Die Infosec-News der Woche

Freitag 5.August – Freitag 12. August

Zimbra Schwachstelle, Cisco Hack, Bitdefender warnt vor Schwachstelle in Device42, Phishing-Attacken auf Twilio und Cloudflare, Diebstähle auf dem Kryptomarkt, Kaspersky Studie zu Angriffen auf Osteuropa und Afghanistan - hier die Zusammenfassung.


Schwachstellen & Exploits

Zimbra Schwachstelle wird ohne Admin-Rechte ausgenutzt

Anders als bisher angenommen wurde, konnte eine RCE-Schwachstelle, die die E-Mail-Server der Zimbra Collaboration Suite (ZCS) betrifft, ohne entsprechende administrative Anmeldedaten ausgenutzt werden. [1]

Sicherheitsexperten von Volexity haben ihre Entdeckungen in einem, am Mittwoch veröffentlichten, Advisory beschrieben.

Während Zimbra die RCE-Schwachstelle mit der Kennung CVE-2022-27925 im März 2022 durch einen Patch behoben hatte, untersuchte Volexity mehrere Fälle von Opfern die im Juli und Anfang August 2022 erhebliche Angriffe auf ihre ZCS-E-Mail-Server erlebt hatten.

Volexity riet den Unternehmen, die Liste der JSP-Dateien auf einer Zimbra-Instanz mit denen zu vergleichen, die standardmäßig in Zimbra-Installationen enthalten sind, um das Vorhandensein von Web-Shells auf einer ZCS-Instanz zu überprüfen.

Als Ende Juni ein Fehler in der UnRAR-Anwendung von RARlab gefunden wurde, der dazu genutzt werden könnte, E-Mails von bestimmten Zimbra-Mail-Benutzerkonten zu stehlen, gerieten die Mailserver des Unternehmens stärker ins Visier.

Gehackte Cisco-Dateien im Darkweb aufgetaucht

Cisco hat einen Angriff seines Netzwerks bestätigt, bei der ein Mitarbeiter durch Social Engineering dazu gebracht wurde, eine betrügerische Multi-Faktor-Authentifizierung (MFA) über Voice-Phishing zu akzeptieren. [2]

Wie das Unternehmen am 10. August mitteilte, verschafften sich Cyberkriminelle Zugang zu seinem virtuellen privaten Netzwerk (VPN) und stahlen eine unbekannte Anzahl von Dateien aus seinem Netzwerk, die später im Darkweb auftauchten.

In einer kurzen Pressemitteilung teilte Cisco mit, dass der Sicherheitsvorfall am 24. Mai entdeckt wurde, aber laut Cisco keine Auswirkungen auf deren Geschäft als Folge des Vorfalls festgestellt wurden.

Root-Rechte durch Schwachstelle in IT-Asset Management Plattform Device42

Laut Bitdefender gibt es in Device42, einem bekannten Asset-Management-System, Schwachstellen, die Angreifern Root-Privilegien auf das System gewähren könnten. [3]

Den Bitdefender-Forschern zufolge (💾 PDF) könnten Angreifer durch Ausnutzung einer RCE-Schwachstelle* in der Staging-Instanz erfolgreich vollständigen Root-Zugriff und die vollständige Kontrolle über die Assets der Plattform erlangen. Unter den Bitdefender-Bedrohungsforschern berichtet Bogdan Botezatu, dass die RCE-Schwachstelle (CVE-2022-1399) als "kritisch" eingestuft wird.

Ein Angreifer könnte sich als anderer Benutzer ausgeben, Zugriff auf die Anwendung auf Admin-Ebene erlangen oder vollständigen Zugriff auf die Dateien und die Datenbank der Appliance erlangen.

* RCE (Remote Code Execution) stellt die Möglichkeit eines Angreifers dar, aus der Ferne auf Computer und Endgeräte zuzugreifen und dort Änderungen durchzuführen oder Anwendungen oder eigenen Programmcode auszuführen.


Hacker-Gruppen und Kampagnen

Phishing-Attacken auf Twilio und Cloudflare Mitarbeiter

Am Dienstag hat der Webinfrastrukturanbieter Cloudflare bekannt gegeben, dass mindestens 76 seiner Mitarbeiter und deren Familienangehörige auf ihren privaten und geschäftlichen Telefonen Textnachrichten erhielten, die den ausgeklügelten Phishing-Maßnahmen von Twilio ähneln. [4]

Der Phishing Versuch der etwa zur gleichen Zeit wie der Twilio Angriff stattfand, ging von vier Telefonnummern aus, die mit SIM-Karten von T-Mobile verbunden waren, scheiterte aber letztendlich.

Nach Angaben von Twilio und Cloudflare ist unklar, wie die Phisher in den Besitz der Mitarbeiternummern gekommen sind.

Es ist beeindruckend dass Cloudflare eine Kompromittierung seiner Systeme verhindert hat, obwohl drei Mitarbeiter auf den Betrug hereingefallen sind. Ein entscheidender Faktor waren die hardwarebasierten Sicherheitsschlüssel des Unternehmens, die den FIDO2-Standard für Multifaktor-Authentifizierung einhalten. Wahrscheinlich wäre es anders ausgegangen, wenn das Unternehmen auf Einmalpasswörter angewiesen gewesen wäre, die über eine Authentifizierungs-App erstellt oder per Textnachricht übermittelt würden.


Social Engineering Angriffe, wie es aktuell auch bei dem berichteten Cisco Hack eingesetzt wurde, können durch geschulte Mitarbeitern verhindert werden.

Um auch Mitarbeiter abzuholen, die mit Sicherheit nichts anfangen können, führen wir regelmäßige Schulungen mit realistischen Angriffssimulationen durch. Einen unvorhergesehenen Angriff selbst zu erleben, bringt den größten Lerneffekt und Ihre Mitarbeiter behalten das Gelernte als spannende Erinnerung.

Sie wollen mehr Informationen? Rufen Sie uns an! 👨‍🏫🎣

Nur wer die Waffen seiner Angreifer kennt, kann sich gut verteidigen.


1,4 Milliarden Dollar Verlust auf dem Kryptomarkt seit Jahresbeginn

Nach Angaben des Blockchain-Analyseunternehmens Chainalysis haben Angriffe gegen Cross-Chain-Bridges (auch Blockchain-Bridges) die Nutzer seit Jahresbeginn insgesamt etwa 1,4 Milliarden Dollar gekostet. [5]

Das größte Einzelereignis war der Diebstahl einer Rekordsumme von 615 Millionen Dollar von Ronin. Diese Brücke unterstützte das bekannte, non-fungible Token-Spiel Axie Infinity, mit dem Spieler Geld verdienen können, während sie spielen.

Ein weiterer Vorfall war der Diebstahl von 320 Millionen Dollar bei Wormhole, einer Kryptowährungs-Bridge, die von der Wall-Street-Hochfrequenzhandelsfirma Jump Trading unterstützt wird. Ein Angriff auf die Horizon-Bridge von Harmony im Wert von 100 Millionen Dollar erfolgte im Juni. Und bei einem Einbruch in der vergangenen Woche, der sich gegen Nomad richtete, konnten Hacker etwa 200 Millionen Dollar erbeuten.


Wirtschaft, Politik und Kultur

Chinesische Cyberkriminelle könnten hinter den Angriffen auf Osteuropa und Afghanistan stecken

Eine kürzlich durchgeführte Kaspersky-Studie hat eine Welle gezielter Angriffe auf Unternehmen des militärisch-industriellen Komplexes und Regierungsorganisationen in Afghanistan, Russland und der Ukraine ergeben. [6]

Wie das Cybersicherheitsunternehmen am Montag mitteilte, gelang es den Angreifern in mehrere Unternehmen einzudringen. In einem Fall war es den Angreifern möglich, das Kontrollzentrum für Cybersicherheitslösungen zu übernehmen.

Zu diesen Organisationen - die Kaspersky nicht explizit nennt – gehören Regierungsbehörden, Ministerien, Ämter, Forschungsinstitute, Industrieanlagen und Designbüros. Die Angriffe zielten darauf ab, sensible Informationen zu stehlen und die Kontrolle der IT Systeme zu erlangen.

Der Untersuchung zufolge enthielten die Phishing-E-Mails Microsoft Word-Dokumente, die die Sicherheitslücke CVE-2017-11882 ausnutzten, um beliebigen Code ohne weitere Benutzerinteraktion auszuführen.

Die von den Angreifern verwendete Malware ähnelt der von TA428, einer chinesischsprachigen APT-Gruppe².

* Ursprünglich galt „APT“ als Tarnbezeichnung für eine bestimmte Form der digitalen Industrie- bzw. Wirtschaftsspionage, mittlerweile wird er z. B. von den Herstellern von Sicherheitssoftware für jede etwas fortschrittlichere Angriffsmethode verwendet. (Advanced Persistent Threat = APT; deutsch „fortgeschrittene andauernde Bedrohung“)


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück. 👩‍💻