Warnung vor Zero-Day-Schwachstellen in Ivanti-Produkten, Juniper Networks veröffentlicht dringende Junos OS-Updates, hochkritische Schwachstelle in GitLab, Cyberangriffe auf AnyDesk und Cloudflare, fragwürdige Technologie bei Rewe und Ex-CIA-Offizier zu 40 Jahren verurteilt.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Wie immer auch auf Youtube und Peertube.
Schwachstellen und Exploits
Warnung vor Zero-Days in Ivanti-Produkten
Die Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten warnt vor schwerwiegenden Zero-Day-Schwachstellen in den Ivanti-Produkten Connect Secure und Policy Secure. Betroffen sind CVE-2024-21888 mit einem Score von 8,8 sowie CVE-2024-21893 mit einem Bewertungspunkt von 8,2. Während die erste Schwachstelle eine Privilegieneskalation in der Webkomponente ermöglicht, stellt die Zweite eine serverseitige Anforderungsfälschung in der SAML-Komponente dar. Diese Sicherheitslücken erlauben es Angreifern, Berechtigungen auf Administratorebene zu erhöhen oder auf bestimmte Ressourcen ohne Authentifizierung zuzugreifen.
Ivanti hat Sicherheitsupdates veröffentlicht und rät dazu, Geräte vor dem Aufspielen der Patches auf die Werkseinstellungen zurückzusetzen. CISA warnt vor bereits erfolgten Angriffen, bei denen Bedrohungsakteure Anmeldedaten erbeutet und Webshells platziert haben, um Netzwerke weiter zu kompromittieren.
Zusätzlich wurden zwei Schwachstellen in den Ivanti Connect Secure VPN-Geräten identifiziert. Bei CVE-2023-46805 mit einem Score von 8,2 handelt es sich um eine bisher unentdeckte Schwachstelle mit dem Potenzial für nicht authentifizierte Remote-Code-Ausführung. Die Schwachstelle mit der Bezeichnung CVE-2024-21887 wurde von chinesischen Hackern ausgenutzt, um die KrustyLoader-Malware zu verbreiten und weist einen Score von 9,1 auf.
Unternehmen, die Ivanti-Produkte nutzen, sollen die veröffentlichten Software-Updates sofort implementieren. Kontinuierliche Bedrohungsanalysen und die Überwachung von Authentifizierungsdiensten werden ebenfalls dringend empfohlen, um mögliche Kompromittierungen zu erkennen.
Juniper Networks veröffentlicht dringende Junos OS-Updates
Juniper Networks hat dringende Sicherheitsupdates für die Produkte SRX Series und EX Series veröffentlicht, um hochkritische Schwachstellen zu beheben.
Zwei Schwachstellen, CVE-2024-21619 und CVE-2024-21620, bewertet mit CVSS Scores von 5.3 und 8.8 befinden sich in der J-Web-Komponente.
Bei der ersten Schwachstelle handelt es sich um eine Authentifizierungslücke mit dem Risiko der Offenlegung sensibler Konfigurationsdaten. Die betroffenen Junos OS-Versionen wurden in den Updates von Version 20.4R3-S9 bis 23.4R1 sowie allen darauffolgenden Releases behoben.
Die zweite Lücke ermöglicht Cross-Site Scripting und wurde in den Versionen von 20.4R3-S10 bis 23.4R2 und alle folgenden Releases durch entsprechende Aktualisierungen behoben.
Alternativ gibt Juniper als Workaround an, J-Web vorübergehend zu deaktivieren oder den Zugriff zu beschränken.
Es wird auch darauf hingewiesen, dass zwei weitere Schwachstellen, CVE-2023-36846 und CVE-2023-36851, im November 2023 als aktiv ausgenutzt eingestuft wurden.
Zusätzlich wurden Fixes für CVE-2024-21591 mit einem CVSS Score von 9.8 veröffentlicht, eine kritische Lücke, die es Angreifern ermöglichen könnte, einen Denial-of-Service (DoS) durchzuführen, Remote-Code-Ausführung zu erlangen und Root-Privilegien zu erhalten.
Dringendes Sicherheitsupdate für Gitlab
GitLab hat ein wichtiges Sicherheitsupdate veröffentlicht, um eine kritische Schwachstelle mit der Bezeichnung CVE-2024-0402 zu beheben. Authentifizierte Benutzer könnten während des Workspace-Erstellungsprozesses Dateien auf dem Server überschreiben. Die betroffenen Versionen reichen von 16.0 bis 16.8.1, der Score für diese Lücke beträgt 9.9.
Zusätzlich wurden mittelschwere Schwachstellen behoben, darunter Risiken wie Denial-of-Service durch reguläre Ausdrücke, HTML-Injektion und Offenlegung von E-Mail-Adressen über den Tags-RSS-Feed.
Benutzer werden dringend aufgefordert, ihre Installationen auf die gepatchte Version (16.5.8, 16.6.6, 16.7.4, 16.8.1) zu aktualisieren. GitLab.com und GitLab Dedicated Umgebungen sind bereits auf dem neuesten Stand.
Hacker-Gruppen und Kampagnen
Cyberangriff auf AnyDesk
AnyDesk, ein Anbieter von Remote-Desktop-Software, wurde Opfer eines Cyberangriffs auf seine Produktionssysteme. Das deutsche Unternehmen hat alle relevanten Zertifikate widerrufen, betroffene Systeme ersetzt und empfiehlt Nutzern, ihre Passwörter zu ändern. Es wird auch geraten, die neueste Softwareversion herunterzuladen, die mit einem neuen Code-Signing-Zertifikat signiert wurde. Der genaue Zeitpunkt und die Details des Angriffs sind unbekannt, aber es gibt keine Hinweise darauf, dass Endbenutzersysteme betroffen sind.
Cloudflare gibt Cyberangriff bekannt
Am 1. Februar 2024 gab Cloudflare bekannt, dass sein Atlassian-Server von einem vermuteten „Nation-State-Angreifer“ gehackt wurde. Dieser erlangte Zugriff auf Confluence, Jira und Bitbucket.
Der Angriff begann am 14. November, wobei gestohlene Zugangsdaten aus dem Okta-Breaches im Oktober 2023 verwendet wurden. Cloudflare entdeckte die Aktivität am 23. November, stoppte den Zugriff am 24. November und startete am 26. November eine forensische Untersuchung.
Obwohl der Vorfall keine Auswirkungen auf Kunden hatte, reagierte Cloudflare umfassend. Alle Produktionsanmeldeinformationen wurden rotiert, Testsysteme segmentiert und 4.893 Systeme durch forensische Triage überprüft.
Die Angreifer versuchten erfolglos, auf das nicht in Betrieb genommene Rechenzentrum in São Paulo zuzugreifen. Die Sicherheitsmaßnahmen wurden am 5. Januar abgeschlossen, während Cloudflare weiterhin an Software-Härtung und Sicherheitsmanagement arbeitet.
Wirtschaft, Politik und Kultur
Fragwürdige Skelettkontrolle bei Rewe
Laut einem Bericht von netzpolitik.org wird in einem Berliner Rewe-Supermarkt eine neue Generation von Kassentechnologien getestet. Das „Pick-&-Go“-System erlaubt es den Kunden, Waren aus dem Regal zu nehmen, ohne sie zu scannen, und am Ende automatisch über eine Handy-App abzurechnen. Das System basiert auf Überwachung durch Hunderte von Kameras, die Bewegungen erfassen und sogar ohne Gesichtserkennung individuelle Kunden verfolgen können.
Die Technologie verwendet eine „Skelettkontrolle“, die eine schematische Darstellung des Knochenbaus der Kunden beinhaltet. Diese Daten werden in der Cloud außerhalb der EU gespeichert und von künstlicher Intelligenz ausgewertet. Das System soll laut Rewe keine biometrischen Daten erfassen, obwohl es auf „skelettbasierter Gangart-Erkennung“ basiert.
Die gesammelten Daten ermöglichen nicht nur eine automatische Abrechnung, sondern auch die Analyse von Kundenbewegungen im Laden. Rewe kann herausfinden, wie lange Kunden sich im Markt aufhalten, welche Wege sie gehen und welche Produkte sie wählen. Das System soll auch dabei helfen, Diebstähle um 70 Prozent zu reduzieren.
Es bleibt jedoch unklar, ob die Kunden ausdrücklich in das System einwilligen müssen. Rewe gibt an, dass deutliche Datenschutzhinweise im Laden angebracht sind, die genaue Zustimmung der Kunden wird jedoch nicht klar kommuniziert.
Ex-CIA-Offizier zu 40 Jahren Haft verurteilt
Der ehemalige CIA-Softwareentwickler Joshua Adam Schulte wurde wegen Spionage, Computer-Hacking, Missachtung des Gerichts, Falschaussagen gegenüber dem FBI und Kinderpornografie zu 40 Jahren Haft verurteilt. Seine Taten umfassen den größten Datendiebstahl in der CIA-Geschichte, bei dem gestohlene Informationen an WikiLeaks weitergegeben wurden. Die Veröffentlichung der „WikiLeaks Disclosures“ führte zu erheblichen Schäden für die nationale Sicherheit der USA. Zusätzlich wurde Schulte des Besitzes und der Verbreitung von Kinderpornografie schuldig gesprochen. Neben der Haftstrafe wurde ihm lebenslange Überwachung auferlegt. Die Ermittlungen und Gerichtsverfahren erstreckten sich von 2012 bis zu seinem Urteil am 13. September 2023.
Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.
Danke für’s lesen und bis zum nächsten Mal – stay safe!