Die Weekly Hacker News

DevOps-Plattform „CircleCI“ gibt Sicherheitsvorfall bekannt, Patch für schwerwiegende Sicherheitslücke in Netgear Routern, Zoho warnt vor schwerer Sicherheitslücke in ManageEngine Password Manager Pro, Sicherheitslücke mit höchstem Gefährdungsgrad im Synology VPN Plus Server entdeckt, Neue Exploit-Methode für Exchange Server entdeckt (ProxyNotShell), LockBit entschuldigt sich für Angriff auf Kinderkrankenhaus und beansprucht Ransomware-Angriff auf Hafen von Lissabon für sich, Gehackte Deezer- und Twitter-Daten nun auf „Have I been pwned“-Plattform, ein kurzer Überblick der Cyber-Angriffe in Deutschland aus den letzten zwei Wochen, Meta zu 390 Millionen Euro Strafe verurteilt und gebrauchte Militärausrüstung auf Ebay beinhalten sensible Daten – das sind die Hacker News der Woche.


Liebe Leser,

erst einmal möchten wir Euch ein gesundes und erfolgreiches neues Jahr wünschen.

Schnappt Euch ein Getränk Eurer Wahl, denn diesmal fallen die News aufgrund der Feiertage und unserer Pause etwas größer aus. Wir haben hier einige der wichtigsten und interessantesten Ereignisse der letzten zwei Wochen zusammen getragen.

Wohl bekomm´s :-)

Euer LastBreach Team


Die Weekly Hacker News sind als Audio Version auf Youtube, PeerTube oder via rss.com auf diversen Podcast Plattformen verfügbar.


Schwachstellen und Exploits

DevOps-Plattform „CircleCI“ gibt Sicherheitsvorfall bekannt

Am 4. Januar 2023 informierte CircleCI seine Kunden über einen Sicherheitsvorfall in einem Blogbeitrag. Viel ist zu dem Vorfall auf der Seite nicht zu lesen. Derzeit laufen Untersuchungen zum Vorfall und man würde die Kunden auf dem Laufenden halten. Zum aktuellen Zeitpunkt geht das Unternehmen davon aus, dass keine Unbefugten in ihren Systemen unterwegs sind.

Allerdings wird aus Gründen der Vorsicht dennoch dazu geraten, Präventivmaßnahmen zu ergreifen. Alle Geheimnisse, die auf CircleCi gespeichert sind, sollen rotiert werden. Außerdem wird angeraten, nach Abschluss der Rotation, die internen Protokolle der Systeme ab dem 21. Dezember 2022 bis zum 4. Januar 2023 auf unbefugte Zugriffe zu überprüfen. Auch Projekt-API-Tokens sind von CircleCI ungültig gemacht worden, welche nun ersetzt werden müssen.

Das Unternehmen entschuldigt sich für die Beeinträchtigung und möchte in den kommenden Tagen genaueres bekannt geben.

Patch für schwerwiegende Sicherheitslücke in Netgear Routern

Netgear warnt in einem Sicherheitshinweis über eine Sicherheitslücke mit hohem Bedrohungsgrad. Anwender sollen so schnell wie möglich auf die neueste Firmware-Version aktualisieren.

Betroffene Produkte sind: Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) und Wireless AC Router Modelle.

NETGEAR hat Fehlerbehebungen für eine Buffer-Overflow-Sicherheitslücke bei den folgenden Produktmodellen veröffentlicht:

• RAX40 behoben in Firmware Version 1.0.2.60

• RAX35 behoben in Firmware Version 1.0.2.60

• R6400v2 behoben in Firmware Version 1.0.4.122

• R6700v3 behoben in Firmware Version 1.0.4.122

• R6900P behoben in Firmware Version 1.3.3.152

• R7000P behoben in Firmware Version 1.3.3.152

• R7000 behoben in Firmware Version 1.0.11.136

• R8000P behoben in Firmware Version 1.4.4.94

Anwender mit betroffenen Produkten gelangen unter diesem Link zum Security Advisory und den Patches.

Zoho warnt vor schwerwiegender Sicherheitslücke in ManageEngine Password Manager Pro

Der Anbieter für Unternehmenssoftware Zoho warnte in einer Sicherheitsmeldung am 2. Januar 2023 vor einer schwerwiegenden Sicherheitslücke in ManageEngine Password Manager Pro.

Bei der entdeckten Lücke CVE-2022-47523 handelt es sich um eine SQL-Injection Schwachstelle. Ein Angreifer kann bei erfolgreicher Ausnutzung, unautorisierten Zugriff auf die Backend-Datenbank von Password Manager Pro erhalten.

Auch Access Manager Plus und PAM360 sind von der Schwachstelle betroffen. Alle Anwender werden in dem Warnhinweis dringend gebeten die verfügbaren Updates zu installieren.

Sicherheitslücke mit höchstem Gefährdungsgrad im Synology VPN Plus Server entdeckt

Der NAS-Hersteller Synology warnt vor der Sicherheitslücke CVE-2022-43931 mit einem kritischen CVSS 3 Base Score 10 von 10.

Betroffene Produkte sind Synology VPN Plus Server SRM 1.3 und SRM 1.2. Die Kunden sollen schnellstmöglich auf die neueste verfügbare Version aktualisieren.

Die schwere Sicherheitslücke erlaubt entfernten Angreifern die Ausführung von beliebigen Befehlen über die anfälligen Versionen von Synology VPN Plus Server.

Mehr gibt der Hersteller Synology leider nicht bekannt in seinem Warnhinweis.

Neue Exploit-Methode für Exchange Server entdeckt (ProxyNotShell)

Sicherheitsforscher von Crowdstrike haben in einem Bericht vom 20. Dezember eine neue Exploit-Methode für Exchange Server zur Umgehung von ProxyNotShell-Abwehrmechanismen bekannt gegeben.

Die neue Exploit-Methode mit der Bezeichnung „OWASSRF“ besteht aus den Sicherheitslücken CVE-2022-41080 und CVE-2022-41082. Anhand der neuen Angriffsmethode können Angreifer über Outlook Web Access (OWA) Code aus der Ferne ausführen (RCE). Diese Ausnutzungsmethode umgeht die von Microsoft veröffentlichte Abhilfemaßnahme.

Angreifer haben dadurch die Möglichkeit Schadsoftware auf den Zielsystemen zu installieren. Die Forscher empfehlen den Unternehmen die Patches vom 8. November 2022 für Exchange anzuwenden, um eine Ausnutzung zu verhindern.

Falls der Patch KB5019758 nicht sofort eingespielt werden kann, soll OWA deaktiviert werden bis der Patch installiert ist. Sofern möglich, soll RemotePowerShell für nicht-administrative Benutzer, deaktiviert werden.

Es sollen außerdem, erweiterte EDR-Tools (Endpoint Detection and Response) auf allen Endpunkten eingesetzt werden, um Webdienste zu erkennen, die PowerShell- oder Befehlszeilenprozesse auslösen.

Die Forscher bieten auf GitHub ein kostenloses Skript an, um die Exchange-Server auf Anzeichen einer Ausnutzung, die in IIS- und Remote PowerShell-Protokollen sichtbar sind, zu überwachen.

Laut einer Meldung der Shadowserver Foundation sind nachwievor über 10.000 ungeschützte MS Exchange Server aus Deutschland im Internet erreichbar.


Hacker-Gruppen und Kampagnen

LockBit entschuldigt sich für Angriff auf Kinderkrankenhaus

Am 19. Dezember 2022 gab das Hospital for Sick Children, ein Lehrkrankenhaus für Kinder in Toronto, einen Cybersicherheitsvorfall bekannt. Sie riefen den Code Grey aus, was ein Systemausfall bedeutet.

Das Krankenhaus schreibt, dass keine persönlichen Daten oder Gesundheitsinformationen betroffen wären. Sie leiteten außerdem direkt Untersuchungen ein, um die Art und den Umfang des Sicherheitsvorfalls zu ermitteln.

Wie sich herausstellte, war ein Partner der Ransomware-Gruppe Lockbit dafür verantwortlich. Allerdings verstieß dieser gegen die Regeln der kriminellen Bande, weshalb der nun blockiert sei und nicht mehr im Partnerprogramm teilnehmen darf, so Lockbit in seiner öffentlichen Entschuldigung am 31. Dezember 2022. (Screenshot, Tweet von @DailyDarkWeb) Außerdem stellten sie ein kostenloses Entschlüsselungstool zur Verfügung, damit das Kinderkrankenhaus seine Daten wiederherstellen kann.

Am 5. Januar 2023 gab das Krankenhaus bekannt, dass der Code Grey aufgehoben wurde und die überwiegende Mehrheit der vorrangigen Systeme wiederhergestellt wurden.

Ransomware-Angriff auf Hafen von Lissabon - LockBit beansprucht Attacke für sich

Der Hafen von Lissabon wurde Opfer einer Cyberattacke laut der portugiesischen Zeitung „Publico“.

Der Betrieb sei durch den Angriff nicht beeinträchtigt worden, so das Unternehmen. Alle Sicherheitsprotokolle und Reaktionsmaßnahmen, die für solche Vorfälle vorgegeben sind, wurden schnell aktiviert.

Die Webseite des Hafens www.portodelisboa.pt war kurzzeitig nicht erreichbar. Die Ransomware-Bande Lockbit droht damit, die Daten am 18. Januar 2023 zu veröffentlichen, wenn die Zahlung nicht erfolgen sollte.

Gehackte Deezer- und Twitter-Daten nun auf „Have I been pwned“-Plattform

Deezer:

Auf der Plattform “Have I been pwned” können Internetnutzer überprüfen, ob ihre persönlichen Daten durch Datenschutzverletzungen kompromittiert worden sind.

Nun sind dort auch die gestohlenen Daten vom Musik-Streaming-Dienst Deezer hinterlegt. Die Daten wurden 2019 von einem Drittanbieter gestohlen, so Deezer in seiner Erklärung.

Es sollen nicht-sensible Daten der Nutzer offengelegt worden sein und es sei auch nichts über einen Missbrauch der Daten bekannt, schreibt Deezer.

Laut “Have I been pwned” sind in den gestohlenen Daten jedoch Geburtsdaten, E-Mail-Adressen, Geschlechter, geografische Standorte, IP-Adressen, Namen, gesprochene Sprachen und Benutzernamen enthalten. Es handelt sich um 229.037.936 kompromittierten Konten und sind nun seit dem 2. Januar 2023 auf der Plattform verfügbar.

Anwender des Musik-Streaming-Dienstes können auf der Seite www.haveibeenpwned.com jetzt prüfen ob sie von dem Datenleak betroffen sind.

Twitter:

Auch zu Twitter hat HaveIBeenPwned folgendes Update: „Anfang 2023 tauchten in einem beliebten Hackerforum über 200 Millionen Datensätze auf, die von Twitter abgegriffen wurden. Die Daten wurden irgendwann im Jahr 2021 durch den Missbrauch einer API gewonnen, welche die Auflösung von E-Mail-Adressen in Twitter-Profile ermöglichte. Die anschließenden Ergebnisse wurden dann zu einem Datenkorpus zusammengestellt, der neben E-Mail-Adressen auch öffentliche Twitter-Profilinformationen wie Namen, Nutzernamen und Followerzahlen enthielt.“


Der massive Twitter Leak ist neben dem kürzlichen LastPass Hack ein weiteres Problem, dass viele Personen im Internet gefährdet. Wir haben es uns zur Aufgabe gemacht, Mitarbeiter aus allen Bereichen zu schulen, damit Unternehmen Angriffe und Risiken frühzeitig erkennen und Schäden verhindern können.

Mit dem Wissen, dass wir dir und deinen Kolleginnen und Kollegen auf unserer Lernplattform auf interessante Weise vermitteln, kannst du viele Vorgehensweisen auf logische Weise verstehen und dadurch bewusster mit dem Thema IT-Sicherheit umgehen. Diese Aufmerksamkeit gegenüber Bedrohungen in der digitalen Welt kommt nicht nur der Firma zugute, sondern auch Dir und Deinem gesamten Umfeld, mit dem Du das Wissen sicher auch gerne teilst.

Schreib uns auf unserer Webseite oder an kontakt@lastbreach.com und wir zeigen dir gerne, wie einfach und effektiv interessante Sicherheitsschulungen für Mitarbeiter sein können.


Es ist viel passiert - Deshalb hier nur kleine Zusammenfassungen über die Cyber-Angriffe der letzten zwei Wochen in Deutschland

• Es gab einen DDoS-Angriff auf die Webseite der Stadt Karlstadt, der zum Ausfall der Internetpräsenz führte.

• Nach einem Cyber-Angriff auf die Technolit GmbH wurden die Mitarbeiter nach Hause geschickt, weil die komplette IT der Firma betroffen war. Details über die Art des Angriffs sind nicht bekannt. Die Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main wurde eingeschaltet.

• Die Infrastruktur der Westsächsischen Hochschule Zwickau musste nach einem Cyber-Angriff heruntergefahren und vom Netz getrennt werden. Ausfall der zentralen Dienste, E-Mail, VPN, Netzlaufwerke sowie der Zugriff auf Client-PCs in PC-Pools und der Verwaltung sind nicht verfügbar. Die Hochschule schreibt: „Nach einer ersten Bestandsaufnahme sind Windows-PCs und -Server, welche am 23.12.2022 eingeschaltet und mit dem internen Netzwerk der WHZ verbunden waren, betroffen.“

• Das Versandhandelsunternehmen SSI Schäfer Shop GmbH meldet einen gezielten Cyber-Angriff. Der Angriff wurde durch die interne IT festgestellt. Schutzmaßnahmen sind laut dem Unternehmen sofort erfolgt und das Landeskriminalamt eingeschaltet. Ein spezialisiertes Unternehmen wurde für die Analyse, das Screening und der Wiederherstellung der Systeme beauftragt. Die externen Verbindungen wurden durch den Schäfer Shop getrennt. Leider sollen auch Kundendaten von dem Angriff betroffen sein. Der Webshop, die Telefonanlage und die Logistik sind eingeschränkt.

• Cyber-Angriffe auf das Weseler und das Braunschweiger Stadtgutschein-Portal sorgten dafür, dass die beiden Webseiten nicht erreichbar waren.

• Mehrere Lotto-Anbieter sind von Cyber-Attacken betroffen. Darunter Lotto aus Sachsen-Anhalt, Brandenburg, Schleswig-Holstein und Rheinland-Pfalz. Die Webseiten waren für Tippspiele nicht erreichbar. Ob Kundendaten betroffen sind, ist nun leider abzuwarten.

• Aufgrund eines Cyber-Angriffs auf die IT-Infrastruktur der Hochschule für Angewandte Wissenschaften Hamburg (HAW Hamburg) und um weitere Schäden zu vermeiden, wurde die gesamte Kommunikationsinfrastruktur vorsorglich stillgelegt. Die Einschränkungen betreffen die gesamte Hochschule mit allen Bereichen. Die Studenten werden unter anderem auf Facebook über die aktuelle Lage informiert.

• Die Landeshauptstadt Potsdam musste nach einem Cyber-Angriff vorsorglich die Internetverbindung der Verwaltung abschalten. Auf der Webseite der Stadt ist zu lesen: „Durch das Abschalten der Netzwerkverbindungen kann die Verwaltung derzeit keine E-Mails senden oder empfangen. Auch sämtliche Verfahrenssoftware kann aktuell nur eingeschränkt genutzt werden. Insbesondere Anträge von Personalausweisen und Reisepässen bzw. An- und Ummeldungen sind derzeit nicht möglich. Die Telefone sind davon nicht betroffen.“ Infos für die Bürger der Stadt, gibt es auch auf Twitter.


Wirtschaft, Politik und Kultur

Meta zu 390 Millionen Euro Strafe verurteilt

Die Datenschutzkommission (DPC) hat eine Entscheidung getroffen. Meta Platforms Ireland Limited soll für Verstöße gegen die Datenschutzgrundverordnung im Zusammenhang mit dem Facebook-Dienst 210 Millionen Euro und für Verstöße im Zusammenhang mit dem Instagram-Dienst nochmal 180 Millionen Euro Geldstrafe zahlen.

Die Klagen gingen am 25. Mai 2018 ein, dem Tag, an dem die DSGVO in Kraft trat.

Um auch nach der Einführung der DSGVO weiterhin Zugriff auf die Facebook- und Instagram-Dienste zu haben, wurden bestehende und neue Nutzer aufgefordert, auf "Ich akzeptiere" zu klicken, um ihr Einverständnis mit den geänderten Nutzungsbedingungen zu bestätigen. Andernfalls hätten die User die Dienste nicht mehr nutzen können. Meta Ireland ist der Meinung, dass durch die Annahme der aktualisierten Nutzungsbedingungen ein Vertrag zustande kam und sie dadurch auch personalisierte Dienste bereitstellen müssen. Dazu gehört auch verhaltensorientierte Werbung und wäre somit rechtmäßig.

Die Kläger hingegen, sehen die Sachlage ganz anders. Die Einwilligung wurde faktisch erzwungen, um den Dienst auch weiterhin nutzen zu können. Deshalb war es ihrer Meinung nach ein Verstoß gegen die Datenschutz-Grundverordnung.

Meta möchte das Urteil nicht hinnehmen. Der Konzern erwägt in Berufung zu gehen.

Gebrauchte Militärausrüstung auf Ebay beinhalten sensible Daten

Wie Netzpolitik.org berichtet, gibt es gebrauchte Militärausrüstung auf Ebay zu kaufen. Das Fatale daran, die Geräte kommen einschließlich Fingerabdrücke, Iris-Scans und Fotos, die das US-Militär in Afghanistan mit den Geräten gesammelt hat.

Der Chaos Computer Club hat einige militärische Geräte auf Ebay ersteigert und untersucht. Die Daten waren durch das Standard-Passwort der Hersteller leicht zugänglich. Matthias Marx vom Chaos Computer Club beschreibt diesen „Schutz“ als Lachnummer, denn die Standard-Passwörter sind über die jeweiligen Anleitungen der Hersteller leicht ausfindig zu machen.

Die biometrischen Daten auf den ausgedienten Geräten könnten für Soldaten und Entwicklungshelfer zur Gefahr werden.

Auf Anfrage von netzpolitik.org schreibt Marx: "Die Daten liegen offen, wie auf einem USB-Stick. Man kann das Gerät starten, das Standardpasswort eingeben und über die dafür vorgesehene grafische Oberfläche in den Daten stöbern" und „Als Betriebssystem kommt das verstaubte Windows XP Embedded zum Einsatz. "Absolut unsicher" und "höchst rücksichtslos"

Bei dem Ebay-Einkauf kamen die Daten von 2.632 Personen zusammen. In den Daten waren 2.300 Gesichter, 2.946 Iris-Scans und 24.078 Fingerabdrücke enthalten. Anhand der GPS-Koordinaten eines Geräts, kann der Einsatz in Afghanistan bewiesen werden.

Für alle die noch mehr Details lesen und ansehen möchten, haben wir hier den Link zur Präsentation in PDF Format. (HIDE and SEEK über die Biometrie-Datenbank des US-Militärs von kantorkel, snoopy, starbug und andere)


Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für's lesen und bis zum nächsten Mal - stay safe!