Die Infosec News der Woche

Freitag 9. Dezember – Freitag 16. Dezember

Kritische Sicherheitslücke in Citrix ADC und Gateway wird aktiv ausgenutzt, Fortinet meldet kritische Schwachstelle in FortiOS, FBI-Informationsaustausch-Programm „InfraGard“ gehackt, Uni Duisburg erneut gehackt und lahmgelegt, Europol schaltet Plattformen für DDoS-Dienstleistungen ab, Ex-Twitter Mitarbeiter wird zu 42 Monaten Gefängnis verurteilt und Datenpanne in der Justizvollzugsanstalt Straubing – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Kritische Sicherheitslücke in Citrix ADC und Gateway wird aktiv ausgenutzt

Das US-amerikanische Softwareunternehmen Citrix, informiert seine Kunden über eine kritische Schwachstelle mit der Bezeichnung CVE-2022-27518.

Es handelt sich um die Produkte Citrix ADC- und Citrix Gateway inklusive FIPS und NDcPP in den Versionen 12.1 und 13.0, allerdings müssen diese mit einem SAML SP oder IdP konfiguriert sein, um davon betroffen zu sein. Produkte ab Version und Patchlevel 13.0-58.32 und Produkte ab Version 13.1 sind nicht gefährdet, schreibt Citrix.

Anhand der Zero-Day-Sicherheitslücke könnte ein nicht authentifizierter Angreifer, Befehle aus der Ferne auf den verwundbaren Geräten ausführen und somit die Kontrolle übernehmen.

Die veröffentlichten Updates vom 13. Dezember, werden allen Anwendern dringend empfohlen.

Fortinet meldet kritische Schwachstelle in FortiOS

FortiGuard Labs weist auf eine kritische Sicherheitslücke in FortiOS hin, die bereits aktiv ausgenutzt wurde.

Durch die Heap-basierte Buffer-Overflow-Schwachstelle in FortiOS SSL-VPN könnte ein entfernter und nicht authentifizierten Angreifer, beliebigen Code oder Befehle über speziell präparierte Anfragen ausführen.

Das Unternehmen hat am 12. Dezember Updates auf ihrer Webseite zur Verfügung gestellt. Die Schwachstellen können mit einer Aktualisierung auf FortiOS 7.2.3, 7.0.9, 6.4.11, 6.2.12 und höheren Versionen geschlossen werden. FortiOS-6K7K-Versionen sollen auf 7.0.8, 6.4.10, 6.2.12, 6.0.15 oder höhere Versionen aktualisiert werden, um die Verwundbarkeit zu schließen.


Hacker-Gruppen und Kampagnen

FBI Informationsaustausch-Programm „InfraGard“ gehackt

InfraGard wurde 1996 ins Leben gerufen, um den Informationsaustausch über Cyberbedrohungen zu verbessern und die Zusammenarbeit mit dem Privatsektor zu erleichtern.

Der investigative Reporter Brian Krebs berichtete kürzlich, über eine Cyberattacke auf das Programm des FBI.

Eine Datenbank mit Kontaktinformationen, von mehr als 80.000 Mitgliedern wurden in einem Cybercrime-Forum für einen Preis von 50.000 $ zum Verkauf angeboten. Der Täter schlich sich anhand einer gestohlenen Identität eines realen CEO´s in das Programm ein. Eigentlich ist das InfraGard-Programm ein geprüftes „Who´s Who“ von Schlüsselpersonen der Privatwirtschaft, schreibt der Reporter.

Der von dem Identitätsdiebstahl betroffene CEO gab auf Nachfrage von Krebs an, dass er zu keiner Zeit vom FBI kontaktiert wurde, um einen InfraGard-Antrag zu prüfen. Im Anschluss kontaktierte Brian Krebs, den „Verkäufer“ der Datenbank in dem Breach-Forum, welcher unter dem Namen "USDoD" auftritt. Der Cyberkiminelle beantragte die InfraGard-Mitgliedschaft anhand der Daten eines Unternehmens, dass mit hoher Wahrscheinlichkeit angenommen würde.

Alle angegebenen Daten wie Name, Sozialversicherungsnummer und Handynummer des geschädigten CEO´s entsprachen der Wahrheit. Das System verwendet zwar Multi-Faktor-Authentifizierung, jedoch zum Glück des Täters, mit der Option SMS oder E-Mail. Da die angegebene E-Mail Adresse im Antrag, die Angreifer Mail-Adresse war, glückte auch der letzte Schritt des Kriminellen um sich den Zugang zu verschaffen.

Eine leicht zugängliche Anwendungsprogrammierschnittstelle, die normalerweise für die leichtere Verbindung zwischen den Mitgliedern vorhanden ist, führte dann zum Datenverlust. Ein Freund des Täters, schrieb ein Python Skript, anhand dessen er die Benutzerdaten abrufen konnte.

In einer schriftlichen Erklärung vom FBI heißt es: "Dies ist eine laufende Situation, und wir sind nicht in der Lage, zu diesem Zeitpunkt zusätzliche Informationen zu liefern“.

Uni Duisburg erneut gehackt und lahmgelegt

Im November berichteten wir bereits über die erste Cyberattacke gegen die Universität Duisburg. Nun wurde die Hochschule erneut unter Beschuss genommen.

Die Täter forderten nach dem ersten Angriff Lösegeld, die Höhe ist der Öffentlichkeit unbekannt. Eine Bezahlung kam jedoch nicht in Frage, auch die Staatsanwaltschaft riet dazu sich nicht erpressbar zu machen. Ob es sich nun beim zweiten Angriff um die selben Täter handelt, ist nicht klar. Die Experten arbeiten nach wie vor mit Hochdruck daran, den Normalzustand zu erreichen.

Die neu eingerichtete Webseite der Uni ist jetzt auch offline und Opfer der Angriffe. Zum Zeitpunkt dieses Berichts, war die Seite nicht erreichbar. Zuvor hieß es auf der Webseite: Alle Studierenden und Beteiligten sollen sich bitte neue Passwörter einrichten.

Meinen, der Kanzler der Universität, äußert sich auf Twitter zur derzeitigen Situation: „Wir haben schon Einiges geschafft, vom Normalzustand sind wir aber noch weit entfernt. Die Herausforderungen sind umfangreicher, als es der Eindruck erweckt aber der Angriff wirft uns nicht aus der Bahn.“ Auch auf YouTube veröffentlichte die Uni ein Update über den derzeitigen Stand am 16. Dezember.


Die Angriffe auf die Universität Duisburg laufen bereits seit etwa 3 Wochen und schränken dadurch den Betrieb sehr ein. Das sind viele Arbeitsstunden und Nerven die den Mitarbeitern verloren gehen und das nicht nur in der IT-Abteilung. Statt die Zeit in Fortschritt investieren zu können, müssen sie um einen normalen Betriebsablauf kämpfen.

Auch die Metro-Gruppe ist nach wie vor durch die Cyber-Attacke im Oktober eingeschränkt. Die digitalen Preisschilder können noch immer nicht genutzt werden, die Mitarbeiter versuchen die ständig wechselnden Preise händisch mit Preisschildern aus Papier an die entsprechenden Regale anzubringen und Kunden fragen ständig genervt nach Preisen oder fragen erst gar nicht nach Preisen und verzichten stattdessen auf den Kauf. Klar, dass dadurch auch die Stimmung im Betrieb und die Motivation der Mitarbeiter leidet.

Wir sind keine Freunde unsere Dienste über Fear, Uncertainty & Doubt (FUD) zu vermarkten, einer Sales Strategie, die im Bereich Cybersicherheit leider nur zu oft verwendeten wird. Gleichzeitig darf man sich dem Thema aber auch nicht komplett verschließen, denn wenn sich eins in den letzten Jahren und Monaten bewahrheitet hat, dann, dass es absolut jeden treffen kann und in der Regel früher oder später auch wird.

Schreib uns unter kontakt@lastbreach.com oder über das Kontaktformular auf lastbreach.de. Wir beraten dich rund um das Thema IT-Sicherheit und helfen dir, den Blick auf das Wesentliche zu behalten.


Wirtschaft, Politik und Kultur

Europol schaltet Plattformen für DDoS-Dienstleistungen ab

Im Rahmen einer Operation mit dem Namen „Power Off“ wurden fast 50 Plattformen von DDoS-Dienstanbietern abgeschaltet, berichtet Europol auf ihrer News Seite.

Diese Aktion schließt an vorangegangene Maßnahmen der Operation Power Off an, die auf die Betreiber und Nutzer des DDoS-Marktplatzes webstresser.org abzielten. Bei der Beschlagnahmung handelt es sich um die bekanntesten DDoS-Booter-Dienste auf dem Markt. Einer der abgeschalteten Dienste wurde für mehr als 30 Millionen Angriffe genutzt. Bisher konnten 7 Administratoren in den Vereinigten Staaten und im Vereinigten Königreich verhaftet werden.

Für den Erfolg dieser Operation war die grenzüberschreitende polizeiliche Kooperation von zentraler Bedeutung. An der Aktion waren auch Strafverfolgungsbehörden aus den Vereinigten Staaten, dem Vereinigten Königreich, den Niederlanden, Polen und Deutschland beteiligt.

Ex-Twitter Mitarbeiter wird zu 42 Monaten Gefängnis verurteilt

Der ehemalige Mitarbeiter des Microblogging-Dienstes Twitter, wurde für das Erlangen, Kontrollieren und Weiterleiten von Benutzerinformationen an die saudische Königsfamilie und das Königreich Saudi-Arabien verurteilt.

Der Mann aus Kalifornien war für die saudi-arabische Herrscherfamilie hilfreich, um an sensible Daten von Twitter-Nutzern zu kommen, die für sie von Interesse waren. Die gestohlenen Daten konnten zum Identifizieren und Lokalisieren der Nutzer verwendet werden.

Der stellvertretende Generalstaatsanwalt Matthew G. Olsen, Abteilung für nationale Sicherheit des Justizministeriums sagte dazu: "Herr Abouammo verletzte das Vertrauen, das in ihn gesetzt wurde, um die Privatsphäre von Einzelpersonen zu schützen, indem er ihre persönlichen Informationen aus Profitgründen an eine ausländische Macht weitergab. Sein Verhalten war umso ungeheuerlicher, als die Informationen dazu bestimmt waren, politische Dissidenten ins Visier zu nehmen, die sich gegen diese ausländische Macht aussprachen" Außerdem sagte er noch: "Wir sind entschlossen, diejenigen zur Rechenschaft zu ziehen, die unrechtmäßig als nicht registrierte ausländische Agenten agieren und verdeckte Beeinflussungskampagnen im Auftrag ausländischer Regime vorantreiben."

Dem Gericht liegen zudem Beweise über Bestechungsgelder vor. Der Ex-Twitter Mitarbeiter verstieß nicht nur gegen die Twitter Richtlinien, sondern auch gegen das Gesetz. Er war als Mitarbeiter des Dienstes verpflichtet, die Nutzerdaten zu schützen.

Die Preisgabe von Informationen über Dissidenten ist ein schweres Vergehen und das Verhalten von Abouammo ist schwerwiegend, sagte der Richter bei der Verurteilung. Das Urteil umfasst: 42 Monate Bundesgefängnis, drei Jahre Überwachung nach der Entlassung und den Einbehalt von 242.000 $ Bestechungsgeldern. Die Haftstrafe muss Abouammo am 31. März 2023 antreten.

Datenpanne in der Justizvollzugsanstalt Straubing

Ein Inhaftierter der JVA Straubing und sein Anwalt erhielten durch einen „unbewussten Bearbeitungsfehler“ etwa 1200 personenbezogene Daten und Corona-Testresultate.

Darunter sind auch Daten von 90 Bediensteten der Justizvollzugsanstalt Straubing und ca. 700 von Mitinsassen. Die Daten waren in eine Akte des Gesundheitsamtes Straubing-Bogen geraten, die später Bestandteil eines Prozesses vor dem Landgericht Regensburg wurde, weil die Testergebnisse des Häftlings erforderlich waren.

10 Häftlinge erstatten Anzeige wegen dem Datenverlust. Es wurde zudem ein Ermittlungsverfahren wegen des Verdachts der Verletzung von Privatgeheimnissen gegen Unbekannt eingeleitet. Auch dienstrechtliche Maßnahmen werden noch geprüft. Durch die Veränderung der Abläufe in der JVA soll eine Wiederholung einer solchen Panne verhindert werden.

Die verschickten Daten wurden indes sowohl aus der Verfahrensakte beim Gericht als auch in der JVA gelöscht.


Das wars für diese Woche, die Weekly News gibt es als Newsletter, auf unserem Youtube Channel oder als Podcast zu Abonnieren. Bis zum nächsten Mal, stay safe!