Die Infosec-News der Woche

Zum Start in die Woche, hier eine Zusammenfassung der Ereignisse aus der Sicherheitswelt, die sich in den letzten Tagen in verschiedenen Teilen der Welt ereignet haben.


Schwachstellen & Exploits

Kritische PHP- Sicherheitslücke öffnet QNAP NAS-Geräte für Remote-Angriffe

Diese Woche wurde eine kritische PHP-Sicherheitslücke entdeckt, die QNAP NAS-Geräte für Remote-Angriffe angreifbar macht.[1] Eine Schwachstelle in der Webserver-Komponente der Firmware des Geräts könnte es einem Angreifer ermöglichen, die Kontrolle über das Gerät zu übernehmen und auf sensible Daten zuzugreifen.

Den Kunden wird empfohlen, ihre QTS- oder QuTS hero-Betriebssysteme zu aktualisieren und die Geräte nicht mit dem Internet zu verbinden.

Außerdem hat QNAP empfohlen, dass Kunden den QNAP-Support um Hilfe bitten, wenn sie die Lösegeldforderung nach der Aktualisierung der Firmware und der Eingabe des erhaltenen DeadBolt-Entschlüsselungsschlüssels nicht identifizieren können.


Das zeigt erneut, warum es wichtig ist, die eigene Infrastruktur regelmäßig auf Schwachstellen zu prüfen. Zum Glück liest du gerade einen Blog der Leute, die dabei helfen können. Mehr zu unseren Penetrationstests und Schwachstellen-Analysen erfährst du hier. 😉


Russland nutzt Microsoft Follina-Sicherheitslücke gegen die Ukraine aus

Die Meldung dieser Woche kommt aus der Ukraine, wo russische Hacker die Follina-Sicherheitslücke ausgenutzt haben, um an sensible Informationen zu gelangen. [2]

Die Follina-Schwachstelle, die vor einigen Monaten bekannt wurde, betrifft nun alle Versionen von Microsoft Windows und kann über einen Fernzugriff ausgenutzt werden.[3] Das bedeutet, dass Hacker sich Zugang zu einem System verschaffen können, ohne vorheriges Wissen oder Zugriff auf das Zielnetzwerk zu haben. Im Fall der ukrainischen Angriffe konnten die Hacker die Follina-Sicherheitslücke nutzen, um eine Hintertür namens Poison Ivy einzubauen, über die sie Zugang zu sensiblen Daten erlangen konnten.

Diese Angriffe unterstreichen die Notwendigkeit für Unternehmen, ihre Systeme so schnell wie möglich zu patchen und robuste Sicherheitsmaßnahmen zu implementieren.

Sicherheitslücke in Citrix ADM ermöglicht das Zurücksetzen von Admin-Passwörtern

Kürzlich wurde eine kritische Citrix ADM-Sicherheitslücke entdeckt, die es ermöglicht, Admin-Passwörter zurückzusetzen.

Ein entfernter, nicht authentifizierter Benutzer lief Gefahr, ein System über einen Denial-of-Service (DoS)-Exploit zum Absturz zu bringen und anschließend beim nächsten Neustart die Admin-Anmeldedaten zurückzusetzen, da die Schwachstelle für die Zugriffskontrolle nicht geeignet war (CVE-2022-27511).

Die Schwachstelle könnte ausgenutzt werden, um "das Zurücksetzen des Administratorkennworts beim nächsten Neustart des Geräts zu erzwingen, so dass ein Angreifer mit SSH-Zugang nach dem Neustart des Geräts eine Verbindung mit den Standard-Administrator-Anmeldeinformationen herstellen kann", heißt es in einem letzte Woche veröffentlichten Citrix-Bericht. [4]

Die Sicherheitslücke, die in der Citrix Application Delivery Controller und Gateway Appliance vorhanden ist, kann von einem nicht authentifizierten Angreifer ausgenutzt werden, um administrativen Zugriff auf die Appliance zu erhalten. Der Patch für diese Sicherheitslücke ist zwar schon seit einigen Wochen verfügbar, aber es ist unklar, wie viele Geräte noch anfällig sind.


Hacker-Gruppen & Kampagnen

Chinesische Hacker verbreiten SMS-Bomber-Tools mit Malware darin

Chinesische Hacker verbreiten ein SMS-Bomber-Tool, in dem Malware versteckt ist. Das Tool, mit dem viele Textnachrichten an eine bestimmte Telefonnummer gesendet werden, enthält eine Hintertür, die es dem Angreifer ermöglicht, Befehle per Fernzugriff auf dem Gerät des Opfers auszuführen. Die Malware verbreitet sich über eine Phishing-Kampagne, die auf Android-Nutzer in China abzielt. Sobald die Malware installiert ist, sammelt sie Informationen über das Gerät des Opfers und sendet sie an einen Remote-Server. [5]

Einblicke in die Infrastruktur von Magecart zeigen, dass die Kampagne riesig ist

Infosec-Forscher haben eine neue Magecart-Infrastruktur entdeckt, die das Ausmaß der laufenden Magecart-Kampagnen offenbart.[6] Diese Infrastruktur besteht aus mehreren Servern, die gestohlene Kreditkartendaten speichern. Die Server befinden sich in verschiedenen Teilen der Welt, was darauf hindeutet, dass die Hintermänner von Magecart ein verteiltes Netzwerk nutzen, um nicht entdeckt zu werden. Das beweist, wie wichtig es für Unternehmen ist, vor Magecart-Angriffen wachsam zu sein. Es zeigt auch, wie Cyberkriminelle immer raffiniertere Methoden anwenden, um sensible Daten zu stehlen.


Wirtschaft, Politik und Kultur

Cyberangriffe auf die Ukraine von Microsoft thematisiert

Am Mittwoch gab Microsoft bekannt, dass es neue Beweise für vom russischen Staat gesponserte Angriffe auf ukrainische Einrichtungen entdeckt hat. Trotz dieser Nachricht nehmen die Spannungen zwischen der Ukraine und Russland weiter zu, da sich die beiden Länder in einem Konflikt um die abtrünnige Region Krim befinden. In einem Blogbeitrag erklärte das Threat Intelligence Center von Microsoft, dass es eine Hackergruppe namens Strontium entdeckt hat, die Regierungsbehörden, politische Parteien und Medienorganisationen in der Ukraine angreift. Die Gruppe wurde auch mit früheren Angriffen auf das ukrainische Stromnetz und dem Malware-Ausbruch NotPetya in Verbindung gebracht. [8] Microsoft nannte keine konkreten Ziele der jüngsten Angriffe, sagte aber, sie stünden "im Einklang mit dem langjährigen Interesse der Gruppe an ukrainischen Angelegenheiten".

Anfang dieser Woche gaben ukrainische Sicherheitsbehörden bekannt, dass sie ein Komplott aufgedeckt haben, um das Finanzsystem und die kritische Infrastruktur des Landes zu stören.

Betrüger stiehlt Microsoft-Anmeldedaten mit Voicemail-Betrug

Jüngste Betrugsversuche zielen auf Microsoft-Nutzer ab, um ihre Anmeldedaten zu stehlen. [9] Der Betrug beginnt mit einer Sprachnachricht von Microsoft, die besagt, dass ein Problem mit dem Konto des Empfängers aufgetreten ist. In der Nachricht wird der Nutzer dann aufgefordert, eine Telefonnummer anzurufen, um das Problem zu lösen. Die Telefonnummer gehört jedoch einem Betrüger, der versucht, die Nutzer/innen dazu zu bringen, ihre Anmeldedaten preiszugeben. In letzter Zeit gab es viele Betrugsversuche, die auf Microsoft-Nutzer/innen abzielten. Deshalb ist es wichtig, bei unaufgeforderten Anrufen oder Nachrichten wachsam zu sein. Wenn der Verdacht besteht, dass ihr vielleicht ein Opfer dieses Betrugs geworden seid, solltet ihr so schnell wie möglich euer Passwort ändern und die Zwei-Faktor-Authentifizierung für euer Konto aktivieren.

NSO bestätigt, dass fünf europäische Länder Pegasus-Spionageprogramme verwenden

Die NSO Group ist seit langem dafür bekannt, ihre Spionagesoftware an Regierungsorganisationen weltweit zu verkaufen. Jetzt sind neue Informationen aufgetaucht, die darauf hindeuten, dass mindestens fünf europäische Länder die Spionagesoftware Pegasus eingesetzt haben, um Gegner und Journalisten ins Visier zu nehmen. Die Software, mit der Telefone infiziert und Daten gesammelt werden können, wurde zuerst von den Vereinigten Arabischen Emiraten eingesetzt, um Menschenrechtsaktivisten ins Visier zu nehmen. Dann wurde sie von Mexiko erworben, wo sie eingesetzt wurde, um Journalisten, die über Korruption recherchierten, ins Visier zu nehmen. [10]

Diese neuen Informationen bestätigen, was viele Infosec-Experten schon lange vermutet haben: dass Regierungen weltweit die Spionagesoftware der NSO Group nutzen, um Menschenrechte zu verletzen.


Mit dem Übergang ins digitale Zeitalter nimmt die Cyberkriminalität zu. Jede Woche scheint es, als würde eine neue Meldung über eine große Datenpanne oder einen Cyberangriff für Schlagzeilen sorgen. Diese Woche war es nicht anders, denn es gab mehrere wichtige Meldungen in der Infosec-Welt und dies waren nur einige der wichtigsten Meldungen in dieser Woche. Nächste Woche melden wir uns wieder mit einer aktualisierten Zusammenfassung der News.

Referenzen

  1. https://thehackernews.com/2022/06/critical-php-vulnerability-exposes-qnap.html
  2. https://www.qnap.com/en/how-to/faq/article/how-do-i-restore-deadbolt-page-for-decrypting-the-files-if-i-have-the-correct-password
  3. https://thehackernews.com/2022/06/russian-hackers-exploiting-microsoft.html
  4. https://www.scmagazine.com/news/application-security/microsoft-releases-guidance-on-follina-vulnerability-in-office-products
  5. https://portswigger.net/daily-swig/critical-citrix-adm-vulnerability-creates-means-to-reset-admin-passwords
  6. https://thehackernews.com/2022/06/chinese-hackers-distributing-sms-bomber.html
  7. https://thehackernews.com/2022/06/newly-discovered-magecart.html
  8. https://www.bankinfosecurity.com/notpetya-from-russian-intelligence-love-a-10589?highlight=true
  9. https://threatpost.com/voicemail-phishing-scam-steals-microsoft-credentials/180005/
  10. https://thehackernews.com/2022/06/nso-confirms-pegasus-spyware-used-by-at.html