Kritische Schwachstelle in mehr als 100 Lexmark Druckern, mehrere Sicherheitslücken in vRealize Log Insight von VMware gefunden, Killnet führt großangelegten Angriff auf Deutschland durch, Cyberangriff auf Sky Kunden, DocMorris sperrt 20.000 Kundenkonten nach Cyberangriff, Daten des IT-Dienstleisters Bitmarck gestohlen und Europol unterstützt bei HIVE Shutdown – das sind die Hacker News der Woche.
Die Weekly Hacker News gibt es auch als Audio Version auf Youtube, Peertube, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Kritische Schwachstelle in mehr als 100 Lexmark Druckern
Lexmark hat in mehr als 100 Druckermodellen eine kritische Sicherheitslücke entdeckt. Die Schwachstelle mit der Bezeichnung CVE-2023-23560 ermöglicht es einem Angreifer, Server-Side Request Forgery (SSRF) Angriffe durchzuführen.
Server-Side Request Forgery (SSRF) ist eine Sicherheitslücke, die es Angreifern ermöglicht, auf interne Ressourcen eines Servers zuzugreifen, indem sie manipulierte Anforderungen an den Server senden.
Ein anfälliger Drucker kann durch diese Schwachstelle von Angreifern ausgenutzt werden, um Zugang zum Netzwerk zu erlangen, an dem der Drucker angeschlossen ist. Wenn der Drucker dann erfolgreich kompromittiert ist, können vertrauliche Dokumente und Anmeldeinformationen für das Netzwerk, an das der Drucker angeschlossen ist, durch Zugriff auf den Druckspooler erlangt werden.
Lexmark hat sowohl ein Sicherheits-Firmware-Update als auch ein Workaround für diese Sicherheitslücke veröffentlicht.
Mehrere Sicherheitslücken in vRealize Log Insight von VMware gefunden
VMware hat kürzlich mehrere kritische Sicherheitslücken in ihrer Produktlinie vRealize Log Insight entdeckt. Diese Lücken ermöglichen es Angreifern, schädlichen Code aus der Ferne auszuführen und sensible Informationen zu sammeln.
Die beiden kritischen Sicherheitslücken mit den Bezeichnungen CVE-2022-31704 und CVE-2022-31706 ermöglichen es einem Angreifer, durch Remotecodeausführung Schaden anzurichten.
Eine weitere Schwachstelle mit der Kennung CVE-2022-31710 wurde als schwerwiegend eingestuft und ermöglicht es einem unauthentifizierten Angreifer, die Deserialisierung von nicht vertrauenswürdigen Daten auszulösen, was zu einem Denial of Service führen kann.
Die vierte Schwachstelle mit der Bezeichnung CVE-2022-31711 ermöglicht es einem Angreifer, aus der Ferne sensible Sitzungs- und Anwendungsinformationen ohne Authentifizierung zu sammeln.
VMware hat die Version 8.10.2 veröffentlicht, um die Probleme zu beheben. Workarounds stehen den Anwendern auch zur Verfügung, falls die Patches nicht sofort angewendet werden können.
Hacker-Gruppen und Kampagnen
Killnet führt großangelegten Angriff auf Deutschland durch
Deutschland hat am Mittwoch einen großangelegten Cyberangriff erlebt, der von der russischen Hackergruppe Killnet ausgeführt wurde.
Der Angriff erfolgte durch gezielte Bombardierung von Servern mit vielen Anfragen, was dazu führte, dass viele der Systeme die Aufgaben nicht mehr bewältigen konnte. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) waren insbesondere Flughafen-Websites, Ziele im Finanzsektor und Websites der Bundes- und Landesverwaltung betroffen.
Auch das Innenministerium in Baden-Württemberg gab bekannt, dass seit Mittwochabend bundesweit DDoS-Attacken auf verschiedene deutsche Webseiten von Institutionen stattfanden, die unter anderem die Bereiche Infrastruktur, Verwaltung und den Internet-Auftritt der Polizei Baden-Württemberg betrafen. Derzeit sind einige Websites nicht erreichbar, es gibt jedoch keine direkten Auswirkungen auf die jeweilige Dienstleistung.
Cyberangriff auf Sky Kunden
Es gab einen Cyberangriff auf Kundenkonten des Medienkonzerns Sky. Ein Kunde erhielt eine E-Mail von Sky, in der er über den Sicherheitsvorfall informiert wurde. Der Kunde zweifelte an der Echtheit der E-Mail und erhielt auf Nachfrage im Sky Community Forum dort eine Bestätigung eines Support Mitarbeiters.
Sky hat IT-Sicherheitsmaßnahmen ergriffen, eine Untersuchung eingeleitet und die betroffenen Kunden schnellstmöglich informiert. Es gibt derzeit keine Anzeichen dafür, dass die Daten missbraucht wurden. Kriminelle hatten nach Aussage des Unternehmens keinen Zugriff auf vollständige Zahlungsdaten, da diese standardmäßig maskiert sind.
DocMorris sperrt 20.000 Kundenkonten nach Cyberangriff
DocMorris, eine Online-Versandapotheke, musste kürzlich rund 20.000 Kundenkonten sperren, nachdem Angreifer Zugangsdaten von Kunden erbeutet hatten.
Laut einem Sprecher wurden jedoch keine Daten gestohlen. Der Angriff, bekannt als Credential-Stuffing-Angriff, erfolgte durch die Verwendung von anderswo erbeuteten Zugangsdaten, um in die Kundenkonten zu gelangen.
DocMorris hat die betroffenen Kunden gemäß der Datenschutzgrundverordnung informiert und die Konten gesperrt. Zusätzlich wurden die niederländischen Behörden eingeschaltet und weitere Maßnahmen ergriffen, um eine Wiederholung des Angriffs in Zukunft zu verhindern.
Daten des IT-Dienstleisters Bitmarck gestohlen
Ein Cyberangriff hat den Gesundheits-IT-Dienstleister Bitmarck getroffen.
Angreifer haben Daten aus dem Projektmanagementtool Jira, sowie aus Unternehmensdatenbanken gestohlen und diese bereits im Darknet zum Verkauf angeboten.
Das Unternehmen gehört zu den größten IT-Dienstleistern der Gesundheitsbranche in Deutschland und verwaltet Daten von 30.000 Angestellten der gesetzlichen Krankenkassen sowie von 25 Millionen Versicherten.
Bitmarck bestätigte gegenüber heise online, dass es am vergangenen Donnerstag zu einem unbefugten Zugriff auf einen Teil der IT-Infrastruktur kam. Das Unternehmen betont jedoch, dass die Systeme, in denen Gesundheitsdaten verarbeitet werden, nicht betroffen sind und die Integrität des betroffenen Systemse wiederhergestellt wurde.
Die Sicherheitsbehörden wurden über den Vorfall informiert.
IT-Sicherheit ist Chef Sache. Dieser Spruch hat sich schon vor langer zeit in der Branche etabliert, ist aber noch nicht in den Köpfen aller Geschäftsführer angekommen. Wer meint, seine IT kümmert sich da bestimmt drum, sollte das Thema auf jeden Fall bei nächster Gelegenheit ansprechen und sich nach dem aktuellen Stand und den laufenden oder geplanten Maßnahmen erkundigen.
Fakt ist: Cybersicherheit ist ein komplexes Thema und vor allem in KMUs fehlt es meist an Know-How oder an Kapatiztät, sich umfassend um die Sicherheit des Unternehmens zu kümmern. Deshalb bieten unsere Expertise an, sowohl durch Beratung und Sicherheitsaudits, als auch durch Schulungen für die Mitarbeiter. Gut geschulte Mitarbeiter sind sehr wichtige Schutzfaktoren und können als „menschliche Firewall“ bezeichnet werden – Ungeschulte hingegen ein Risiko.
Schreib uns einfach unter kontakt@lastbreach.com oder wirf mal einen Blick auf unsere Lernplattform.
Wirtschaft, Politik und Kultur
Europol unterstützt bei HIVE Shutdown
Im letzten Jahr ist HIVE Ransomware als große Bedrohung identifiziert worden, da sie für Angriffe auf große IT- und Ölmultis in Europa und der USA verantwortlich war.
Seit Juni 2021 sind mehr als 1.500 Unternehmen aus über 80 Ländern weltweit Opfer von HIVE geworden und haben fast 100 Millionen Euro an Lösegeldzahlungen verloren.
Der internationale Einsatz beinhaltete Behörden aus 13 Ländern. Die Strafverfolgungsbehörden identifizierten die Entschlüsselungsschlüssel und teilten sie vielen Opfern mit, wodurch diese Zugang zu ihren Daten erhielten, ohne dass sie Lösegeld zahlen mussten. Auf diese Weise konnten Lösegeldzahlungen in Höhe von mehr als 130 Millionen US-Dollar oder umgerechnet etwa 120 Millionen Euro verhindert werden.
Europol veröffentlichte am 26. Januar 2023, eine Pressemitteilung, dass die gemeinsam mit den Behörden aus Deutschland, den Niederlanden und den USA die Infrastruktur der HIVE Ransomware-Bande abgeschaltet haben.
Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!