreffen die Komponenten Framework und System. Im Framework klaffen demnach vier Schwachstellen, von denen eine ausschließlich Android 12 und 12L betrifft, jedoch als kritisches Risiko eingestuft wird. Die restlichen Lücken tragen den Bedrohungsgrad „hoch“, ebenso wie die vier Lücken im System. Diese stopft der Patch-Level 01.07.2024. Zudem gibt es noch zwei Schwachstellen, die mit Google-Play-Systemupdates geschlossen werden. Für Geräte, die die Hersteller auf den Patch-Level 05.07.2024 bringen, gibt es Sicherheitsfixes im Kernel für eine hochriskante Schwachstelle. Zudem schließen sie zwei Lücken mit hohem Risiko innerhalb der ARM-Prozessoren, fünf in der Software für die PowerVR-GPU von Imagine Technologies, zwei in häufig eingesetzten Mediatek-Chips sowie vier weitere in Qualcomm-Komponenten. Dazu kommen noch Aktualisierungen der Qualcomm-Closed-Source-Software, die eine kritische und vier Sicherheitslücken mit hohem Risiko abdichten. Wie immer müssen sich Smartphone-Besitzer etwas gedulden, bis die Android-Aktualisierungen sich als Firmware-Updates für ihr eingesetztes Gerät materialisieren. Selbst für Googles hauseigene Pixel-Smartphones steht das Juli-Update zum Meldungszeitpunkt noch aus. Für Geräte, die noch Support vom Hersteller erhalten, sollten jedoch zeitnah aktualisierte Firmware-Pakete verteilt werden. Zum Juni-Patchday hatte Google ebenfalls Schwachstellen in den unterstützten Betriebssystemen Android 12, 12L, 13 und 14 geschlossen, die zum großen Teil als hohes Risiko eingestuft waren.

Quelle: Heise

RegreSSHion: Sicherheitslücke in OpenSSH gibt geduldigen Angreifern Root-Rechte

Sicherheitsforscher haben eine fast zwanzig Jahre alte Lücke im OpenSSH-Server wiederbelebt und konnten sich mit ihrer Hilfe Root-Rechte verschaffen. Während ihrer Nachforschungen konnten sie einen funktionierenden Exploit für aktuelle SSH-Versionen entwickeln, es gelten jedoch einige Vorbedingungen. Angreifer sollten zudem nicht in Eile sein: Eine erfolgreiche Attacke dauert mehrere Stunden. Als „Regression“ (wörtlich „Rückschritt“) bezeichnen Softwareentwickler unter anderem einen Fehler, der bereits behoben war, durch andere Änderungen am Quellcode aber wieder auftaucht. Einen solchen Regressionsfehler haben Mitarbeiter der Securityfirma Qualys im OpenSSH-Projekt gefunden und ihn folgerichtig „RegreSSHion“ getauft. Bereits im Jahr 2006 tauchte der Programmierschnitzer als CVE-2006-5051 auf – ihn zur Ausführung eigener Befehle auszunutzen, war damals jedoch niemandem geglückt. Zwar hatte das OpenSSH-Team den Fehler damals behoben, im Oktober 2020 jedoch irrtümlich wieder eingebaut. Bei der nun mit der CVE-ID CVE-2024-6387 und gemäß Qualys mit einem CVSS-Wert von 8,1/10, somit also hohem Schweregrad, versehenen Neuauflage handelt es sich um denselben grundlegenden Fehler. Ursache ist eine Wettlaufsituation (Race Condition) rund um den Abbruch nicht erfolgreicher SSH-Verbindungen. Sendet ein Client innerhalb von 120 Sekunden (die Dauer ist konfigurierbar) keine Authentifizierungsdaten, so wird durch den SSH-Server das Unix-Signal SIGALRM gesendet, um etwa die Protokollierung dieses Ereignisses mittels syslog()-Aufrufen auszulösen. Diese sind jedoch nicht für asynchrone Funktionsaufrufe ausgelegt, was Angreifer mit einem hervorragenden Sinn für Timing in die Lage versetzt, eigenen Code einzuschleusen. Die Forscher von Qualys haben diesen Fehler in drei verschiedenen Umgebungen erfolgreich ausnutzen können: In zwei Uralt-Versionen des SSH-Servers von 2006 und in OpenSSH 9.2p1 unter Debian GNU/Linux. Letztere Version ist aus dem Jahr 2024, mithin recht aktuell. Derzeit scheint es so, als seien nur glibc-basierte Systeme erfolgreich angreifbar, insbesondere OpenBSD ist Qualys zufolge immun. Sie mussten dazu nicht nur verschiedene Sicherheitsmechanismen des Betriebssystems und der glibc austricksen, sondern auch viel Geduld mitbringen: Der Exploit funktioniert nur in etwa jedem zehntausendsten Versuch, nach Ablauf des standardmäßig 120 Sekunden langen Timeouts (LoginGraceTime) und derzeit auch nur auf 32-Bit-Systemen. Lässt der SSH-Server einhundert parallele Verbindungen zu, haben Angreifer nach sechs bis acht Stunden Erfolg. Zwar waren die Qualys-Forscher zunächst nur auf i386-Systemen erfolgreich, ein Exploit für 64-bittige Linuxe ist ihnen zufolge noch in Arbeit. Sobald er fertig ist, dürfte er jedoch noch langsamer sein als sein 32-Bit-Gegenstück – mehr als acht Stunden, aber weniger als eine Woche könnte es dauern, bis Angreifer Root-Rechte erlangen. Die Qualys-Experten haben sowohl eine umfangreiche theoretische Herleitung der Lücke als auch ihre praktischen Versuche, sie auszunutzen, veröffentlicht. Der Sicherheitshinweis gibt einen Einblick in die Komplexität moderner Exploit-Entwicklung und liest sich zudem wie ein IT-Krimi. Den Forschern von Qualys zufolge sind folgende OpenSSH-Versionen verwundbar:

  • OpenSSH in Versionen vor 4.4p1, sofern sie nicht nachträglich gegen CVE-2006-5051 oder CVE-2008-4109 abgesichert wurden, sowie
  • OpenSSH 8.5p1 bis 9.8; die erste fehlerbereinigte Version ist OpenSSH 9.8p1.

Admins sollten prüfen, ob ihre Linux-Systeme über aktuelle SSH-Versionen verfügen. Sowohl Debian als auch Ubuntu haben neue Pakete auf Lager, Red Hat forscht noch. Ersten Analysen zufolge ist jedoch nur Red Hat Enterprise Linux 9 betroffen, da alle anderen Versionen des Red-Hat-Linux ältere OpenSSH-Versionen mitbringen.

Quelle: Heise

Update für IBM InfoSphere Information Server dichtet viele Sicherheitslücken ab

In IBMs InfoSphere Information Server, einer Software zur Extraktion und Transfomation von diversen Daten in unterschiedlichste Formen, klaffen zahlreiche Sicherheitslücken. Angreifer können sie missbrauchen, um Schadcode einzuschleusen, Sicherheitsmaßnahmen zu umgehen, die Systeme lahmzulegen oder unbefugt auf Informationen zuzugreifen. Insgesamt liefert IBM 21 Sicherheitswarnungen aus. Sechs davon erreichen die Risikoeinstufung als hochriskant. IT-Verantwortliche sollten ihr IBM InfoSphere daher zügig auf den aktualisierten, fehlerfreien Stand bringen. Laut der Warnungen sind InfoSphere Information Server der Versionsreihe 11.7 von den Schwachstellen betroffen. Die aktualisierten Versionen 11.7.1.0 sowie 11.7.1.5 stehen zum Herunterladen bereit und dichten die SIcherheitslecks ab. Die Sicherheitswarnungen von IBM nach Schweregrad absteigend aufgelistet:

Quelle: Heise

Juniper: Notfall-Update für Junos OS auf SRX-Baureihe

Nachdem bereits am Freitag Notfall-Updates von Juniper Networks für Session Smart Router nötig waren, legt das Unternehmen nun mit einem Update außer der Reihe für das Junos OS auf Geräten der SRX-Baureihe nach. Sie dichten eine Denial-of-Service-Sicherheitslücke ab. Eine unzureichende Prüfung auf unübliche oder Ausnahme-Bedingungen in der Paket Forwarding Engine (PFE) des Junos OS auf Geräten der SRX-Baureihe ermöglicht nicht authentifizierten Angreifern aus dem Netz, einen Denial-of-Service zu provozieren. Sofern SRX-Geräte bestimmten, validen Traffic empfängt, der an das Gerät gerichtet ist, verursacht das einen Absturz der PFE und einen Neustart. Angreifer können eine andauernde DoS-Situation herbeiführen, indem sie wiederholt solchen Datenverkehr senden (CVE-2024-21586, CVSS 7.5, Risiko „hoch“). Nach den CVSS-4.0-Kriterien erreicht die Schwachstelle sogar eine Bewertung von CVSS 8.7, nur knapp an „kritischem“ Risiko vorbei. In der Sicherheitsmitteilung von Juniper Networks nennen die Autoren die betroffenen Versionen. Junos OS auf SRX-Geräten in den Reihen 21.4, 22.1, 22.2, 22.3 und 22.4 sind verwundbar. Die Updates sind teils nur minimale Release-Sprünge, erläutert Juniper, daher sei für die gefixten Versionen die letzte Ziffer als Minimalversion zu beachten. Die Fassungen 21.4R3-S7.9, 22.1R3-S5.3, 22.2R3-S4.11, 22.3R3 sowie 22.4R3 dichten die Lücke ab. Versionen vor 21.4R1 sind nicht anfällig. Zwar sind Juniper bislang keine Exploits in freier Wildbahn bekannt, allerdings sei der Fall schon öfter in Produktivumgebungen aufgetreten, erklären die Autoren der Mitteilung. IT-Verantwortliche erhalten die Aktualisierungen auf den ihnen bekannten Wegen. Sie sollten die Aktualisierungen zügig installieren, um die Angriffsfläche für Cyberkriminelle zu minimieren. Das Notfall-Update aus der vergangenen Woche stopfte eine als kritisch eingestufte Sicherheitslücke. Sie betraf die Session Smart Router, Session Smart Conductor und WAN Assurance Router von Juniper Networks. Sofern diese Router oder Conductors in redundanten Hochverfügbarkeitskonfigurationen laufen, ließ sich die Authentifizierung umgehen.

Quelle: Heise

Hartkodiertes Passwort: Wärmepumpen von Alpha Innotec und Novelan angreifbar

Wer seine Wärmepumpe von Alpha Innotec oder Novelan mit Luxtronic-Controller ans Netz gestöpselt hat und plötzlich tropische Verhältnisse oder eine nicht mehr funktionierende Wärmepumpe in der Hütte vorfindet, könnte Opfer eines Angriffs geworden sein: Das Root-Passwort ist in der Firmware fest kodiert und zudem nur schwach geschützt. Bösartige Akteure können sich dadurch als root anmelden und mit diesen Rechten sogar eigenen Code ausführen. Die Schwachstelle beschreibt der Entdecker mit dem Handle Jaarden auf Github. In der Firmware-Datei hat er eine shadow-Datei mit einem 3DES-verschlüsselten Passwort gefunden. Dieses zu entschlüsseln, gelang den Angaben nach in fünf Sekunden und offenbarte das Klartext-Root-Passwort eschi. Da auf der Wärmepumpe ein SSH-Dienst läuft, konnte der IT-Forscher sich damit anmelden. Die Kernel-Informationen zeigen dann an, dass der Linux-Kernel 2.6.33.20 für die ARMv5-Prozessorarchitektur kompiliert wurde. Nach der Kontaktaufnahme habe AIT, der OEM-Hersteller hinter Alpha Innotec und Novelan, sich für ein Treffen zum Vorführen der Lücke Mitte vergangenen Jahres interessiert. Bis Anfang Dezember habe der Hersteller dann an fehlerkorrigierter Firmware für die betroffenen Geräte gearbeitet. Am 31. Januar haben AIT und Jaarden die Schwachstelle koordiniert publik gemacht, sie hat den CVE-Eintrag CVE-2024-22894 erhalten. Ein CVSS-Wert und eine standardisierte Risikoeinschätzung liegen dafür bislang nicht vor. Die Luxtronic-Controller der Alpha Innotec- und Novelan-Wärmepumpen sind mit dem Firmware-Stand 2.88.3, 3.89.0 sowie 4.81.3 oder höher nicht mehr verwundbar. Wer seine Wärmepumpe von diesen Marken mit dem Netzwerk verbunden hat, sollte die aktualisierte Firmware vom Hersteller herunterladenund installieren – das geschieht jedoch auf eigene Gefahr. Gegebenenfalls hilft der Support der Firmen beim konkreten Update unter Beibehaltung der Gewährleistung. Jaarden schreibt, dass er mit der Suchmaschine Shodan 47 Wärempumpen offen im Netz mit zu den verwundbaren Versionen passenden SSH-Stand und -Fingerabdruck aufgespürt hat. Einige stellen offenbar ihre Wärmepumpe ohne weiteren Schutz ins Netz. Der Zugriff sollte zumindest auf ein VPN beschränkt werden, wie es etwa die Fritzboxen mit WireGuard anbieten.

Quelle: Heise

HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch

HCL hat für seine Produkte Bigfix Platform, Devops Deploy und Launch (UCD) Updates veröffentlicht. Sie schließen teils kritische Sicherheitslücken darin. IT-Verwantwortliche sollten schnell sicherstellen, auf dem aktuellen Stand zu sein. Laut Sicherheitsmitteilung schließt HCL in Bigfix Platform allein acht Sicherheitslücken. Eine kritische betrifft die Drittherstellersoftware cURL, Angreifer könnten einen Pufferüberlauf bei der Verarbeitung von SOCKS5-Verbindungen zum Einschmuggeln von Schadcode missbrauchen (CVE-2023-38545, CVSS 9.8, Risiko „kritisch“). Die weiteren Lücken betreffen den Bigfix Sourcecode. Angreifer mit einer gültigen Basic-Authentication können aufgrund einer Lücke unbefugt an sensible Nutzerinformationen gelanfen (CVE-2024-23553, CVSS 8.2, hoch). Zudem stufen die Entwickler von HCL eine Cross-Site-Scripting-Lücke in den Web Reports als mittlere Bedrohung ein (CVE-2023-37528, CVSS 6.5, mittel). Die Komponente enthielt zudem eine Reflected Cross-Site-Scripting-Lücke, die Angreifern das Ausführen von Javascript-Code in einer Anwendungssitzung oder in der Datenbank erlaubt (CVE-2023-37527, CVSS 5.4, mittel). Die weiteren Schwachstellen stuft HCL als niedriges Risiko ein. Temporäre Gegenmaßnahmen zur Absicherung nennt HCL nicht. Die Updates auf die Versionen 11.0.1, 10.0.11 sowie 9.5.24 stopfen die Sicherheitslecks. Administratorinnen und Administratoren sollen die zugehörigen Upgrade-Patch-Fixlets genannten Patches in der Konsole suchen und diese starten und anwenden. Zudem schließt HCL in Devops Deploy und Launch (UCD) mit den Versionen 8.0.0.1, 7.3.2.4, 7.2.3.9, 7.1.2.16 und 7.0.5.20 eine HTTP-Request-Schmuggel-Lücke im mitgelieferten Apache Tomcat-Server (CVE-2023-46589, CVSS 6.5, mittel). Wenn der Windows-Agent als Dienst installiert wurde, können bösartige Akteure sensible Nutzerinformationen ausspähen (CVE-2024-23550, CVSS 6.2, mittel). Für beide Schwachstellen finden sich die genannten aktualisierten Versionen im HCL Download-Center, das nach einer Anmeldung zugreifbar ist.

Quelle: Heise

Videokonferenz voller KI-Klone: Angestellter schickt Betrügern 24 Millionen Euro

In Hongkong ist ein Angestellter eines internationalen Konzerns mit einer Videokonferenz voller KI-generierter Teilnehmer dazu gebracht worden, fast 24 Millionen Euro an Betrüger zu überweisen. Das berichtet Radio Television Hong Kong (RTHK) und führt aus, wie die aufwendige Erweiterung der bekannten „Chef-Masche“ funktioniert hat. Das Betrugsopfer wurde demnach per E-Mail zu einer Videokonferenz eingeladen. Alle anderen darin seien dann KI-generierte Deepfakes von Personen aus dem Konzern gewesen, die das Opfer zu den insgesamt 15 Überweisungen im Gesamtwert von 200 Millionen Hongkong-Dollar angestiftet hätten. Das Opfer habe den Betrug erst während eines persönlichen Gesprächs mit dem eigenen Chef erkannt. Die Details zu dem Vorfall stammen dem Bericht zufolge von der Cybersicherheitsabteilung der Hongkonger Polizei. Diese geht demnach davon aus, dass sich die Kriminellen interne Videos des nicht namentlich genannten Konzerns beschafft haben. Die seien dann um KI-generierte Stimmen ergänzt worden, unter Umständen waren die Bewegtbilder selbst also nicht einmal computergeneriert. In der Videokonferenz sei das Betrugsopfer dann die einzige echte Person gewesen, habe dann aber nichts davon bemerkt. Was mit dem überwiesenen Geld passiert ist, geht aus der Meldung nicht hervor, es ist aber davon auszugehen, dass die Millionensumme weg ist. Mit der Bekanntmachung will die Polizei der chinesischen Sonderverwaltungszone die Öffentlichkeit auf die neue Betrugsmasche aufmerksam machen, heißt es weiter. Bislang laufen solche Betrügereien meist über Vieraugengespräche: Per E-Mail oder am Telefon werden Angestellte von angeblichen Vorgesetzten dazu gebracht, Geld an ein Konto zu überweisen. Der Vorfall in Hongkong zeige nun, dass Kriminelle inzwischen in der Lage sind, ganze Online-Meetings zu simulieren, schreibt die Polizei. Auch bei Meetings mit vielen Teilnehmern und Teilnehmerinnen müssten Menschen deshalb nun wachsam sein. Details sollten deshalb auf bekannten Kommunikationskanälen hinterfragt werden, in den Meetings selbst sollte man Fragen stellen, um die Identitäten zu verifizieren.

Quelle: Heise

Kundendaten von Anydesk zum Verkauf angeboten

In einem Forum für Cyberkriminielle sind rund 18.000 Datensätze von Kunden der Fernwartungssoftware Anydesk aufgetaucht. Entdeckt und großteils überprüft hat sie die Sicherheitsfirma Resecurity. Das Unternehmen hat nach eigenen Angaben die Betroffenen kontaktiert und konnte verifizieren, dass sie tatsächlich Kunden von Anydesk sind. Auch mit dem Anbieter des Datensatzes sprachen die Security-Forscher. Als Beleg schickte er ihnen eine Probe (Sample) der Daten. Daraus geht hervor, dass es sich um Log-in-Daten für das Kundenportal von Anydesk handelt. Wie das Unternehmen kürzlich mitteilte, hat es dort jedoch alle Logins für ungültig erklärt. Kunden müssen sich mindestens ein neues Passwort setzen, besser noch eine Authentifizierung mit mehreren Faktoren aktivieren. Das bedeutet dennoch nicht, dass durch den mutmaßlichen Leak keine Gefahr ausgeht. In den Datensätzen sind nämlich auch Details der Kunden enthalten, unter anderem die Zahl der Geräte, mit denen Anydesk genutzt wurde, der Lizenzschlüssel der Software, Log-in-Zeiten und einiges mehr. Das erlaubt potenziellen Angreifern einen Blick etwa in die Struktur und Verhaltensweisen eines Unternehmens. Finanzinformationen wie Kreditkartendaten sind dem Bericht von Resecurity zufolge in dem Datensatz immerhin nicht enthalten. Der mutmaßliche Ersteller des Angebots – für das Interessierte 15.000 US-Dollar in Kryptowährung bezahlt sollen – gab demnach an, die Daten seien „ideal für Support-Betrug und Phishing“. Der erste Teil, die „technical support scams“ sind nicht nur im US-amerikanischen Raum in den letzten Jahren zu einer regelrechten Plage geworden. Betrüger rufen dabei tatsächliche oder auch nur vorgebliche Kunden von Softwarelizenzen an und drängen sie dazu, etwa für ein Ende des angeblichen Vertrages oder mit anderen Vorwänden teils große Summen zu zahlen. Um die Opfer weiter unter Druck zu setzen, wird dabei teils auch mit Fernwartungssoftware wie Anydesk Schadsoftware auf Geräten der Geprellten installiert, der Rechner gesperrt oder Onlinebanking manipuliert. Letzteres geschieht beispielweise mit gefälschten Webseiten, die wie die Bank des Opfers aussehen, das Geld aber an die Betrüger leiten. Noch ist nicht ganz klar, wie aktuell die Datensätze sind. Laut Resecurity konnte deren Anbieter noch am 3. Februar 2024 auf Systeme von Anydesk zugreifen. Das ist in etwa der Zeitraum, in dem das Unternehmen den Angriff öffentlich machte. Schon kurz zuvor hat es aber offenbar Lücken in der Sicherheit des Unternehmens gegeben. Wie bei allen mutmaßlichen Cyberkriminellen ist dennoch nicht auszuschließen, dass nun alte Informationen als Trittbrettfahrerei zu Geld gemacht werden sollen. Allen Nutzern von Anydesk rät Resecurity, mit dem Unternehmen Kontakt aufzunehmen, um eine Gefährdung der eigenen Infrastruktur zu überprüfen. Zudem sollten bestehende Accounts mit mehrfacher Authentifizierung, nicht nur einem Passwort abgesichert werden. Und auch E-Mails, die sich um das Thema Anydesk drehen, sollten Empfänger kritisch betrachten; auch dann, wenn man gar nicht Kunde des Unternehmens ist.

Quelle: Heise

IBM Business Automation Workflow für DoS-Attacken & Co. anfällig

Setzen Unternehmen IBM Business Automation Workflow zur Automatisierung digitaler Workflows ein, sollten Admins die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Insgesamt haben die Entwickler vier Sicherheitslücken geschlossen. Die betroffenen und reparierten Versionen kann man in den unterhalb dieser Meldung verlinkten Warnmeldungen nachlesen. Drei Schwachstellen (CVE-2023-26159, CVE-2023-45857, CVE-2023-43642) sind mit dem Bedrohungsgrad „hoch“ versehen. Hier können Angreifer unter anderem für DoS-Attacken ansetzen. Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2023-31582 „mittel“) ist der Zugriff auf Hashes von Passwörtern möglich und im Anschluss sind weitere Attacken auf ein System vorstellbar. Liste nach Bedrohungsgrad absteigend sortiert:

Quelle: Heise

IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig

Eigentlich sollen SIEM-Lösungen zum Schutz von IT-Systemen und Netzwerken beitragen. Doch aufgrund von mehreren Sicherheitslücken in Juniper Secure Analysis Applications (JSA) gibt es Ansatzpunkte für Angreifer. Admins sollten zeitnah die Sicherheitsupdates installieren. Wie aus einer Warnmeldung hervorgeht, sind folgende Applikationen betroffen. In der Auflistung stehen die reparierten Ausgaben. Alle vorigen Versionen sind den Entwicklern zufolge attackierbar.

  • Deployment Intelligence App 3.0.12
  • Log Collector v1.8.4
  • SOAR Plugin App 5.3.1
  • User Behavior Analytics Application 4.1.14

Zwei Schwachstellen (CVE-2021-4048, CVE-2023-37920) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. An diesen Stellen können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen und so einen Crash auslösen oder bestimmte Speicherbereiche einsehen. Im anderen Fall könnten e-Tugra-Zertifikate als vertrauenswürdig durchgewinkt werden, die es eventuell gar nicht sind. Der Anbieter von TLS-Zertifikaten sorgte in der Vergangenheit mit einem Sicherheitsvorfall in seinen Systemen für Schlagzeilen. Für den Großteil der verbleibenden Lücken gilt der Bedrohungsgrad „hoch“. An diesen Stellen können Angreifer unter anderem Systeme via DoS-Attacken außer Gefecht setzen. Außerdem sind unbefugte Zugriffe auf eigentlich abgeschottete Informationen vorstellbar.

Quelle: Heise

IT-Sicherheitsvorfall: Anydesk bestätigt Einbruch in Produktionssysteme

Anydesk teilte in der Nacht zum Samstag mit, dass das Unternehmen mit einem IT-Vorfall zu kämpfen hatte. Es betont, dass es sich nicht um einen Ransomware-Angriff handelte. Den Angaben zufolge gab es auf einigen Systemen Hinweise auf einen IT-Sicherheitsvorfall. Die darauffolgende Untersuchung der Systeme brachte Gewissheit, sie förderte Belege dafür hervor, dass Produktionssysteme kompromittiert wurden. Daraufhin hat das Unternehmen seine Notfallpläne zur Reaktion auf Cybervorfälle aktiviert. Zudem habe man externe IT-Sicherheitsexperten zur Hilfe geholt, Crowdstrike unterstützte bei der Untersuchung und bei der Umsetzung von Gegenmaßnahmen. Der Notfallplan sei erfolgreich abgeschlossen worden. Die zuständigen Behörden habe man informiert und arbeite eng mit ihnen zusammen. Das Unternehmen hat in diesem Zuge alle sicherheitsbezogenen Zertifikate zurückgezogen (revoked). Systeme seien repariert oder ersetzt worden, wo das nötig war. Das bislang genutzte Code-Signing-Zertifikat werde in Kürze zurückgezogen, der Hersteller habe angefangen, ein neues zu verwenden. Die Anydesk-Systeme seien nicht so designt, dass sie private Schlüssel, Sicherheitstoken oder Passwörter speicherten, ergänzt Anydesk in der Stellungnahme. Das deutet darauf, dass Einbrecher bis zu den Entwicklungssystemen vorgedrungen sind. Daher sollte die Client-Software auf den aktuellen Stand gebracht werden, der bereits das neue Code-Signing-Zertifkat nutze, empfiehlt Anydesk. Welche Versionen bereits das neue Zertifikat tragen, erläutert der Hersteller jedoch nicht. Allerdings deutet der Hinweis auf Sicherheitsfixes in den Changelogs darauf hin, dass etwa die aktuell herunterladbaren Windows-Dateien bereits mit den neuen Zertifikaten signiert wurden. Als weitere Sicherheitsmaßnahme hat Anydesk alle Passwörter für das Web-Portal my.anydesk.com zurückgesetzt und empfiehlt Nutzerinnen und Nutzern, die Passwörter bei anderen Angeboten wieder benutzt haben, sie dort ebenfalls zu ändern. Bislang gebe es demnach keine Hinweise, dass Endkundensysteme betroffen seien. Die Situation sei unter Kontrolle und die Nutzung von Anydesk sicher, betont das Unternehmen. Anydesk hatte in den vergangenen Tagen mit einigen Server- und Systemausfällen und Störungen zu kämpfen. Dies lässt sich jetzt offenbar mit den Maßnahmen gegen die kompromittierten IT-Systeme erklären.

Quelle: Heise

QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke

Der NAS-Hersteller QNAP hat aktuelle Firmware-Versionen für seine Speichergeräte angekündigt, die eine Vielzahl an Sicherheitslücken beheben. Sowohl die Firmware QTS als auch die als High-End-Variante vermarktete Version „QuTS hero“ sind betroffen; teils auch QuTScloud, ein Betriebssystemstrang zur Installation virtueller QNAP-NAS in öffentlichen Clouds. Die Flicken stopfen teils kritische Löcher. Die gefährlichste Lücke betrifft die Zweige 5.1 und 4.5 beider Betriebssystemversionen sowie das QuTScloud 5 und hat die CVE-ID CVE-2023-45025 erhalten. Mit einem CVSS-Wert von 9.0 gilt der Fehler als kritisch, obgleich QNAP in der Web-Version des Sicherheitshinweises offenbar irrtümlich und abweichend von einem hohen Schweregrad ausgeht. Angreifer können aus der Ferne eigene Kommandos auf dem NAS einschleusen, ohne dazu berechtigt zu sein. Auch die Sicherheitslücke CVE-2023-47568 betrifft dieselben QuTS-, hero- und QuTScloud-Versionen. Hier handelt es sich um eine SQL-Injection mit hohemSchweregrad (CVSSv3.1: 8.8/10). Da sie über das Netzwerk ausnutzbar ist, schrammt die Lücke nur aufgrund der notwendigen Nutzerberechtigungen an einem höheren Punktwert vorbei. Dasselbe, verbunden mit identischem CVSS-Wert gilt für CVE-2023-39297, eine weitere Lücke hohen Schweregrads, die das Einschleusen von Betriebssystembefehlen durch angemeldete Nutzer ermöglicht. Auf den Plätzen befinden sich eine Vielzahl an Sicherheitslücken hohen, mittleren und niedrigen Schweregrads in verschiedenen Versionen und Build-Nummern der QNAP-Betriebssysteme. Insgesamt sind die folgenden 31 CVE-IDs in der Februar-Ausgabe des QNAP-Sicherheitsbulletins behoben:

CVE-2023-32967, CVE-2023-39297, CVE-2023-39302, CVE-2023-39303, CVE-2023-41273, CVE-2023-41274, CVE-2023-41275, CVE-2023-41276, CVE-2023-41277, CVE-2023-41278, CVE-2023-41279, CVE-2023-41280, CVE-2023-41281, CVE-2023-41282, CVE-2023-41283, CVE-2023-41292, CVE-2023-45025, CVE-2023-45026, CVE-2023-45027, CVE-2023-45028, CVE-2023-45035, CVE-2023-45036, CVE-2023-45037, CVE-2023-47561, CVE-2023-47562, CVE-2023-47564, CVE-2023-47566, CVE-2023-47567, CVE-2023-47568, CVE-2023-48795 und CVE-2023-50359.

Da die Sicherheitslücken verschiedene Revisionen des QNAP-Betriebssystems und seiner Apps betreffen, sollten Admins in der Regel auf die neueste verfügbare Version wechseln. Wer aus Kompatibilitätsgründen von einer bestimmten Revision seines NAS abhängig ist, dem sei ein Blick in die Sicherheits-Übersichtsseite bei QNAP empfohlen. Aber Achtung: Die Risikoeinschätzungen („Impact“) sind nicht hundertprozentig zuverlässig. QNAP veröffentlicht regelmäßig Sicherheitshinweise zu seinen NAS-Systemen, so etwa im vergangenen Januar und im Dezember letzten Jahres.

Quelle: Heise

Sicherheitsupdate: IBM-Sicherheitslösung QRadar SIEM unter Linux angreifbar

Angreifer können an mehreren Schwachstellen im Add on User Behavior Analytics von IBM QRadar SIEM unter Linux ansetzen. Eine aktualisierte Version schafft Abhilfe. In einer Warnmeldung führen die Entwickler aus, dass die Sicherheitslücken in verschiedenen Komponenten zu finden sind. Darunter fällt beispielsweise eine „kritische“ Schwachstelle (CVE-2021-4048) in der Programmbibilothek LAPACK. An dieser Stelle können Angreifer mit präparierten Eingaben ansetzen, um durch eine DoS-Attacke einen Crash auszulösen. Weitere Schwachstelle betreffen unter anderem CPAN.pm (Man in the Middle CVE-2023-31484 „hoch“) und netplex json-smart v2 (DoS CVE-2023-1370 „hoch“). Die Entwickler geben an, dass davon QRadar User Behavior Analytics 1.0.0 bis einschließlich 4.1.13 betroffen sind. Die Ausgabe 4.1.14 soll abgesichert sein.

Quelle: Heise

Abschaltbefehl: US-Behörden müssen Ivanti-Geräte vom Netz nehmen

Die kürzlich aufgedeckten Sicherheitslücken in Netzwerkprodukten des Herstellers Ivanti haben für diesen ernste Konsequenzen. In einer jetzt veröffentlichten „Emergency Directive“ (etwa: „Notfall-Anordnung“) weist die US-amerikanische Cybersicherheitsbehörde CISA alle Bundesbehörden an, Produkte vom Typ „Ivanti Connect Secure“ oder „Ivanti Policy Secure“ unverzüglich vom Netz zu nehmen. Sie reagiert damit auf massenhafte Angriffe gegen die schadhaften Geräte. Zudem müssen Sicherheitsexperten alle Systeme genau im Auge behalten, die kürzlich mit den Ivanti-Appliances verbunden waren und „weiter auf die Jagd nach Bedrohungen gehen“, so die CISA weiter. Sie gibt ebenfalls genaue Anweisungen, unter welchen Bedingungen Geräte des US-Herstellers wieder ans Netz dürfen: Neben dem Zurücksetzen auf die Werkseinstellungen steht ein Update auf eine von fünf fehlerbereinigten Versionen auf dem Laufzettel für Ivanti-Admins. Auch Passwörter, API-Keys und Zertifikate müssen zurückgezogen und neu ausgestellt werden. Die von CISA gesetzte Frist ist durchaus sportlich und illustriert, wie ernst die Sicherheitsbehörden die Bedrohung nehmen. Bis 23:59 Uhr am Freitag, dem 2. Februar 2024, müssen die Bundesbehörden den Maßnahmenkatalog umgesetzt haben und das bis spätestens Montagnacht bei der CISA melden. Behörden, welche die betroffenen Ivanti-Produkte verwenden, müssen zudem Passwörter, Kerberos-Tickets und registrierte Geräte in ihren Active-Directory-Domänen ungültig machen. Die CISA ist als oberste Cybersicherheitsbehörde in den USA weisungsbefugt für alle Behörden auf Bundesebene („federal agency“). Sie hatte bereits in der vierten Januarwoche Handlungsanweisungen zum Umgang mit den neuesten Ivanti-Sicherheitslücken herausgegeben und diese nun weiter verschärft. Ivanti steht seit Jahren unter Beschuss. Nachdem bereits im Jahr 2021 mutmaßlich chinesische Angreifer Sicherheitslücken in den Produkten des US-Herstellers ausnutzten, um in Regierungsnetze einzubrechen, sind in diesem Jahr neue schwere Lücken aufgetaucht. Tausende Geräte mit der fehlerhaften VPN-Lösung sind bereits übernommen worden, wie Sicherheitsforscher herausgefunden haben. Ivanti tut sich schwer mit Updates, erst Mitte Februar sollen die Fehler vollständig beseitigt sein.

Quelle: Heise

Bericht: Wie Angreifer in das Netzwerk von Cloudflare eingedrungen sind

Mit seinem Content Delivery Network (CDN) und seinem DNS-Dienst spielt Cloudflare weltweit eine zentrale Rolle im Internet. Demzufolge ist der Dienst besonders schützenswert. Ende 2023 konnten sich Angreifer Zugriff auf bestimmte Netzwerkbereiche verschaffen. In einem aktuellen Bericht schildert das Unternehmen den Ablauf der Attacke. In einem Blogbeitrag gibt Cloudflare an, dass der Vorfall im November 2023 stattgefunden hat. Die Aufarbeitung des Falls ergab, dass die unbekannten Angreifer mehrere Tage Zugriff auf verschiedene Systeme hatten. Cloudflare geht von staatlich gesponserten Angreifern aus. Das Unternehmen versichert, dass es keine Zugriffe auf Daten oder Systeme von Kunden gegeben hat. Eigenen Angaben zufolge wurden die Systeme mittlerweile bereinigt. Cloudflare betont, dass aufgrund der Zero-Trust-Infrastruktur nur bestimmte Bereiche von dem Sicherheitsvorfall betroffen waren. So sollen etwa keine Dienste in Mitleidenschaft gezogen worden sein und die Angreifer konnten auch keine Änderungen im globalen Netzwerksystem vornehmen. Dennoch konnten sie Cloudflare zufolge unter anderem auf das interne Wiki und die Bug-Datenbank zugreifen. Außerdem haben sie sich persistenten Zugriff auf einen Atlassian-Server mit Sourcecode verschafft. Überdies habe es Zugriffe auf ein Datencenter in Brasilien gegeben, das aber bislang nicht in Betrieb war. Primär sollen die Angreifer Ausschau nach Informationen über die interne Cloudflare-Architektur und Sicherheitsaspekte des globalen Netzwerks gehalten haben. Einstiegspunkte für die Angreifer waren ein Zugriffstoken und drei Service-Accounts, die bei einer Attacke auf den Identitäts- und Zugangsverwaltungsdienstleister Okta im November 2023 kopiert wurden. An dieser Stelle räumt das Unternehmen Versäumnisse ein. Nach dem Okta-Hack haben sie nicht alle Zugangsdaten geändert. Weiterführende Informationen zu der Attacke und dem zeitlichen Ablauf führt das Unternehmen in seinem Blog aus.

Quelle: Heise

Caritas-Klinik Dominikus: Nächstes Krankenhaus kämpft mit Ransomware

Unter einer Attacke auf ihre IT leidet die Caritas-Klinik Dominikus in Berlin-Reinickendorf. Der Angriff wurde am 29. Januar entdeckt, anschließend wurden erste IT-Sicherheitsmaßnahmen eingeleitet. Diesen Schritt mussten kürzlich auch die Kliniken in Mittelfranken setzen; sie sind von Ransomware betroffen. Die Patientensicherheit war und ist nach Angaben der Klinik nicht gefährdet – jedoch ist die Caritas-Klinik von der Notfallversorgung abgemeldet, wie eine Sprecherin gegenüber heise online gesagt hat. Zudem handele es sich bei dem Angriff ebenfalls um Ransomware. Termine für Operationen werden bei Dominikus in Berlin nicht abgesagt, lediglich die „Erreichbarkeit und […] digitale Kommunikation“ sei eingeschränkt. Derzeit laufe eine „detaillierte Analyse“ der Vorfälle durch die IT-Abteilung und externe Sicherheitsexperten. Details zum Ausmaß des Angriffs und eventuell abgeflossenen Daten sind noch nicht bekannt. Sollten Daten in falsche Hände gelangt sein, würden Betroffene umgehend informiert, verspricht die Klinik. Sie stehe bereits im Austausch mit dem Datenschutzbeauftragten, auch die zuständige Datenschutzbehörde sei informiert. Bisher sind die Täter unbekannt. Ein Krisenstab ist eingerichtet, Ermittlungen bei der Kriminalpolizei laufen. Da das Klinikum mit entsprechenden Notfallplänen bereits auf derartige Fälle vorbereitet gewesen sei, könne die „Krisensituation“ reibungslos gemeistert werden. Zudem sei eine klare Backup-Strategie vorhanden. Aufgrund der „riesigen Datenmenge“ werde der Prozess dauern, zumal die Datensicherheit nicht gefährdet werden soll. In Mittelfranken läuft derweil ein Neustart der Krankenhaus-Systeme. Mit den Erpressern wird nicht verhandelt.

Quelle: Heise

CISA-Warnung: Alte iPhone-Schwachstelle wird aktiv ausgenutzt

Die Cyber-Sicherheitsbehörde CISA warnt vor einer alten Kernel-Schwachstelle in Apple-Betriebssystemen, für die bereits ein Patch vorliegt. Es gebe Hinweise auf aktive Ausnutzung der Sicherheitslücke, teilte die Behörde jetzt mit. Sie hat den Bug deshalb in ihren Katalog für „Known Exploited Vulnerabilities“ aufgenommen, wodurch US-Behörden nun angehalten sind, ihre Geräte zu patchen – oder diese nicht länger einzusetzen, falls es dafür keine Updates mehr gibt. Die als CVE-2022-48618 geführte und als schwer eingestufte Schwachstelle erlaubt es einem Angreifer mit erweiterten Lese- und Schreibrechten, den Sicherheitsmechanismus Pointer Authentication zu umgehen, wie Apple erst vor Kurzem mitteilte. Der Bug sei durch verbesserte Prüfungen behoben worden. Auf den Fehler war der Konzern offenbar selbst gestoßen. Die Lücke wurde demnach bereits mit den Updates iOS 16.2, iPadOS 16.2, macOS 13.1, watchOS 9.2 und tvOS 16.2 im Dezember 2022 behoben. Einen entsprechenden Nachtrag in seinen Sicherheitshinweisen pflegte Apple aber erst Anfang Januar 2024 nach und wies dort auch darauf hin, dass die Lücke „möglicherweise für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden“. Zwar liefert Apple auch noch sporadisch Updates für iOS 15, ein Patch für CVE-2022-48618 ist aber nicht dokumentiert, entsprechend bleibt unklar, ob die Lücke dort weiter offensteht. Apple versorgt zwar auch ältere Betriebssysteme weiter mit Sicherheits-Updates, alle bekannten Schwachstellen werden aber nur in der jeweils allerneuesten Version beseitigt, derzeit also iOS 17 und macOS 14 Sonoma. Einst populäre iPhone-Reihen wie das iPhone 6s und iPhone 7 laufen maximal mit iOS 15, auch iPads wie das iPad Air 2 können nicht auf iPadOS 16 oder neuer aktualisiert werden.

Quelle: Heise

Mastodon: Diebstahl beliebiger Identitäten im föderierten Kurznachrichtendienst

Der föderierte Kurznachrichtendienst Mastodon hat offenbar ein massives Problem, das Identitätsklau sehr einfach macht. Wie die Entwickler in einem Sicherheitshinweis melden, können Angreifer beliebige Konten übernehmen und deren Identität stehlen. Der Sicherheitshinweis, veröffentlicht auf der Kollaborationsplattform Github, geizt absichtlich mit Details: Man wolle Admins Zeit zum Aktualisieren ihrer Instanzen geben und potentiellen Angreifern nicht den Modus Operandi verraten, mit dem sie die Lücke ausnutzen könnten. Die Sicherheitslücke hat die CVE-ID CVE-2024-23832 erhalten und hat immerhin 9,4 von 10 CVSS-Punkten. Es handelt sich nach Einschätzung des Mastodon-Teams um eine leicht aus der Ferne ausnutzbare Lücke, die keinerlei Vorbedingungen mitbringt. Weder muss der Angreifer über besondere Privilegien verfügen, noch einen legitimen Nutzer austricksen, etwa mit einem gefälschten Link. Weitere Details verraten die Entwickler erst am 15. Februar. Nur wenige Minuten nach Veröffentlichung des Sicherheitshinweises begannen Administratoren großer Mastodon-Instanzen mit den notwendigen Updates. Das bestätigte etwa Jerry Bell, der Verwalter der Instanz infosec.exchange, gegenüber heise security. Wer selber eine Mastodon-Instanz betreibt, sollte sich zügig ans Update machen. Vom Fehler betroffen sind die Mastodon-Versionen

  • 3.5.16 und älter,
  • 4.0.12 und älter,
  • 4.1.12 und älter sowie
  • 4.2.4 und älter.

Die Versionen 3.5.17, 4.0.13, 4.1.13 und 4.2.5 beheben die Sicherheitslücke. Nach den Kapriolen um den Kurznachrichtendienst X dient Mastodon vielen Nutzern als neue Heimat und kann sich über regen Zulauf freuen. Zwar ist das soziale Netzwerk nicht so dezentral und ausfallsicher wie erhofft, jedoch haben auch viele Behörden und Netz-Promis sich mittlerweile dort angemeldet. Die Aussicht auf einen Identitätsdiebstahl dürfte ihnen nicht gefallen.

Quelle: Heise

DDoS-Angriffe führen zu Ausfällen an kanadischen Flughäfen

Sogenannte Überlastungsangriffe, auch als Distributed Denial of Service-Attacken (DDoS) bekannt, haben am vergangenen Wochenende zu Störungen auf kanadischen Flughäfen geführt. Eine prorussische Cybergang hat sich zu den Cyberangriffen auf die kanadische Grenzbehörde (Canada Border Services Agency, CBSA) bekannt. Normalerweise sind aufgrund von DDoS-Angriffen Webseiten für einen zumeist überschaubaren Zeitraum nicht erreichbar. In diesem Fall haben die Attacken auf die CBSA jedoch zum Ausfall von Grenzterminals und elektronischer Türen an kanadischen Flughäfen geführt. Das hat die Behörde am Dienstag dieser Woche der Zeitung LaPresse zufolge bestätigt. Demnach kam es zu einem landesweiten Computerausfall an den Check-in-Kiosken, was wiederum die Abfertigung der Ankommenden an den Grenzkontrollstellen im ganzen Land über eine ganze Stunde verlangsamte. Unter anderem war der internationale Flughafen Montreal-Trudeau betroffen, bestätigte der Betreiber Aéroports de Montréal (ADM). Die CBSA erklärte daraufhin, dass es an den Flughäfen im ganzen Land zu „zeitweiligen Verbindungsproblemen mit Kiosken und elektronischen Gates“ gekommen sei. Auf dem Telegram-Kanal der kriminellen Vereinigung NoName057 haben die Betreiber die DDoS-Attacke angekündigt. LaPresse zufolge hat die Cybergang bereits die Verantwortung für frühere Attacken auf kanadische Websites übernommen, einschließlich auf die des Premierministers Justin Trudeau im vergangenen April. „Wir arbeiten eng mit unseren Partnern zusammen, um die Situation zu bewerten und zu untersuchen. Die Sicherheit von Kanadiern und Reisenden hat für die CBSA oberste Priorität, und nach diesen Angriffen wurden keine persönlichen Daten weitergegeben“, sagte eine Sprecherin der Organisation. Normalerweise haben DDoS-Angriffe kaum Auswirkungen außer auf die Verfügbarkeit der betroffenen Webseiten. Dass Überlastungsangriffe wie in diesem Fall realen Einfluss außerhalb von Netzwerken haben, ist sehr ungewöhnlich. Mitte Februar kam es zu Ausfällen von Websites mehrerer deutscher Flughäfen. Als Auslöser wurde ebenfalls eine DDoS-Attacke vermutet. Auswirkungen auf den Flugverkehr gab es jedoch nicht.

Quelle: Heise

Sicherheitsupdate: Authentifizierung von HPE OneView umgehbar

Mit HPE OneView verwalten Admins IT-Infrastrukturen. Aufgrund von zwei Sicherheitslücken können Angreifer die Authentifizierung umgehen. Eine dagegen abgesicherte Ausgabe steht zum Download bereit. In einer Warnmeldung sind die beiden als „kritisch“ eingestuften Schwachstellen (CVE-2023-30908, CVE-2023-30909) aufgelistet. Angriffe sollen aus der Ferne möglich sein. Ist eine Attacke erfolgreich, können Angreifer die Authentifizierung umgehen. Wie das im Detail ablaufen könnte, führt HPE derzeit nicht aus. Die Entwickler geben an, die Lücken in der Version 8.30.01 geschlossen zu haben. Alle vorigen Ausgaben sollen bedroht sein.

Quelle: Heise