Die Infosec-News der Woche

Freitag 19.August – Freitag 26. August

Medienbranche anfällig für Angriffe, GitLab RCE-Patch verfügbar, APT29-Gruppe hacken Microsoft 365-Benutzer, Angriff auf Cisco ASA Firewalls weiterhin möglich, Jugendlicher für NFT Hacks verantwortlich und weitere Cybersecurity-Unterstützung für die Ukraine - hier wie immer die Zusammenfassung der Infosec-News der Woche.


Schwachstellen & Exploits

Medienbranche zunehmend anfälliger für Bedrohungen als andere Branchen

Aktuellen Studien zufolge ist die Medienbranche weltweit einem höheren Risiko ausgesetzt, von Cybersicherheitsrisiken kompromittiert zu werden, als andere Branchen. [1]

Laut der aktuellen Studie von BlueVoyant „Media Industry Cybersecurity Challenges: A Vendor Ecosystem Analysis“ weisen 30 % der Webseiten von Medienanbietern Schwachstellen auf, die sie gefährden könnten. Diese sind zudem auf den öffentlichen Webseiten der Anbieter zugänglich. Bei einer Ausnutzung der Schwachstellen durch Angreifer, kann es durch Verlust von Inhalten, auf die die Medienunternehmen angewiesen sind, zu Betriebsunterbrechungen kommen. Von den 485 befragten Unternehmen wiesen 143 "Zero Tolerance” Schwachstellen auf, welche von BlueVoyant so betitelt wurden, da es aufgrund der einfachen Beseitigung der Schwachstellen keine Toleranz für Ausreden gibt, warum diese noch nicht beseitigt wurden.

Mehr als die Hälfte der Medienanbieter, die Content-Management-Lösungen bereitstellen, wurden als sehr besorgniserregend eingestuft, da bei ihnen potenziell kompromittierende Schwachstellen festgestellt wurden. Ein "großes Problem" für die Medienbranche war der Mangel an rechtzeitigen Patches. 60 % der identifizierten anfälligen Systeme, sind auch sechs Wochen nach der Veröffentlichung eines Patches ungeschützt.


Die Studie zeigt am Beispiel der Medien-Industrie, was wirklich wichtig ist und dennoch oft falsch läuft.

Während sich viele über Mode-Wörter wie Zero-Days und State-Sponsored Hacker Gruppen Sorgen machen, sind die eigenen Systeme oft nicht inventarisiert und stark veraltet.

Wir zeigen Ihnen die wichtigsten Schritte, um schnell einen Überblick zu bekommen und die wichtigsten Risiken zu adressieren. Kontaktieren Sie uns.


GitLab veröffentlicht Sicherheits-Release für RCE-Schwachstelle

Die Versionen 15.3.1, 15.2.3 und 15.1.5 der Community Edition (CE) und Enterprise Edition von GitLab wurden veröffentlicht. [2]

Es wird dringend empfohlen, dass alle GitLab-Installationen sofort auf eine dieser Versionen aktualisiert werden, da sie wichtige Sicherheitsupdates enthalten. Der Patch schließt die Remote-Code-Execution Schwachstelle CVE-2022-2884, zu der aktuell noch keine weiteren Informationen veröffentlicht wurden.


Hacker-Gruppen und Kampagnen

Russische APT29-Gruppe hacken Microsoft 365-Benutzer

Mit Hilfe von ausgeklügelten Spear-Phishing- und Adversary-in-the-Middle-Techniken* wurde eine neue Kampagne zur Ausnutzung von Geschäfts-E-Mails identifiziert, die auf Microsoft 365-Konten von Führungskräften abzielt, selbst wenn diese MFA-geschützt sind. [3]

Angreifer können die Kommunikation überwachen und genau zum richtigen Zeitpunkt auf E-Mails reagieren, um eine beträchtliche Transaktion auf ihre Bankkonten umzuleiten, indem sie sich Zugang zu den Konten von hochrangigen Mitarbeitern wie CEOs oder CFOs großer Unternehmen verschaffen.

Die Phishing-E-Mails bei diesen Angriffen informieren das Opfer darüber, dass sein reguläres Firmenkonto aufgrund einer Finanzprüfung gesperrt wurde, und enthalten neue Zahlungsanweisungen, die auf das Konto einer fiktiven Tochtergesellschaft umgeleitet werden.

In dem von Mandiant beobachteten Fall änderte der Angreifer die bestehende Authentifizierungsmethode in ein Mobiltelefon um, und stellte so den weiteren Zugriff auf das manipulierte Konto sicher.

Metasploit-basierter Angriff auf Cisco ASA Firewalls

Während der vor kurzem stattgefundenen Sicherheitskonferenz Black Hat 2022, hat Jacob Baines, Lead Security Researcher beim Metasploit-Entwickler Rapid7, eine Reihe von Ansätzen zur Angreifbarkeit von Firewalls der Cisco ASA-Familie vorgestellt. [4]

Am Tag der Präsentation hat Cisco ein Sicherheitsupdate veröffentlicht, das die genannten Schwachstellen weitgehend behebt. Baines behauptet, dass Cisco eines der Gateways nicht für verwundbar hält und dass die Aktualisierung für CVE-2021-1585 unwirksam zu sein scheint. Das Tool des Forschers bietet dem Angreifer auch nach der Behebung der Schwachstelle weiterhin eine Reverse Shell, wie er kürzlich in einem Video gezeigt hat.

Alle genannten Tools und Metasploit-Module wurden inzwischen von Baines veröffentlicht.

Jugendlicher stiehlt Kryptowährungen in Höhe von 37 Millionen Dollar

Ein kanadischer Cyberkrimineller namens Cameron Redman wurde als Täter der jüngsten Hacks identifiziert, die auf den als Beeple bekannten digitalen Künstler und andere bekannte Persönlichkeiten der NFT*-Industrie abzielten. Dies geht aus den Nachforschungen einer Person hervor, die auf Twitter unter dem Namen ZachXBT auftritt. [5]

ZachXBT behauptet, dass Redman im Jahr 2020 Berühmtheit erlangte, nachdem er Bitcoin (BTC) und Bitcoin Cash (BCH) im Wert von 37 Millionen US-Dollar von Josh Jones, einer bekannten Figur in der Kryptowährungsbranche, veruntreut hatte.

Bei der Verhaftung beschlagnahmten die Behörden 7 Millionen CAD** von Redman. Laut dem Untersuchungsbericht von ZachXBT sind die restlichen Gelder von Jones noch immer verschwunden. Redman wurde zu einer Haftstrafe und einem Jahr auf Bewährung verurteilt, nachdem er sich des Diebstahls von Eigentum im Wert von mehr als 5.000 Dollar schuldig bekannt hatte. Während seiner Bewährungszeit durfte er nicht auf Krypto-Eigentum zugreifen oder es besitzen.

* NFT steht für Non-Fungible Token. Er ist ein digitales Zertifikat, das auf einen meist virtuellen, bestimmten Gegenstand verweist.

** CAD Coin – Kryptowährung


Wirtschaft, Politik und Kultur

Talos erneuert Cybersecurity-Unterstützung für die Ukraine

Am ukrainischen Unabhängigkeitstag, dem 24. August 2022, gab Cisco Talos ein Live-Update über seine laufende Unterstützung für die Region. [6]

Dmytro Korzhevin, Senior Threat Intelligence Researcher, JJ Cummings, Talos' National Intelligence Principal, und Ashlee Benge, Strategic Intelligence Lead, berichteten über ihre Arbeit in der Region sechs Monate nach dem Einmarsch Russlands in die Ukraine.

Das Hauptthema der Diskussion war die Widerstandsfähigkeit der Ukrainer, die seit Jahren hart daran arbeiten, ihre Cybersicherheitsfähigkeiten zu verbessern. Der Großteil der ukrainischen Infrastruktur ist weiterhin in Betrieb und hat in vielen Fällen die Erwartungen übertroffen. Die meisten Kommentatoren scheinen darüber verwirrt zu sein, aber für diejenigen, die seit Jahren in der Ukraine arbeiten, ist das Engagement für den Schutz ihrer lebenswichtigen Infrastruktur keine Überraschung.


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück. 👩‍💻