Kritische Sicherheitslücke in Apache Struts, Neues KV-Botnet bedroht Cisco, DrayTek und Fortinet Geräte, Massives Datenleck bei Delta Dental of California, EU beschließt Schutzmaßnahmen für Journalisten vor staatlichem Hacken, Sicherheitsbedenken in der Gesundheitsdigitalisierung und Ex-Sicherheitsingenieur gesteht Krypto-Hacks.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Wie immer auch auf Youtube und Peertube.
Schwachstellen und Exploits
Kritische Sicherheitslücke in Apache Struts
Eine gravierende Sicherheitslücke, identifiziert als CVE-2023-50164, wurde in Apache Struts Versionen 2.0.0 bis 6.3.0 entdeckt. Diese Schwachstelle ermöglicht Path Traversal durch das manipulieren von Datei-Upload-Parametern und damit, das hochladen von schädlichen Dateien, was zu einer Remote Code Execution führen kann. Der kritische Score der Schwachstelle beträgt 9.8.
Anwender werden eindringlich gebeten, auf die Versionen Struts 2.5.33 oder Struts 6.3.0.2 oder höher zu aktualisieren, um diese Sicherheitslücke zu schließen und potenzielle Risiken zu minimieren.
Hacker-Gruppen und Kampagnen
Neues KV-Botnet bedroht Cisco, DrayTek und Fortinet Geräte
Ein aktueller Bericht enthüllt ein neues Botnetz namens KV-Botnet, das sich auf Firewalls und Router von Cisco, DrayTek, Fortinet und NETGEAR konzentriert. Die beiden Clustern KY und JDY sind seit mindestens Februar 2022 aktiv und infizieren Geräte am Netzwerkrand. Das Botnetz wird von China aus gesteuert, und es wird vermutet, dass der Akteur Volt Typhoon es nutzt.
Microsoft hebt hervor, dass das Botnetz versucht, sich in normale Netzwerkaktivitäten einzufügen, wobei der genaue Infektionsmechanismus noch unbekannt ist. Das Botnetz kann Dateien hoch- und herunterladen, Befehle ausführen und hat kürzlich Axis-IP-Kameras als potenzielle Ziele hinzugefügt. Ein bemerkenswerter Aspekt ist, dass alle Tools offenbar ausschließlich im Arbeitsspeicher vorhanden sind, was die Erkennung erschwert.
Massives Datenleck bei Delta Dental of California
Delta Dental of California und seine Tochterunternehmen warnen vor einem umfangreichen Datenleck, bei dem persönliche Informationen von nahezu sieben Millionen Patienten durch eine Schwachstelle in der MOVEit Transfer Software kompromittiert wurden.
Über die MOVEit Schwachstellen haben wir im Juni und Juli diesen Jahres bereits mehrfach berichtet. Zu diesem Zeitpunk war bereits klar, dass das Thema noch ein paar mal seinen hässlichen Kopf zeigen wird. In diesem Fall scheint es, dass die Meldung zwar jetzt erst veröffentlicht wurde, der Angriff aber bereits im Mai stattgefunden hatte.
In diesem Fall wurde die SQL-Injection-Schwachstelle in MOVEit von der Clop-Ransomware-Gruppe ausgenutzt. Von dem Vorfall betroffen sind 6.928.932 Kunden, deren persönliche Informationen, darunter Namen, Finanzkontonummern sowie Angaben zu Kredit- und Debitkarten einschließlich Sicherheitscodes.
Wirtschaft, Politik und Kultur
EU beschließt Schutzmaßnahmen für Journalisten vor staatlichem Hacken
EU-Institutionen erzielten eine Einigung über den European Media Freedom Act (EMFA), der Journalisten vor staatlicher Überwachung schützen soll. Trotz fehlender Ausnahme für nationale Sicherheit wurde der Schutz vor staatlichem Hacken in den Verhandlungen geschwächt.
Ein zentraler Streitpunkt war der Einsatz von Spyware. Der Kompromiss sieht vor, dass die umstrittene Formulierung zur nationalen Sicherheit entfernt wurde, stattdessen jedoch ein allgemeiner Hinweis auf die EU-Verträge eingeführt wurde.
Der EMFA schreibt nun vor, dass staatliche Behörden für Überwachungsmaßnahmen gegen Journalisten eine richterliche Bestätigung benötigen und ein „überwiegendes öffentliches Interesse“ vorliegen muss. Journalisten müssen zudem informiert werden, wenn sie gehackt wurden.
Die Einigung betrifft auch andere strittige Punkte des EMFA, darunter die „Medienausnahme“ und die Schaffung des europäischen Medienboards. Die Zustimmung des Ministerrats und des EU-Parlaments steht noch aus, wird jedoch als Formsache betrachtet. Die Abstimmung im Parlament ist für März 2024 geplant. Trotz gemischter Reaktionen wird die Verordnung als Fortschritt für die Informationsfreiheit in der EU betrachtet.
Sicherheitsbedenken in der Gesundheitsdigitalisierung
Der Bundestag hat am 14. Dezember zwei Gesetzesentwürfe zur Digitalisierung des Gesundheitswesens verabschiedet, die von Bundesgesundheitsminister Karl Lauterbach als „Quantensprung“ gepriesen wurden. Während das Digital-Gesetz die flächendeckende Einführung des E-Rezepts und der elektronischen Patientenakte (ePA) vorsieht, regelt das Gesundheitsdatennutzungsgesetz die Nutzung von Gesundheitsdaten für die Forschung.
In der Plenardebatte wurden jedoch Datenschutz- und Sicherheitsbedenken weitgehend ignoriert. Trotz Warnungen von Organisationen wie der Verbraucherzentrale Bundesverband und dem Chaos Computer Club wurden diese als unbegründet abgetan. Minister Lauterbach setzt auf einen Opt-out-Mechanismus für Versicherte und modernste Technologie, während Kritiker auf Kryptografie und Anonymisierung pochen.
Im Parlament stießen die Sicherheitsbedenken auf taube Ohren. SPD-Abgeordneter Matthias Mieves verneinte Gefahren für Gesundheitsdaten und betonte, dass die elektronische Patientenakte den Versicherten „die Hoheit über ihre Daten“ gebe. Die Risiken einer zentralen Speicherung, wie von Experten Ende November aufgezeigt, wurden nicht thematisiert.
Ex-Sicherheitsingenieur gesteht Krypto-Hacks
Shakeeb Ahmed, ein ehemaliger Sicherheitsingenieur eines internationalen Technologieunternehmens, hat sich schuldig bekannt, zwei dezentrale Kryptowährungsbörsen gehackt zu haben. Die Anklage betrifft den Hack der Crypto Exchange im Juli 2022 und einen weiteren Angriff auf Nirvana Finance. Ahmed, der seine technischen Fähigkeiten für den Diebstahl von über 12 Millionen US-Dollar einsetzte, hat zugegeben, die gestohlenen Gelder zurückzugeben.
Ahmed nutzte sein Wissen als Sicherheitsingenieur, um im Juli 2022 die Crypto Exchange zu hacken. Dabei manipulierte er einen Smart Contract und verursachte gefälschte Preisdaten, die zu überhöhten Gebühren führten. In einem weiteren Angriff auf Nirvana kaufte er mithilfe eines Flash-Kredits ANA-Tokens zu einem niedrigen Preis und verkaufte sie später zu einem höheren Preis an Nirvana, was zu einem Gewinn von 3,6 Millionen US-Dollar führte. Nirvana schloss aufgrund des Verlusts.
Ahmed versuchte, die Herkunft der gestohlenen Gelder zu verschleiern, indem er verschiedene Methoden wie Token-Swap-Transaktionen, „Bridging“ von Betrugsgeldern zwischen verschiedenen Blockchains und den Einsatz von Kryptowährungsmixern nutzte.
Der 34-jährige Ahmed bekannte sich schuldig und akzeptierte die Zahlung von über 5 Millionen US-Dollar als Wiedergutmachung. Das Strafmaß wird am 13. März 2024 vor Richter Victor Marrero festgelegt.
Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.
Damit verabschieden wir uns in die Weihnachtspause. Wir wünschen euch allen frohe Weihnachten und einen guten Rutsch ins neue Jahr. Danke für’s lesen und bis zum nächsten Mal – stay safe!
