Da die Anzahl an News aktuell besonders hoch ist und meine geschätzte Kollegin, die sonst viel Arbeit in die Auswahl und Zusammenfassung der News steckt im Urlaub ist, versuchen Ich mich heute mal an einem etwas anderen Format. Mehr News, weniger Details.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Ivanti Schwachstellen ausgenutzt

Ivanti hat für seine Produkte neue Patches veröffentlicht, die dringend installiert werden sollten. Zusätzlich wurde bekannt gegeben, dass eine kürzlich veröffentlichte SSRF-Schwachstelle bereits aktiv ausgenutzt wird. Ein Proof-of-Concept Exploit existiert ebenfalls.

Fortinet RCE Bug wird aktiv ausgenutzt

Derzeit attackieren Angreifer die SSL-VPN Komponente von FortiOS Appliances. Außerdem können Attacken auf FortiSIEM bevorstehen. Updates stehen bereit und sollten schnellstmöglich installiert werden.

AuthBypass in SonicOS SSL-VPN

Sonicwall reiht sich ein mit den anderen Anbietern in dieser Liste und warnt vor einer Sicherheitslücke im SonicOS SSL-VPN. Angreifer können dadurch die Authentifizierung umgehen, eine Aktualisierung wurde bereits veröffetlicht und sollte – überraschung – schnellstmöglich installiert werden.

Kritische Lücken bedrohen Cisco Produkte

Cisco Produkte Expressway Series, Secure Endpoint Connector for Windows und Secure Endpoint Private Cloud sind von Schwachstellen betroffen und Teils auch bereits ins Visier von Angreifern geraten. Passende Updates wurden veröffentlicht.

PrivEsc Lücken in Veeam Recovery Orchestrator und VMware Aria

Privilege Escalation Schwachstellen ermöglichen das Ausweiten von Rechten in Veeam Recovery Orchestrator und VMware Aria. Für beide Produkte wurden Updates veröffentlicht.

Wärmepumpen von Alpha Innotec und Novelan angreifbar

Die Wärmepumpen von Alpha Innotec und Novelan sind angreifebar. Warum? Weil das root Passwort hart in der Firmware hinterlegt ist. Firmaware Updates beheben das Problem. Dumm ist es trotzdem.

Sicherheitslücken in Bigfix, Devops Deploy und Launch

HCL hat Sicherheitslücken in seinen Produkten Bigfix, Devops Deploy und Launch veröffentlicht. Patch now.

Auth-Bypass Schwachstelle in TeamCity

JetBrains hat heute seine Kunden aufgefordert, ihre TeamCity On-Premises Server gegen eine kritische Authentifizierungsumgehungsschwachstelle zu patchen, die es Angreifern ermöglicht, verwundbare Instanzen mit Administratorrechten zu übernehmen. Öffentlich erreichbare TeamCity Server sollten umgehend abgeschottet werden.

Leaky Vessel Schwachstellen in Docker und runc

Vier Schwachstellen, die als Leaky Vessels bezeichnet werden, ermöglichen es Hackern, aus Containern auszubrechen und auf Daten des zugrunde liegenden Host-Betriebssystems zuzugreifen. Die Schwachstellen wurden von dem Snyk-Sicherheitsforscher Rory McNamara im November entdeckt und gemeldet. Inzwischen stehen Updates zur Verfügung.

DNS Anfragen in ExpressVPN geleaked

ExpressVPN entdeckte einen Fehler in seiner Software, der die besuchten Domains der Benutzer offenlegte. Der Fehler führte dazu, dass einige DNS-Anfragen die Infrastruktur von ExpressVPN umgingen und an den Internetdienstanbieter (ISP) des Nutzers weitergeleitet wurden. Etwas, das viele VPN-Anbieter hoch und heilig versprechen, genau nicht zu tun.

Neue macOS Malware

Eine neue Rust-basierte macOS-Malware macht die Runde, die sich als Visual Studio-Update verbreitet, um Backdoor-Zugang zu kompromittierten Systemen zu ermöglichen. Sie nutzt eine Infrastruktur, die mit der berüchtigten ALPHV/BlackCat-Ransomware-Bande in Verbindung gebracht wurde.

Fake LastPass in Apple’s App Store

LastPass warnt vor einer gefälschten Kopie im Apple App Store, die wahrscheinlich als Phishing-App verwendet wird. Sie verwendet einen ähnlichen Namen wie die echte App, lautet jedoch „LassPass“ anstelle von „LastPass“. Farben und Logos sind ebenfalls ähnlich, der Herausgeber ist „Parvati Patel“.

Wirtschaft, Politik und Kultur

Microsoft kann jetzt auch sudo

Microsoft bringt die Linux-Funktion „sudo“ in Windows Server 2025 ein und bietet damit eine neue Möglichkeit für Administratoren, die Berechtigungen für Konsolenanwendungen zu erhöhen.

Globale Koalition und Tech-Giganten gegen kommerziellen Spyware-Missbrauch

Eine Koalition aus Dutzenden von Ländern, darunter Frankreich, Großbritannien und die USA, sowie Technologieunternehmen wie Google, MDSec, Meta und Microsoft haben ein gemeinsames Abkommen unterzeichnet, um den Missbrauch kommerzieller Spionageprogramme für Menschenrechtsverletzungen zu unterbinden.

Hackergruppen & Kampagnen

Hier noch die aktuellesten Angriffe und Leaks im Schnelldurchlauf und ohne große Erklärung. Die Quellen findest du wie immer auf dem Blog.

• Chinesische Hacker versteckten sich 5 Jahre lang im US-Infrastrukturnetz
• Chinesische Hacker infizieren niederländisches Militärnetzwerk mit Malware
• Verizon Insider Leak betrifft über 63.000 Mitarbeiter
• Datenschutzverletzungen bei Viamedis und Almerys betreffen 33 Millionen Menschen in Frankreich
• Hacker stehlen Daten von 2 Millionen Menschen durch SQL-Injection- und XSS-Angriffe
• Baden-Württemberg: Lörrach und Konstanz gestehen Datenpannen ein
• Klinikverbund im Kreis Soest nach Cyberangriff von Notfallversorgung abgemeldet
• HPE untersucht neues Sicherheitsleck, nachdem Daten in einem Hackerforum zum Verkauf angeboten wurden
• Hyundai Motor Europe von Black Basta Ransomware-Angriff betroffen

Das wars für diese Woche, ich hoffe diese andere Version der Weekly Hacker News hat dir gefallen. Feedback und Anregungen immer gerne in die Kommentare oder an kontakt@lastbreach.com.

Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 12.02.2024 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Warnung vor Zero-Days in Ivanti-Produkten

Die Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten warnt vor schwerwiegenden Zero-Day-Schwachstellen in den Ivanti-Produkten Connect Secure und Policy Secure. Betroffen sind CVE-2024-21888 mit einem Score von 8,8 sowie CVE-2024-21893 mit einem Bewertungspunkt von 8,2. Während die erste Schwachstelle eine Privilegieneskalation in der Webkomponente ermöglicht, stellt die Zweite eine serverseitige Anforderungsfälschung in der SAML-Komponente dar. Diese Sicherheitslücken erlauben es Angreifern, Berechtigungen auf Administratorebene zu erhöhen oder auf bestimmte Ressourcen ohne Authentifizierung zuzugreifen.

Ivanti hat Sicherheitsupdates veröffentlicht und rät dazu, Geräte vor dem Aufspielen der Patches auf die Werkseinstellungen zurückzusetzen. CISA warnt vor bereits erfolgten Angriffen, bei denen Bedrohungsakteure Anmeldedaten erbeutet und Webshells platziert haben, um Netzwerke weiter zu kompromittieren.

Zusätzlich wurden zwei Schwachstellen in den Ivanti Connect Secure VPN-Geräten identifiziert. Bei CVE-2023-46805 mit einem Score von 8,2 handelt es sich um eine bisher unentdeckte Schwachstelle mit dem Potenzial für nicht authentifizierte Remote-Code-Ausführung. Die Schwachstelle mit der Bezeichnung CVE-2024-21887 wurde von chinesischen Hackern ausgenutzt, um die KrustyLoader-Malware zu verbreiten und weist einen Score von 9,1 auf.

Unternehmen, die Ivanti-Produkte nutzen, sollen die veröffentlichten Software-Updates sofort  implementieren. Kontinuierliche Bedrohungsanalysen und die Überwachung von Authentifizierungsdiensten werden ebenfalls dringend empfohlen, um mögliche Kompromittierungen zu erkennen.

Juniper Networks veröffentlicht dringende Junos OS-Updates

Juniper Networks hat dringende Sicherheitsupdates für die Produkte SRX Series und EX Series veröffentlicht, um hochkritische Schwachstellen zu beheben.

Zwei Schwachstellen, CVE-2024-21619 und CVE-2024-21620, bewertet mit CVSS Scores von 5.3 und 8.8 befinden sich in der J-Web-Komponente.

Bei der ersten Schwachstelle handelt es sich um eine Authentifizierungslücke mit dem Risiko der Offenlegung sensibler Konfigurationsdaten. Die betroffenen Junos OS-Versionen wurden in den Updates von Version 20.4R3-S9 bis 23.4R1 sowie allen darauffolgenden Releases behoben.

Die zweite Lücke ermöglicht Cross-Site Scripting und wurde in den Versionen von 20.4R3-S10 bis 23.4R2 und alle folgenden Releases durch entsprechende Aktualisierungen behoben.

Alternativ gibt Juniper als Workaround an, J-Web vorübergehend zu deaktivieren oder den Zugriff zu beschränken.

Es wird auch darauf hingewiesen, dass zwei weitere Schwachstellen, CVE-2023-36846 und CVE-2023-36851, im November 2023 als aktiv ausgenutzt eingestuft wurden.

Zusätzlich wurden Fixes für CVE-2024-21591 mit einem CVSS Score von 9.8 veröffentlicht, eine kritische Lücke, die es Angreifern ermöglichen könnte, einen Denial-of-Service (DoS) durchzuführen, Remote-Code-Ausführung zu erlangen und Root-Privilegien zu erhalten.

Dringendes Sicherheitsupdate für Gitlab

GitLab hat ein wichtiges Sicherheitsupdate veröffentlicht, um eine kritische Schwachstelle mit der Bezeichnung CVE-2024-0402 zu beheben. Authentifizierte Benutzer könnten während des Workspace-Erstellungsprozesses Dateien auf dem Server überschreiben. Die betroffenen Versionen reichen von 16.0 bis 16.8.1, der Score für diese Lücke beträgt 9.9.

Zusätzlich wurden mittelschwere Schwachstellen behoben, darunter Risiken wie Denial-of-Service durch reguläre Ausdrücke, HTML-Injektion und Offenlegung von E-Mail-Adressen über den Tags-RSS-Feed.

Benutzer werden dringend aufgefordert, ihre Installationen auf die gepatchte Version (16.5.8, 16.6.6, 16.7.4, 16.8.1) zu aktualisieren. GitLab.com und GitLab Dedicated Umgebungen sind bereits auf dem neuesten Stand.

Hacker-Gruppen und Kampagnen

Cyberangriff auf AnyDesk

AnyDesk, ein Anbieter von Remote-Desktop-Software, wurde Opfer eines Cyberangriffs auf seine Produktionssysteme. Das deutsche Unternehmen hat alle relevanten Zertifikate widerrufen, betroffene Systeme ersetzt und empfiehlt Nutzern, ihre Passwörter zu ändern. Es wird auch geraten, die neueste Softwareversion herunterzuladen, die mit einem neuen Code-Signing-Zertifikat signiert wurde. Der genaue Zeitpunkt und die Details des Angriffs sind unbekannt, aber es gibt keine Hinweise darauf, dass Endbenutzersysteme betroffen sind.

Cloudflare gibt Cyberangriff bekannt

Am 1. Februar 2024 gab Cloudflare bekannt, dass sein Atlassian-Server von einem vermuteten „Nation-State-Angreifer“ gehackt wurde. Dieser erlangte Zugriff auf Confluence, Jira und Bitbucket.

Der Angriff begann am 14. November, wobei gestohlene Zugangsdaten aus dem Okta-Breaches im Oktober 2023 verwendet wurden. Cloudflare entdeckte die Aktivität am 23. November, stoppte den Zugriff am 24. November und startete am 26. November eine forensische Untersuchung.

Obwohl der Vorfall keine Auswirkungen auf Kunden hatte, reagierte Cloudflare umfassend. Alle Produktionsanmeldeinformationen wurden rotiert, Testsysteme segmentiert und 4.893 Systeme durch forensische Triage überprüft.

Die Angreifer versuchten erfolglos, auf das nicht in Betrieb genommene Rechenzentrum in São Paulo zuzugreifen. Die Sicherheitsmaßnahmen wurden am 5. Januar abgeschlossen, während Cloudflare weiterhin an Software-Härtung und Sicherheitsmanagement arbeitet.

Wirtschaft, Politik und Kultur

Fragwürdige Skelettkontrolle bei Rewe

Laut einem Bericht von netzpolitik.org wird in einem Berliner Rewe-Supermarkt eine neue Generation von Kassentechnologien getestet. Das „Pick-&-Go“-System erlaubt es den Kunden, Waren aus dem Regal zu nehmen, ohne sie zu scannen, und am Ende automatisch über eine Handy-App abzurechnen. Das System basiert auf Überwachung durch Hunderte von Kameras, die Bewegungen erfassen und sogar ohne Gesichtserkennung individuelle Kunden verfolgen können.

Die Technologie verwendet eine „Skelettkontrolle“, die eine schematische Darstellung des Knochenbaus der Kunden beinhaltet. Diese Daten werden in der Cloud außerhalb der EU gespeichert und von künstlicher Intelligenz ausgewertet. Das System soll laut Rewe keine biometrischen Daten erfassen, obwohl es auf „skelettbasierter Gangart-Erkennung“ basiert.

Die gesammelten Daten ermöglichen nicht nur eine automatische Abrechnung, sondern auch die Analyse von Kundenbewegungen im Laden. Rewe kann herausfinden, wie lange Kunden sich im Markt aufhalten, welche Wege sie gehen und welche Produkte sie wählen. Das System soll auch dabei helfen, Diebstähle um 70 Prozent zu reduzieren.

Es bleibt jedoch unklar, ob die Kunden ausdrücklich in das System einwilligen müssen. Rewe gibt an, dass deutliche Datenschutzhinweise im Laden angebracht sind, die genaue Zustimmung der Kunden wird jedoch nicht klar kommuniziert.

Ex-CIA-Offizier zu 40 Jahren Haft verurteilt

Der ehemalige CIA-Softwareentwickler Joshua Adam Schulte wurde wegen Spionage, Computer-Hacking, Missachtung des Gerichts, Falschaussagen gegenüber dem FBI und Kinderpornografie zu 40 Jahren Haft verurteilt. Seine Taten umfassen den größten Datendiebstahl in der CIA-Geschichte, bei dem gestohlene Informationen an WikiLeaks weitergegeben wurden. Die Veröffentlichung der „WikiLeaks Disclosures“ führte zu erheblichen Schäden für die nationale Sicherheit der USA. Zusätzlich wurde Schulte des Besitzes und der Verbreitung von Kinderpornografie schuldig gesprochen. Neben der Haftstrafe wurde ihm lebenslange Überwachung auferlegt. Die Ermittlungen und Gerichtsverfahren erstreckten sich von 2012 bis zu seinem Urteil am 13. September 2023.

Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.

Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 05.02.2024 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Sicherheitslücken in UEFI-Firmware gefährden Millionen von Computern

Neue Probleme gefährden die Sicherheit von Millionen von Computern: PixieFail, so der Name der Schwachstellen, wurde im TCP/IP-Protokollstapel der UEFI-Firmware von großen Herstellern wie AMI, Intel und anderen entdeckt.

Durch die Schwachstellen können Angreifer Schadcode einschleusen, Diensten blockieren, DNS-Cache Poisoning Attacken ausführen oder sensible Informationen auslesen. Besonders kritisch ist, dass die Sicherheitslücken in einem frühen Boot-Stadium auftreten, wenn das Betriebssystem noch nicht geladen ist.

Die Auswirkungen hängen von der spezifischen Firmware-Version ab, und Angreifer im lokalen Netzwerk könnten diese Schwachstellen nutzen, um schädliche Aktionen durchzuführen. Es wird dringend empfohlen, die Firmware der betroffenen Computer so schnell wie möglich zu aktualisieren, sobald Sicherheitsupdates verfügbar sind, um potenzielle Risiken zu minimieren.

Schwere Sicherheitslücke in Cisco Unified Communications entdeckt

Im Rahmen einer Sicherheitswarnung informiert Cisco über eine kritische Sicherheitslücke mit der Bezeichnung CVE-2024-20253, in verschiedenen Produkten. Die Schwachstelle ermöglicht nicht authentifizierten, entfernten Angreifern die Ausführung von beliebigem Code und wird mit einem kritischen Score von 9.9 bewertet.

Betroffen sind Produkte wie Unified Communications Manager, Unified Contact Center Express und weitere. Cisco hat bereits Patches veröffentlicht, deren sofortige Installation empfohlen wird. Wer dazu nicht in der Lage ist, kann das Risiko durch ACLs, die den Zugriff auf die Ports der betroffenen Dienste einschränken, ein Stück weit mitigieren, bis die Patches installiert werden können.

Kritische Sicherheitslücke in Atlassian Confluence aktiv ausgenutzt

Cyberkriminelle haben begonnen, eine kürzlich entdeckte kritische Sicherheitslücke in Atlassian Confluence Data Center und Confluence Server auszunutzen. Dies geschah lediglich drei Tage nach Bekanntgabe der Sicherheitslücke. Die Schwachstelle, mit dem Namen CVE-2023-22527 und einem maximalen Score von 10.0, betrifft veraltete Versionen und ermöglicht Angreifern, Remote-Code auzszuführen.

Betroffen sind Confluence Data Center und Server 8-Versionen, die vor dem 5. Dezember 2023 veröffentlicht wurden, sowie die Version 8.4.5. Innerhalb weniger Tage nach der öffentlichen Bekanntgabe wurden bereits fast 40.000 Ausnutzungsversuche in freier Wildbahn verzeichnet. Dies geschah ab dem 19. Januar und wurde von mehr als 600 verschiedenen IP-Adressen durchgeführt, wie sowohl die Shadowserver Foundation als auch der DFIR Report berichten.

Aktuelle Aktivitäten konzentrieren sich derzeit auf „Testing Callback-Versuche und ‚whoami‘-Ausführungen“. Dies deutet darauf hin, dass Bedrohungsakteure opportunistisch nach anfälligen Servern suchen, um darauf folgende Ausnutzungen durchzuführen.

Kritische Schwachstelle in GoAnywhere MFT

Fortra hat eine Sicherheitswarnung für seine Managed File Transfer (MFT)-Software GoAnywhere herausgegeben. Eine kritische Schwachstelle mit dem Namen CVE-2024-0204 und einem Bewertungsscore von 9,8 ermöglicht einen Authentifizierungsbypass.

Diese Schwachstelle erlaubt einem nicht authentifizierten, entfernten Angreifer, die Authentifizierung zu umgehen und durch eine speziell präparierte Anfrage an eine anfällige GoAnywhere MFT-Instanz neue Benutzer mit Administratorrechten zu erstellen. Obwohl der Patch bereits am 7. Dezember veröffentlicht wurde, wurde die Warnung erst am 22. Januar öffentlich gemacht.

Laut Tenable Analytics-Daten vom 23. Januar 2024 verwenden 96,4% der GoAnywhere MFT-Ressourcen immer noch die betroffene Version. Lediglich 1,6% haben auf die behobene Version 7.4.0 aktualisiert, die bereits am 15. November 2023 veröffentlicht wurde.

Hacker-Gruppen und Kampagnen

Cyberangriff auf HP

Hewlett Packard Enterprise Company hat in einem aktuellen Bericht an die United States Securities and Exchange Commission (SEC) einen signifikanten Cybersecurity-Zwischenfall offengelegt. Der Vorfall wurde am 12. Dezember 2023 festgestellt, als das Unternehmen bemerkte, dass ein mutmaßlich staatlich unterstützter Akteur, bekannt als Midnight Blizzard oder Cozy Bear, unbefugten Zugang zur Cloud-basierten E-Mail-Umgebung von HPE erlangt hatte.

Der Zwischenfall betraf den unbefugten Zugriff und die Datenexfiltration aus einer begrenzten Anzahl von HPE-Postfächern, darunter Postfächer von Mitarbeitern in den Bereichen Cybersicherheit, Vermarktung und verschiedenen Geschäftsbereichen.

Obwohl die Untersuchung noch nicht abgeschlossen ist, geht das Unternehmen davon aus, dass die Aktivitäten des Bedrohungsakteurs bereits im Mai 2023 begonnen haben. Es wird angenommen, dass Daten aus den betroffenen Postfächern exfiltriert wurden. Eine frühere Benachrichtigung im Juni 2023 bezog sich auf unbefugten Zugriff und Datenexfiltration von SharePoint-Dateien.

Wirtschaft, Politik und Kultur

Kritik an bevorstehender KI-Verordnung: Unsicherheiten bei Biometrie und Datenschutzregelungen

Die KI-Verordnung, als erstes umfassendes Gesetz zur Regulierung Künstlicher Intelligenz, steht kurz vor der Verabschiedung. Doch nach der vorweihnachtlichen Einigung zwischen Kommission, Parlament und Rat gibt es Kritik und Unsicherheiten.

Besonders umstritten sind die Regelungen zur biometrischen Überwachung, die Gesichtserkennung ohne klare Einschränkungen erlauben. Die Emotionserkennung bleibt trotz ihrer fragwürdigen wissenschaftlichen Grundlage erlaubt, vor allem in Polizei- und Grenzkontrollen. Migrationskontrollen haben wenig Schutz, und Ausnahmen gelten auch für gefährliche KI-Systeme im Bereich der nationalen Sicherheit. Trotz einiger positiver Aspekte, wie neuen Rechten für Nutzer und Pflichten für Anbieter, bleibt die KI-Verordnung in ihrer aktuellen Form umstritten.

Es besteht die Möglichkeit, dass Mitgliedstaaten innerhalb ihrer Grenzen strengere Gesetze erlassen können. Die endgültige Verabschiedung steht noch aus, und einige Mitgliedstaaten könnten Änderungen fordern. Selbst nach der Verabschiedung wird es weitere zwei Jahre dauern, bis die neuen Regeln vollständig umgesetzt werden.

IT-Spezialist zu 3.000 Euro Strafe verurteilt

Laut einem aktuellen Bericht des WDR hat das Jülicher Amtsgericht einen IT-Fachmann aus Linnich zu einer Strafe von 3.000 Euro verurteilt. Grund dafür war seine Entdeckung einer Sicherheitslücke bei einem Online-Dienstleister im Jahr 2021. Dieser Dienstleister betreibt den Internet-Warenshop für bundesweit agierende Unternehmen.

Die Sicherheitslücke betraf Daten von 700.000 Kunden, darunter Bestellinformationen und Bankverbindungen. Überraschenderweise zeigte die betroffene Firma jedoch keine Dankbarkeit für die Meldung der Schwachstelle, sondern erstattete Anzeige gegen den IT-Fachmann wegen Ausspähens von Daten.

Im ersten Prozess wurde der Programmierer freigesprochen, doch nach einem erfolgreichen Rechtsmittel legte das Landgericht Aachen eine Verurteilung fest. In der aktuellen Verhandlung stufte das Jülicher Amtsgericht die Daten als ausreichend geschützt ein, da der Angeklagte eine Passwortsperre mit Fachkenntnissen überwunden hatte.

Die verhängte Strafe von 3.000 Euro liegt unter der ursprünglichen Forderung der Staatsanwaltschaft von 5.400 Euro. Der IT-Freelancer argumentierte, dass die Daten quasi frei zugänglich waren. Der Fall hat bundesweit Aufmerksamkeit erregt, und es wird berichtet, dass die Bundesregierung eine Überarbeitung des Hackerparagraphen plant.

Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.

Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 29.01.2024 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Ivanti VPN-Geräte von Zero-Day-Angriffen betroffen

Sicherheitsforscher von Volexity haben aktive Angriffe auf Ivanti Connect Secure VPN-Geräte entdeckt, bei denen zwei Zero-Day-Schwachstellen für nicht authentifizierte Remote-Code-Ausführung ausgenutzt werden. Die entdeckten Schwachstellen sind CVE-2023-46805, eine Authentifizierungs-Umgehung mit einem CVSS-Score von 8.2, sowie CVE-2024-21887, eine Befehlseinschleusung in mehrere Webkomponenten mit einem CVSS-Score von 9.1. Ivanti hat die Schwachstellen bestätigt und empfiehlt Sofortmaßnahmen. Die Angriffe ermöglichten es den Angreifern, Konfigurationsdaten zu stehlen, Dateien zu ändern und eine Vielzahl von Angriffen durchzuführen. Die Forscher vermuten, dass ein chinesischer Staatstrojaner, bekannt als UTA0178, hinter den Angriffen steckt. Organisationen, die Ivanti Connect Secure VPN nutzen, werden dringend aufgefordert, die empfohlenen Maßnahmen zu ergreifen und ihre Systeme auf Anzeichen von Kompromittierung zu überprüfen.

Kritische Schwachstelle in Junos OS für SRX und EX Series

Juniper Networks hat eine Sicherheitswarnung (JSA75729) über eine kritische Schwachstelle in Junos OS für SRX Series und EX Series mit der Bezeichnung CVE-2024-21591 veröffentlicht. Die Schwachstelle wurde mit einem Score von 9.8 bewertet und erlaubt einem nicht authentifizierten Angreifer über die J-Web-Schnittstelle eine Denial-of-Service (DoS)-Attacke oder Remote Code Execution (RCE) mit Root-Privilegien auf betroffenen Geräten aufzuführen.

Die betroffenen Versionen umfassen Junos OS vor 20.4R3-S9 bis 22.4R3. Eine sofortige Lösung ist die Deaktivierung von J-Web oder die Beschränkung des Zugriffs auf vertrauenswürdige Hosts.

Juniper Networks hat aktualisierte Software-Versionen veröffentlicht, um diese Schwachstelle zu beheben. Es gibt bisher keine Hinweise auf bösartige Ausnutzung durch Juniper SIRT.

Die Schwachstelle wurde während externer Sicherheitsforschung entdeckt. Benutzer werden aufgefordert, ihre Systeme umgehend zu aktualisieren und die angegebenen Sicherheitsmaßnahmen zu implementieren.

GitLab warnt vor kritischer Sicherheitslücke: Account-Hijacking möglich

GitLab hat dringende Sicherheitsupdates veröffentlicht, um zwei kritische Schwachstellen zu beheben. Besonders alarmierend ist die Schwachstelle mit der Kennung CVE-2023-7028, die einen Höchstscore von 10 erhalten hat. Diese ermöglicht es Angreifern, Konten zu übernehmen, ohne dass die Nutzer aktiv werden müssen.

Die Sicherheitslücke ermöglicht das Versenden von Passwort-Reset-Anfragen an beliebige, nicht überprüfte E-Mail-Adressen. Selbst wenn die Zwei-Faktor-Authentifizierung aktiviert ist, kann das Passwort zurückgesetzt werden. Allerdings ist für eine erfolgreiche Anmeldung weiterhin der zweite Authentifizierungsfaktor erforderlich. Betroffen sind GitLab-Versionen 16.1 bis 16.7.

Eine weitere kritische Schwachstelle, bekannt als CVE-2023-5356, erhielt einen Score von 9.6. Angreifer können durch diese Lücke Slack/Mattermost-Integrationen missbrauchen, um Befehle als ein anderer Benutzer auszuführen.

Anwender werden nachdrücklich dazu aufgefordert, ihre GitLab-Installationen auf die neuesten Versionen zu aktualisieren, um sich vor möglichen Angriffen zu schützen.

Hacker-Gruppen und Kampagnen

Datenklau durch Social Engineering: Framework-Kunden von Phishing-Angriff betroffen

Framework, ein Unternehmen für personalisierbare Laptops, informierte Kunden über einen Datenverstoß. Am 11. Januar 2024 fiel ein Buchhalter von Keating Consulting, dem externen Buchhaltungspartner von Framework, einem Phishing-Angriff zum Opfer. Dabei wurden Kundendaten, darunter Namen, E-Mail-Adressen und ausstehende Beträge, preisgegeben.

Der Angreifer gab sich als CEO von Framework aus und forderte Informationen zu ausstehenden Zahlungen. Der Buchhalter antwortete unwissentlich und übermittelte eine Liste betroffener Kunden.

Um zukünftige Vorfälle zu verhindern, wird Keating Consulting Schulungen für Phishing- und Social Engineering-Angriffe für Mitarbeiter einführen.

Da ich als Besitzer eines Framework Notebooks persönlich davon betroffen bin, hätte ich Keating Consulting vielleicht mal besser von unserer Awareness Schulung erzählen sollen. Aber Spaß Beiseite, dieses Beispiel zeigt leider nur zu gut, dass auch vertrauenswürdige Partnerunternehmen zum Problem werden können.

Wirtschaft, Politik und Kultur

Kryptojacker hinter 1,8 Mio. Euro Mining-Betrug festgenommen

Laut einem Bericht von Europol wurde in der Ukraine ein 29-jähriger mutmaßlicher Drahtzieher eines ausgeklügelten, mehr als 1,8 Millionen Euro schweren Kryptojacking-Betrugs verhaftet. Die Nationalpolizei der Ukraine, unterstützt von Europol, nahm die Person in Mykolaiv fest, nachdem drei Immobilien durchsucht wurden, um Beweise zu sammeln. Der Verdächtige soll über 2 Millionen US-Dollar (1,8 Millionen Euro) in Kryptowährungen geschürft haben.

Kryptojacking in einer Cloud-Umgebung ermöglicht es bösartigen Akteuren, unbefugten Zugriff auf Cloud-Computing-Infrastrukturen zu erlangen und deren Rechenleistung für das Mining von Kryptowährungen zu nutzen. Auf den daraus anfallenden Kosten bleibt der Anbieter der Infrastruktur sitzen.

Streit um Biometrische Überwachung in EU-KI-Gesetz

Die neue KI-Verordnung der EU stößt auf Kritik wegen umstrittener Regelungen zur biometrischen Überwachung. EU-Abgeordnete und Datenschutzaktivisten äußern Bedenken über die Ausweitung von Befugnissen für Sicherheitsbehörden zur Identifizierung und Überwachung im öffentlichen Raum.

Die Verhandlungen im Dezember 2023 führten zu einem umstrittenen Kompromiss, wodurch die biometrische Fernüberwachung weniger eingeschränkt wurde als ursprünglich geplant. Besonders umstritten ist die vage Formulierung bezüglich einer „vorhersehbaren Gefahr einer Straftat“, die potenzielle Missbräuche ermöglichen könnte.

Kritiker warnen vor nationalen Sicherheitsausnahmen, die gefährliche KI-Systeme, darunter biometrische Massenüberwachung, erlauben könnten. Weitere Kontroversen betreffen die Genehmigung von biometrischer Videoüberwachung und unklare Definitionen, wie „erste Identifizierung eines potenziellen Straftäters“.

Die finale Fassung des Gesetzes wird im Februar 2024 im EU-Parlament erwartet. Datenschutzaktivisten fordern eine gründliche Prüfung, um Bürgerrechte angemessen zu schützen und übermäßige Nutzung biometrischer Technologien zu verhindern.

Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.

Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 15.01.2024 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Neue Gefahr für Macs: SpectralBlur-Backdoor entdeckt

Im Rahmen der „100DaysofYARA“ stießen Sicherheitsforscher auf eine neue macOS-Backdoor namens SpectralBlur, zugeordnet zur nordkoreanischen Hackergruppe TA444. Der Bericht zeigt, wie die Entdeckung von SpectralBlur zu Verbindungen mit der Malware-Familie KANDYKORN führte. SpectralBlur agiert als moderate Backdoor und ermöglicht das Hoch- und Herunterladen von Dateien sowie das Ausführen von Shell-Befehlen. Die Ähnlichkeiten zu KANDYKORN lassen vermuten, dass unterschiedliche Entwickler ähnliche Anforderungen hatten. Die Forscher betonen die wachsende Bedrohung für macOS-Systeme und die Notwendigkeit erhöhter Sicherheitsmaßnahmen, insbesondere in Branchen wie Kryptowährung und Blockchain.

Weitere Details gibt es in den Blogposts 0x77 und 0x78 von Patrick Wardle im Blog objective-see.org.

Ivanti behebt kritische Sicherheitslücke in Endpoint Manager

Ivanti, ein Anbieter von IT-Managementlösungen, hat eine kritische Sicherheitslücke in seiner Endpoint Manager (EPM)-Software bekanntgegeben und entsprechende Sicherheitsupdates veröffentlicht. Die Schwachstelle, als CVE-2023-39336 identifiziert, betrifft EPM 2022 SU4 und alle vorherigen Versionen.

Die kritische Sicherheitslücke, mit einer CVSS-Bewertung von 9,6, ermöglicht es einem Angreifer mit Zugang zum internen Netzwerk, eine nicht spezifizierte SQL-Injektion auszunutzen. Dadurch kann der Angreifer beliebige SQL-Abfragen ohne Authentifizierung durchführen und Ausgaben abrufen. Im schlimmsten Fall könnte dies zu einer Übernahme der Kontrolle über Maschinen führen, auf denen der EPM-Agent läuft. Besonders problematisch ist die Situation, wenn der Kernserver Microsoft SQL Express verwendet, da dies zu Remote Code Execution (RCE) auf dem Kernserver führen kann.

Die Anwender von Ivanti EPM 2021 und EPM 2022 vor SU5 werden dringend aufgefordert, die bereitgestellten Sicherheitsupdates zu installieren.

Obwohl keine aktuellen Hinweise auf Exploits vorliegen, haben staatlich unterstützte Akteure in der Vergangenheit Zero-Day-Schwachstellen in anderen Ivanti-Produkten ausgenutzt, um in Netzwerke von Regierungsorganisationen einzudringen.

Terrapin-Attacke auf SSH-Protokoll entdeckt: Millionen Server gefährdet

Sicherheitsforscher der Ruhr-Universität Bochum haben eine schwerwiegende Sicherheitslücke im SSH-Protokoll identifiziert – die Terrapin-Attacke. Angreifer können die Integrität der Verbindung durch Manipulation von Sequenznummern im Handshake gefährden. Betroffen sind viele SSH-Implementierungen, darunter OpenSSH und PuTTY. Fast 11 Millionen SSH-Server im Internet sind laut der Shadowserver Foundation gefährdet. Die Forscher empfehlen dringend, Patches zu installieren und bieten einen Vulnerability Scanner an, um betroffene Systeme zu identifizieren.

Neue Zero-Day-Sicherheitslücke bedroht Apache OfBiz

In Apache OfBiz, einem Open-Source-ERP-System, wurde eine neue Zero-Day-Sicherheitslücke mit der Bezeichnung CVE-2023-51467 entdeckt. Diese ermöglicht es, die Authentifizierung zu umgehen, indem leere Parameter in einer HTTP-Anfrage verwendet werden. Dies resultiert aus einem unvollständigen Patch für eine vorherige kritische Schwachstelle mit der Bezeichnung CVE-2023-49070. Nutzer sollten dringend auf Version 18.12.11 oder neuer aktualisieren, um potenzielle Bedrohungen zu verhindern. Die Shadowserver Foundation berichtet von Exploit-Versuchen und betont die schnelle Absicherung von Apache OfBiz.

Zero-Day-Lücke in Barracuda’s ESG-Geräten ausgenutzt

Chinesische Hacker haben eine neue Zero Day Lücke in Barracudas Email Security Gateway (ESG) ausgenutzt. Die Schwachstelle mit dem Namen CVE-2023-7102 ermöglichte die Ausführung von Code über präparierte Excel-Anhänge. Die Angreifer, als UNC4841 bekannt, setzten bereits zuvor eine Zero-Day-Schwachstelle in Barracuda-Geräten ein. Die erfolgreiche Ausnutzung führte zur Installation von Backdoors namens SEASPY und SALTWATER. Am 21. Dezember 2023 veröffentlichte Barracuda ein automatisch angewendetes Sicherheitsupdate, es sind keine weiteren Maßnahmen der Kunden erforderlich.

Hacker-Gruppen und Kampagnen

Internationaler Cybercrime-Ring zerschlagen

Ein transnationales Ermittlerteam ist erfolgreich gegen den xDedic-Marktplatz vorgegangen, der illegal Zugangsdaten und persönliche Informationen verkaufte. Nach der Abschaltung im Jahr 2019 wurden weltweit 19 Personen auf verschiedenen Ebenen des Betriebs angeklagt. Die Täter nutzten über 700.000 kompromittierte Server für illegale Aktivitäten wie Steuerbetrug. Die Strafen für die Angeklagten reichen von 12 Monaten bis zu 78 Monaten Haft. Internationale Zusammenarbeit führte zu 17 Anklagen und/oder Auslieferungen in die USA.

Wenn Santa hackt: Cyberkriminelle feiern ‚Leaksmas‘

Während der festlichen Jahreszeit starteten Cyberkriminelle im Dark Web das „Leaksmas“-Event, bei dem enorme Mengen an persönlichen Daten veröffentlicht wurden. Unter dem Label „Free Leaksmas“ teilten Hacker Datenlecks als „Dank“ untereinander. Opfer in den USA, Peru, Frankreich und anderen Ländern sind mit Kontenübernahmen, Identitätsdiebstahl und finanziellen Betrügereien konfrontiert.

Ein besonders alarmierender Vorfall in Peru betraf Movistar, einen führenden Telekommunikationsanbieter, der über 22 Millionen Datensätze verlor. Andere Länder, darunter Chile, die Philippinen und Italien, wurden ebenfalls getroffen. Die Gruppe SiegedSec, bekannt für Datenlecks aus Idaho, behauptet, in nicht näher benannte Regierungsressourcen eingedrungen zu sein. Die „Five Families“, eine Hacktivisten-Allianz, leiteten ebenfalls Datenlecks ein.

Die Auswirkungen sind erheblich und könnten Millionen von Dollar an Schäden verursachen. Die Cyberkriminellen kündigten weitere Aktionen im kommenden Jahr an.

Wirtschaft, Politik und Kultur

Hackergruppe ‚Homeland Justice‘ attackiert Albanien

Die pro-iranische Hackergruppe „Homeland Justice“ führte kürzlich einen Cyberangriff auf Albanien mit der No-Justice-Wiper-Malware durch. Diese schädliche Software verursacht einen irreparablen Systemabsturz. Die Gruppe, aktiv seit Juli 2022, setzte ihre destruktiven Angriffe fort, mit dem angegebenen Ziel, Anhänger von Terroristen zu beeinträchtigen. Unter den betroffenen Einrichtungen befanden sich ONE Albania, Eagle Mobile Albania, Air Albania und das albanische Parlament. Die eingesetzten Werkzeuge umfassen einen ausführbaren Wiper sowie ein PowerShell-Skript.

Russische Hacker löschen Kyivstar Systeme

Wie aus einem Bericht von Reuters hervorgeht, hatten russische Hacker seit Mai 2023 Zugang zum System des ukrainischen Telekommunikationsunternehmens Kyivstar und führten am 12. Dezember 2023 eine groß angelegte Löschaktion durch. Der Cyberangriff im Dezember führte zu einem Ausfall der Dienste für 24 Millionen Nutzer. Der Security Service der Ukraine (SBU) vermutet die russische Einheit Sandworm als Täter. Der Angriff hatte wenig Auswirkungen auf die ukrainische Armee, und Kyivstar konnte die Dienste schnell wiederherstellen. Der Cyber-Spionage Chef der Ukraine nennt diesen Angriff eine Warnung für alle westlichen Länder zur Anfälligkeit kritischer Infrastrukturen für Cyberangriffe.

Palantir-Nutzung bei Polizei: Bundesländer zögern nach Urteil

Nach dem Palantir-Urteil vom Februar 2023, das die automatisierte Datenverarbeitung bei der Polizei strenger regelte, wurde die Nutzung von Palantir-Software bei deutschen Polizeien in Frage gestellt. Die Mehrheit der Bundesländer zeigt wenig Interesse. Das Urteil betonte den Schutz datenschutzrechtlicher Grundsätze und führte zu strengeren Regeln für die Datenanalyse. Palantir, ein umstrittener US-Konzern, liefert entsprechende Analysewerkzeuge an deutsche Polizeien. Die Bundesländer Hamburg, Berlin und Baden-Württemberg prüfen noch, während Bayern, NRW und Hessen bereits Palantir nutzen. Bedenken bezüglich Verfassungsmäßigkeit und Datenschutz bleiben bestehen, mit angekündigten Verfassungsbeschwerden.

Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.

Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 08.01.2024 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Kritische Sicherheitslücke in Apache Struts

Eine gravierende Sicherheitslücke, identifiziert als CVE-2023-50164, wurde in Apache Struts Versionen 2.0.0 bis 6.3.0 entdeckt. Diese Schwachstelle ermöglicht Path Traversal durch das manipulieren von Datei-Upload-Parametern und damit, das hochladen von schädlichen Dateien, was zu einer Remote Code Execution führen kann. Der kritische Score der Schwachstelle beträgt 9.8.

Anwender werden eindringlich gebeten, auf die Versionen Struts 2.5.33 oder Struts 6.3.0.2 oder höher zu aktualisieren, um diese Sicherheitslücke zu schließen und potenzielle Risiken zu minimieren.

Hacker-Gruppen und Kampagnen

Neues KV-Botnet bedroht Cisco, DrayTek und Fortinet Geräte

Ein aktueller Bericht enthüllt ein neues Botnetz namens KV-Botnet, das sich auf Firewalls und Router von Cisco, DrayTek, Fortinet und NETGEAR konzentriert. Die beiden Clustern KY und JDY sind seit mindestens Februar 2022 aktiv und infizieren Geräte am Netzwerkrand. Das Botnetz wird von China aus gesteuert, und es wird vermutet, dass der Akteur Volt Typhoon es nutzt.

Microsoft hebt hervor, dass das Botnetz versucht, sich in normale Netzwerkaktivitäten einzufügen, wobei der genaue Infektionsmechanismus noch unbekannt ist. Das Botnetz kann Dateien hoch- und herunterladen, Befehle ausführen und hat kürzlich Axis-IP-Kameras als potenzielle Ziele hinzugefügt. Ein bemerkenswerter Aspekt ist, dass alle Tools offenbar ausschließlich im Arbeitsspeicher vorhanden sind, was die Erkennung erschwert.

Massives Datenleck bei Delta Dental of California

Delta Dental of California und seine Tochterunternehmen warnen vor einem umfangreichen Datenleck, bei dem persönliche Informationen von nahezu sieben Millionen Patienten durch eine Schwachstelle in der MOVEit Transfer Software kompromittiert wurden.

Über die MOVEit Schwachstellen haben wir im Juni und Juli diesen Jahres bereits mehrfach berichtet. Zu diesem Zeitpunk war bereits klar, dass das Thema noch ein paar mal seinen hässlichen Kopf zeigen wird. In diesem Fall scheint es, dass die Meldung zwar jetzt erst veröffentlicht wurde, der Angriff aber bereits im Mai stattgefunden hatte.

In diesem Fall wurde die SQL-Injection-Schwachstelle in MOVEit von der Clop-Ransomware-Gruppe ausgenutzt. Von dem Vorfall betroffen sind 6.928.932 Kunden, deren persönliche Informationen, darunter Namen, Finanzkontonummern sowie Angaben zu Kredit- und Debitkarten einschließlich Sicherheitscodes.

Wirtschaft, Politik und Kultur

EU beschließt Schutzmaßnahmen für Journalisten vor staatlichem Hacken

EU-Institutionen erzielten eine Einigung über den European Media Freedom Act (EMFA), der Journalisten vor staatlicher Überwachung schützen soll. Trotz fehlender Ausnahme für nationale Sicherheit wurde der Schutz vor staatlichem Hacken in den Verhandlungen geschwächt.

Ein zentraler Streitpunkt war der Einsatz von Spyware. Der Kompromiss sieht vor, dass die umstrittene Formulierung zur nationalen Sicherheit entfernt wurde, stattdessen jedoch ein allgemeiner Hinweis auf die EU-Verträge eingeführt wurde.

Der EMFA schreibt nun vor, dass staatliche Behörden für Überwachungsmaßnahmen gegen Journalisten eine richterliche Bestätigung benötigen und ein „überwiegendes öffentliches Interesse“ vorliegen muss. Journalisten müssen zudem informiert werden, wenn sie gehackt wurden.

Die Einigung betrifft auch andere strittige Punkte des EMFA, darunter die „Medienausnahme“ und die Schaffung des europäischen Medienboards. Die Zustimmung des Ministerrats und des EU-Parlaments steht noch aus, wird jedoch als Formsache betrachtet. Die Abstimmung im Parlament ist für März 2024 geplant. Trotz gemischter Reaktionen wird die Verordnung als Fortschritt für die Informationsfreiheit in der EU betrachtet.

Sicherheitsbedenken in der Gesundheitsdigitalisierung

Der Bundestag hat am 14. Dezember zwei Gesetzesentwürfe zur Digitalisierung des Gesundheitswesens verabschiedet, die von Bundesgesundheitsminister Karl Lauterbach als „Quantensprung“ gepriesen wurden. Während das Digital-Gesetz die flächendeckende Einführung des E-Rezepts und der elektronischen Patientenakte (ePA) vorsieht, regelt das Gesundheitsdatennutzungsgesetz die Nutzung von Gesundheitsdaten für die Forschung.

In der Plenardebatte wurden jedoch Datenschutz- und Sicherheitsbedenken weitgehend ignoriert. Trotz Warnungen von Organisationen wie der Verbraucherzentrale Bundesverband und dem Chaos Computer Club wurden diese als unbegründet abgetan. Minister Lauterbach setzt auf einen Opt-out-Mechanismus für Versicherte und modernste Technologie, während Kritiker auf Kryptografie und Anonymisierung pochen.

Im Parlament stießen die Sicherheitsbedenken auf taube Ohren. SPD-Abgeordneter Matthias Mieves verneinte Gefahren für Gesundheitsdaten und betonte, dass die elektronische Patientenakte den Versicherten „die Hoheit über ihre Daten“ gebe. Die Risiken einer zentralen Speicherung, wie von Experten Ende November aufgezeigt, wurden nicht thematisiert.

Ex-Sicherheitsingenieur gesteht Krypto-Hacks

Shakeeb Ahmed, ein ehemaliger Sicherheitsingenieur eines internationalen Technologieunternehmens, hat sich schuldig bekannt, zwei dezentrale Kryptowährungsbörsen gehackt zu haben. Die Anklage betrifft den Hack der Crypto Exchange im Juli 2022 und einen weiteren Angriff auf Nirvana Finance. Ahmed, der seine technischen Fähigkeiten für den Diebstahl von über 12 Millionen US-Dollar einsetzte, hat zugegeben, die gestohlenen Gelder zurückzugeben.

Ahmed nutzte sein Wissen als Sicherheitsingenieur, um im Juli 2022 die Crypto Exchange zu hacken. Dabei manipulierte er einen Smart Contract und verursachte gefälschte Preisdaten, die zu überhöhten Gebühren führten. In einem weiteren Angriff auf Nirvana kaufte er mithilfe eines Flash-Kredits ANA-Tokens zu einem niedrigen Preis und verkaufte sie später zu einem höheren Preis an Nirvana, was zu einem Gewinn von 3,6 Millionen US-Dollar führte. Nirvana schloss aufgrund des Verlusts.

Ahmed versuchte, die Herkunft der gestohlenen Gelder zu verschleiern, indem er verschiedene Methoden wie Token-Swap-Transaktionen, „Bridging“ von Betrugsgeldern zwischen verschiedenen Blockchains und den Einsatz von Kryptowährungsmixern nutzte.

Der 34-jährige Ahmed bekannte sich schuldig und akzeptierte die Zahlung von über 5 Millionen US-Dollar als Wiedergutmachung. Das Strafmaß wird am 13. März 2024 vor Richter Victor Marrero festgelegt.

Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren.

Damit verabschieden wir uns in die Weihnachtspause. Wir wünschen euch allen frohe Weihnachten und einen guten Rutsch ins neue Jahr. Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 18.12.2023 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

WordPress Sicherheitsupdate behebt kritische Schwachstelle

Das kürzlich veröffentlichte Update von WordPress, Version 6.4.2, konzentriert sich vor allem auf die Behebung einer kritischen Sicherheitslücke. Das Sicherheitsteam hat eine Remote Code Execution-Schwachstelle identifiziert, die zwar nicht direkt im WordPress-Kern ausnutzbar ist. Dennoch besteht ein erhebliches Risiko, insbesondere in Verbindung mit bestimmten Plugins, vor allem bei Multisite-Installationen.

Die Entwickler empfehlen daher nachdrücklich, dieses Sicherheitsupdate sofort zu installieren. Durch die Aktualisierung auf WordPress 6.4.2 werden potenzielle Angriffspunkte geschlossen und die Sicherheit erhöht.

Die Aktualisierung kann direkt von WordPress.org heruntergeladen oder über das WordPress-Dashboard durchgeführt werden.

Fake-Warnung zu angeblich gefährlichem WordPress Update

Derzeit sind betrügerische E-Mails in Umlauf, die WordPress-Admins vor einer vermeintlichen Schadcode-Lücke warnen. Das berichtet Heise am letzten Donnerstag.

Via E-Mail werden Administratoren von WordPress Seiten auf eine angeblich kritische Schwachstelle mit der fiktiven ID CVE-2023-45124 hingewiesen. Die Mail verweist auf eine Phishing Webseite, die der offiziellen WordPress Plugin Seite verdächtig ähnlich sieht.

Wer Updates über den automatisierten Vorgang im WordPress Admin Panel installiert, ist auf der sicheren Seite. Noch besser ist beraten, wer die Installation von WordPress Updates vollständig automatisiert.

Hacker-Gruppen und Kampagnen

US-Bundesbehörde durch alte Schwachstelle gehackt

Die US-Bundesbehörde CISA warnt vor erfolgreichen Cyberangriffen auf eine Bundesbehörde, bei denen Hacker eine bekannte Schwachstelle in nicht mehr unterstützter Software ausnutzten. Die Angriffe im Juni und Juli richteten sich gegen öffentlich zugängliche Server, die veraltete Versionen von Adobe ColdFusion verwendeten. Die Schwachstelle CVE-2023-26360 war bereits im März bekannt und betraf eine Software im „End-of-Life“-Status ohne weitere Updates.

Die Hacker führten Erkundigungen im Netzwerk durch, aber es gibt keine Anzeichen für Datenexfiltration. Microsoft Defender for Endpoint erkannte die Schwachstelle und blockierte die Hackeraktivitäten. Die CISA betont die Risiken der Verwendung nicht mehr unterstützter Software und die Wichtigkeit von Updates zur Cyberabwehr.

Wirtschaft, Politik und Kultur

Regierungen spionieren über Push-Benachrichtigungen

US-Senator Ron Wyden hat in einem Schreiben (PDF) an den Generalstaatsanwalt Merrick B. Garland das Justizministerium aufgefordert, Apple und Google zu gestatten, ihre Kunden über staatliche Anforderungen bezüglich Benachrichtigungsdaten von Smartphone-Apps zu informieren.

Hintergrund ist ein Hinweis aus dem Frühjahr 2022, wonach ausländische Regierungsbehörden von Google und Apple die Herausgabe von Aufzeichnungen über sogenannte „Push“-Benachrichtigungen fordern. Wydens Büro hat dies im letzten Jahr intensiv untersucht, wobei die Unternehmen mit Verweis auf staatliche Beschränkungen eine Veröffentlichung verweigerten.

Push-Benachrichtigungen, die über digitale Postdienste von Apple und Google laufen, ermöglichen eine effiziente Zustellung von App-Mitteilungen. Da diese Daten von Apple und Google übermittelt werden, könnten sie von Regierungen angefordert werden, was eine heimliche Überwachung ermöglicht.

Wyden betont, dass Apple und Google in der einzigartigen Position sind, diese staatliche Überwachung zu erleichtern, da App-Entwickler kaum Alternativen haben. Er fordert daher, dass die Unternehmen transparent sein dürfen, indem sie bekannt geben, ob sie solche Anfragen erhalten haben, Statistiken veröffentlichen und Kunden informieren dürfen, es sei denn, Gerichte schreiben Stillschweigen vor.

Meta Messenger jetzt mit Ende-zu-Ende-Verschlüsselung

Ab dem 6. Dezember 2023 bietet der Messenger auf Facebook eine verbesserte Sicherheit. Persönliche Chats und Anrufe sind nun standardmäßig Ende-zu-Ende verschlüsselt. Diese Maßnahme gewährleistet, dass Inhalte von Nachrichten und Anrufen nur für Absender und Empfänger sichtbar sind. Zusätzlich werden neue Funktionen wie Nachrichtenbearbeitung, verschwindende Nachrichten nach 24 Stunden und verbesserte Kontrollen für Lesebestätigungen eingeführt. Die globale Implementierung erfolgt schrittweise über mehrere Monate, und Benutzer werden aufgefordert, eine Wiederherstellungsmethode einzurichten. Diese Aktualisierung markiert die größte Verbesserung der Sicherheit des Messenger-Dienstes seit seiner Einführung im Jahr 2011.

Nur 10 Jahre nachdem Signal Ende-zu-Ende Chats salonreif gemacht hat und 9 Jahre nachdem WhatsApp das Protokoll von Signal implementiert hat, zieht nun auch Meta Messenger nach. Der Vorreiter in Sachen Datenschutz geht damit mal wieder mit gutem Beispiel vorran.

Massive Sicherheitslücken im Gesundheitswesen: Patientendaten durch veraltetes Protokoll gefährdet

In einem alarmierenden Bericht von IT-Sicherheitsexperten, wird enthüllt, dass Millionen von Patientendaten einem erheblichen Risiko ausgesetzt sind. Grund hierfür ist die Nutzung des veralteten DICOM-Protokolls in der medizinischen Bildgebung. Die Präsentation verdeutlichte, wie Hacker auf einfache Weise Zugang zu sensiblen medizinischen Informationen erhalten und sogar Daten manipulieren können.

DICOM, ein seit einem Jahrzehnt bestehendes Standardprotokoll, wird in zahlreichen medizinischen Einrichtungen verwendet. Die Experten warnten vor der Leichtfertigkeit, mit der ungeschützte DICOM-Endpunkte im Internet gefunden und ausgenutzt werden können. Die Präsentation enthielt klare Handlungsempfehlungen für medizinische Institutionen, Gesundheitsdienstleister und Ingenieure, um diese Sicherheitslücken zu schließen und die Vertraulichkeit von Patientendaten zu gewährleisten.

Das wars für diese Woche, die Weekly Hacker News gibt es auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 11.12.2023 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Aktive Ausnutzung kritischer Qlik Sense-Schwachstellen

Sicherheitsforscher schlagen Alarm vor einer aktuellen Welle der CACTUS-Ransomware, die gezielt Sicherheitslücken in der Anwendung Qlik Sense ausnutzt. Dies stellt den ersten dokumentierten Fall dar, in dem Angreifer Qlik Sense-Schwachstellen als Eintrittspunkt für ihre Attacken verwenden. Im Detail handelt es sich um eine kritische Schwachstelle im HTTP-Request-Tunneling, identifiziert als CVE-2023-41265, mit einem Score von 9,9. Diese ermöglicht einem entfernten Angreifer, seine Rechte zu erhöhen.

Gleichzeitig wird eine Path-Traversal-Schwachstelle, bekannt als CVE-2023-41266 mit einem Score von 6,5, ausgenutzt. Diese erlaubt einem nicht authentifizierten entfernten Angreifer das erfolgreiche Ausführen von nicht autorisierten HTTP-Anfragen. Zusätzlich wird die Schwachstelle CVE-2023-48365 mit einem kritischen Score von 9,9 ausgenutzt, die einem nicht authentifizierten Angreifer Remote-Code-Ausführung aufgrund unsachgemäßer Validierung von HTTP-Headern ermöglicht. Diese Schwachstellen eröffnen den Angreifern die Möglichkeit, über den Qlik Sense Scheduler-Dienst zusätzliche Tools zu laden.

Nach der Ausnutzung dieser Schwachstellen werden bekannte Tools wie ManageEngine UEMS, AnyDesk und Plink verwendet. Die Angriffsketten kulminieren in der Bereitstellung der CACTUS-Ransomware und der Datenexfiltration mittels rclone.

Es ist dringend anzuraten, dass Organisationen, die Qlik Sense nutzen, umgehend die entsprechenden Sicherheitsupdates installieren, um diese kritischen Schwachstellen zu beheben

Aktive Attacke auf Google Chrome: Neue Zero-Day-Lücke entdeckt

Google hat ein Sicherheitsupdate für Chrome veröffentlicht, um sieben Schwachstellen zu beheben, darunter eine aktive Zero-Day-Schwachstelle mit dem Namen CVE-2023-6345. Die 0Day- Schwachstelle in der Grafikbibliothek Skia wurde von der Google Threat Analysis Group entdeckt. Google schreibt, dass für diese Schwachstelle ein Exploit im Netz kursiert.

Das jüngste Update behebt insgesamt sieben Schwachstellen in Chrome. Um sich vor potenziellen Bedrohungen zu schützen, wird allen Nutzern empfohlen, auf die neueste Version (119.0.6045.199/.200) zu aktualisieren. Auch Nutzer von Chromium-basierten Browsern, wie beispielsweise Microsoft Edge, sollten die verfügbaren Updates der jeweiligen Hersteller zeitnah anwenden.

Kritische Sicherheitslücke in VMware Cloud Director

VMware warnt vor einer schweren Sicherheitslücke in der VMware Cloud Director Appliance, mit der Kennung CVE-2023-34060. Die Schwachstelle betrifft Systeme, die von einer älteren Version auf Version 10.5 aktualisiert wurden, und ermöglicht einen kritischen Authentifizierungsbypass auf den Ports 22 und 5480. Der CVSSv3-Basis-Score beträgt dabei maximal 9.8. Neue Installationen sind nicht betroffen.

Zur Behebung empfiehlt VMware ein Upgrade auf Version 10.5.1 oder die Umsetzung der Workarounds in KB95534. Weitere Details und Updates sind auf der offiziellen Website verfügbar. Nutzer werden dringend aufgefordert, die Sicherheitsmaßnahmen zeitnah umzusetzen und die aktuellen Richtlinien zu beachten.

Hacker-Gruppen und Kampagnen

Cyberangriff auf Japans Raumfahrtagentur JAXA

Im Sommer dieses Jahres wurde die Japan Aerospace Exploration Agency (JAXA) Opfer eines Cyberangriffs, der Befürchtungen hervorruft, dass sensible Informationen des japanischen Raumfahrtprogramms gefährdet wurden.

Unbekannte hatten Zugriff auf den Active Directory Server erhalten, welcher die Logins der Mitarbeiter im zentralen Netzwerk verwaltet. Die Polizei entdeckte den Angriff im Herbst und informierte JAXA, die nun in Zusammenarbeit mit der Regierung und der Polizei das Ausmaß des Vorfalls untersucht.

Obwohl bislang kein großer Informationsabfluss bestätigt wurde, bezeichnete ein JAXA-Vertreter die Situation als sehr ernst.

Die Agentur plant eine schnelle Aufklärung und Überprüfung der Netzwerksicherheit. JAXA war bereits in den Jahren 2016 und 2017 Ziel von Cyberangriffen. Die Quelle des letzten Angriffs ist noch unbekannt, es wird aber vermutet, dass der Zugriff auf sensible Informationen Ziel des Angriffs war.

Wirtschaft, Politik und Kultur

Internationale Aktion gegen Ransomware-Gruppe in der Ukraine

In einer beispiellosen internationalen Zusammenarbeit haben Strafverfolgungs- und Justizbehörden aus sieben Ländern gemeinsam mit Europol und Eurojust erfolgreich eine Ransomware-Gruppe in der Ukraine zerschlagen. Die Gruppe war für hochkarätige Angriffe verantwortlich, die zu Verlusten von Hunderten von Millionen Euro führten. Die Aktion fand inmitten des andauernden Kriegs in der Ukraine statt. Am 21. November wurden 30 Anwesen in den Regionen Kyiv, Cherkasy, Rivne und Vinnytsia durchsucht, was zur Festnahme des 32-jährigen Anführers und vier seiner aktiven Komplizen führte. Über 20 Ermittler aus Norwegen, Frankreich, Deutschland und den USA wurden nach Kyiv entsandt, um die ukrainische Polizei zu unterstützen.

Die Verdächtigen sind Teil eines Netzwerks, das für Ransomware-Angriffe in 71 Ländern verantwortlich ist, wobei sie große Unternehmen gezielt ins Visier nehmen. Die Ermittlungen ergaben, dass sie über 250 Server von Großunternehmen verschlüsselt und Verluste in Höhe von mehreren Hundert Millionen Euro verursacht haben. Die internationale Zusammenarbeit begann 2019 auf Initiative der französischen Behörden und wurde trotz der Herausforderungen des Kriegs in der Ukraine fortgesetzt. Europol, Eurojust und verschiedene nationale Behörden spielten eine entscheidende Rolle bei der Koordination und Durchführung der Operation.

Eurojust und Europol spielten Schlüsselrollen in der Koordination, während forensische Analysen zur Identifizierung der Verdächtigen führten. Die Schweizer Behörden entwickelten mit No More Ransom und Bitdefender Entschlüsselungswerkzeuge für bestimmte Ransomware-Varianten.

Anklage gegen Fake-Shop-Betreiber aus Nordrhein-Westfalen

Die Generalstaatsanwaltschaft Bamberg hat Anklage gegen zwei Männer im Alter von 23 und 21 Jahren aus dem Kreis Herford erhoben. Sie werden beschuldigt, zwischen Juni und November 2022 sieben betrügerische Online-Shops betrieben zu haben, auf denen hochwertige Photovoltaik- und Solarmodule angeboten wurden. Kunden zahlten im Voraus, erhielten jedoch nie die bestellten Produkte. Der Gesamtschaden beläuft sich auf rund 401.000 EUR. Die Anklage umfasst 132 Fälle des gewerbsmäßigen Betrugs. Einer der Beschuldigten muss sich zusätzlich wegen des Besitzes kinderpornographischer Inhalte verantworten. Da einer der Männer zur Tatzeit Heranwachsender war, erfolgt die Anklage vor einer Jugendkammer des Landgerichts Bamberg.

Trickbot-Malware: Russischer Hacker gibt Schuld zu

Ein russischer Staatsbürger, Vladimir Dunaev (40, hat seine Schuld in der Entwicklung und Verbreitung der Trickbot-Malware eingeräumt. Trickbot wurde 2022 ausgeschaltet und verursachte weltweit Verluste in zweistelliger Millionenhöhe, insbesondere in amerikanischen Krankenhäusern und Unternehmen.

Dunaev entwickelte bösartige Tools, darunter Modifikationen für Browser, zur Unterstützung von Trickbot. Die Malware stahl Geld und erleichterte die Installation von Ransomware, wodurch Schulen und Unternehmen, darunter Avon Schools und ein Immobilienunternehmen in North Canton, um mehr als 3,4 Millionen US-Dollar betrogen wurden.

Die Zusammenarbeit mit Südkorea ermöglichte Dunaevs Auslieferung in den Northern District of Ohio. Er bekannte sich schuldig und steht vor einer Höchststrafe von 35 Jahren Gefängnis.

Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 04.12.2023 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Sicherheitsalarm bei ownCloud: kritische Schwachstellen gefährden Nutzerdaten

In einem beunruhigenden Szenario warnt die Entwicklergemeinschaft von ownCloud vor drei kritischen Sicherheitslücken, die ein erhebliches Risiko für die Integrität von Nutzerdaten darstellen.

Die erste Schwachstelle betrifft die GraphAPI App, die selbst nach ihrer Deaktivierung sensible Konfigurationsdetails der PHP-Umgebung preisgibt. Betroffen sind Versionen von 0.2.0 bis 0.3.0 der App, die Schwachstelle erhält einen kritischen Score von 10.0. Als Sofortmaßnahme empfiehlt ownCloud das Löschen einer bestimmten Datei und das Deaktivieren der phpinfo Funktion. Nutzer sollten außerdem umgehend ihre sensitiven Daten, wie beispielsweise das ownCloud-Admin-Passwort, aktualisieren.

Die zweite Sicherheitslücke ermöglicht es Angreifern ohne Authentifizierung, auf Dateien zuzugreifen, sie zu modifizieren oder zu löschen, sofern der Benutzername des Opfers bekannt ist. Diese Schwachstelle betrifft Core-Versionen von 10.6.0 bis 10.13.0 und wird mit einem Score von 9.8 bewertet.

Die dritte Lücke bezieht sich auf eine Validierungsschwäche bei Subdomains in der OAuth2 App vor Version 0.6.1. Ein Angreifer kann durch die Verwendung einer speziell gestalteten Weiterleitungs-URL die Validierungsprüfung umgehen, was zu einem hohen Score von 9.0 führt. Als vorübergehende Lösung empfiehlt ownCloud, die „Allow Subdomains“-Option zu deaktivieren.

Die zeitgleiche Veröffentlichung eines Proof-of-Concept-Exploits für eine kritische Schwachstelle in CrushFTP verstärkt die Dringlichkeit der Sicherheitsmaßnahmen. Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, auf Dateien zuzugreifen, beliebige Programme auszuführen und Klartext-Passwörter zu erhalten.

Nutzer sind angehalten, sofortige Maßnahmen zu ergreifen, um potenzielle Risiken zu minimieren und die Sicherheit ihrer ownCloud-Instanzen zu gewährleisten.

Sicherheitsforscher umgehen Windows-Hello-Fingerabdrucksensoren

In einem dreimonatigen Forschungsprojekt hat das Offensive Research and Security Engineering-Team von Microsoft (MORSE) erfolgreich die Windows-Hello-Fingerabdrucksensoren auf drei führenden Laptops umgangen, darunter Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro Type Cover.

Ziel der Untersuchung war die Evaluierung der Sicherheit dieser Fingerabdrucksensoren, die für die Windows-Hello-Authentifizierung verwendet werden. Die Forschung förderte mehrere Sicherheitslücken zutage, die es den Analysten ermöglichten, die Authentifizierung auf allen drei Geräten vollständig zu umgehen.

Die umfangreiche Analyse beinhaltete Reverse Engineering von Software und Hardware sowie die Untersuchung von Match-on-Chip (MoC)-Sensoren und des Secure Device Connection Protocol (SDCP). Besondere Aufmerksamkeit gilt den Schwächen in der SDCP-Implementierung.

Die Autoren empfehlen Herstellern von biometrischen Authentifizierungslösungen, sicherheitskritische Protokolle zu aktivieren und unabhängige Sicherheitsüberprüfungen durchzuführen.

Die Ergebnisse dieser Forschung betonen die Notwendigkeit einer kontinuierlichen Weiterentwicklung von Sicherheitspraktiken in biometrischen Authentifizierungssystemen, um Angriffen dieser Art vorzubeugen.

Hacker-Gruppen und Kampagnen

Nordkoreanische Hacker nutzen Zero-Day für Supply-Chain-Angriff

Das National Cyber Security Centre (NCSC) und der National Intelligence Service (NIS) warnen vor einem Supply-Chain-Angriff der Lazarus-Hackergruppe. Diese nutzt eine Zero-Day-Schwachstelle in der Authentifizierungssoftware MagicLine4NX, um vor allem südkoreanische Institutionen zu infiltrieren.

Der Angriff startete mit der Kompromittierung einer Medien-Website, was einen gezielten ‚Watering Hole‘-Angriff ermöglichte. Durch Ausnutzung der Software-Schwachstelle erlangten die Hacker unbefugten Zugang zum Intranet der Zielorganisationen. Der Angriff, bekannt als ‚Dream Magic‘, betont die fortgesetzte Nutzung von Supply-Chain-Taktiken durch nordkoreanische Hacker.

Diese Vorgehensweise wurde bereits im März 2023 von der Lazarus-Untergruppe „Labyrinth Chollima“ gegen 3CX und kürzlich gegen Microsoft angewendet.

Es wird dringend davon abgeraten, Lösegelder zu zahlen, da dies keine Garantie für die Wiederherstellung von Dateien bietet und Sanktionsrisiken birgt. Unternehmen werden aufgerufen, proaktiv Maßnahmen zur Abwehr solcher Angriffe zu ergreifen.

Millionenschwerer “Rug Pull” Betrug aufgedeckt

Gemäß einem Bericht von IT-Sicherheitsforschern von Check Point Research wurde am 21. November 2023 ein anspruchsvoller Betrug aufgedeckt. Eine Gruppe von Betrügern nutzte eine gefälschte Token-Fabrik, um beinahe eine Million Dollar zu ergaunern. Das Threat-Intel-Blockchain-System von Check Point identifizierte den Täter und erkannte, dass diese Adresse in 40 verschiedenen Rug Pulls involviert war.

Die Betrüger begannen mit der Erstellung von gefälschten Tokens wie GROK 2.0, um gutgläubige Käufer anzulocken. Sie füllten einen Liquiditätspool, täuschten Handelsaktivitäten vor und lockten Investoren mit künstlich erzeugter Nachfrage. Die Betrüger machten sich zwei Smart Contracts zunutze, um den Token-Handel zu manipulieren.

In der Schlussphase zogen die Betrüger die Gelder aus dem Pool ab, nachdem genügend Käufer angelockt und den Token-Preis künstlich erhöht wurde. Die Forscher überwachen aktiv Domänen, die mit der betrügerischen Adresse in Verbindung stehen, und teilen Erkenntnisse über neue Bedrohungen, um Investoren zu schützen.

Wirtschaft, Politik und Kultur

Kontroverse um KI im Asylverfahren

Das Bundesamt für Migration und Flüchtlinge (BAMF) nutzt ein 18 Millionen Euro teures KI-System, um möglicherweise sicherheitsrelevante Informationen aus Asylanhörungen zu identifizieren. Das „Assistenzsystem für Sicherheitsmeldungen“ (ASS) ist seit 2022 aktiv und wird in allen BAMF-Außenstellen eingeführt. Die KI scannt Anhörungsprotokolle und benachrichtigt BAMF-Mitarbeitende über potenziell relevante Informationen, bevor diese an Sicherheitsbehörden weitergeleitet werden.

Die Anzahl der Meldungen hat seit 2017 zugenommen, jedoch ohne klaren Anstieg der Weiterleitungen. Kritiker, darunter die Linken-Abgeordnete Clara Bünger, sehen einen bedenklichen Eingriff in das Recht auf informationelle Selbstbestimmung der Geflüchteten. Die Debatte wirft grundlegende Fragen zur Sicherheit, Transparenz und dem Schutz der Privatsphäre auf, während Befürworter betonen, dass das System dazu dient, potenzielle sicherheitsrelevante Bedrohungen zu erkennen und zu melden.

Anpassung des Hacker-Paragrafen: zeitgemäße Änderungen im Strafgesetzbuch

Im November 2023 präsentierte das Bundesministerium der Justiz die Eckpunkte zur Modernisierung des Strafgesetzbuchs, beauftragt durch den Koalitionsvertrag. Der Fokus liegt auf der Überprüfung historisch überholter Straftatbestände, der Strafrechtsmodernisierung und der Entlastung der Justiz.

Besonders im Blickpunkt stehen die §§ 202a ff. StGB, die das Ausspähen und Abfangen von Daten sowie die Vorbereitung dieser Handlungen regeln. Die Modernisierung soll sicherstellen, dass das Identifizieren, Melden und Schließen von Sicherheitslücken legal und verantwortungsbewusst, beispielsweise in der IT-Sicherheitsforschung, durchgeführt werden kann. Symposien mit Expertinnen und Experten am 30. Juni und 4. Oktober 2023 dienten als Grundlage für Eckpunkte, die in einem Gesetzentwurf münden sollen. Dieser wird voraussichtlich in der ersten Jahreshälfte 2024 vorgelegt.

Die geplanten Veränderungen spiegeln den Willen zur zeitgemäßen Justiz wider, indem sie auf Evidenz, Fachliteratur und Expertenmeinungen setzen. Die klare Ausrichtung auf die Herausforderungen der digitalen Welt unterstreicht dabei den Anspruch, das Strafrecht an aktuelle Entwicklungen anzupassen und dabei ein ausgewogenes Verhältnis zwischen Sicherheit und Freiheit zu wahren.

Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 27.11.2023 erschien zuerst auf LastBreach.

Wie immer auch auf Youtube und Peertube.

Schwachstellen und Exploits

Zero-Day-Exploit bedroht Zimbra E-Mail-Server

Die Google Threat Analysis Group (TAG) hat einen besorgniserregenden Zero-Day-Exploit in Zimbra Collaboration, einem weit verbreiteten E-Mail-Server, aufgedeckt.

Die Schwachstelle, identifiziert als CVE-2023-37580, erhielt einen Score von 6.1. Sie ermöglicht Angreifern den Zugriff auf E-Mail-Daten und Benutzeranmeldeinformationen.

Der Angriff begann in Griechenland und weitete sich auf Moldawien, Tunesien, Vietnam und Pakistan aus. Besonders alarmierend ist, dass einige Angriffe erst nach der Veröffentlichung des Patches auf Github erfolgten.

Zimbra hat rasch reagiert und sowohl einen Hotfix als auch einen offiziellen Patch bereitgestellt, um die Sicherheitslücke zu schließen.

Nutzer werden dringend aufgefordert, die bereitgestellten Updates umgehend zu installieren, um ihre E-Mail-Kommunikation zu schützen.

Apache ActiveMQ von kritischer Sicherheitslücke betroffen

Cybersicherheitsforscher haben eine kritische Sicherheitslücke in Apache ActiveMQ mit der Bezeichnung CVE-2023-46604 entdeckt. Die Schwachstelle wird aufgrund ihrer Schwere mit einem maximalen Score von 10 bewertet. Angreifer können durch Ausnutzung dieser Lücke beliebigen Code ausführen.

Die Schwachstelle wurde in den Versionen 5.15.16, 5.16.7, 5.17.6 und 5.18.3 behoben, wurde jedoch bereits von Ransomware-Gruppen ausgenutzt.

Ein öffentlich verfügbarer Proof-of-Concept-Exploit wurde verwendet, um über die ClassPathXmlApplicationContext eine nicht authentifizierte Remote-Code-Ausführung zu erreichen. VulnCheck entdeckte zudem eine verbesserte Angriffsmethode, die die FileSystemXmlApplicationContext-Klasse nutzt und sogar eine umgekehrte Shell ermöglicht.

Es wird dringend empfohlen, die betroffenen Server zu patchen und idealerweise von öffentlichen Netzwerken zu isolieren.

Kritische Sicherheitslücke in VMware Cloud Director

VMware warnt vor einer kritischen Sicherheitslücke im Cloud Director, benannt als CVE-2023-34060v, die auftritt, wenn von einer älteren Version auf Version 10.5 aktualisiert wird.

Ein Angreifer mit Netzwerkzugriff kann die Anmeldebeschränkungen auf den Ports 22 (ssh) und 5480 (Appliance Management Console) umgehen. Die Schwachstelle beruht auf einer betroffenen Version von sssd im zugrunde liegenden Photon OS.

Es gibt noch keine offizielle Lösung, aber VMware bietet einen Workaround an.

Diese Warnung folgt auf die Veröffentlichung von Patches für eine andere kritische Schwachstelle, die CVE-2023-34048 im vCenter Server, die Fernausführung von Code ermöglichen könnte.

Hacker-Gruppen und Kampagnen

Neue Cybergefahr: LitterDrifter-Malware bedroht internationale Ziele

In einem aktuellen Bericht der Sicherheitsforscher von Check Point wurde eine neue Malware-Bedrohung namens LitterDrifter identifiziert.

Die Hintermänner dieser Malware gehören zur berüchtigten Gamaredon-Zelle, einer russischen Spionagegruppe, die sich auf ukrainische Ziele spezialisiert hat. Die Forscher haben herausgefunden, dass LitterDrifter als selbstverbreitender Wurm fungiert und über USB-Laufwerke verbreitet wird.

Gamaredon, auch als Primitive Bear, ACTINIUM und Shuckworm bekannt, gilt als ein einzigartiger Akteur im russischen Spionage-Ökosystem. Die Gruppe hat sich darauf spezialisiert, groß angelegte Angriffe durchzuführen, wobei der Fokus auf regionalen Zielen liegt.

LitterDrifter weist zwei Hauptfunktionalitäten auf: Das Verbreitungsmodul verteilt die Malware im System, insbesondere auf USB-Laufwerken, während das C2-Modul (Befehls- und Kontrollserver) eine Kommunikationsverbindung zu den Angreifern aufrechterhält.

Obwohl die Malware scheinbar einfach gestrickt ist, hat sie sich als äußerst effektiv erwiesen.

Interessanterweise haben die Sicherheitsforscher  Anzeichen dafür gefunden, dass LitterDrifter möglicherweise über die ursprünglich beabsichtigten Ziele hinausgeht. Infektionsspuren wurden in verschiedenen Ländern wie den USA, Vietnam, Chile, Polen und Deutschland gefunden. Dies deutet darauf hin, dass die Verbreitung von LitterDrifter möglicherweise internationaler ist als zunächst angenommen.

FBI warnt vor ‚Scattered Spider‘: Ransomware-Gefahr für Unternehmen

Das FBI und die CISA haben eine Warnung zu den Aktivitäten der Cyberkriminellen-Gruppe „Scattered Spider“ veröffentlicht.

Diese Gruppe fokussiert sich auf kommerzielle Einrichtungen und setzt dabei auf ausgefeilte Taktiken wie Social Engineering und den Einsatz von BlackCat/ALPHV-Ransomware. Besonders besorgniserregend ist, dass die Gruppe laut der Mitteilung in ihren jüngsten Aktivitäten vermehrt dazu neigt, neben ihren traditionellen Vorgehensweisen auch legitime Tools für ihre kriminellen Machenschaften zu verwenden.

Scattered Spider bedient sich verschiedener Methoden, darunter Phishing, Push-Bombing und SIM-Swap-Angriffe, um an Zugangsdaten zu gelangen, remote auf Systeme zuzugreifen und Mehrfaktor-Authentifizierung (MFA) zu umgehen. Interessanterweise haben sie auch legitime Tools wie Fleetdeck.io und Teamviewer für ihre Zwecke umfunktioniert.

Ein herausstechendes Merkmal ist die Drohung mit Datenverschlüsselung und Erpressung (Ransomware). Die Gruppe droht, exfiltrierte Daten freizugeben, und hat kürzlich begonnen, Opferdateien zu verschlüsseln. Dieses Vorgehen geht über ihre bisherigen Taktiken hinaus und verdeutlicht die steigende Raffinesse der Gruppe.

Wirtschaft, Politik und Kultur

Europol und Eurojust zerschlagen millionenschwere Voice-Phishing-Bande

Die tschechische und ukrainische Polizei haben mit Europol und Eurojust eine umfangreiche Vishing-Bande aufgedeckt, die Opfer in ganz Europa um mehrere Millionen Euro betrogen hat. Der Schaden allein in Tschechien wird auf über 8 Millionen Euro geschätzt.

Sechs Verdächtige wurden in der Ukraine und vier in der Tschechischen Republik im April dieses Jahres festgenommen. Bei Durchsuchungen in verschiedenen Orten wurden Mobiltelefone, SIM-Karten und Computer sichergestellt.

Die kriminelle Gruppe nutzte Call Center in der Ukraine für Vishing-Angriffe, vorwiegend gegen tschechische Opfer. Sie täuschten vor, Bankmitarbeiter oder Polizisten zu sein, um das Vertrauen der Opfer zu gewinnen.

Die Ermittlungen begannen im November 2021 bei Eurojust auf Antrag der tschechischen Behörden. Europol unterstützt den Fall seit Dezember 2021 und identifiziert potenzielle Opfer in anderen europäischen Ländern.

Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!

Der Beitrag Die Weekly Hacker News – 20.11.2023 erschien zuerst auf LastBreach.