Die Infosec-News der Woche

Freitag 9. September – Freitag 16. September

Sicherheitslücken in Flugzeug WLANs und HP-Enterprise Geräten, RedLine-Malware stiehlt Zugangsdaten von Youtubern, USA sanktioniert iranischen Minister wegen Cyberangriffen, Webworm-Angreifer modifizieren Fernzugriffs-Trojanern (RATs) und Server von ehemaligen Conti-Mitgliedern unter „Beschuss“ – die Infosec News der Woche.


Schwachstellen & Exploits

WiFi-Schwachstellen in Flugzeugen gefährden die Daten der Passagiere

In drahtlosen LAN-Geräten von Contec wurden zwei schwerwiegende Sicherheitslücken entdeckt. [1]

Die Wifi-Geräte ermöglichen es den Passagieren, während des Fluges auf das Internet zuzugreifen. Die Sicherheitsforscher Thomas Knudsen und Samy Younsi von Necrum Security Labs haben die Schwachstellen entdeckt. Sie fanden heraus, dass eine versteckte Entwickler-Funktion im Wireless LAN Manager, Angreifern die Möglichkeit gibt, Linux-Befehle mit Root-Rechten* auf dem Zielgerät auszuführen. Die Schwachstelle wird als CVE-2022-36158 bezeichnet.

Die Sicherheitsexperten entdeckten während ihrer Untersuchung auch eine Datei namens „/etc/shadow“, welche den Hash von zwei Benutzern (root und user) enthält. Sie konnten mit einem Brute-Force-Angriff** innerhalb weniger Minuten das Passwort der Benutzer herausfinden.

* Root-Rechte oder Superuser-Rechte), ermöglicht uneingeschränkte Rechte als Benutzer, ähnlich dem Administrator in Windows

** Brute-Force-Angriff (übersetzt: rohe Gewalt) ist das Knacken einer Sicherheitsmaßnahme durch stumpfes Ausprobieren aller möglichen Zugangsdaten wie Passwörter oder Sichehreitsschlüssel. Das passiert automatisiert unter Verwendung sehr leistungsstarker Rechner.


Nicht alle Systeme lassen sich leicht auf dem aktuellen Stand halten - bei allen ist es jedoch wichtig. Was bei redundanten Servern einfach ist, ist beispielsweise bei Flugzeugen oder Spezialgeräten nicht einfach umsetzbar. Umso wichtiger ist es, einen Plan auszuarbeiten, wie Sicherheitsupdates zeitnah und ohne Ausfälle oder Probleme installiert werden können.

Kontaktieren Sie uns, gemeinsam finden wir eine Lösung für Ihr Problem.


Schwachstellen mit hohem Schweregrad in HP Enterprise-Geräten gefunden

Die Sicherheitsforscher von Binarly haben sechs schwerwiegende Firmware-Schwachstellen gefunden. Die Experten schreiben in Ihrer Veröffentlichung vom 8 September auch, dass es zum Zeitpunkt der Erstellung ihres Artikels, noch immer keine Updates für einige der HP Enterprise Geräte gibt, obwohl die Schwachstellen seit über einem Monat bekannt wären. [2]

Die Sicherheitsrisiken wurden im vergangenen Jahr entdeckt und erstmals auf der Black-Hat-Konferenz 2022 veröffentlicht. Betroffen sind HP EliteBook-Laptops und werden mit einem CVSS* (Common Vulnerability Scoring System) von 7,5 bis 8,2 eingestuft. Sicherheitsexperten gehen davon aus, dass Angreifer die Schwachstellen nutzen könnten, um ein bösartiges Implantat in der Firmware als modifiziertes rechtmäßiges Modul zu tarnen.

In einer kürzlich durchgeführten Analyse nach, werden die Auswirkungen eines Angriffs auf die Firmware oft unterschätzt. Diese Lücken könnten einem Angreifer Zugang zu zusätzlichen Boot-Phasen verschaffen und die Möglichkeit bieten, Secure Boot zu umgehen.

* CVSS ist ein allgemeines Bewertungssystem des Schweregrades für Schwachstellen auf einer Skala von 0,0 bis 10,0.


Hacker-Gruppen und Kampagnen

YouTube-Nutzer im Visier des sich selbst verbreitenden RedLine-Stealers

Kaspersky-Forscher haben am Donnerstag Informationen über eine neue Kampagne veröffentlicht, die die RedLine-Malware nutzt, und auf YouTube-Nutzer abzielt. [3]

RedLine ist dafür bekannt, neben Benutzernamen, Passwörtern und Cookies auch Anmeldeinformationen für Bankkarten, Browser und Kryptowährungsbörsen zu stehlen. Die jüngste Kampagne der RedLine Angreifer, besteht in der Veröffentlichung von Filmen die Cheats und Hacks für bekannte Videospiele wie APB Reloaded, FIFA 22, Final Fantasy XIV und Lego Star Wars auf YouTube-Kanälen bewerben. Über spielebezogene Inhalte wird ein Link zu einem selbstentpackenden WinRAR-Archiv in der Videobeschreibung eingefügt. Das verlinkte Archiv enthält schädliche Dateien wie den Trojaner RedLine-Stealer.

Die Fähigkeit der Selbstverbreitung ist hierbei interessant. Neben Redline enthält das Paket weitere Dateien, die dazu bestimmt sind, Videos auf den infizierten Kanälen der Nutzer zu posten. Dort werden auch die Links zu den Archiven wieder platziert. Die Malware wird auf Markplätzen im Darknet für ein paar hundert Dollar zum Verkauf angeboten.

Credential Stuffing Angriff auf den Bekleidungshersteller „The North Face“

„The North Face“ wurde Opfer eines groß angelegten Credential-Stuffing Angriffs Ende Juli, der es auf die Zugangsdaten der Kundenkonten auf der Webseite abgesehen hatte. Die Administratoren bemerkten den Sicherheitsvorfall aufgrund von ungewöhnlichen Aktivitäten im August und konnten ihn kurz darauf stoppen. [4]

Die Cyberkriminellen konnten laut Untersuchungen der Outdoor-Bekleidungsmarke auf fast 195.000 Konten zugreifen. Möglicherweise wurden Kundendaten wie der vollständige Name, Telefonnummer, die Versand- und Rechnungsadresse und weitere sensible Daten abgegriffen werden, Zahlungsinformationen der Kunden seien nicht betroffen.

Bei der Angriffsmethode handelt es sich um Credential-Stuffing, bei der die Kriminellen auf zuvor geleakte Daten zurückgreifen, um sich dann auf andere Dienste Zugang zu verschaffen. Da viele Nutzer gerne die gleichen Benutzernamen und Passwörter in verschiedenen Anwendungen hernehmen, ist diese Methode erfolgsversprechend.

Die VF Corporation, zu der unter anderem auch Unternehmen wie Timberland und Eastpak gehören, hat die betroffenen Kunden über den Vorfall informiert. Die Benutzerpasswörter wurden zurückgesetzt, alle Zahlungskarten-Token, auf die Unbefugte Zugriff hatten, ebenfalls.

Bereits im November 2020 musste The North Face schon einmal alle Passwörter, nach einem Credential-Stuffing Angriff zurücksetzen.

* Credential-Stuffing ist ein Angriff, bei dem bekannte Logindaten von gehackten Webseiten bei anderen Webseiten ausprobiert werden, in der Hoffnung, dass die Kunden die gleichen Logindaten für beide Webseiten verwenden.


Wirtschaft, Politik und Kultur

US-Finanzministerium sanktioniert iranischen Minister wegen Cyberangriffen auf Regierung und Verbündete

Nach Angaben des amerikanischen Finanzministeriums haben die Vereinigten Staaten das iranische Geheimdienstministerium und seinen Minister mit Sanktionen belegt, weil sie an bösartigen Cyberangriffen gegen die USA und seine Verbündeten beteiligt gewesen sein sollen. [5]

Das iranische Ministerium für Nachrichtendienst und Sicherheit (MOIS) und sein Leiter, Esmail Khatib, werden von den Vereinigten Staaten beschuldigt, Cyberoperationen gegen internationale staatliche und private Organisationen durchgeführt zu haben.

Nach Angaben des Finanzministeriums gehörten dazu auch Cyberangriffe auf Computersysteme der albanischen Regierung im Juli, die vermutlich von der iranischen Regierung gesponsert wurden. Aufgrund des Angriffs, brach Albanien die diplomatischen Beziehungen zum Iran ab. Die iranischen Diplomaten und Botschaftsmitarbeiter mussten innerhalb 24 Stunden ausreisen.

Webworm-Angreifer setzen modifizierte RATs in Spionageangriffen ein

Laut einem neuen Advisory von Symantec, wurde die als Webworm bekannte Spionage-Gruppe mit mehreren Fernzugriffstrojaner (RAT, Remote Access Trojanern) in Verbindung gebracht. [6] Trochilus, Gh0st und 9002 RAT sind drei ältere RATs, von denen die Webworm Gruppe scheinbar angepasste Versionen erstellt hat.

Trochilus wurde 2015 entdeckt, es handelt es sich um einen in C++ implementierten RAT, dessen Quellcode von GitHub heruntergeladen werden kann. Gh0st hingegen wurde 2008 bekannt und wird seitdem von APT-Gruppen (Advanced Persistent Threats) eingesetzt. Seit 2009 ist der 9002 RAT aktiv im Einsatz, so scheint es. Der Trojaner wurde unter anderem von staatlich gesponserten Angreifern genutzt und bietet Kriminellen viele Möglichkeiten um Daten von infizierten Geräten und Netzen zu entwenden.

DoS Angriff gegen Cobalt-Strike Server der Ransomware-Gruppe Conti

Cobalt Strike* Server der inzwischen aufgelösten Ransomware-Gruppe Conti, werden von Anfragen mit antirussischen Botschaften überflutet. Pro Sekunde werden die Server mit etwa zwei Nachrichten gestört. Die Botschaften lauten unter anderem: Stop the war! [7]

Im Mai diesen Jahres schaltete die Conti-Ransomware-Gruppe ihre interne Infrastruktur ab. Ihre Mitglieder schlossen sich anderen Ransomware-Gruppen an, die Ransomware wie Quantum, Hive und BlackCat verbreiten.

In der Vergangenheit wurden bereits Denial-of-Service-Angriffe (DoS) eingesetzt, um die Aktivitäten der Ransomware-Angreifer zu stoppen. Kürzlich wurde die ebenfalls kriminelle Gruppe LockBit angegriffen, angeblich, weil es Systeme des digitalen Sicherheitsunternehmens Entrust verschlüsselt hatte. LockBit schaltete seine Leak-Sites ab und führte eine Umstrukturierung seiner Infrastruktur durch, weil der Angriff so schwerwiegend war.

* Cobalt Strike ist ein Hacking Tool, welches für Penetrationstests und Angriffssimulationen gedacht ist, aufgrund der umfangreichen Funktionalitäten aber auch für Kriminelle Gruppen verwendet wird.


Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News.

Übrigens, die Weekly News gibts jetzt auch als Podcast auf unserem Youtube Channel 🤓 und bald auch auf weiteren Plattformen.