Die Infosec-News der Woche

Freitag 22. Juli – Freitag 29. Juli

Schwachstellen in Firewalls, Blockchain-Musikplattform gehackt, Millionen von Twitter Konten verkauft, Ransomware Angriff auf Sicherheitsriese Entrust, GoMet-Backdoor Angriff auf Ukraine, Fake News durch gehackte Radiosender über Zelensky. Auch diese Woche war wieder einiges los – hier die Zusammenfassung.


Schwachstellen & Exploits

Sicherheitsschwachstellen in Zyxel Firewalls

Nach der Identifizierung von zwei Sicherheitslücken, durch die Unternehmensnetzwerke ausgenutzt werden können, hat Zyxel Updates für mehrere seiner Firewall-Geräte veröffentlicht. [1]

Die erste Schwachstelle auf der Liste ist CVE-2022-2030, ein authentifizierter Directory Traversal-Fehler in den Common Gateway Interface (CGI)-Programmen von einigen Zyxel Firewalls. Die Schwachstelle wurde durch bestimmte Zeichenkombinationen in einer URL verursacht, die nicht ausreichend bereinigt wurde.

Bei der zweiten Schwachstelle, CVE-2022-30526, handelt es sich um eine Schwachstelle für die lokale Erweiterung von Privilegien (Local Privilege Escalation), die in der Kommandozeile verschiedener Firewall-Versionen entdeckt wurde. Wenn die Schwachstelle nicht behoben wird, kann ein lokaler Angreifer möglicherweise auf bestimmte Dateien auf einem anfälligen Gerät zugreifen und bestimmte Betriebssystembefehle mit Root-Funktionen ausführen.

Beide Schwachstellen werden durch die aktuellen Updates beseitigt. Kunden sind dazu angehalten, diese zeitnah zu installieren.


Kennen Sie das Gefühl, wenn Sie Aufgaben übergeben können, ohne sich Sorgen machen zu müssen, dass sie so umgesetzt werden, wie Sie es sich wünschen? Genau das möchten wir für Sie im Bereich der IT-Sicherheit sein. Egal, ob Sie sich erst einmal einen Überblick verschaffen wollen, einen Haufen Fragen haben oder ein konkretes Projekt vor Augen haben. Wir übernehmen das für Sie.🙋‍♂️


Hacker-Gruppen und Kampagnen

Blockchain-Musikplattform Audius-Diebstahl: 6 Millionen Dollar

Der Web3-Musikstreamingdienst Audius hat am Wochenende bekannt gegeben, dass AUDIO-Token im Wert von 6 Millionen US Dollar gestohlen und von einem Angreifer für 705 ETH, etwa 1,06 Millionen USD, verkauft wurden, was ihn zum jüngsten Opfer eines Kryptowährungsverbrechens macht. [2] Nach Angaben von Audius, hat ein Problem im Code der Vertragsinitialisierung, das wiederholte Aufrufen der Initialisierungsmethoden erlaubt, die Audius Governance-, Staking- und Delegationsverträge auf Ethereum zu gefährden.

Der Fehler ermöglichte es einem Angreifer, seine eingesetzten Mengen an Token im Netzwerk zu ändern und 18 Mio. AUDIO-Token, die dem Audius-Governance-Vertrag (auch als "Community Treasury" bekannt) gehören, auf betrügerische Weise in eine von ihm kontrollierte Wallet zu transferieren.

Zu gerne werden Produkte als sicher deklariert, weil Sie ja auf Blockchain aufbauen. Das sich dabei jedoch Fehler in der Implementierung verstecken wird gerne ignoriert oder verschwiegen. Auf der Sicherheitskonferenz BSIdesMunich 2022 gab es einen interessanten Vortrag zu dem Thema.

Hacker verkaufen 5,4 Millionen Twitter-Konten für 30.000 Dollar

Kriminelle sammeln Kontaktinformationen für 5,4 Millionen Twitter-Konten, einschließlich Telefonnummern und E-Mail-Adressen. Der Bericht wurde auf einer Hacker-Website für 30.000 Dollar verkauft, nachdem Twitter eine Datenpanne erlitten hatte. [3]

Eine Twitter-Sprecherin sagte: "Wir haben vor einigen Monaten über unser Bug Bounty-Programm einen Bericht über dieses Ereignis erhalten, eine gründliche Untersuchung durchgeführt und die Schwachstelle behoben."

Twitter überprüfe die neuesten Daten, um die Legitimität der Anschuldigungen zu überprüfen und die Sicherheit der betroffenen Konten zu gewährleisten", so die Sprecherin weiter. Die privaten Daten (E-Mail-Adressen und Telefonnummern), die der Hacker angegeben hat, sind laut einigen Twitter-Nutzern, die BleepingComputer zur Bestätigung kontaktiert hat, jedoch korrekt.

Ransomware-Bande bricht in den Sicherheitsriesen Entrust ein

Das bekannte digitale Sicherheitsunternehmen Entrust gab kürzlich bekannt, dass seine Website gehackt wurde. [4]

Bei diesem Hack überwanden die Angreifer die Firewalls des Unternehmens und nutzten Lücken im Netzwerk aus, um Daten aus den internen Systemen zu stehlen. Entrust bietet Lösungen zur sicheren Verifizierung und Verwaltung von Identitäten und verschiedene Sicherheitsdienste wie verschlüsselte Kommunikation und sichere digitale Zahlungen an. Zu den Kunden von Entrust zählen auch diverse US-Regierungsbehörden.

Es ist daher gut möglich, dass die Auswirkungen dieses Angriffs für viele wichtige Organisationen spürbar sein werden. Wie die Geschichte ausgeht wird sich zeigen und hängt natürlich davon ab, was genau passiert ist und welche Dienstleistungen Kunden von Entrust in anspruch genommen haben.


Wirtschaft, Politik und Kultur

Ukraine wurde mit GoMet-Backdoor angegriffen

Einer neuen Studie zufolge wurde eine "ungewöhnliche" Malware verwendet, um ein bedeutendes Softwareentwicklungsunternehmen anzugreifen, dessen Software von vielen staatlichen Stellen in der Ukraine verwendet wird. [5]

Bei der Malware, die erstmals am 19. Mai 2022 entdeckt wurde, handelt es sich um eine spezialisierte Version der Open-Source-Backdoor GoMet, die einen dauerhaften Zugriff auf das Netzwerk ermöglichen soll. In einem Bericht, der bei The Hacker News veröffentlicht wurde, erklärte Cisco Talos, dass "dieser Zugang auf verschiedene Weise genutzt werden könnte, einschließlich eines tieferen Zugriffs oder um andere Angriffe zu starten, einschließlich der Möglichkeit, die Software-Lieferkette zu kompromittieren."

Seitdem wurden zwei Spionageakteure mit den Bezeichnungen UNC1151 (auch bekannt als Ghostwriter) und UNC2589 mit den Phishing-Angriffen in Verbindung gebracht. Letzterer soll "zur Unterstützung russischer Regierungsinteressen arbeiten und umfangreiche Spionageaktivitäten in der Ukraine durchgeführt haben".

Gehackter ukrainischer Radiosender verbreitet gefälschte Gesundheitsnachrichten über Zelensky

Am Donnerstag wurden zwei von TAVR Media, einem der größten ukrainischen Radiosender, betriebene Radiosender kompromittiert, um falsche Informationen über den Krankenhausaufenthalt und den schlechten Gesundheitszustand von Volodymyr Zelensky zu verbreiten. [6]

Laut TAVR Media, die neun bekannte Radiosender in der Ukraine betreibt, wurden die Musiksendungen von Melodia FM und Radio Bayraktar gegen 13.00 Uhr Ortszeit von Hackern gestört. Nach Angaben von Oksana Shavel, einer Sprecherin des Senders, versuchten die Cyberkriminellen, in alle neun Radiosender einzudringen, doch das Sicherheitsteam des Unternehmens konnte die meisten Versuche verhindern.

In einer gefälschten Nachricht behaupteten die Hacker, Zelensky befinde sich in intensiver Pflege und der Leiter des ukrainischen Parlaments sei mit der Wahrnehmung seiner Aufgaben betraut. Es ist immer noch unklar, woher der Angriff kam.


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück. 👩📢