Die Weekly Hacker News – 17.07.2023

von | Jul 17, 2023 | News | 0 Kommentare

Kritische Sicherheitslücke in Cisco SD-WAN vManage, Zero-Day-Lücke in Zimbra Collaboration Suite, SonicWall warnt vor kritischen Sicherheitslücken, Update zu MoveIt Transfer Angriffen, Microsoft stoppt Cyberangriff, aktuelle Phishing Warnungen, Regierungen bereiten sich auf Cyberangriff vor und Daten der Schweizer Polizei im Darknet gelandet.


Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.

Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.

Inhalt laden


Schwachstellen und Exploits

Kritische Sicherheitslücke in Cisco SD-WAN vManage

Cisco hat kürzlich eine kritische Sicherheitslücke in der eigenen SD-WAN vManage-Software entdeckt.

Die Lücke CVE-2023-20214 erhält einen Score von 9,1 und betrifft die Überprüfung von Authentifizierungsanfragen für die REST-API. Sie ermöglicht einem nicht authentifizierten Angreifer den Zugriff auf die Konfiguration einer betroffenen Cisco SD-WAN vManage-Instanz.

Die Schwachstelle entsteht durch unzureichende Validierung der Anfragen bei Verwendung der REST-API. Ein Angreifer kann diese Lücke ausnutzen, indem er manipulierte API-Anfragen an eine betroffene vManage-Instanz sendet. Dadurch kann der Angreifer auf Informationen aus der Konfiguration zugreifen und sie manipulieren.

Es ist wichtig zu beachten, dass diese Schwachstelle ausschließlich die REST-API betrifft und keine Auswirkungen auf die webbasierte Benutzeroberfläche oder die Kommandozeile hat.

Um diese Sicherheitslücke zu beheben, hat Cisco Software-Updates veröffentlicht.

Zero-Day-Lücke in Zimbra Collaboration Suite

In der Zimbra Collaboration Suite Version 8.8.15 wurde eine Sicherheitslücke festgestellt, die potenziell die Vertraulichkeit und Integrität von Daten beeinträchtigen kann, heißt es in dem Warnhinweis vom Hersteller. Tatsächlich soll die Zero-Day-Lücke aber bereits aktiv ausgenutzt werden laut Sicherheitsforscherin Maddie Stone.

Bei der aufgedeckten Sicherheitslücke handelt es sich um eine Form von reflected Cross-Site Scripting (XSS). Diese Art von Angriffen ermöglicht es potenziellen Angreifern, sensible Benutzerdaten zu stehlen oder bösartigen Code im Kontext eines Benutzers oder Admins des verwundbaren Systems auszuführen.

Um die Bedrohung zu verringern, wird Administratoren empfohlen, einen vorübergehenden manuellen Fix auf ihren Mailbox-Knoten anzuwenden, bis das offizielle Update im Juli veröffentlicht wird.

SonicWall warnt vor kritischen Sicherheitslücken

SonicWall hat eine wichtige Sicherheitsmitteilung veröffentlicht, um auf eine Reihe von Sicherheitslücken hinzuweisen, die die GMS/Analytics-Software betrifft.

Derzeit arbeitet SonicWall daran, 15 Sicherheitslücken zu beheben. Vier dieser Sicherheitslücken wurden als kritisch eingestuft und ermöglichen es einem Angreifer, die Authentifizierung zu umgehen und möglicherweise vertrauliche Informationen an unbefugte Personen weiterzugeben.

Die Auswirkungen dieser Sicherheitslücken sind ernst. Ein Angreifer kann Daten einsehen und sogar manipulieren, auf die er normalerweise keinen Zugriff haben sollte. Dies betrifft sowohl Daten anderer Benutzer als auch Daten, auf die die Anwendung selbst zugreifen kann. Ein Angreifer kann den Inhalt oder das Verhalten der Anwendung dauerhaft verändern, indem er diese Daten ändert oder löscht.

SonicWall empfiehlt Anwendern, die von diesen Sicherheitslücken betroffen sind und die GMS/Analytics On-Prem-Version verwenden, ein sofortiges Upgrade auf die entsprechende gepatchte Version durchzuführen.

Die folgenden Versionen sind von den Sicherheitslücken betroffen:

  • GMS 9.3.2-SP1 und frühere Versionen
  • Analytics 2.5.0.4-R7 und frühere Versionen

Es wird empfohlen, auf die folgenden gepatchten Versionen zu aktualisieren:

  • GMS – Virtual Appliance 9.3.9330 und höhere Versionen
  • GMS – Windows 9.3.9330 und höhere Versionen
  • Analytics- Analytics 2.5.2-R9 und höhere Versionen

Derzeit liegen keine Informationen über böswillige Ausnutzungen dieser Schwachstellen vor.

Unternehmen sollen die empfohlenen Maßnahmen umgehend ergreifen, um das Risiko einer Ausnutzung dieser Sicherheitslücken zu minimieren.


Hacker-Gruppen und Kampagnen

Update zu MoveIt Transfer Angriffen – Auch Banken betroffen

Der IT-Dienstleister Majorel, der Kontowechseldienstleistungen für Banken erbringt, wurde nun ebenfalls Opfer eines MoveIt Transfer Angriffs.

Dies bedeutet, dass der Cyberangriff nun auch Banken wie die ING, Commerzbank, Deutsche Bank und Sparda Bank betrifft, da sie die Dienstleistungen von Majorel in Anspruch genommen haben.

Die betroffenen Kunden wurden bereits über den Vorfall informiert und aufgefordert, wachsam zu sein und mögliche Unregelmäßigkeiten zu beobachten.

Weltweit sind derzeit über 300 Opfer bekannt, wobei allein in Deutschland etwa 30 namhafte Unternehmen betroffen sind.

Das volle Ausmaß dieses Vorfalls ist schwer abzuschätzen. Es bleibt abzuwarten, wie sich die Lage weiterentwickeln wird.

Microsoft stoppt Angriff auf Kunden-E-Mails

Microsoft hat einen Angriff auf Kunden-E-Mails durch den chinesischen Bedrohungsakteur Storm-0558 gestoppt.

Dieser Angriff zielte auf Regierungsbehörden in Westeuropa ab und hatte Spionage, Datendiebstahl und Zugriff auf Benutzerkonten zum Ziel. Nachdem Kunden verdächtige Aktivitäten gemeldet hatten, begann Microsoft mit einer Untersuchung.

Die Untersuchung ergab, dass die Angreifer seit Mitte Mai 2023 Zugriff auf E-Mail-Konten von Organisationen und Regierungsbehörden hatte, indem gefälschte Zugriffstoken verwendet wurden, um auf die E-Mails zuzugreifen. Microsoft hat die betroffenen Organisationen kontaktiert und ihnen Unterstützung bei der Untersuchung angeboten.

Es sollen keine weiteren Maßnahmen seitens der Kunden erforderlich sein.


Verbraucherschutzzentrale warnt vor Phishing

Die Verbraucherschutzzentrale warnt regelmäßig vor aktuellen Phishing Attacken. Aktuell sind 5 neue Angriffe im Umlauf.

 

  • Derzeit sind wieder vermehrt E-Mails im Namen von Disney+ unterwegs, in denen Kunden aufgefordert werden, ihre Zahlungsinformationen zu aktualisieren. Die E-Mails behaupteten, dass es ein Problem mit der Zahlung gegeben habe und das Abonnement daher „storniert“ wurde. Um das Abonnement wieder zu aktivieren, wurden die Empfänger gebeten, dem beigefügten Link zu folgen und ihre Zahlungsinformationen zu aktualisieren.

 

  • Auch Kunden der Sparkasse bekommen aktuell wieder Phishing-Mails. Die Betrüger behaupten, dass wichtige Aktualisierungen des Online-Banking-Systems erforderlich seien. Der Betreff der E-Mail lautet „Wichtige Aktualisierung“. Es wird behauptet, dass eine Aktualisierung des eigenen Kontos zeitnah erfolgen müsse, um zusätzliche Kosten und administrative Verzögerungen zu vermeiden. Es wird auch vor möglichen Konsequenzen bei einer verzögerten Aktualisierung, wie der Notwendigkeit einer Kontoneueröffnung, gewarnt.

 

  • Kundschaft des Webportals GMX sind ebenfalls Phishing-Mails ausgesetzt. Es wird behauptet, dass ein Antrag auf Deaktivierung des Mail-Kontos gestellt wurde, der im Laufe des Tages bearbeitet werden soll. Um die Löschung zu verhindern, wird den Empfängern angeboten, dem Link in der E-Mail zu folgen. Andernfalls wird das Konto bald gelöscht.

 

  • Phishing-Kriminelle versuchen in einer interessanten E-Mail, an die Anmeldedaten und den photoTAN-Brief der Kunden der Deutschen Bank zu gelangen. In der E-Mail wird behauptet, dass das Konto aus Sicherheitsgründen gesperrt ist, bis die Identität des Kontoinhabers bestätigt wurde. Zwei Mal wird darauf hingewiesen, für die Identitätsbestätigung den in der E-Mail enthaltenen Link zu nutzen. Dieser Link führt zu einer Webseite, auf der die Kunden aufgefordert werden, sich anzumelden und ihren photoTAN-Brief hochzuladen. Dies wird angeblich zum Schutz vor unautorisiertem Zugriff auf das Konto durchgeführt.

 

  • Auch Kunden von Google Drive und Google Fotos wurden von Phishern bedacht. Die E-Mails haben verschiedene Betreffzeilen wie „Ihr Google-Speicher ist voll“ oder „ACHTUNG: Der gesamte (Google-Speicher) ist belegt. Führen Sie ein Upgrade durch, um persönliche Dateien zu behalten“. Es wird behauptet, dass in naher Zukunft keine weiteren Dateien oder Fotos hochgeladen werden können. Die Phishing-Mail lockt mit einem angeblichen Treueprogramm, das zusätzliche 50GB Speicherkapazität kostenlos bietet. Um dies zu erhalten, soll man dem beigefügten Link folgen. In kleiner Schriftgröße unter dem Link wird angegeben, dass zur Validierung der Gmail-ID die Kreditkarteninformationen erforderlich sind.

 

Ihr könnt die Originalen dieser Phishing-Mails im Phishing-Radar der Verbraucherzentrale einsehen.


Wirtschaft, Politik und Kultur

Krisenübung: Regierungen bereiten sich auf Cyberangriff vor

Im September findet eine wichtige Übung statt, bei der sich Regierungen auf einen Cyberangriff vorbereiten. Diese Übung namens LÜKEX 23 bringt Regierungsvertreter aus verschiedenen Ländern zusammen, um zu lernen, wie man in solch einer Krisensituation handelt.

Das Ziel der Übung ist es, sicherzustellen, dass die Regierungsarbeit auch während eines Cyberangriffs weitergehen kann. Es wird simuliert, wie die Regierungsfunktionen aufrechterhalten werden, wenn Hacker versuchen, in Computersysteme einzudringen und vertrauliche Informationen zu stehlen.

Die Ergebnisse dieser Übung werden genutzt, um das Krisenmanagement zu optimieren und die Regierung besser auf Cyberangriffe vorzubereiten. Die Übung soll dazu beitragen, dass die Regierung in solchen Krisensituationen effektiver handeln kann und die Auswirkungen von Cyberangriffen minimiert werden können.

Daten der Schweizer Polizei im Darknet gelandet

Beim Ransomware-Angriff auf den schweizerischen IT-Dienstleister Xplain wurden sensible Daten des Bundesamts für Polizei (fedpol) gestohlen.

Unter den gestohlenen Daten befand sich ein acht Jahre alter Auszug aus dem Informationssystem HOOGAN.

HOOGAN ist ein System, das Informationen über Personen enthält, die bei Sportveranstaltungen gewalttätig waren und entsprechende Maßnahmen ergriffen wurden. Die Daten dieser Personen, umgangssprachlich auch als „Hooligans“ bekannt, wurden nun im Darknet veröffentlicht.

Es werden Untersuchungen zur Herkunft der gestohlenen Datei und den Umständen, unter denen sie bei Xplain gelandet ist, durchgeführt. Fedpol hat Strafanzeige erstattet und steht in offener Kommunikation mit den betroffenen Personen


Das war’s für diese Woche. Die Weekly Hacker News gibt es auf unserem Youtube Channel Channel und als reine Audioversion auf rss.com sowie diversen Podcast-Plattformen zum Abonnieren oder als monatliche Zusammenfassung in unserem Newsletter. Danke für’s lesen und bis zum nächsten Mal – stay safe!