Die Infosec-News der Woche

Freitag 26.August – Freitag 2.September

Mehr als 8000 VNC-Server angreifbar, CISA erweitert Schwachstellenkatalog, LastPass erneut gehackt, Montenegro vermutet russische Angreifer hinter Cyberangriff, APT-Gruppe nutzt weiterhin Log4j-Schwachstelle gegen Israel aus - hier wie immer die Zusammenfassung der Infosec-News der Woche.

Schwachstellen & Exploits

Mehr als 8.000 VNC-Server sind gefährdet, einschließlich kritischer Infrastrukturen

VNC*-Endpunkte, auf die ohne Authentifizierung zugegriffen werden kann, sind in mindestens 8.000 Fällen ungeschützt laut den Forschern von Cyble Global Sensor Intelligence (CGSI) und ermöglichen dadurch Kriminellen einen einfachen Zugang zu Unternehmensnetzwerken. [1]

Diese Endpunkte können als Zugangspunkte für unbefugte Benutzer dienen, einschließlich Eindringlingen mit bösen Absichten, wenn sie nicht ordnungsgemäß mit guten Passwörtern gesichert sind.

Eine Person, die gerne anonym bleiben möchte mit dem Pseudonym „Spielerkid89“, verschaffte sich in sehr kurzer Zeit, Zugang aus der Ferne, zu einem Computer eines Gesundheitsministeriums in Russland. Dies geschah ohne böse Absicht und das System wurde wieder unversehrt verlassen. Er konnte durch die nachlässige Cybersicherheitspraktik, auf die Namen der Mitarbeiter und weitere IP-Adressen, die auf andere Computer im Netzwerk verweisen, zugreifen. „Spielerkid89“ sagte, dass er sogar Finanzdokumente einsehen konnte.

In der Regel wird bei einem Cyberangriff zunächst das Unternehmensnetzwerk eines Opfers kompromittiert, um etwa Ransomware erfolgreich zur Erpressung einzusetzen. Häufig werden ungeschützte Assets, die über VNCs verbunden sind, auch auf Marktplätzen und Foren für Cyberkriminalität verkauft und gekauft. Einige Beispiele haben die Forscher auf ihrer Website veröffentlicht.

Die meisten offenen VNC-Instanzen wurden in China, Schweden, USA, Spanien und Brasilien entdeckt. Der Großteil der Angriffe kam aus den Niederlanden, Polen, Russland, USA und Schweden.

* Virtual Network Computing, kurz VNC, ist eine Software, die den Bildschirminhalt eines entfernten Rechners (Server) auf einem lokalen Rechner (Client) anzeigt und im Gegenzug Tastatur- und Mausbewegungen des lokalen Rechners an den entfernten Rechner sendet. Damit kann man auf einem entfernten Rechner arbeiten, als säße man direkt davor.


Hätte hier IT-Hygiene geholfen? Die Antwort ist eindeutig: Ja. Die Netzwerke werden immer größer, die Anwendungen die man nutzt, fast nicht mehr überschaubar. Da kann man mal den Überblick verlieren.

Lassen Sie sich von uns durch den Cyber Security Dschungel führen🛡️
IT-Sicherheit Schritt für Schritt – Vereinbaren Sie ein unverbindliches Vorgespräch


CISA nimmt 10 neue aktiv ausgenutzte Schwachstellen in seinen Katalog auf

Auf der Grundlage von Beweisen für eine aktive Ausnutzung hat die CISA* zehn weitere Schwachstellen in ihren KEV-Katalog** aufgenommen. Diese Schwachstellen stellen ein ernsthaftes Risiko für den Bundesbetrieb dar und sind ein gängiger Angriffsweg für Cyberkriminelle im Internet. [2]

Zur Verringerung des erheblichen Risikos bekannter und ausgenutzter Schwachstellen (Known Exploited Vulnerabilities) wurde mit der BOD 22-01*** (PDF) eine Richtlinie für die Handhabung von bekannten Schwachstellen geschaffen, die eine Gefahr für den Bundesbetrieb darstellen. Die Richtlinie bezieht sich dabei auf den Known Exploited Vulnerabilities Catalog.

Um Netzwerke vor aktuellen Bedrohungen zu schützen, müssen die von der Richtlinie betroffenen Behörden entdeckte Schwachstellen innerhalb der festgelegten Frist beheben. Im Merkblatt, mit der Bezeichnung BOD 22-01 sind alle Einzelheiten der Richtlinie festgelegt.

Obwohl BOD 22-01 nur US-Behörden betrifft, rät die CISA anderen Unternehmen dringend, der frühzeitigen Behebung von Katalogschwachstellen im Rahmen ihres Schwachstellenmanagements Priorität einzuräumen, um ihre Anfälligkeit für Angreifer zu verringern. Die CISA wird dem Katalog fortlaufend Schwachstellen hinzufügen, die den erforderlichen Standards entsprechen.

* CISA ist die US-Behörde für Cybersicherheit und Infrastruktursicherheit

** KEV-Katalog = Katalog bekannter ausgenutzter Sicherheitslücken (Known Exploited Vulnerabilities)

*** BOD = eine für bestimmte US-Behörden verbindliche Richtlinie (Binding Operational Directive)


Hacker-Gruppen und Kampagnen

LastPass wurde erneut gehackt

Lastpass, einer der beliebtesten Passwortmanager der Welt mit mehr als 25 Millionen Nutzern (laut dem Unternehmen), hat einen Sicherheitsvorfall eingeräumt. In einem am 25. August veröffentlichten Blogpost, erklärte der CEO von LastPass, Karim Toubba, dass "eine unbefugte Person Teile des Quellcodes sowie einige geschützte technische Informationen von LastPass entwendet hat.“ [3]

Vor zwei Wochen wurde ein LastPass-Entwicklerkonto kompromittiert, was zu einem Hack der Entwicklungsumgebung geführt zu haben scheint. Laut LastPass gibt es keine Anzeichen für weitere bösartige Aktivitäten. Toubba bekräftigte außerdem, dass keine Beweise für einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore gefunden wurden.

Zum jetzigen Zeitpunkt empfiehlt LastPass keine Maßnahmen für Benutzer und Administratoren. Es wird aktuell lediglich auf die Best Practices zur Einrichtung und Konfiguration hingewiesen.


Wirtschaft, Politik und Kultur

Montenegro vermutet russische Angreifer hinter dem Cyberangriff auf die kritische Infrastruktur des Landes

Die montenegrinische Agentur für nationale Sicherheit erklärte am vergangenen Wochenende, das Land befinde sich "in einem hybriden Krieg" und machte Russland für den Angriff verantwortlich, ohne dafür Belege zu liefern. [4]

Zumindest ein Teil des Angriffs wird einer cyberkriminellen Erpressergruppe angelastet, die ein Parlamentsbüro mit dem Ransomware-Stamm Cuba infiziert hat. Solange sie nicht auf befreundete Länder abzielen, können russischsprachige Cyberkriminelle in der Regel ungehindert vom Kreml operieren.

Regierungsbeamte haben den Verdacht der lokalen Behörden bestätigt, dass Russland die Angriffe durchgeführt hat. Sie sagten, dies könnte eine Vergeltung für die Entscheidung des NATO-Mitglieds Montenegro sein, sich den EU-Sanktionen gegen Russland anzuschließen und zahlreiche russische Diplomaten auszuweisen. Slowenien, ein weiteres NATO-Mitglied, wurde ebenfalls Opfer eines Cyberangriffs. Auch die offiziellen Websites der Republik Moldau, die zwischen Rumänien und der Ukraine liegt, waren Ziel eines Hackerangriffs.

Cyberkriminelle aus dem Iran nutzen weiterhin Log4j-Schwachstelle gegen Israel aus

Sicherheitsforschern zufolge nutzt die iranische APT-Gruppe* „MuddyWater“, die vermutlich mit dem staatlichen Geheimdienst des Landes verbunden ist, immer noch die Log4j-Schwachstelle, um auf Unternehmensnetzwerke in Israel zuzugreifen, und zwar als Teil eines fortgesetzten Stellvertreterkampfes zwischen den beiden Ländern. [5]

Nach Untersuchungen, die Microsoft am Donnerstag (25.August) veröffentlichte, hat „MuddyWater“, die auch als „Mercury“ bekannt sind, auf Schwachstellen in SysAid abgezielt, einem bekannten IT Service-Management Programm, das von vielen israelischen Firmen verwendet wird.

Laut einer Erklärung des U.S. Cyber Command von Anfang des Jahres steht das iranische Ministerium für Geheimdienst und Sicherheit mit der Gruppe in Verbindung. Im Dezember hatte es die Bande auf Telekommunikations- und IT-Dienstleistungsunternehmen im Nahen Osten und Asien abgesehen.

Nahezu alle wichtigen Java-basierten Unternehmensanwendungen und Server enthalten das Java Framework Log4j. Es wird bis zu einem gewissen Grad von Open-Source-Projekten genutzt, darunter Ghidra der NSA, Redis, ElasticSearch und Elastic Logstash. Apple, Amazon, Twitter, Cloudflare, Steam, Tencent und Baidu sind einige Unternehmen, deren Server anfällig für Log4Shell-Angriffe sein könnten.

Sicherheitsexperten haben davor gewarnt, dass Log4Shell Hunderte Millionen von Geräten einem Angriff aussetzt, da die darin enthaltene Schwachstelle auf der CVSSv3-Skala** den maximalen Schweregrad von 10 erhält. Das U.S. Department of Homeland Security gab Anfang August zu, dass es Jahre dauern wird, bis alle anfälligen Log4j-Fälle entdeckt und behoben sind. Sie wird von Forschern auch als "endemische Schwachstelle" bezeichnet.

Das Log4J-Debakel hat an Aufmerksamkeit in den Medien abgenommen, wird uns aber mit Sicherheit noch lange begleiten und immer wieder einen Auftritt erhalten. Die Verbreitung des Java Logging Frameworks ist für eine schnelle Behebung der Schwachstelle einfach zu weit verbreitet.

* APT-Gruppen verschaffen sich Zugang zu einem Ziel, indem sie von außen über das Internet auf Systeme zugreifen. Normalerweise gelangen sie an Daten und Zugang durch Spear-Phishing-Mails oder Softwareschwachstelle und können dann Schadsoftware einschleusen. Sich im Ziel etablieren.

** Das Common Vulnerability Scoring System (CVSS, deutsch: „Allgemeines Bewertungssystem für Schwachstellen“), ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen.


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück. 🧑‍💻