Backdoor für Macs, kritische Sicherheitslücken in Ivanti Endpoint Manager, Apache OfBiz ERP und Barracuda’s ESG-Geräten, Terrapin-Attacke in SSH entdeckt, Cybercrime-Ring zerschlagen, Leaksmas zu Weihnachten, Hackergruppe attackiert Albanien, Russische Hacker infiltrieren Kyivstar und Polizei zögert bei Palantir.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Wie immer auch auf Youtube und Peertube.
Schwachstellen und Exploits
Neue Gefahr für Macs: SpectralBlur-Backdoor entdeckt
Im Rahmen der „100DaysofYARA“ stießen Sicherheitsforscher auf eine neue macOS-Backdoor namens SpectralBlur, zugeordnet zur nordkoreanischen Hackergruppe TA444. Der Bericht zeigt, wie die Entdeckung von SpectralBlur zu Verbindungen mit der Malware-Familie KANDYKORN führte. SpectralBlur agiert als moderate Backdoor und ermöglicht das Hoch- und Herunterladen von Dateien sowie das Ausführen von Shell-Befehlen. Die Ähnlichkeiten zu KANDYKORN lassen vermuten, dass unterschiedliche Entwickler ähnliche Anforderungen hatten. Die Forscher betonen die wachsende Bedrohung für macOS-Systeme und die Notwendigkeit erhöhter Sicherheitsmaßnahmen, insbesondere in Branchen wie Kryptowährung und Blockchain.
Weitere Details gibt es in den Blogposts 0x77 und 0x78 von Patrick Wardle im Blog objective-see.org.
Ivanti behebt kritische Sicherheitslücke in Endpoint Manager
Ivanti, ein Anbieter von IT-Managementlösungen, hat eine kritische Sicherheitslücke in seiner Endpoint Manager (EPM)-Software bekanntgegeben und entsprechende Sicherheitsupdates veröffentlicht. Die Schwachstelle, als CVE-2023-39336 identifiziert, betrifft EPM 2022 SU4 und alle vorherigen Versionen.
Die kritische Sicherheitslücke, mit einer CVSS-Bewertung von 9,6, ermöglicht es einem Angreifer mit Zugang zum internen Netzwerk, eine nicht spezifizierte SQL-Injektion auszunutzen. Dadurch kann der Angreifer beliebige SQL-Abfragen ohne Authentifizierung durchführen und Ausgaben abrufen. Im schlimmsten Fall könnte dies zu einer Übernahme der Kontrolle über Maschinen führen, auf denen der EPM-Agent läuft. Besonders problematisch ist die Situation, wenn der Kernserver Microsoft SQL Express verwendet, da dies zu Remote Code Execution (RCE) auf dem Kernserver führen kann.
Die Anwender von Ivanti EPM 2021 und EPM 2022 vor SU5 werden dringend aufgefordert, die bereitgestellten Sicherheitsupdates zu installieren.
Obwohl keine aktuellen Hinweise auf Exploits vorliegen, haben staatlich unterstützte Akteure in der Vergangenheit Zero-Day-Schwachstellen in anderen Ivanti-Produkten ausgenutzt, um in Netzwerke von Regierungsorganisationen einzudringen.
Terrapin-Attacke auf SSH-Protokoll entdeckt: Millionen Server gefährdet
Sicherheitsforscher der Ruhr-Universität Bochum haben eine schwerwiegende Sicherheitslücke im SSH-Protokoll identifiziert – die Terrapin-Attacke. Angreifer können die Integrität der Verbindung durch Manipulation von Sequenznummern im Handshake gefährden. Betroffen sind viele SSH-Implementierungen, darunter OpenSSH und PuTTY. Fast 11 Millionen SSH-Server im Internet sind laut der Shadowserver Foundation gefährdet. Die Forscher empfehlen dringend, Patches zu installieren und bieten einen Vulnerability Scanner an, um betroffene Systeme zu identifizieren.
Neue Zero-Day-Sicherheitslücke bedroht Apache OfBiz
In Apache OfBiz, einem Open-Source-ERP-System, wurde eine neue Zero-Day-Sicherheitslücke mit der Bezeichnung CVE-2023-51467 entdeckt. Diese ermöglicht es, die Authentifizierung zu umgehen, indem leere Parameter in einer HTTP-Anfrage verwendet werden. Dies resultiert aus einem unvollständigen Patch für eine vorherige kritische Schwachstelle mit der Bezeichnung CVE-2023-49070. Nutzer sollten dringend auf Version 18.12.11 oder neuer aktualisieren, um potenzielle Bedrohungen zu verhindern. Die Shadowserver Foundation berichtet von Exploit-Versuchen und betont die schnelle Absicherung von Apache OfBiz.
Zero-Day-Lücke in Barracuda’s ESG-Geräten ausgenutzt
Chinesische Hacker haben eine neue Zero Day Lücke in Barracudas Email Security Gateway (ESG) ausgenutzt. Die Schwachstelle mit dem Namen CVE-2023-7102 ermöglichte die Ausführung von Code über präparierte Excel-Anhänge. Die Angreifer, als UNC4841 bekannt, setzten bereits zuvor eine Zero-Day-Schwachstelle in Barracuda-Geräten ein. Die erfolgreiche Ausnutzung führte zur Installation von Backdoors namens SEASPY und SALTWATER. Am 21. Dezember 2023 veröffentlichte Barracuda ein automatisch angewendetes Sicherheitsupdate, es sind keine weiteren Maßnahmen der Kunden erforderlich.
Hacker-Gruppen und Kampagnen
Internationaler Cybercrime-Ring zerschlagen
Ein transnationales Ermittlerteam ist erfolgreich gegen den xDedic-Marktplatz vorgegangen, der illegal Zugangsdaten und persönliche Informationen verkaufte. Nach der Abschaltung im Jahr 2019 wurden weltweit 19 Personen auf verschiedenen Ebenen des Betriebs angeklagt. Die Täter nutzten über 700.000 kompromittierte Server für illegale Aktivitäten wie Steuerbetrug. Die Strafen für die Angeklagten reichen von 12 Monaten bis zu 78 Monaten Haft. Internationale Zusammenarbeit führte zu 17 Anklagen und/oder Auslieferungen in die USA.
Wenn Santa hackt: Cyberkriminelle feiern ‚Leaksmas‘
Während der festlichen Jahreszeit starteten Cyberkriminelle im Dark Web das „Leaksmas“-Event, bei dem enorme Mengen an persönlichen Daten veröffentlicht wurden. Unter dem Label „Free Leaksmas“ teilten Hacker Datenlecks als „Dank“ untereinander. Opfer in den USA, Peru, Frankreich und anderen Ländern sind mit Kontenübernahmen, Identitätsdiebstahl und finanziellen Betrügereien konfrontiert.
Ein besonders alarmierender Vorfall in Peru betraf Movistar, einen führenden Telekommunikationsanbieter, der über 22 Millionen Datensätze verlor. Andere Länder, darunter Chile, die Philippinen und Italien, wurden ebenfalls getroffen. Die Gruppe SiegedSec, bekannt für Datenlecks aus Idaho, behauptet, in nicht näher benannte Regierungsressourcen eingedrungen zu sein. Die „Five Families“, eine Hacktivisten-Allianz, leiteten ebenfalls Datenlecks ein.
Die Auswirkungen sind erheblich und könnten Millionen von Dollar an Schäden verursachen. Die Cyberkriminellen kündigten weitere Aktionen im kommenden Jahr an.
Wirtschaft, Politik und Kultur
Hackergruppe ‚Homeland Justice‘ attackiert Albanien
Die pro-iranische Hackergruppe „Homeland Justice“ führte kürzlich einen Cyberangriff auf Albanien mit der No-Justice-Wiper-Malware durch. Diese schädliche Software verursacht einen irreparablen Systemabsturz. Die Gruppe, aktiv seit Juli 2022, setzte ihre destruktiven Angriffe fort, mit dem angegebenen Ziel, Anhänger von Terroristen zu beeinträchtigen. Unter den betroffenen Einrichtungen befanden sich ONE Albania, Eagle Mobile Albania, Air Albania und das albanische Parlament. Die eingesetzten Werkzeuge umfassen einen ausführbaren Wiper sowie ein PowerShell-Skript.
Russische Hacker löschen Kyivstar Systeme
Wie aus einem Bericht von Reuters hervorgeht, hatten russische Hacker seit Mai 2023 Zugang zum System des ukrainischen Telekommunikationsunternehmens Kyivstar und führten am 12. Dezember 2023 eine groß angelegte Löschaktion durch. Der Cyberangriff im Dezember führte zu einem Ausfall der Dienste für 24 Millionen Nutzer. Der Security Service der Ukraine (SBU) vermutet die russische Einheit Sandworm als Täter. Der Angriff hatte wenig Auswirkungen auf die ukrainische Armee, und Kyivstar konnte die Dienste schnell wiederherstellen. Der Cyber-Spionage Chef der Ukraine nennt diesen Angriff eine Warnung für alle westlichen Länder zur Anfälligkeit kritischer Infrastrukturen für Cyberangriffe.
Palantir-Nutzung bei Polizei: Bundesländer zögern nach Urteil
Nach dem Palantir-Urteil vom Februar 2023, das die automatisierte Datenverarbeitung bei der Polizei strenger regelte, wurde die Nutzung von Palantir-Software bei deutschen Polizeien in Frage gestellt. Die Mehrheit der Bundesländer zeigt wenig Interesse. Das Urteil betonte den Schutz datenschutzrechtlicher Grundsätze und führte zu strengeren Regeln für die Datenanalyse. Palantir, ein umstrittener US-Konzern, liefert entsprechende Analysewerkzeuge an deutsche Polizeien. Die Bundesländer Hamburg, Berlin und Baden-Württemberg prüfen noch, während Bayern, NRW und Hessen bereits Palantir nutzen. Bedenken bezüglich Verfassungsmäßigkeit und Datenschutz bleiben bestehen, mit angekündigten Verfassungsbeschwerden.
Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.
Danke für’s lesen und bis zum nächsten Mal – stay safe!
