Die Infosec-News der Woche

Freitag 2. Dezember – Freitag 9. Dezember

Zahlreiche Schwachstellen in Sophos Firewalls, Cisco IP-Telefone durch schwere Sicherheitslücke angreifbar, Cyberangriff auf Amnesty International Kanada, Ransomware-Angriff auf Rackspace, Cyberangriff auf Metropolitan Opera, Neue Fake-Ransomware „CryWiper“ entdeckt und Hundefoto über EncroChat entlarvt internationale Drogenhändler – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Zahlreiche Schwachstellen in Sophos Firewalls

Sophos informiert seine Kunden in einer Warnmeldung über insgesamt sieben Schwachstellen, die nun anhand der verfügbaren Patches, von Admins geschlossen werden können.

Darunter auch, die als kritisch eingestufte Schwachstelle CVE-2022-3236, welche in der Vergangenheit bereits aktiv ausgenutzt wurde. Es handelt sich bei dieser Sicherheitslücke um eine Code-Injektion Schwachstelle. Ein Angreifer könnte im Benutzerportal und im Webadmin, Code ausführen in der Sophos Firewall Version v19.0 MR1 und ältere.

Eine der drei weiteren schweren Schwachstellen mit der Bezeichnung CVE-2022-3226 wurde von internen Experten des Unternehmens entdeckt. Durch diese Schwachstelle könnte ein entfernter und authentifizierter Angreifer, beliebige Befehle auf dem System ausführen. Ursache hierfür ist eine Schwachstelle bei der Einspeisung von Betriebssystembefehlen in VPN-Konfigurations-Uploads.

Die zweite schwere Schwachstelle CVE-2022-3713 könnte dazu missbraucht werden, Code auf dem System auszuführen. Diese Verwundbarkeit resultiert aus einer Code-Injection-Schwachstelle in Wifi.

Bei der letzten schweren Sicherheitslücke CVE-2022-3696 handelt es sich um eine Post-Auth Code Injection-Schwachstelle. Ein Angreifer könnte anhand dieser Lücke ebenfalls Code im Webadmin ausführen.

Die drei restlichen Schwachstellen haben einen mittleren und leichten Schweregrad. Darunter, die Möglichkeit Berechtigungen auszuweiten durch ein gespeichertes XSS-Problem. Und schlussendlich noch zwei SQL-Injection-Schwachstellen, die dazu führen könnten, auf nicht sensible Daten der Konfigurationsdatenbank zuzugreifen.

Cisco IP-Telefone durch schwere Sicherheitslücke angreifbar

Die schwere Schwachstelle mit der Bezeichnung CVE-2022-20968 wurde am 8. Dezember 2022 von Cisco bekannt gegeben. Eine Verwundbarkeit in der Cisco Discovery Protocol-Verarbeitungsfunktion der Cisco IP Telefone 7800 und 8800 Serie Firmware, kann einem unauthentifizierten und nahe gelegenen Angreifer ermöglichen, einen Stack Overflow auf einem der betreffenden Geräte zu verursachen.

Diese Anfälligkeit ist einer ungenügenden Eingabevalidierung von empfangenen Cisco Discovery Protocol-Paketen geschuldet. Angreifer könnten diese Schwachstelle missbrauchen, indem sie gefälschten Cisco Discovery Protocol-Datenverkehr an ein betroffenes Gerät schicken. Bei erfolgreicher Ausnutzung der Schwachstelle könnte der Angreifer einen Stack Overflow herbeiführen, der die Ausführung von Remote-Code zur Folge hätte. Cyberkriminelle könnten außerdem auch einen Denial-of-Service (DoS) Angriff vornehmen.

Cisco wird Software-Updates veröffentlichen, die diese Sicherheitslücke beheben. Es gibt keine Workarounds, um diese Schwachstelle zu schließen. Um die Schwachstelle abzumildern, schlägt Cisco den Administratoren vor, das Cisco Discovery Protocol auf betroffenen Geräten der Serien IP Phone 7800 und 8800 zu deaktivieren. Das hat zur Folge, dass die Geräte dann LLDP für die Ermittlung von Konfigurationsdaten wie Voice VLAN und Power Negotiation verwenden.


IT Sicherheits wird von Geschäftsführern meist als Aufgabe der IT angesehen. Administratoren sind aber mit auf dem Aufbau und der Instandhaltung von Servern, Netzwerken und Anwendungen in der Regel bereits mehr als nur gut ausgelastet. Für Sicherheit bleibt da in vielen Fällen, wenn überhaupt, nur ein Bruchteil der vorhandenen Kapazitäten übrig.

Um Schwachstellen und riskante Konfigurationsfehler zeitnah aufzudecken, empfehlen wir eine Kombination aus automatisierten Sicherheitsscans und regelmäßigen Penetrationstests, um sowohl gängige Missstände als auch spezielle Sicherheitsprobleme zu erkennen und zu vermeiden.

Wir beraten dich gerne rund um das Thema IT Sicherheit und helfen dir, einen Überblick und einen sauberen Stand zur Sicherheitslage in deinem Unternehmen zu bekommen und zu behalten. Schreib uns einfach an kontakt@lastbreach.com oder über unser Kontaktformular.


Hacker-Gruppen und Kampagnen


Cyberangriff auf Amnesty International Kanada

Amnesty International Kanada gibt in einer Mitteilung eine Cyberattacke bekannt.

Im Oktober 2022 stellte die Menschrechtsorganisation erstmals verdächtige Aktivitäten in ihrer IT-Infrastruktur fest. Sie beauftragten daraufhin ein hochqualifiziertes Team von forensischen Ermittlern und Cybersicherheitsexperten. Die Sicherheitsexperten ergriffen sofort Maßnahmen zum Schutz der Systeme und untersuchten die Ursache des Angriffs.

Die Untersuchung zeigte einen digitalen Sicherheitsverstoß der mit Techniken und Tools einer bestimmten Advanced Persistent Threat Group (APT) begangen wurde. Die forensischen Experten vermuten eine vom chinesischen Staat gesponserte oder beauftragte Bedrohungsgruppe hinter dem Angriff, um Cyberspionage zu betreiben.

Daten von Spendern oder Mitgliedern sollen nicht abgegriffen worden sein, laut den bisherigen Untersuchungsergebnissen. Mitarbeiter, Spender, die Strafverfolgungsbehörden und andere Beteiligte wurden über den Vorfall informiert.

Ransomware-Angriff auf Rackspace

Der IT-Service Provider „Rackspace“ gibt einen Ransomware-Angriff auf seine Hosted Exchange-Umgebung bekannt, welcher auch zu Serviceausfällen für die Kunden des Unternehmens sorgte.

Das interne Sicherheits-Team und eine beauftragte Cyber-Abwehrfirma untersuchen den Vorfall. Die Hosted Exchange-Umgebung wurde sofort nach Entdeckung des Vorfalls isoliert, um den Schaden zu begrenzen.

Laut Rackspace ist der Sicherheitsvorfall auf die Hosted-Exchange-Umgebung begrenzt, zumindest mit dem jetzigen Ermittlungsstand. Andere Produkte und Dienstleistungen des Unternehmens sollen nicht betroffen sein. Sie haben aber vorsichtshalber dennoch zusätzliche Sicherheitsmaßnahmen ergriffen und halten Ausschau nach verdächtigen Aktivitäten, heißt es in den Status-Updates zum Vorfall.

Cyberangriff auf Metropolitan Opera

Einer der weltweit führenden Opernhäuser, die Metropolitan Opera in New York City, ist Opfer einer Cyber-Attacke. Derzeit kann man auf der Webseite der Oper lesen, dass die von einem Cyberangriff heimgesucht worden sind. Der Angriff hat vorübergehend alle Netzwerksysteme beeinträchtigt. Die Webseite, die Abendkasse und das Callcenter sind davon betroffen.

Sie arbeiten daran die schwierige Situation zu lösen und werden Neuigkeiten veröffentlichen, sobald sie mehr wissen.

Wirtschaft, Politik und Kultur


Neue Fake-Ransomware „CryWiper“ entdeckt

Sicherheitsforscher von Kaspersky entdeckten eine neuen Trojaner, der sich als Ransomware tarnt. Sie gaben der neuartigen Malware den Namen „CryWiper“.

Diese Fake-Ransomware verändert Dateien und fügt die Erweiterung .CRY hinzu, was einzigartig für CryWiper ist. Sie speichert dann eine README.txt-Datei zusammen mit einer Lösegeldforderung, einem Bitcoin-Wallet als Zahlungsadresse, der Kontakt E-Mail Adresse der Malware-Ersteller und einer Infektion-ID. Was nach einem typischen Ransomware-Angriff aussieht, ist tatsächlich aber keiner. Denn die Malware ist ein Wiper, der die Dateien unwiederbringlich zerstört.

Dateien, die von CryWiper verändert wurden, können nicht mehr in ihren Ursprungszustand zurückversetzt werden. Es gab zwar in der Vergangenheit Malware-Stämme, die versehentlich zu Wipern wurden, aber nur aufgrund von Fehlern ihrer Entwickler die zum Beispiel Verschlüsselungsalgorithmen nicht richtig umsetzten.

Die Experten sind davon überzeugt, dass die Cyberkriminellen nicht finanziell motiviert sind, sondern die Dateien einfach unwiderruflich zerstören möchten. Bisher wurden nur gezielte Angriffe in Russland beobachtet. Wie immer, kann aber niemand dafür garantieren, dass derselbe Code nicht auch gegen andere Ziele eingesetzt wird, sagen die Forscher.

Hundefoto über EncroChat entlarvt internationale Drogenhändler

Die nationale Kriminalpolizei des Vereinigten Königreichs (NCA National Crime Agency) gibt in einer Pressemitteilung Details über eine interessante Festnahme und Verurteilung von Rauschgifthändlern bekannt.

Ein Drogenhändler unterstütze ungewollt die Ermittler bei der Aufdeckung seiner eigenen kriminellen Verbrecherorganisation. Er schickte ein Bild seines Hundes über die verschlüsselte Nachrichtenplattform EncroChat, zum Leid des Kriminellen war auch die Telefonnummer seiner Lebensgefährtin darauf zu sehen.

Danny Brown trat auf EncroChat unter dem Namen "throwthedice" auf. Das Bild schickte er während der Planung eines Drogendeals an seinen Komplizen Stefan Baldauf. Sie sprachen über den verschlüsselten Chat eine Drogenlieferung im Wert von 45 Millionen Pfund ab. Die Summe entspricht zum jetzigen Stand etwa 52.000.000 Millionen Euro.

Die Ermittler nutzten die versehentlich geleakte Nummer aus dem Chat mit anderen Taktiken und gründlichen Untersuchungen für die Beweissammlung. Die Komplizen schickten sich auch zufällige Selfies auf EncroChat, was für die Ermittler hilfreich wurde.

Um die Drogen nach Australien zu verschiffen, wurden sie im Arm eines Baggers versteckt. Damit die Tarnung nicht auffliegt, wurde der Bagger dann noch in einer Auktion angeboten. Unter die Fake Interessenten mischten sich auch wirkliche Interessenten, was die Drogenhändler nervös machte.

Schließlich wurde Danny Brown, in Anwesenheit seines Hundes Bob verhaftet. Im Juni diesen Jahres wurde Brown zu 26 Jahren Haft verurteilt. Baldauf erhielt eine Haftstrafe von 28 Jahren und der dritte Komplize Reilly wurde zu 24 Jahren Haft verurteilt. EncroChat wurde 2020 abgeschaltet.


Das wars für diese Woche, die Weekly News gibt es als Newsletter, auf unserem Youtube Channel oder als Podcast zu Abonnieren. Bis zum nächsten Mal, stay safe!