Comretix Blog

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 28. und 29. November 2024 statt

Zoom hat Patches veröffentlicht, die mehrere Sicherheitslücken in Meeting SDK, Rooms Client, Rooms Controller, Video SDK, Workplace App und Workplace VDI Client schließen. Die abgesicherten Versionen sind für Android, iOS, Linux, macOS und Windows erschienen. Bislang gibt es keine Hinweise auf bereits laufende Angriffe.

Anzeige

In den unterhalb dieser Meldung verlinkten Beiträgen finden Admins Informationen zu den bedrohten Versionen und Sicherheitspatches. Nach erfolgreichen Attacken können sich Angreifer mit Netzwerkzugriff, aber ohne Anmeldung höhere Nutzerrechte verschaffen (CVE-2024-45421 "hoch"). Außerdem können Informationen leaken (CVE-2024-45419 "hoch").

Liste nach Bedrohungsgrad absteigend sortiert:

Fortinet hat Updates veröffentlicht, die hochriskante Sicherheitslücken in FortiOS, FortiAnalyzer und FortiClient schließen. Angreifer können die Schwachstellen missbrauchen, um ihre Rechte auszuweiten, unbefugt sensible Aktionen auf betroffenen Geräten auszuführen oder unbefugt Zugriff auf Netze zu erlangen.

Anzeige

Der FortiClient für Windows ermöglicht Angreifern, ihre Rechte im System mittels LUA-Auto-Patch-Skripten auszuweiten, schreibt Fortinet (CVE-2024-36513, CVSS 7.4, Risiko "hoch"). In einer weiteren Sicherheitsmitteilung schreiben Fortinets Entwickler, dass Angreifer mit niedrigen Rechten mit gefälschten Named-Pipe-Nachrichten zudem in den FortiClients für Windows beliebigen Code mit höheren Rechten ausführen können (CVE-2024-47574, CVSS 7.4, hoch). FortiClient für Windows 7.0.13, 7.2.5 und 7.4.1 schließen die Lücken, im Versionszweig 7.4 ist die LUA-Lücke hingegen nicht vorhanden. Wer FortiClient 6.4 einsetzt, soll auf eine dieser Fassungen aktualisieren.

Im FortyAnalyzer und Fortimanager können Nutzer mit Nur-Lese-Zugriff einige sensible Aktionen starten, schreiben die Entwickler in einer Sicherheitsnotiz. Dafür müssen sie angemeldet sein – welche Operationen genau sie dann unbefugt ausführen können, nennt der Hersteller jedoch nicht (CVE-2024-23666, CVSS 7.1, hoch). Die Lücken dichten die Versionen FortiAnalyzer und Fortimanager 7.4.3, 7.2.6, 7.0.13 und 6.4.15 sowie FortiAnalyzer-BigData 7.4.1 und 7.2.7, die Versionszweige 7.0, 6.4 und 6.2 sollen auf diese unterstützten Fassungen oder neuere aktualisieren.

Außerdem warnt Fortinet davor, dass Angreifer ohne vorherige Anmeldung SSL-VPN-Sessions mittels Phishing von SAML-Authentifzierungs-Links in FortiOS übernehmen können (CVE-2023-50176, CVSS 7.1, hoch). FortiOS 7.4.4, 7.2.8 sowie 7.0.14 oder neuer korrigieren den zugrundeliegenden Fehler.

Am 19. und 20. März 2025 treffen sich IT-Security-Verantwortliche in Hannover auf der secIT 2025. Der Star der Konferenzmesse sind die von c't, heise security und iX ausgewählten Programmpunkte. Diese Vorträge und Workshops über unter anderem Active Directory, NIS2 und Zero Trust sind werbefrei und die Referenten vermitteln wertvolle Fakten, die Admins direkt in Unternehmen umsetzen können.

Anzeige

Die secIT 2025 findet am 19. und 20. März 2025 im Hannover Congress Centrum (HCC) statt. Bereits am 18. März gibt es vor Ort mehrere Ganztagsworkshops zu aktuellen IT-Sicherheitsthemen. Wer bereit ist, seine Daten mit dem Veranstalter und den Partnern zu teilen, erhält das Ticket gratis. Wer das nicht möchte, bekommt ein Tagesticket noch bis 30. November 2024 für 59 statt 99 Euro. Ein Dauerticket für beide Tage kostet 99 statt 139 Euro. Tickets sind ab sofort im Onlineshop buchbar.

Zusätzlich zum Vortragsprogramm gibt es auch noch eine Ausstellung, in der sich Interessierte aktuelle Sicherheitslösungen vorführen lassen können. Natürlich stehen unsere Partner an ihren Ständen auch für Gespräche bereit.

Damit Firmen bei der Umsetzung der NIS2-Richtlinie nicht verzweifeln, leisten mehrere Vorträge und Workshops Hilfestellung. Auch die Podiumsdiskussion dreht sich um das Thema. Überdies gibt es Vorträge zu unter anderem Deepfakes in Telefonaten, Active Directory in Windows Server 2025 und wie man Cloud-Umgebungen effektiv gegen Attacken rüstet.

Neue regulatorische Anforderungen auf EU-Ebene durch den Cyber-Security-Act veranlassen Hersteller, ihre erstellte Software und Hardware in Bezug auf Sicherheit zu prüfen und zertifizieren zu lassen. Doch welche Richtlinien und Vorgaben müssen in Deutschland und auf dem europäischen Markt berücksichtigt werden?

Anzeige

In unserem Online-Workshop CRA-konform: Digitale Produkte auf Sicherheit prüfen und zertifizieren erhalten Sie an zwei Vormittagen einen umfassenden Einblick in die gängigen Verfahren auf diesem Gebiet. Dazu gehören unter anderem die Common Criteria for Information Technology Security Evaluation (CC), das beschleunigte Sicherheitszertifizierungsverfahren (BSZ) des Bundesamtes für Sicherheit in der Informationstechnik sowie das Sicherheitsframework NESAS (Network Equipment Security Assurance Scheme) und Prüfungen nach IEC 62443-4-2 (Industrial Security).

Sie gewinnen ein Verständnis für die angewandten Prüfungsmethoden und lernen, wie Sie die notwendigen Schutzmaßnahmen in Ihre IT-Produkte integrieren können. Ihr Trainer Sebastian Fritsch ist Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera und verfügt über mehr als 10 Jahre Erfahrung als Gutachter, Auditor und Berater.

Der nächste Workshop findet am 19. und 20. November 2024 jeweils von 9:00 bis 12:30 Uhr statt. Die Schulung bietet ausreichend Gelegenheit für individuelle Fragen und den Austausch mit Experten.

Ivanti hat Sicherheitsupdates für mehrere Produkte herausgegeben, die teils kritische Sicherheitslücken darin schließen. Administratorinnen und Administratoren sollten rasch handeln und die Aktualisierungen anwenden.

Anzeige

Am gravierendsten sind die Sicherheitslücken in der VPN- und NAC-Software von Ivanti, die die Entwickler in einer Sicherheitsmitteilung beschreiben. Sie betreffen Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC). Ein angemeldeter Angreifer aus dem Netz mit Admin-Zugang kann in Anfragen Argumente einschmuggeln und damit Schadcode einschleusen und ausführen (CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712; alle CVSS 9.1, Risiko "kritisch"). Zudem können sie das auch mit in Anfragen eingeschmuggelten Befehlen (CVE-2024-11007, CVE-2024-11006, CVE-2024-11005; alle CVSS 9.1, kritisch). Die Produkte sind von zahlreichen weiteren, als hohes Risiko eingestuften Schwachstellen betroffen.

Eine weitere Sicherheitsmitteilung von Ivanti listet Lücken im Endpoint Manager auf. Angreifer aus dem Netz können ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle zum Einschleusen von Schadcode missbrauchen (CVE-2024-50330, CVSS 9.8, kritisch). Außerdem können bösartige Akteure aus dem Netz ohne vorherige Anmeldung eine Path-Traversal-Lücke attackieren, was ebenfalls in der Ausführung von Code aus dem Netz führt. Hierfür ist jedoch eine Nutzerinteraktion nötig, was die Risikobewertung ganz knapp unter kritisch drückt (CVE-2024-50329, CVSS 8.8, hoch). Die aktualisierten Versionen schließen noch zahlreiche weitere, als hochriskant eingestufte Sicherheitslecks.

Für die Mobile-Device-Management-Software (MDM) Avalanche listet Ivanti fünf Sicherheitslücken mit einer Risikoeinschätzung als hoher Bedrohungsgrad auf. Sofern Angreifer die Lücken erfolgreich missbrauchen, können sie den Dienst für legitime Nutzer lahmlegen (Denial of Service) oder unbefugt auf sensible Informationen zugreifen. Das Problem löst Ivanti Avalanche in Version 6.4.6 oder neueren, die im Download-Portal unter der Wavelink-Domain verfügbar ist.

Hacker haben sich am Stromanbieter Tibber vergriffen und Daten geklaut. Das bestätigte das Unternehmen gegenüber heise security. Betroffen sind offenbar über 50.000 Kunden, allesamt aus Deutschland. Die Angreifer bieten ihre Beute im Darknet zum Kauf an.

Anzeige

Seit dem 11. November steht in einem populären Darknet-Forum ein Datensatz mit dem Titel "Tibber Data Breach - Leaked, Download" bereit. Einige Beispielzeilen enthalten Name, E-Mail-Adresse, Bestellbetrag und unvollständige Adressdaten.

Sie sind authentisch: Die Datensätze stammen aus einem Einbruch in den Tibber-Shop. Das gab das Unternehmen gegenüber heise security zu. In seinem Online-Laden verkauft Tibber Smart-Energy-Hardware wie den Strom-Tracker "Pulse". Ein Unternehmenssprecher betont jedoch, dass weder Zahlungs- noch Verbrauchsdaten abhanden gekommen seien, auch die genauen Adressen und Passwörter hätten die Hacker nicht erbeutet.

Der Umfang der gestohlenen Datensätze unterscheidet sich von der Darstellung der Hacker. Diese behaupten, 243.000 Datenzeilen aufgefunden zu haben, laut Tibber sind jedoch lediglich 50.000 Kunden betroffen. Die Diskrepanz könnte sich durch Mehrfachnennungen oder in mehrere Zeilen aufgeteilte Datensätze erklären.

Angreifer können Adobe After Effects, Audition, Bridge, Commerce, Illustrator, InDesign, Photoshop oder Substance 3D Painter ins Visier nehmen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen. Weiterführende Informationen zu den Sicherheitslücken und abgesicherten Versionen finden Admins in den unterhalb dieser Meldung verlinkten Warnhinweisen.

Anzeige

After Effects ist unter macOS und Windows angreifbar. Die Entwickler geben an, in den Ausgaben 24.6.3 und 25.0 sechs Sicherheitslücken geschlossen zu haben. Darunter sind mehrere Schwachstellen, über die Angreifer Schadcode auf PCs schieben und ausführen können (etwa CVE-2024-47441 "hoch"). Dafür müssen Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler (Out-of-bounds) auslösen.

Substance 3D Painter ist ebenfalls über mehrere Schadcode-Schwachstellen attackierbar. Hier schafft Ausgabe 10.1.1 für alle Plattformen Abhilfe. Illustrator ist in den Versionen 28.7.2 und 29.0.0 unter macOS und Windows gegen Schadcode-Attacken gerüstet.

Durch Lücken InDesign kann auch Schadcode auf Systeme gelangen und diese kompromittieren. Die Schwachstellen haben die Entwickler in den Ausgaben ID18.5.3, ID18.5.4 und ID20.0 geschlossen. Photoshop 2023 24.7.4 und Photoshop 25.12 sind auch gegen das Ausführen von Schadcode (CVE-2024-49514 "hoch") gerüstet.

Derzeit nutzen Angreifer zwei Sicherheitslücken in Windows aus. Weitere Sicherheitslücken sind öffentlich bekannt, sodass zusätzliche Attacken bevorstehen können. Admins sollten sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind.

Anzeige

Der Internet Explorer ist zwar Geschichte, die HTML-Rendering-Engine des Webbrowsers MSHTML ist aber nach wie vor in Windows aktiv. Darin klafft eine Schwachstelle (CVE-2024-43451, Risiko "mittel"), die Angreifer derzeit ausnutzen. Aus einer Warnmeldung von Microsoft geht aber nicht hervor, in welchem Umfang die Attacken ablaufen oder wie sie zu erkennen wären.

Im Zuge der Attacken schieben Angreifer Opfern präparierte Dateien unter. Bereits ein Klick auf diese Datei soll ausreichen, um den Angriff einzuleiten. Im Anschluss können Angreifer NTLMv2-Hashes erbeuten, mit denen sie sich dann an anderen Stellen authentifizieren können. Davon sind aktuelle und ältere Windows-Desktop- und Windows-Server-Versionen betroffen.

Die zweite ausgenutzte Schwachstelle (CVE-2024-49039, "hoch") betrifft den Windows Task Scheduler. Attacken sind einem Beitrag zufolge aber nur möglich, wenn Angreifer bereits authentifiziert sind, um eine präparierte Applikation zu starten. Ist das gegeben, kann der Angreifer aus einem AppContainer ausbrechen und Code mit unter Umständen erhöhten Rechten (Medium Integrity Level) ausführen.

Citrix hat Updates zum Schließen von Sicherheitslücken veröffentlicht. Für Angriffe verwundbar sind Citrix Netscaler ADC, Netscaler Gateway und Session Recording. Die US-amerikanische IT-Sicherheitsbehörde CISA geht davon aus, dass einige der Lücken Angreifern die Übernahme der Kontrolle von betroffenen Systemen ermöglichen.

Anzeige

In der Sicherheitsmitteilung von Citrix zu den Schwachstellen in Netscaler ADC und Netscaler Gateway erklären die Entwickler, dass es "zu Speicherschutzverletzungen kommen kann, die zu Speicherbeschädigungen und Denial-of-Service" führen können. Es sind also offenbar Zugriffe auf Speicher außerhalb vorgesehener Grenzen möglich. Konkrete Auswirkungen neben DoS nennt Citrix nicht, aber der Schweregrad legt nahe, dass dadurch Codeschmuggel möglich ist (CVE-2024-8534, CVSS 8.4, Risiko "hoch"). Zudem können authentifizierte Angreifer unbefugt auf Funktionen zugreifen, was offenbar mit einer KCDAccount-Konfiguration zusammenhängt, die auf Kerberos SSO zum Zugriff auf Backend-Ressourcen setzt (CVE-2024-8535, CVSS 5.8, mittel).

Zudem meldet Citrix Sicherheitslücken im Session Recording von Citrix Virtual Apps and Desktops. Angreifer können ihre Rechte zum NetworkService-Account ausweiten (CVE-2024-8068, CVSS 5.1, mittel) oder begrenzt Schadcode aus dem Netz mit diesen Rechten ausführen (CVE-2024-8069, CVSS 5.1, mittel). Die aktualisierten Software-Versionen sind in der Citrix-Meldung verlinkt.

Die Schwachstellen bessern die Versionen Netscaler ADC und Netscaler Gateway 14.1-29.72 und 13.1-55.34 sowie Netscaler ADC FIPS 13.1-37.207, 12.1-55.321 und 12.1-55.321 aus. Netscaler ADC und Netscaler Gateway 12.1 und 13.0 sind ebenfalls verwundbar, aber an ihrem End-of-Lifecycle angelangt und erhalten daher kein Update – Betroffene sollen ihre Appliances auf eine unterstützte Version aktualisieren. Die Cloud-Dienste von Citrix hat der Hersteller bereits gepatcht, hier müssen IT-Verantwortliche nicht weiter aktiv werden.

18 Folgen ist "Passwort" nun lang. Gibt es so was wie Episoden-Volljährigkeit? Jedenfalls nutzt der Podcast von heise security sein Erwachsenwerden prompt, um sich ins Darknet zu begeben. Konkret sehen sich die Hosts in dieser Episode das Tor-Netzwerk an. Ein Overlay-Netz, das die anonyme Nutzung von Internetdiensten ermöglicht und damit ein wichtiges Werkzeug für Dissidenten oder Journalisten darstellt – aber auch für Kriminelle aller Couleur und viele andere Betätigungsfelder.

Anzeige

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 4. bis 5. Dezember 2024 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Der Virenschutz von Gdata hat derzeit sporadisch Probleme beim Herunterladen von Antiviren-Updates. Der Hersteller bestätigt gegenüber heise online das Problem.

Anzeige

"Es hat im Verlaufe des gestrigen Tages bei uns einige Anfragen gegeben, in denen Kunden Verbindungsprobleme zu unseren Updateservern meldeten", erklärte uns eine Pressesprecherin des Unternehmens. Die bestätigten Probleme traten am Montag dieser Woche auf. Gdata habe die "eigene Infrastruktur auf Unregelmäßigkeiten geprüft, welche die geschilderten Probleme erklären könnten. Diese Prüfung förderte keinerlei Auffälligkeiten zutage".

"In einigen Fällen erhielten wir eine positive Rückmeldung auf den Rat, einmal den Router neu zu starten", ergänzte die Unternehmenssprecherin. Als Gemeinsamkeit der Kunden, die sich mit diesem Problem gemeldet haben, fand sich der Internet-Provider Telekom. Nach bisherigen Kenntnissen scheinen ausschließlich Telekom-Kunden von dem Problem betroffen zu sein.

Gdata erörterte weiter: "Wir konnten inzwischen diese Konstellation erfolgreich nachstellen und haben denselben Fehler gesehen (keine Verbindung auf Port 443 zum Update-Server). Bei einem erneuten Test funktionierte jedoch alles normal."

Neue Software-Versionen der Monitoring-Software Icinga, die als Fork aus dem Nagios-Projekt hervorging, stopfen eine kritische Sicherheitslücke. Aufgrund des Schweregrads haben die Entwickler sogar eine Vorankündigung der am heutigen Dienstag erscheinenden Updates veröffentlicht.

Anzeige

In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch"). Dadurch können Angreifer bösartig manipulierte Konfigurationen oder sogar auszuführende bösartige Befehle einschleusen, abhängig von den konfigurierten Optionen für den ApiListener. Temporäre Gegenmaßnahmen gibt es nicht, lediglich Zugriffsbeschränkungen des API-Ports mittels Firewall auf vertrauenswürdige Adressen verringere die Angriffsfläche etwas.

Das Changelog zu den neuen Versionen ist zum Meldungszeitpunkt noch nicht verfügbar. Ob die neuen Fassungen weitere Probleme ausbessern, ist daher unklar. Die Versionen 2.14.3, 2.13.10, 2.12.11 und 2.11.12 enthalten die Lücke demzufolge nicht mehr. Admins sollten sie umgehend installieren.

Zudem stellt das Icinga-Projekt aktualisierte Pakete für folgende Umgebungen bereit:

Die europäische Polizeibehörde Europol warnt aktuell davor, dass Netzwerke des organisierten Verbrechens zunehmend Minderjährige zur Ausübung krimineller Handlungen rekrutieren. Damit versuchen die Kriminellen, der Entdeckung, Gefangennahme und Verurteilung zu entgehen. Die Minderjährigen gehen sie etwa auf sozialen Medien an.

Anzeige

Grundsätzlich sei das Phänomen nicht neu, schreibt Europol in einer geheimdienstlichen Benachrichtigung. Minderjährige seien jüngsten Daten von Europol zufolge in mehr als 70 Prozent der kriminellen Märkte involviert. Die Märkte, die häufig Minderjährige ausbeuten, umfassen Cyberkriminalität und Online-Betrug, Drogenschmuggel und zugehörige Gewalt, Schleuserkriminalität und Eigentumsdelikte.

In den vergangenen Jahren habe sich dieser Trend auf mehr Länder ausgeweitet, schreibt Europol. Die Rekrutierungsmethoden würden weiterentwickelt und Minderjährige mit gewaltsamen Aufgaben wie Erpressung oder Tötung beauftragt.

Verschlüsselte Nachrichtendienste in sozialen Medien und anpassbare Privatsphäreneinstellungen ermöglichen die Erstellung anonymer Gruppen und Kanäle. Diese würden oft eingesetzt, um illegale Aktivitäten zu organisieren – mit minimalem Risiko der Entdeckung. Die Täter könnten Nachrichten zur Selbstzerstörung senden, Nachrichtenverläufe löschen und den Gruppenzugriff auf verifizierte Mitglieder beschränken. Das mache es schwierig, die Kommunikation zu überwachen, da Interaktionen ohne hinterbleibenden digitalen Fußabdruck möglich seien.

Im digitalen Untergrund stehen Daten von Angestellten großer und namhafter Unternehmen zum Kauf. Betroffen sind unter anderem Amazon, HP, HSBC, Lenovo und weitere.

Anzeige

In einem bekannten Untergrundforum stehen die Angestelltendaten namhafter Unternehmen zum Verkauf.

(Bild: Screenshot / cku)

Die Daten hat der User-Account "Nam3l3ss" am Wochenende im Breachforum eingestellt. Das hat das IT-Sicherheitsunternehmen Hudson Rock zuerst auf X gemeldet. Dort stießen die Beobachter der Malware-Szene von vx-underground auf die Datenveröffentlichung.

Fünf Sicherheitslücken gefährden Dell SmartFabric OS10. Im schlimmsten Fall können Angreifer Schadcode ausführen und Netzwerke kompromittieren.

Anzeige

Um dem entgegenzuwirken, haben die Entwickler die Lücken (CVE-2024-48837 "hoch", CVE-2024-48838 "niedrig", CVE-2024-49557 "hoch", CVE-2024-49558 "hoch", CVE-2024-49560 "hoch") in den Versionen 10.5.4.13, 10.5.5.12 und 10.5.6.6 des Netzwerkbetriebssystems geschlossen. Das geht aus einer Warnmeldung hervor.

Installieren Admins die Sicherheitsupdates nicht, können Angreifer die Schwachstellen ausnutzen und sich höhere Nutzerrechte aneignen oder sogar Schadcode ausführen. Dafür müssen sie der Beschreibung der Lücken zufolge aber bereits über niedrige Rechte verfügen und lokalen Zugriff haben. Die Entwickler führen zurzeit nicht aus, wie konkrete Angriffe ablaufen könnten.

Bislang warnt Dell nicht vor Attacken. Netzwerk-Admins sollten die Installation der Sicherheitsupdates aber nicht auf die lange Bank schieben.