Schwachstellen in Softwareprodukten (13% davon kritisch) wurden im Jahr 2021 bekannt. das entspricht einem Zuwachs von 10% gegenüber dem vorjahr.
Sicherheitsupdates: Dell-BIOS gegen verschiedene Attacken gerüstet
Angreifer können Sicherheitslücken im BIOS von verschiedenen Dell-PCs ausnutzen und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates stehen zum Download bereit. Ob es bereits Attacken gibt, führt der Computerhersteller derzeit nicht aus. Dennoch sollten Besitzer von betroffenen Modellen die Sicherheitspatches möglichst bald installieren. Am gefährlichsten gilt eine Schwachstelle (CVE-2023-28073 „hoch“) im BIOS der Modelle Latitude 5530 und Precision 3570. Aufgrund von Fehlern bei der Authentifizierung können bereits authentifizierte, lokale Angreifer sich höhere Nutzerrechte verschaffen. In so einer Position können Angreifer Systeme oft vollständig kompromittieren. Dell gibt an, den Fehler in der BIOS-Version 1.13.2beseitigt zu haben. Weil ein Angreifer physischen Zugriff auf einen verwundbaren PC haben muss, ist die Schadcode-Lücke (CE-2023-32480) nur mit dem Bedrohungsgrad „mittel“ eingestuft. Dazu kann es kommen, weil Eingaben nicht ausreichend überprüft werden. Eine Authentifizierung ist dafür Dell zufolge nicht nötig. Nach erfolgreichen Schadcode-Attacken können Angreifer in der Regel die volle Kontrolle über Computer erlangen. Davon sind mehrere Modelle wie Inspiron und Vostro betroffen, die Dell in einer Warnmeldung auflistet. Dort sind auch die gegen die Attacken abgesicherten BIOS-Ausgaben aufgelistet. Die dritte Schwachstelle (CVE-2023-28064 „niedrig“) kann zu DoS-Zuständen führen. Die Attacke fußt auf einem Speicherfehler (Out-of-bounds), den Angreifer auf einem nicht näher beschriebenen Weg auslösen können. Die angreifbaren Modelle und reparierten BIOS-Firmwares finden sich in einer Warnmeldung.
Webbrowser: Update für Google Chrome dichtet hochriskante Sicherheitslücken ab
Google liefert Softwareupdates für den Webbrowser Chrome aus. Die aktualisierte Fassung dichtet mehrere als hochriskant eingestufte Schwachstellen aus. Nutzer sollten sicherstellen, mit der fehlerbereinigten Browser-Version unterwegs zu sein. In der Versionsankündigung schreiben Googles Entwickler, dass das Update vier Sicherheitsfixes enthält. Zum Schutz der Nutzer verrät Google wie üblich keine Details zu den Lücken und fasst bei von externen IT-Sicherheitsforschern gemeldeten Schwachstellen lediglich grob zusammen, welche Komponenten betroffen sind. Von den vier Sicherheitslücken erläutert Google lediglich drei, die allesamt als hochriskant gelten. 20.000 US-Dollar Belohnung war dem Unternehmen die Entdeckung einer Type-Confusion-Schwachstelle in der Javascript-Engine V8 wert (CVE-2023-3420, noch kein CVSS-Wert, Risiko „hoch“). Bei diesem Schwachstellentyp stimmen tatsächlich eingesetzte Datentypen nicht mit den vorgesehenen überein, wodurch etwa Zugriffe auf Speicherbereiche außerhalb vorgesehener Grenzen möglich werden. Zudem haben die Programmierer je eine Use-after-Free-Lücke in der Komponente Media und Guest View korrigiert (CVE-2023-3421, CVE-2023-3422, keine CVSS-Werte, Risiko „hoch“). Dabei greift der Programmcode auf Ressourcen zu, nachdem diese bereits freigegeben wurden. Dadurch ist deren Zustand undefiniert. Das führt in der Regel zu einem Absturz, lässt sich von Angreifern jedoch oft auch zum Einschmuggeln und Ausführen von Schadcode missbrauchen. Die korrigierten Versionen von Chrome lauten 114.0.5735.196 für Android, 114.0.5735.198 für Linux und Mac sowie 114.0.5735.198/199 für Windows. Wer Chrome einsetzt, sollte sicherstellen, die neuen Fassungen des Browsers einzusetzen. Durch einen Klick auf das Einstellungsmenü von Chrome, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adressleiste findet, und dem weiteren Weg über „Hilfe“ – „Über Google Chrome“ öffnet sich der Versionsdialog. Der zeigt die aktuell laufende Version des Webbrowsers an und startet gegebenenfalls die Aktualisierung der Software. Unter Linux zeichnet normalerweise die Software-Verwaltung der eingesetzten Distribution für die Aktualisierung verantwortlich. Daher sollten Linux-Nutzer gegebenenfalls die Paketverwaltung anwerfen und nach Updates suchen lassen. Da die Schwachstellen im Chromium-Projekt auch andere darauf basierende Webbrowser wie Microsoft Edge betreffen, sollte in Kürze auch für diese Browser ein Sicherheitsupdate angeboten werden. Nutzer dieser Webbrowser sollten die Aktualisierung ebenfalls zügig anwenden. Zuletzt hatte Google vor knapp zwei Wochen ein Chrome-Update herausgegeben. Damit hattten die Programmierer eine als kritisch eingestufte Sicherheitslücke im Chrome-Webbrowser abgedichtet.
FortiNAC: Kritische Sicherheitslücke erlaubt Codeschmuggel, Update vergfügbar
Bösartige Akteure aus dem Netz können eine kritische Sicherheitslücke in FortiNAC missbrauchen, um Schadcode einzuschleusen und auszuführen. Der Hersteller stellt aktualisierte Software bereit, die das Leck und eine weitere Schwachstelle ausbessern. Die Deserialisierung von nicht vertrauenswürdigen Daten (Java untrusted object deserialization) in FortiNAC ermöglicht nicht angemeldeten Nutzern, unbefugt Code oder Befehle einzuschleusen und auszuführen (CVE-2023-33299, CVSS 9.6, Risiko „kritisch“). Angreifer aus dem Netz können die Lücke durch das Senden sorgsam präparierter Anfragen an den standardmäßig auf TCP-Port 1050 lauschenden Dienst missbrauchen, schreibt Fortinet in der Sicherheitsmeldung. Ein zweites Sicherheitsleck erlaubt bösartigen Akteuren, Befehle in den auf TCP-Port 5555 horchenden FortiNAC-Dienst einzuschleusen. Nicht authentifizierte Nutzer können lokale Dateien auf dem Gerät in andere lokale Verzeichnisse kopieren, da Daten aus Eingabe-Feldern nicht ausreichend gefiltert werden. Um an die kopierten Daten zu gelangen, benötigen Angreifer jedoch Zugang mit ausreichenden Rechten auf dem Gerät (CVE-2023-33300, CVSS 4.8, mittel). Die kritische Sicherheitslücke betrifft FortiNAC 9.4.0 bis 9.4.2, 9.2.0 bis 9.2.7, 9.1.0 bis 9.1.9, 8.8.x, 8.7.x, 8.6.x, 8.5.x, 8.3.x sowie 7.2.0 und 7.2.1. Die Versionen FortiNAC 9.4.3, 9.2.8, 9.1.10 sowie 7.2.2 oder jeweils neuere dichten die Lecks ab. Die zweite Schwachstelle betrifft FortiNAC 9.4.0 bis 9.4.3 sowie 7.2.0 bis 7.2.1; auch hier dichten es die Fassungen 9.4.4 sowie 7.2.2 oder neuere ab. Da es sich bei einer der Lücken um eine kritische handelt, sollten IT-Verantwortliche umgehend die bereitstehenden Aktualisierungen herunterladen und anwenden. Mitte Juni hatte Fortinet seinen monatlichen Patchday veranstaltet. Auch dort musste der Hersteller Schwachstellen unter anderem in FortiNAC ausbessern.
eHealth-Datenleck: Barmer-Kundendaten bei externem Dienstleister erbeutet
Ein IT-Dienstleister der Barmer-Krankenkasse muss ein Datenleck durch eine Sicherheitslücke eingestehen, über das Kundendaten der Krankenkasse im Zugriff von Unbefugten waren. Der geleakte Datenbestand betrifft Barmer-Kunden, die am Bonusprogramm der Krankenkasse teilnehmen; der IT-Dienstleister arbeitet für dieses Programm mit der Barmer zusammen. Darüber informiert die Barmer in diesen Tagen ihre betroffenen Kunden per Brief – und kommt damit ihrer Verpflichtung durch die DSGVO nach, eine erfolgte Cyberattacke offenzulegen und vor möglichen Konsequenzen zu warnen. Der Vorfall bei dem Dienstleister ereignete sich am 31. Mai, schreibt die Barmer in einer Mitteilung. Die Barmer selbst wurde darüber am 16. Juni informiert und gab am nächsten Tag eine Pressemitteilung heraus. Demnach ist der IT-Dienstleister mit der Umsetzung des Bonusprogramms beauftragt und arbeitete wohl mit einem dafür separat erstellen Datenbestand; derzeit prüft die Barmer noch, ob auch ein Zugriff auf ihren eigenen Datenbestand möglich war – ihre eigenen IT-Systeme seien von dem Cyberangriff jedenfalls nicht betroffen, ist sich die Barmer sicher. Auch sei die Sicherheitslücke inzwischen geschlossen. In den Briefen an ihre Mitglieder (datiert vom 19. Juni) teilt die Barmer mit, dass folgende Informationen der Versicherten betroffen sind: Name und Vorname, Krankenversicherungsnummer, Prämienbetrag (der Erlös aus der erfolgreichen Teilnahme am Bonusprogramm) und Bankverbindung (IBAN). Der IT-Dienstleister erhält für Prüfung der Unterlagen des Bonusprogramms die personenbezogenen Daten von der Barmer, heißt es in dem Schreiben. Demnach habe die Barmer sofort nach der Unterrichtung über den Cyberangriff die Verbindung zum Dienstleister gekappt. Details zum Angriff und zur ausgenutzten Sicherheitslücke gibt es derzeit keine, die Zahl der Betroffenen nennt die Firma ebenfalls nicht. Barmer nennt in dem Schreiben den Namen des Dienstleisters nicht, doch in den Unterlagen zum Bonusprogramm heißt es, dass die Firma Majorel in Luxemburg für die Datenverarbeitung zuständig sei. IT-Dienstleister sind im Gesundheitswesen, aber auch in anderen Bereichen lohnenswerte Ziele für Cyberkriminelle, bündeln sie doch die Daten mehrerer großer Kunden. Ein erfolgreicher Einbruch hier verheißt einen wertvollen Datenbestand oder ein flächendeckendes Lahmlegen von Diensten (womöglich im Verbund mit Erpressung von Lösegeld). Bei einem Leak beim Dienstleister Bitmarck sind Anfang des Jahres Daten von 300.000 Versicherten erbeutetworden. Wegen der Abwehr einer Cyberattacke auf Bitmarck im April waren außerdem bei Krankenkassen Dienste wie die elektronische Patientenakte oder die e-Arbeitsunfähigkeitsbescheinigung für Ärzte bzw. Versicherte zeitweise nur eingeschränkt nutzbar.
AfD-Mitgliedsanträge frei zugreifbar im Netz
Der Web-Auftritt der Partei Alternative für Deutschland (AfD) war unzureichend gesichert. Mitgliedsanträge waren in einem Web-Verzeichnis ohne weitere Schutzmaßnahmen direkt zugreifbar. Den Fehler haben die Betreiber inzwischen abgestellt. Auf Twitter hat Internetaktivistin N3ll4 mit dem Handle @n3ll41 auf die Sicherheitslücken aufmerksam gemacht. In einem ungeschützten, frei zugreifbaren Verzeichnis auf einem Server unter der AfD-Domain lagen Verzeichnisse mit PDF-Dateien. In Mitgliedsanträgen finden sich persönlich identifizierbare Informationen wie vollständiger Name, Anschrift, Geburtsdatum, E-Mail-Adresse sowie gewünschte Mitgliedsbeiträge. Das erlaubt Rückschlüsse auf die finanzielle Situation und natürlich politische Präferenzen der Betroffenen. Cyberkriminelle könnten die Informationen für geschicktes und gezieltes Phishing missbrauchen. Die Daten lassen sich womöglich aber auch zur Erpressung oder Bedrohung ausnutzen. heise online konnte die Fehlermeldung nachvollziehen. Das Verzeichnis war tatsächlich komplett schutzlos zugreifbar. Aber es gab noch weitere Hinweise von N3ll4 auf Sicherheitslücken im AfD-Webauftritt. Etwa die Domain rb.afd.de bietet passwortgeschützten Zugriff auf einige Dienste. Gegenüber heise online erklärte die IT-Sicherheitsexpertin: „rb.afd.de würde ich öffentlich nicht so stehen lassen, da man via BruteForce & co Zugang bekommen könnte oder durch die vorhandenen Schwachstellen“. Der Passwortschutz könnte aufgrund der zahlreichen Datenlecks bei der AfD in der Vergangenheit leicht zu überwinden sein. Dass die Zugänge nicht weiter etwa mit Zwei-Faktor-Authentifizierung geschützt werden, verwundert. Immerhin hat die AfD unter rsa.afd.de tatsächlich solch einen Dienst in Betrieb. Ein Schwachstellenscanner fand demnach umgehend Sicherheitslücken auf der Domain. Darunter eine kritische Lücke in Apaches mod_proxy, die HTTP-Request-Smuggling erlaubt (CVE-2023-25690, CVSS 9.8, Risiko „kritisch“). Auf Anfrage von heise online antwortete der Pressereferent der AfD: „Nach rascher Prüfung des Sachverhalts kann nicht ausgeschlossen werden, dass es für einen sehr kurzen Augenblick eine Zugriffsmöglichkeit auf im Höchstfall bis zu 15 Mitgliedsanträge von Antragstellern für eine Mitgliedschaft in der AfD gegeben hat. Diese theoretische Zugriffsmöglichkeit ist unmittelbar nach Bekanntwerden geschlossen worden. Derzeit läuft noch eine Klärung, ob Verstöße gegen die Datenschutzverordnung vorgekommen sein können, welche entsprechende Meldungen an die Betroffenen bzw. an die Landesdatenschutzbeauftragte Berlin nach sich ziehen würde.“ Auch andere Parteien haben mit Datenlecks aufgrund von Sicherheitslücken zu kämpfen. Die CDU etwa hatte die Krawall-Influencerin Lilith Wittmann nach Meldung von Schwachstellen in ihrer Wahlkampf-App und der dahinterliegenden Datenbank zunächst angezeigt. Die Anzeige wurde später zurückgezogen, die Partei entschuldigte sich zudem.
Sicherheitslücke: Exploit-Code für Cisco AnyConnect und Secure Client
Für eine Sicherheitslücke in Ciscos AnyConnect Secure Mobility Client und Ciscos Secure Client jeweils für Windows hat der Hersteller vor rund zwei Wochen Updates veröffentlicht. Der Entdecker der Schwachstelle hat inzwischen Exploit-Code ins Netz gestellt, der als Proof-of-Concept (PoC) das Ausnutzen der Lücke demonstriert. IT-Verantwortliche sollten spätestens jetzt die Aktualisierungen anwenden. Bei der Lücke handelt es sich um eine sogenannte Privilege-Escalation-Schwachstelle, durch die Angreifer ihre Rechte im System ausweiten können. Aufgrund unangemessener Zugriffsrechte für ein temporäres Verzeichnis, das während des Update-Vorgangs erstellt wird, könnten Angreifer eine spezielle Funktion des Windows-Installer-Prozesses missbrauchen, um an SYSTEM-Rechte zu gelangen (CVE-2023-20178, CVSS 7.8, Risiko „hoch“). Cisco hat die eigene Sicherheitsmeldung jetzt mit dem Hinweis aktualisiert, dass der Hersteller um frei verfügbaren PoC-Code für die Lücke weiß. Der Proof-of-Concept-Exploit ist auf Github verfügbar. Der Autor beschreibt dort, dass er eine Sicherheitslücke missbraucht, durch die sich beliebige Dateien löschen lassen, um dadurch an SYSTEM-Rechte zu gelangen. Den grundsätzlichen Mechanismus dafür erklärt die Zero-Day-Initiative (ZDI) in einem Blog-Beitrag. Die fehlerbereinigten Versionen sind Cisco AnyConnect Secure Mobility Client für Windows 4.10MR7 (4.10.07061) oder neuer sowie Cisco Secure Client für Windows 5.0MR2 (5.0.02075) und aktuellere Fassungen. Erfahrungsgemäß bauen Cyberkriminelle für sie nützliche Proof-of-Concept-Exploits zügig in ihre Exploit-Baukästen ein. Daher empfiehlt sich, die Aktualisierungen jetzt rasch herunterzuladen und zu installieren, sollte das noch nicht geschehen sein.
Hochriskante Sicherheitslecks in VMware vCenter Server und Cloud Foundation
In VMware vCenter Server und der Cloud Foundation klaffen Sicherheitslücken, die der Hersteller teilweise als hochriskant einstuft. Updates zum Ausbessern der Schwachstellen stehen bereit. IT-Verantwortliche sollten sie zügig anwenden. Gleich fünf Sicherheitslücken listet VMware in der Sicherheitsmeldung auf. Es handelt sich bei den Lücken allesamt um Speicherverletzungen (Memory Corruption) etwa in Form von Pufferüberläufen. Davon stufen die Entwickler vier als hochriskant und eine als mittlere Bedrohung ein. Die Implementierung des DCERRPC-Protokolls ermöglicht Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode auf dem unterliegenden Betriebssystem, da sie uninitialisierten Speicher nutzt, was einen Heap-basierten Pufferüberlauf ermöglicht (CVE-2023-20892, CVSS 8.1, Risiko „hoch“). Ähnliche Auswirkungen hat eine Use-after-free-Lücke im DCERPC-Protokoll, durch die Ressourcen nach ihrer Freigabe fälschlicherweise erneut genutzt werden – auch das ermöglicht Angreifern Codeschmuggel (CVE-2023-20893, CVSS 8.1, hoch). Zudem kann aufgrund der fehlerhaften Implementierung von DCERPC außerhalb der vorgesehenen Speichergrenzen Schreibzugriff erfolgen (CVE-2023-20894, CVSS 8.1, hoch). Bösartige Akteure könnten außerdem die Authentifizierung aufgrund einer Speicherverwürfelung bei der Verarbeitung von manipulierten DCERPC-Paketen umgehen (CVE-2023-20895, CVSS 8.1, hoch). Die letzte Schwachstelle ermöglicht den lesenden Zugriff außerhalb vorgesehener Speichergrenzen, wodurch sorgsam präparierte DCERPC-Pakete Denial-of-Service provozieren können (CVE-2023-20896, CVSS 5.9, mittel). Die DCERPC-Lücken betreffen vCenter Server 8.0 sowie 7.0 und Cloud Foundation (vCenter Server) 5.x sowie 4.x. Die aktualisierte Version vCenter Server 8.0 U1b sowie 7.0 U3m sollen die Sicherheitslecks abdichten, auch für Cloud Foundation. Da Sicherheitslücken in VMware-Produkten oftmals schnell im Exploit-Baukasten von Cybergangs landen, sollten IT-Verantwortliche die bereitstehenden Aktualisierungen zügig installieren. Anfang der Woche etwa wurden Angriffe auf VMware Aria Operations for Networks bekannt, für die der Hersteller rund zwei Wochen zuvor Sicherheitsupdates veröffentlicht hat.
SSD mit Mitarbeiterdaten aus SAP-Rechenzentrum auf eBay aufgetaucht
Eine SSD, die einem SAP-Rechenzentrum in Walldorf abhandengekommen ist, ist auf eBay aufgetaucht. Das Unternehmen untersucht den Vorfall. Zudem sind dem Dax-Unternehmen offenbar weitere SSDs entwendet worden. Wie TheRegister berichtet, haben den Vorfällen nahestehende Quellen erklärt, dass im vergangenen November vier SSDs in den SAP-Rechenzentren in Walldorf abhandenkamen. Eine davon tauchte auf eBay auf, wo sie ein SAP-Mitarbeiter gekauft habe. Die SSD ließ sich auf SAP zurückführen und enthielt persönliche Aufzeichnungen zu hundert oder mehr SAP-Angestellten. Die Untersuchung hat zum Ergebnis, dass keine physischen Kontrollen von Personen vorgenommen werden, die das Rechenzentrum verlassen. Dieses werde jedoch als Sicherheitszone eingestuft. Die SSDs fanden dadurch ihren Weg in ein ungesichertes Gebäude des SAP-Hauptsitzes und wurden schließlich dort gestohlen. Wo sich die drei übrigen Discs befinden, sei SAP nicht bekannt. Dem Bericht zufolge sei das bereits der fünfte Vorfall innerhalb von zwei Jahren, bei dem Festplatten aus SAPs europäischen Rechenzentren verloren gingen. SAP-Sprecher erklärten TheRegister, dass die SSDs bislang keine persönlichen Informationen (Personal Identifiable Information, PII) enthielten. „SAP nimmt die Datensicherheit sehr ernst. Bitte haben Sie Verständnis dafür, dass wir interne Untersuchungen nicht kommentieren, aber wir können bestätigen, dass uns derzeit keine Belege vorliegen, die darauf hindeuten, dass vertrauliche Kundendaten oder PII über diese Disks oder auf andere Weise aus dem Unternehmen entwendet wurden“, fügten sie demnach hinzu. Unklar bleibt, wieso die Daten auf der SSD überhaupt für Dritte lesbar sind. Verschlüsselte Datenablage auf Speichermedien ist seit geraumer Zeit Standard. Unter Linux hat sich dafür etwa LUKS etabliert, während Microsoft bei Windows den Bitlocker mitgibt.
Netzwerkbetriebssystem: Sicherheitslücke in Junos OS gestopft
Der Netzwerkausrüster Juniper hat seine Netzwerkbetriebssysteme Junos OS und Junos OS Evolved gegen mögliche Angriffe abgesichert. Dafür sind mehrere Versionen mit einem Sicherheitspatch erschienen. Wie die Entwickler in einer Warnmeldung schreiben, handelt es sich um eine DoS-Lücke (CVE-2023-0026 „hoch“). Setzen Angreifer erfolgreich an so einer Schwachstelle an, führt das zu Softwareabstürzen oder Geräte geraten in einen Neustart-Loop. Weil bestimmte Eingaben im Kontext des Routing Protocol Daemon (rpd) nicht ausreichend überprüft werden, können Angreifer mit bestimmten Attributen präparierte BGP-Update-Nachrichten an Systemen ansetzen. BGP ist ein Exterior Gateway Protocol (EGP), das zum Austausch von Routing-Informationen zwischen Routern in verschiedenen autonomen Systemen (ASs) genutzt wird. Attacken sollen ohne Authentifizierung aus dem Netzwerk möglich sein. Weil nicht verwundbare Systeme so eine manipulierte Nachricht verbreiten können, spricht Juniper auch von Attacken aus der Ferne. Eine Attacke soll aber nicht über verwundbare Systeme hinausgehen können, da der Verarbeitungsfehler auftritt, sobald das Update empfangen wird. Die Entwickler geben an, die folgenden Ausgaben gegen die geschilderte Attacke abgesichert zu haben. Alle vorigen Ausgaben sollen bedroht sein.
Junos OS
- 20.4R3-S8
- 21.2R3-S6
- 21.3R3-S5
- 21.4R3-S4
- 22.1R3-S4
- 22.2R3-S2
- 22.2R3-S2
- 22.4R2-S1, 22.4R3
- 23.1R1-S1, 23.1R2
Junos OS Evolved
- 20.4R3-S8-EVO
- 21.2R3-S6-EVO
- 21.3R3-S5-EVO
- 21.4R3-S4-EVO
- 22.1R3-S4-EVO
- 22.2R3-S2-EVO
- 22.3R2-S2-EVO
- 22.3R3-S1-EVO
- 2.4R2-S1-EVO
- 22.4R3-EVO
- 23.1R1-S1-EVO
- 23.1R2-EVO
Netzwerkadmins sollten die Sicherheitspatches zeitnah installieren. Juniper gibt an, dass ihnen derzeit keine Attacken bekannt sind. Wenn das Installieren eines Updates derzeit nicht möglich ist, sollten Admins die BGP-Fehler-Toleranz erhöhen. Diese Einstellung empfiehlt der Hersteller darüber hinaus zur allgemeinen Härtung von Systemen. Weitere Informationen dazu finden sich in einem Beitrag.
Cyber-Angriff auf Rheinische Post betrifft auch das Handelsblatt
Der Cyber-Angriff auf den IT-Dienstleister CircIT der Rheinischen Post Mediengruppe zieht weitere Kreise. Auch das Handelsblatt ist Kunde des Unternehmens und kann aufgrund des Ausfalls des Dienstleisters temporär nur eine im Umfang reduzierte Druckausgabe herausgeben. Die digitalen Produkte, also etwa der Online-Auftritt des Handelsblatts, ist nicht betroffen. Dafür habe das Handelsblatt keine Dienste von CircIT bezogen. Auf Anfrage von heise online bestätigte eine Sprecherin des Handelsblatts die Folgen des IT-Sicherheitsvorfalls. „Es gab einen Cyber-Angriff auf einen IT-Dienstleister der Handelsblatt Media Group, die CircIT, die u. a. auch die Rheinische Post betreut. Nach unserem jetzigen Kenntnisstand sind keine Daten entwendet oder kompromittiert worden, aus Sicherheitsgründen wurde deren Rechenzentrum heruntergefahren“. Da das Unternehmen nur einen Teil seiner Services über die CircIT beziehe, seien die digitalen Produkte nicht betroffen. „Für die betroffene Printproduktion haben wir eine Lösung entwickelt, allerdings müssen wir aufgrund eines vorgezogenen Produktionsschlusses den Seitenumfang des Handelsblatts vorübergehend von 48 auf 32 Seiten reduzieren“, schließt die Sprecherin die Stellungnahme ab. Wann der Normalbetrieb beim Handelsblatt wiederhergestellt wird, bleibt unklar. Die Medien der Rheinischen Post Mediengruppe sind nach dem Cyber-Angriff auf den hauseigenen IT-Dienstleister CircIT noch immer im Notbetrieb. Inzwischen stehen jedoch umfangreiche Ersatz-Seiten für die Webseiten der Medien wie der Rheinischen Post Online bereit, sodass ein regulärer Nachrichtenfluss gewährleistet ist. Die Webseite der Mediengruppe und von CircIT sind jedoch weiterhin offline.
Virenschutz: Avast stampft Signatur-Updates für alte Scanner ein
Aktuelle Virensignaturen will Avast ab dem Ende des Sommers für die Versionen Avast 9, 10 und 11 nicht mehr zur Verfügung stellen. Auch sonst erhält die Software keine Updates mehr. IT-Verantwortliche und Nutzerinnen und Nutzer der älteren Versionen müssen auf aktuelle Produkte ausweichen, um weiterhin Schutz zu erhalten. Avast weist in der Ankündigung darauf hin, dass Avast 9 bereits 2014 veröffentlicht wurde. Dennoch wissen Avasts Entwickler einem Blog-Beitrag zufolge, dass es noch einige „loyale Nutzer“ gebe, die die alte Fassung noch immer verwenden. Die Entwickler erläutern dort, dass die betroffenen Versionen zwar weiterhin funktionieren würden, jedoch würde der Schutz kompromittiert. Das ist nachvollziehbar, schließlich benötigen Virenscanner aktuelle Erkennungen, um neue Malware aufzuspüren. Heuristischer und generischer Schutz, der ganze Malware-Familien erkennt, lässt sich von Virenprogrammierern mit etwas Geschick und Zeit umgehen. Zudem finden sich in Virenschutz-Programmen ebenso wie in anderer Software immer wieder Sicherheitslücken. So hatten die Anti-Rootkit-Treiber von Avast und AVG vergangenes Jahr Schwachstellen, später ermöglichten Lücken Angreifern das Ausweiten ihrer Rechte im System. Ohne Sicherheits-Updates wird die Software selbst somit potenziell zur Sicherheitslücke. Avast fasst die Situation so zusammen: „Wenn Sie die neueste Version von Avast haben, werden das Programm und die Virendefinitionen automatisch aktualisiert. Auf diese Weise garantieren wir Ihnen, dass Sie jederzeit über die aktuelle Version von Avast verfügen. Wenn Sie sich entscheiden, nicht zu aktualisieren, werden Sie nicht mehr vor neuen Viren geschützt sein“. Die Migration auf eine aktuelle Version oder einen anderen Virenschutz ist daher auf jeden Fall nötig. Am Mittwoch dieser Woche wurde bekannt, dass Gen Digital, ehemals als Norton (Lifelock) bekannt und Besitzer von Avast, Opfer der MOVEit-Sicherheitslücke wurde. Cyberkriminelle konnten durch die Lücke etwa sensible Mitarbeiter-Daten kopieren.
iOS 16.5.1 & Co: Apple beseitigt Zero-Day-Lücken in allen Systemen
Großer Update-Reigen bei Apple: Für iPhones, iPads, Macs und Apple Watches – auch für ältere Geräte – steht eine frische Version des jeweiligen Betriebssystems zum Download bereit, das gravierende Sicherheitslücken beseitigt. Das Unternehmen empfiehlt allen Nutzern die Installation. Laut Berichten würden die Schwachstellen „möglicherweise aktiv für Angriffe ausgenutzt“, teilt Apple mit. Die Bugs im Kernel und der Browser-Engine WebKit, die das Einschleusen von Schadcode und die Komplettübernahme der Geräte ermöglichen, haben demnach unter anderem Sicherheitsforscher der Firma Kaspersky entdeckt und gemeldet. Darüber wurde offenbar die ausgeklügelte Überwachungssoftware TriangleDB eingeschleust, zu der am Mittwoch neue Details genannt wurden. Die Angriffe mithilfe der Kernel-Schwachstelle hätten auf ältere iOS-Versionen als 15.7 abgezielt, erklärt Apple. Für neuere iPhones (ab iPhone 8) und iPads gibt es iOS 16.5.1 sowie iPadOS 16.5.1. Parallel hat Apple iOS 15.7.7 und iPadOS 15.7.7 veröffentlicht, die Updates sind für Hardware gedacht, die sich nicht auf iOS 16 aktualisieren lässt – darunter die inzwischen acht und sieben Jahre alten Modellreihen iPhone 6s und iPhone 7. Auch für MacBooks und Desktop-Macs gibt es gepatchte Versionen des Betriebssystems in Form von macOS 13.4.1 Ventura, macOS 12.6.7 Monterey und macOS 11.7.8 Big Sur. Der Kernel von watchOS erhält den Bugfix ebenfalls, und zwar sowohl mit watchOS-Version 9.5.2 als auch mit watchOS 8.8.1. Letzteres deckt die inzwischen von Apple nicht mehr verkaufte Apple Watch Series 3 mit ab. iOS 16.5.1 und iPadOS 16.5.1 sollen außerdem einen Fehler ausräumen, der offensichtlich dazu führt, dass Apples Lightning-auf-USB-3-Kamera-Adapter nach der Installation von iOS 16.5 nicht länger funktioniert. Der Adapter wird gerne verwendet, um USB-Geräte an iPhones und ältere iPads (ohne USB-C-Port) anzuschließen.
HP-Drucker: Hochriskante Sicherheitslücken in mehreren Laserjet Pro/MFPs
Drei Sicherheitslücken in HP Laserjet Pro- und MFP-Modellen haben jetzt Einträge in der CVE-Datenbank und passende Updates zum Schließen erhalten. Angreifer aus dem Netz können durch die Schwachstellen beliebigen Code auf die betroffenen Geräte schleusen oder ihre Rechte ausweiten. Cyberkriminellen könnte das etwa zum Einnisten im Netzwerk dienen. Bei den Schwachstellen handelt es sich um potenzielle Pufferüberläufe. Von denen können Angreifer einen missbrauchen, um ihre Rechte auszuweiten (CVE-2023-27971, CVSS 8.8, Risiko „hoch“). Ein weiterer ermöglicht die Ausführung von Schadcode aus dem Netz (CVE-2023-27972, CVSS 8.8, hoch). Die dritte Lücke ist etwas abweichend ein Heap-basierter Pufferüberlauf, der Angreifern aus dem Netz zum Einschleusen von Schadcode dienen könnte (CVE-2023-27973, CVSS 8.8, hoch). Die Lücken betreffen HP zufolge die Drucker-Baureihen HP Color LaserJet MFP M478-M479, HP Color LaserJet Pro M453-M454, HP LaserJet Pro M304-M305 und M404-M405 sowie HP LaserJet Pro MFP M428-M429 und die zugehörige f-Baureihe davon. Um die Sicherheitslücken zu schließen, stellt HP die Firmware-Version 002_2310A oder neuere zur Verfügung. IT-Verantwortliche sollten diese zügig von der HP-Support-Webseite herunterladen und installieren. Die Suche nach der Modellnummer des Druckers auf der Seite liefert unter anderem die aktuelle Firmware zurück. Anfang April hatte HP eine kritische Schwachstelle in etwa 50 Druckern der Laserjet-Serie gemeldet. Die lassen sich vorerst über temporäre Gegenmaßnahmen absichern – genauer gesagt schafft die Installation einer älteren Firmware vorerst Abhilfe –, ein Patch ist erst in etwa 60 Tagen ab dem jetzigen Meldungszeitpunkt angekündigt.
Neue macOS-Malware klaut Browser-Daten, Schlüsselbund und mehr
Auf dem Kommunikationsdienst Telegram wird eine neue Malware angeboten, mit der sich macOS-Nutzer angreifen lassen. Wie das Sicherheitsunternehmen Cyble Research meldet, kann der sogenannte Atomic macOS Stealer, kurz AMOS, zahlreiche Daten vom Mac klauen, darunter das Schlüsselbund, Browser-Passwörter und Cookies und zahlreiche Krypto-Wallets. Die Software wird von Ganoven zum Preis von 1000 US-Dollar im Monat vertrieben, hieß es. Entwickelt wurde AMOS in der von Google herausgebrachten Sprache Go. Die Macher sollen die Malware laut Cyble Research regelmäßig verbessern und mit neuen Funktionen anpreisen. Das letzte Update sei am 25. April erfolgt. „Zielgruppe“ sind demnach vor allem Angreifer, die es auf das Geld ihrer Opfer abgesehen haben, was sich auch aus dem relativ hohen Preis schließen lässt, den die Gruppe hinter AMOS verlangt. Miet-Malware wird auch für den Mac immer wieder angeboten, oft handelt es sich dabei um Ableger bekannter PC-Schädlinge, die für macOS portiert wurden. AMOS scheint nun spezifisch für Apple-Geräte entwickelt worden zu sein. Der Schädling wird als Installationsdatei vertrieben und lässt sich vom Käufer anpassen, schreibt Cyble Research weiter. Gesteuert wird die Malware über einen Command & Control-Servier (C&C), den die Macher unter Kontrolle haben – auf diese Weise ist es ihnen auch möglich, ihre „Abogebühr“ zu verlangen. In der Praxis beherrscht AMOS insgesamt sechs Hauptfunktionen: Zunächst wird das Schlüsselbund samt der enthaltenen Passwörter extrahiert, dann die Wallets verschiedener Apps wie Binance, Exodus oder Electrum (inklusive dem Versuch, die MetaMask-Private-Keys zu entschlüsseln). Weiter geht es mit dem Klau zentraler Daten bekannter Browser wie Chrome samt seiner Derivate sowie Firefox. Schließlich können auch noch vorher programmierte Dateien vom System extrahiert werden und es wird ein Systeminfo-File mit technischen Daten des angegriffenen Systems erstellt. Damit AMOS allerdings überhaupt funktioniert, müssen die Opfer dazu gebracht werden, ihr Kennwort einzugeben. Dazu taucht ein gefälschter Password-Prompt für die Systemeinstellungen auf. Dieser sieht nicht besonders echt aus. Die Malware liefert aber sogar eine „Anleitung“ mit, wie der Nutzer sie zu bedienen hat. Zudem lässt sich die App mangels Developer-Signatur nicht sofort ausführen – Nutzer müssen hier über den „Öffnen“-Dialog gehen.
Google Chrome 113: Sicherheitsupdate für den Webbrowser
Google hat den Webbrowser mit der Hauptversionsnummer 113 veröffentlicht. Darin beheben die Entwickler zahlreiche sicherheitsrelevante Fehler. Neue Funktionen für Endanwender finden sich jedoch offenbar nicht darin. Der 113er-Entwicklungszweig startet mit 15 Sicherheitslücken, die gegenüber der letzten Version geschlossen wurden. Oberflächliche Informationen liefert Google in der Versionsankündigung zu zehn davon, die von externen IT-Sicherheitsforschern gemeldet wurden. Davon stufen die Entwickler sieben als mittleres und drei als niedriges Risiko ein. Die schwerwiegendste Lücke beschreibt das Unternehmen als „unangemessene Implementierung in der Prompts-Komponente“ (CVE-2023-2459). Angreifer aus dem netz könnten dadurch Zugriffsbeschränkungen mit sorgsam präparierten HTML-Seiten umgehen. Der Entdecker der Schwachstelle hat dafür noch 7.500 US-Dollar Belohnung aus dem Bug-Bounty-Programm erhalten. Google aktualisiert Chrome für Android auf Version 13.0.5672.76/.77, 113.0.5672.69 für iOS, 113.0.5672.63 für Linux und Mac und schließlich 113.0.5672.63/.64 für Windows. Die Extended-Stable-Version hieven die Entwickler auf den Stand 112.0.5615.179 für Mac und Windows. Ab Chrome 117, der im September erscheinen soll, wollen die Programmierer das Schloss-Symbol in der Adressleiste ersetzen. Es weist bislang unter anderem auf eine verschlüsselte Verbindung zum Server hin. Beim Anklicken liefert es zudem Informationen zur genutzten Verschlüsselung und zu Zertifikaten, aber auch weiterreichende Informationen wie Cookies und ähnlichem. Das neue Symbol zeigt Schieberegler. Das soll verdeutlichen, dass nach einem Klick darauf Informationen erscheinen. Die Entwickler erläutern in einem Blog-Beitrag, dass zuvor lediglich 11 Prozent der Teilnehmer einer Studie tatsächlcih verstanden hatten, was das Schlosssymbol bedeute. Ob die aktuelle Version bereits installiert und aktiv ist, lässt sich durch den Aufruf des Versionsdialogs herausfinden. Den erreicht man durch Klick auf das Chrome-Menü, das sich hinter den drei gestapelten Punkten rechts der Adressleiste, dort unter „Hilfe“ – „Über Google Chrome“ findet. In Linux-Distributionen zeichnet in der Regel die Softwareverwaltung für die Aktualisierung verantwortlich. Diese sollten Linux-Nutzer daher starten und nach verfügbaren Updates suchen und diese bei Verfügbarkeit herunterladen und installieren. Da die Schwachstellen auch das Chromium-Projekt betreffen, auf dem Google Chrome basiert, dürften die Hersteller anderer darauf fußender Webbrowser wie Microsoft Edge in Kürze ebenfalls Aktualisierungen ausliefern. Diese sollten Nutzer zeitnah anwenden.
T-Mobile USA schon wieder gehackt
Zum gefühlt 70. Mal haben Hacker bei T-Mobile USA zugeschlagen. Diesmal ist der unbefugte Zugriff aber kein Flächenbrand: Waren Anfang des Jahres 37 Millionen Kunden von einem Cyber-Angriff auf T-Mobile USA betroffen, sind es diesmal wohl „nur“ 836. Dafür ist die Tragweite für diese Opfer groß. Die abgegriffenen Daten variieren von Kundenkonto zu Kundekonto und können neben der T-Mobile PIN die in den USA besonders wichtige Sozialversicherungsnummer (SSN), sowie Ausweisdaten, Name, Adresse, Geburtsdatum, Telefonnummern, Kundenummer, Kontostand und interne Codes enthalten. T-Mobile hat die betroffenen PIN gesperrt und einen Serienbrief an die betroffenen Kunden geschickt – das allerdings erst mehr als ein Monat nachdem die Firma den Hack erkannt hat. Die unbekannten Täter hatten von 24. Februar bis 30. März Zugriff auf T-Mobiles Systeme. Am 27. März wurde der Einbruch entdeckt. Das geht aus Informationenhervor, die das Justizministerium des US-Staates Main veröffentlicht hat. In seinem Serienbrief beschreibt T-Mobile den Verlauf euphemistisch: Demnach hätten die eigenen Alarmsysteme „wie vorgesehen funktioniert“; T-Mobile sei „in der Lage gewesen, festzustellen, dass sich ein Angreifer Zugriff auf beschränkte Information einer kleiner Anzahl“ von Kundenkonten verschafft hatte, und zwar zwischen (sic) Februar und März. T-Mobiles Kundendaten scheinen besonders häufig von Hacks betroffen zu sein. In den letzten fünf Jahren hat das Unternehmen mehr als einen Hack pro Jahr eingestehen müssen. Bleeping Computer zählt acht Vorfälle, Techcrunch neun, und wir haben inzwischen zu zählen aufgehört. Die Daten sind besonders wertvoll, lassen sich damit doch in fremdem Namen Kredite aufnehmen, Bankkonten eröffnen, Bestellungen tätigen, und so weiter. US-Sozialversicherungsnummern sind in der Regel lebenslang gültig, eine Änderung nach Kompromittierung ist nicht vorgesehen. Außerdem bietet sich das erbeutete Datenmaterial als Ausgangspunkt für gut gemachte Spearphising-Angriffe an. T-Mobile hat die kompromittierten PIN gesperrt und bietet Betroffenen an, zwei Jahre lang die Gebühren für einen Dienst der nordamerikanischen Bonitätsbewertungsfirma Transunion zu zahlen. Dieser Dienst soll darauf aufmerksam machen, wenn im Namen einer Person bestimmte Finanzgeschäfte getätigt und Dauerschuldverhältnisse eingegangen werden. Für die jeweilige echte Person können solche Geschäfte dann aber zum Spießrutenlauf werden. heise security hat T-Mobile USA um Stellungnahme und nähere Auskünfte zur Vorgehensweise des Täters ersucht. Seit Anfang April gehört T-Mobile USA zu 50,2% der Deutschen Telekom (DTAG). Stimmrechte bei T-Mobile hat der Deutsche Netzbetreiber sogar noch etwas mehr, nämlich 53,9 Prozent.
Google schließt hochriskante Sicherheitslücken in Android
Am Mai-Patchday dichtet Google 44 teils hochriskante Sicherheitslücken im Android-Betriebssystem ab. Dazu gehören diverse Korrekturen für Schwachstellen in den Prozessoren der unterschiedlichen Hersteller – und zwei Updates ohne Einstufung des Schweregrads für das Google Play System Update. Das Patch-Level 2023-05-01 korrigiert 16 sicherheitsrelevante Fehler in den Kernkomponenten des Android-Betriebssystems. Die meisten erlauben Angreifern, ihre Rechte im System auszuweiten, einige können aber auch Dienste lahmlegen oder Informationen unbefugt offenlegen. Bis auf eine Lücke von mittlerem Schweregrad stuft Google die anderen als hohes Risiko ein. Sie betreffen das Framework und das Android-System. Mit dem Patch-Level 2023-05-05 kommen weitere Sicherheits-Updates für Lücken im Kernel, Kernel-Komponenten, sowie die langzeit unterstützten LTS-Kernel (Long Time Support) hinzu. Für die ARM-Grafikeinheiten der Mali-Familie ergänzt Google etwa fünf Fehlerkorrekturen, für Imaginations PowerVR-GPUs eine. Komponenten von Systems-on-Chip (SoCs) von Qualcomm, Mediatek und Unisoc erhalten ebenfalls insgesamt 20 weitere Sicherheitsfixes. SoCs von Qualcomm (Snapdragon) und Mediatek sitzen in den meisten Android-Smartphones. Weitere Informationen listet Google in der Patchday-Ankündigung auf. Die Sicherheitsmeldung zu Googles eigenen Pixel-Patches fällt deutlich kürzer aus. Die Entwickler kündigen darin an, dass alle unterstützten Google-Geräte auf den Stand vom 05. Mai 2023 gehievt werden sollen. Nutzerinnen und Nutzer sollten die Aktualisierungen auf ihren Geräten akzeptieren, empfehlen sie zudem. Die Pixel-Smartphones erhalten zwei weitere Sicherheits-Updates: einmal für den Hardware Composer-Dienst und einmal für die Kamera. Google stuft sie als mittleres Risiko ein. Im April hat Google insgesamt sogar 68 Schwachstellen in den unterstützten Android-Versionen ausgebessert. Die Entwickler stuften sie teilweise als kritisch ein.
Angriffe auf Lücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic
Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass Cyberkriminelle aktiv Sicherheitslücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic missbrauchen. Die ermöglichen ihnen, in Netzwerke von Opfern einzubrechen und sich einzunisten. Updates zum Schließen der Lücken stehen bereit. Eine der missbrauchten Sicherheitslücken betrifft Apache Log4j2. Im Zuge der Versuche, die Log4Shell-Lücke Ende 2021 zu schließen, kam es zu unvollständigen Korrekturen. Die Schwachstelle CVE2021-45046 gehört dazu, sie galt damals als wenig riskant – die Risikobewertung mit CVSS 3.7 landete bei „niedrig“. Inzwischen wurde sie auf CVSS 9.0, Risiko „kritisch“, heraufgestuft. In aktuellen Versionen ist die Lücke geschlossen. Im WLAN-Router TP-Link Archer AX21 klafft eine Mitte März entdeckte Schwachstelle, die nicht angemeldeten Angreifern durch das einfache Senden einer präparierten HTTP-Post-Anfrage das Einschleusen und Ausführen von Befehlen als root-Benutzer erlaubt (CVE-2023-1389, CVSS 8.8, hoch). Nicht angemeldete Angreifer aus dem Netz missbrauchen zudem eine Lücke im Oracle Weblogic Server – Teil der Oracle Fusion Middleware –, um Instanzen zu kompromittieren (CVE-2023-21839, CVSS 7.5, hoch). Zum Schließen der Lücke stehen Aktualisierungen bereit. IT-Verantwortliche sollten sie zügig anwenden – für Apache und Oracle über die gewohnten und geübten Wege. Die Firmware-Version 1.1.4 Build 20230219 für den Archer AX21 soll die Lücke abdichten; sie ist auf der Webseite von TP-Link zum Download verfügbar. Die CISA hat aktive Angriffe auf die Sicherheitslücken beobachtet und sie daher in den Known-Exploited-Vulnerabilities-Katalog aufgenommen.
NRW Schulministerium: Noch mehr Sicherheitslücken gefunden
Das nordrhein-westfälische Schulministerium hat nach Download-Schwierigkeiten seiner Abiturprüfungen und dann aufgedeckten Sicherheitslücken auf einem Server der Qualitätsagentur – Landesinstitut für Schule und Bildung (QUA-LiS) noch mehr Schwachstellen eingestanden. Für die Untersuchung der Schwachstellen hatte das Ministerium die Cybersecurity-Abteilung der Beratungsfirma Ernst & Young beauftragt. Der betroffene Server sei nach den weiteren Funden abgeschaltet worden. Carl Fabian Lüpke („Flüpke“), der das erste Leck dem Computer Emergency Response Team für Bundesbehörden (CERT-Bund) gemeldet hatte und der beim Chaos Computer Club (CCC) aktiv ist, kritisierte nach den neusten Meldungen aus dem Schulministerium öffentlich auf Twitter, dass „Ernst & Young sich jetzt ohne einen Finger krumm zu machen an meiner Arbeit bereichern darf!„. Zu den neu gefundenen Sicherheitslücken heißt es aus dem Schulministerium, dass diese vermutlich schon seit Jahren bestanden haben. Der nun abgestellte Server der QUA-LiS soll von Beschäftigten als gemeinsame Arbeitsplattform genutzt worden sein – unter anderem für den Austausch und die gemeinsame Arbeit an Dokumenten, beispielsweise für die Lehrplanarbeit oder den Bereich der Fortbildung. Auszuschließen sei auch nicht, dass noch mehr Schwachstellen gefunden werden, heißt es aus dem Ministerium. Das Team von EY schaue sich die gesamte IT-Struktur der QUA-LiS an. Zur vom CCC aufgedeckten Lücke stellte das Schulministerium ebenfalls mehr Informationen bereit. Demnach konnte vom EY-Team bestätigt werden, „dass nach bisherigen Erkenntnissen davon auszugehen ist, dass mindestens 16.557 Datensätze ausgelesen wurden, die im Regelfall ausschließlich einen Nutzernamen aus einer Kombination aus Vor- und Zunamen enthalten. Weiter ist nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen wurden.“ Diese Einträge sollen über die Nutzernamen hinaus folgende Informationen enthalten haben: die organisatorische Rolle im Schulsystem der Person (z.B. „stellvertretende Leitung“), die Institutionszugehörigkeit (z.B. Name der Schule), die postalische Adresse, die dienstliche oder private Festnetz- und Mobilfunknummer, die dienstliche oder private E-Mail-Adresse und weitere technische Daten wie etwa das Erstellungsdatum der jeweiligen Accounts. Die Datensätze bezögen sich „aller Voraussicht nach auf Mitarbeiterinnen und Mitarbeiter der QUA-LiS sowie auf weitere externe Personen.“ Zugehörige Kennwörter sollen nach gegenwärtigen Kenntnisstand nicht ausgelesen worden sein. Die Datenanalyse werde weiter fortgesetzt. Die jetzt präsentierten Ergebnisse bestätigen damit auch die Angaben von Lilith Wittmann zu dem Fall. Laut ihrer Aussage, sei das ganze Active Directory auslesbar gewesen und mit diesen Daten wäre etwa auch die Übernahme von Accounts von E-Mail-Adressen möglich gewesen, „bei denen Domains nicht mehr existierten“. Schul- und Bildungsministerin Dorothee Feller (CDU) erklärte: „Wir werden alle Untersuchungen weiter mit Hochdruck vorantreiben, um den Missbrauch von Daten zu verhindern.“
Medizin-Geräte: Warnung vor kritischer Sicherheitslücke in Illumina-Software
Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt vor Sicherheitslücken in der Software für die Geräte von Illumina. Diese werden weltweit eingesetzt und dienen etwa der DNS-Sequenzierung. Angreifer aus dem Netz können durch die teils kritischen Schwachstellen beliebigen Code auf die Geräte schleusen und ausführen und so die Kontrolle darüber übernehmen. Die CISA erläutert in einer Warnung, dass diese Schwachstellen es Angreifern möglich machten, beliebige Aktionen auf Betriebssystemebene durchzuführen. Sie könnten Einstellungen, Konfigurationen, Software oder Daten auf betroffenen Produkten manipulieren. Ebenfalls könnten sie über verwundbare Geräte im lokalen Netzwerk aktiv bleiben. Die Sicherheitslücken betreffen den Dienst Universal Copy Service (UCS) auf den betroffenen Produkten. Geräte mit der Version 2.x des Dienstes sind verwundbar, da dieser an eine unbeschränkte IP-Adresse bindet – sprich, er lauscht auf der Adresse 0.0.0.0 und erlaubt Zugriff von allen IP-Adressen. Die CISA schreibt, dass „ein nicht authentifizierter böswilliger Akteur UCS verwenden könnte, um alle IP-Adressen abzuhören, einschließlich derer, die in der Lage sind, Verbindungen aus dem Netz zu akzeptieren“ (CVE-2023-1968, CVSS 10.0, Risiko „kritisch“). Geräte mit UCS 1.x und 2.x nutzen zudem unnötig hohe Rechte im System. Nicht authentifizierte Angreifer können dadurch beliebigen Code hochladen und ausführen – auf Betriebssystemebene (CVE-2023-1966, CVSS 7.4, „hoch“). Geräte mit folgender Software sind verwundbar, weshalb Administratoren bei ihnen aktiv werden sollten:
- iScan Control Software: v4.0.0 und v4.0.5
- iSeq 100: Alle Versionen
- MiniSeq Control Software: v2.0 und neuer
- MiSeq Control Software: v4.0 (RUO Mode)
- MiSeqDx Operating Software: v4.0.1 und neuer
- NextSeq 500/550 Control Software: v4.0
- NextSeq 550Dx Control Software: v4.0 (RUO Mode)
- NextSeq 550Dx Operating Software: v1.0.0 bis 1.3.1
- NextSeq 550Dx Operating Software: v1.3.3 und neuer
- NextSeq 1000/2000 Control Software: v1.4.1 und ältere
- NovaSeq 6000 Control Software: v1.7 und vorhergehende
- NovaSeq Control Software: v1.8
Illumina stellt eine Anleitung bereit, die temporäre Gegenmaßnahmen und Software-Aktualisierungen für betroffene Produkte und Software auflistet. IT-Verantwortliche sollten es prüfen und diese Maßnahmen zügig umsetzen. Im August vergangenen Jahres hatte Illumina schon mal kritische Sicherheitslücken in den eigenen Geräten gemeldet.