Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Sicherheitsupdate für Paessler PRTG Network Monitor ist da

Die Entwickler von Paessler PRTG Network Monitor haben ihre Netzwerküberwachungssoftware gegen mögliche Attacken abgesichert. Admins mussten jedoch mehrere Monate auf das Sicherheitsupdate warten.

Anzeige

Aus dem Changelog der Paessler-Website geht hervor, dass die Entwickler die Lücke (CVE-2024-12833 "hoch") in der Version 25.1.102.1373 geschlossen haben. Um Attacken auf die Stored-XSS-Schwachstelle vorzubeugen, haben die Entwickler eigenen Angaben zufolge den Auto-Discovery-Prozess gehärtet, sodass Eingaben effektiver überprüft werden, damit kein Schadcode auf Systeme gelangen kann.

Auf die Lücke sind Sicherheitsforscher von Trend Micro gestoßen. Sie geben an, die Schwachstelle bereits im März 2024 an Paessler gemeldet zu haben. Das Sicherheitsupdate ist aber erst jetzt erschienen. In einer Stellungnahme versichert der Softwarehersteller, dass ihm derzeit keine Attacken auf die Lücke bekannt sind.

Weiterlesen
  46 Aufrufe

heise-Angebot: heise security Webinar: Wie sag ich’s meinem Chef? – Gesprachsführung für ITler

Als ITler wissen Sie recht gut, was für einen sicheren Betrieb des Unternehmens nötig wäre. Aber vor der Umsetzung gilt es, die Geschäftsführung von der Notwendigkeit zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef Themen der Informationssicherheit richtig "zu verkaufen".

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch in der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Weiterlesen
  0 Aufrufe

heise-Angebot: iX-Workshop: Linux-Server absichern – Effektiv und umfassend

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Februar
24.02. – 28.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 26. Jan. 2025
März
24.03. – 28.03.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 23. Feb. 2025
Juni
02.06. – 06.06.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 04. Mai 2025
August
25.08. – 29.08.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 27. Jul. 2025
September
22.09. – 26.09.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 24. Aug. 2025
November
03.11. – 07.11.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 05. Okt. 2025
Dezember
01.12. – 05.12.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 02. Nov. 2025

Der nächste iX-Workshop findet vom 24. bis 28. Februar 2025 per Videokonferenz in einem Remote Classroom statt. Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv: Sie haben jederzeit die Möglichkeit, dem Referenten Fragen zu stellen und sich mit den anderen Teilnehmenden auszutauschen. Damit dies gut funktioniert, ist die Gruppengröße auf maximal 12 Personen begrenzt.

Weiterlesen
  49 Aufrufe

Paypal-Phishing: Angebliche monatliche Finanzberichte ködern Opfer

Aktuelles Paypal-Phishing schafft es, einige Spam-Filter zu umgehen. Thematisch geht es um einen angeblichen Monatsbericht. Der soll Mail-Empfänger dazu verlocken, auf die Links in der Betrugsmail zu klicken.

Anzeige

Diese Mails schaffen es an einigen Spam-Filtern vorbei in die Inbox von Nutzern.

(Bild: heise online / dmk)

Die Betreffzeile der Mails lautet "Monatliche Finanzübersicht verfügbar". Sie sind zwar nicht besonders gut aufgemacht, unter anderem die Anrede lediglich mit "Hallo" ohne Namen kann Empfänger aufhorchen lassen. Da diese Mails einige Spam-Filter umgehen, erreichen sie potenziell jedoch mehr arglose Opfer.

Weiterlesen
  55 Aufrufe

heise-Angebot: iX-Workshop: Netzwerkprobleme mit Wireshark analysieren und beheben

Langsame Verbindungen, ständige Unterbrechungen oder unerkannte Sicherheitslücken können den Betriebsablauf stark beeinträchtigen oder sogar zu Ausfällen führen. Mit Wireshark, einem Open-Source-Tool zur Netzwerkanalyse, können Administratoren den Netzwerkverkehr in Echtzeit überwachen, Sicherheitsrisiken identifizieren und Verbindungsprobleme diagnostizieren.

Anzeige

In dem praxisorientierten Workshop Netzwerkanalyse und Fehlersuche mit Wireshark erfahren Sie, wie Sie das Netzwerkanalyse-Tool Wireshark effizient einsetzen können. Sie lernen die Funktionsweise und Konfiguration von Wireshark kennen, entwickeln systematische Vorgehensweisen zur Fehleranalyse, verstehen die Bedeutung der Aufzeichnung von Netzwerkdaten und erfahren, wie Sie die Zuverlässigkeit Ihres Netzwerks steigern können.

Der Workshop ist interaktiv gestaltet und beinhaltet praxisnahe Übungen in einer bereitgestellten Laborumgebung. Sie werden selbstständig Netzwerkdaten erfassen, Filter setzen, Analysen durchführen und Statistiken erstellen. Anhand konkreter Anwendungsszenarien vertiefen Sie dieses Wissen und verstehen beispielsweise, wie Sie Netzwerkprotokolle analysieren, Leistungsengpässe aufspüren und Auswirkungen von Paketstaus und Paketverlusten erkennen.

März
10.03. - 12.03.2025
Online-Workshop, 09:00 – 16:30 Uhr
10 % Frühbucher-Rabatt bis zum 09. Feb. 2025
Mai
19.05. - 21.05.2025
Online-Workshop, 09:00 – 16:30 Uhr
10 % Frühbucher-Rabatt bis zum 20. Apr. 2025
September
22.09. - 24.09.2025
Online-Workshop, 09:00 – 16:30 Uhr
10 % Frühbucher-Rabatt bis zum 24. Aug. 2025
November
24.11. - 26.11.2025
Online-Workshop, 09:00 – 16:30 Uhr
10 % Frühbucher-Rabatt bis zum 26. Okt. 2025

Ihr Trainer Henrik Wahsner ist ein erfahrener Experte in der Performanceanalyse und Fehlersuche in IP-Netzwerken. Als technischer Leiter der NETCOR GmbH kombiniert er tiefgehendes Fachwissen mit praxisnaher Expertise, die er in zahlreichen Kundenprojekten gesammelt hat.

Weiterlesen
  48 Aufrufe

heise-Angebot: iX-Workshop: NIS 2: Anforderungen und Vorgaben

Die europäische NIS-2-Richtlinie (Network and Information Security Directive 2) stellt viele Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Bis Oktober 2024 mussten europäische Unternehmen die Vorgaben in nationales Recht umsetzen. In Deutschland geschieht dies durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Die Neuregelungen betreffen zahlreiche Unternehmen und erfordern eine gründliche Auseinandersetzung mit den Anforderungen sowie deren praktische Umsetzung.

Anzeige

Der Workshop NIS2: Anforderungen und Vorgaben bietet Teilnehmenden die Möglichkeit, die Kernaspekte der NIS2-Richtlinie und des deutschen NIS2UmsuCG kennenzulernen. Ein besonderer Fokus liegt dabei auf der Verbindung mit bestehenden ISO 27001-Maßnahmen. An zwei Vormittagen erwerben die Teilnehmer das notwendige Wissen, um Sicherheitsstrategien zu optimieren, Compliance zu gewährleisten und rechtliche Vorgaben zu erfüllen.

Januar
27.01. – 28.01.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 29. Dez. 2024
März
11.03. – 12.03.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 10. Feb. 2025

Der Workshop richtet sich primär an Personen mit Sicherheits- oder Compliance-Verantwortung. Er steht jedoch allen Interessierten offen, die einen Überblick über NIS2 im Zusammenspiel mit ISO 27001:2022 gewinnen möchten. Durch den Workshop führt Sebastian Renczikowski. Mit seinem Fachwissen zu Normen und regulatorischen Anforderungen entwickelt er passgenaue Lösungen für Unternehmen im Bereich Informationssicherheit, Compliance und beim Risiko- und Notfallmanagement.

Weiterlesen
  65 Aufrufe

Anonymisierendes Linux: Tails 6.11 stopft kritische Sicherheitslecks

Das anonymisierende Linux Tails schließt mit der jetzt erschienenen Version 6.11 als kritisches Risiko eingestufte Sicherheitslücken. Nutzern ist die Aktualisierung daher dringend anzuraten.

Anzeige

Die Versionsankündigung verspricht aber noch mehr Korrekturen für das Linux zum Mitnehmen auf USB-Stick. Die als kritisch eingestuften Schwachstellen können Angreifer ausnutzen, sofern sie die Kontrolle über eine Anwendung in Tails erlangen, erklären die Tails-Entwickler. Dann können sie eine Schwachstelle im Tails Upgrader missbrauchen, um ein bösartiges Upgrade zu installieren und die permanente Kontrolle über das Tails erlangen. Als Abhilfe kann ein manuelles Upgrade solche bösartige Software löschen.

Angreifer mit Kontrolle über eine App können außerdem Schwachstellen in anderen Apps missbrauchen, was zur Deanonymisierung oder Überwachung von Webbrowsing und ähnlichem führen kann. Als Beispiele führen die Maintainer auf, dass in Onion Circuits Angreifer so etwa Informationen über die Tor Circuits erlangen oder sie schließen können, im Unsafe Browser ohne Verbindung ins Tor-Netzwerk ins Internet gehen können, die Browsing-Aktivitäten im Tor-Browser überwachen oder etwa in Tor Connection die Verbindung ins Tor-Netzwerk rekonfigurieren oder blockieren können. Außerdem seien Manipulationen des persistenten Speichers möglich. Offen bleibt, wie Angreifer diese Kontrolle über Apps erlangen können.

All das korrigiert die Fassung 6.11 von Tails. Zudem kann die Distribution jetzt davor warnen, dass Partitionsfehler aufgetreten sind – das kann etwa aufgrund defekter oder gefälschter Hardware passieren, durch Softwarefehler oder wenn der USB-Stick mit Tails im laufenden Betrieb abgezogen wird. Bei der Entdeckung solcher Fehler empfiehlt Tails nun die Neuinstallation oder die Verwendung eines neuen USB-Sticks.

Weiterlesen
  70 Aufrufe

LKA Niedersachsen warnt vor gefälschten Krypto-Anlageseiten

Auf dem Portal polizei-praevention.de des LKA Niedersachsen warnen die Beamten vor Betrug mit gefälschten Anlage-Webseiten zu Krypto-Währungen wie Bitcoin. Es handelt sich um eine andauernde Gefahr, die weiterhin für die Täter erfolgreich funktioniert.

Anzeige

Die Strafverfolger erklären in der Warnung, dass noch immer massenhaft Spam-Mails dazu versendet und Werbeanzeigen auf Internetseiten geschaltet werden. Die perfide Masche setzte auf die Gesichter von Prominenten, die regelmäßig im Fernsehen zu sehen sind. Diese werben angeblich für diese "Geldanlage, die ihnen angeblich zu zusätzlichem Reichtum verholfen hätte".

Die Masche ist den Beamten zufolge als "Boiler Room Scam" oder "Boiler Room Fraud" bekannt, wobei der "Boiler Room" ein "Händler-Saal" ist. Dabei erstellen die kriminellen Drahtzieher zahlreiche Webseiten im Netz, für die sie auf Gesichter und Namen von Prominenten von Fernsehsendern, aus populären Sendungen, Zeitschriften oder auch Musik setzen. Die bekannten Persönlichkeiten besitzen in der Regel ein gutes Ansehen. Oftmals sind sie als wohlhabend bekannt, aber oft auch für Wissen um die Finanzwelt.

Zudem sollen Logos, Werbung und Screenshots anderer Anbieter für mehr Vertrauen bei potenziellen Opfern sorgen. Das LKA Niedersachsen zeigt dazu beispielhaft ein Bildschirmfoto von einer imitierten Webseite etwa von Spiegel Netzwelt, auf der zusätzlich gefälschte Tchibo-Werbung eingeblendet wird und wo ein Screenshot aus einer NDR-Talkshow mit Barbara Schöneberger und Günther Jauch eingesetzt werden. Angeblich berichtete Jauch dort von der Plattform "Bitcoin Bank Breaker", Schöneberger prüfte das und legte ein eigenes Konto an. Dabei handelt es sich natürlich um eine Fälschung, die Talkshow hatte andere Themen zum Inhalt. Die URL der Webseite hat zudem gar nichts mit dem Spiegel zu tun.

Weiterlesen
  66 Aufrufe

heise-Angebot: iX-Workshop: Webanwendungen absichern mit OWASP® Top 10

Webanwendungen sind ein beliebtes Ziel von Cyber-Angriffen. Der iX-Workshop OWASP® Top 10 für Entwickler führt in die zehn häufigsten Risiken ein, denen Webanwendungen ausgesetzt sind. Da Webanwendungen häufig mit Schwachstellen entwickelt werden, ist dieses Wissen entscheidend, um die Integrität und Sicherheit von Anwendungen zu gewährleisten.

Anzeige

Über die häufigsten Sicherheitslücken informiert das Open Web Application Security Project (OWASP®) in seinen Top Ten Web Application Security Risks.

In diesem praxisorientierten Workshop erfahren Entwickler und IT-Profis, wie sie Sicherheitslücken systematisch erkennen und beheben können. Im Mittelpunkt stehen die zehn häufigsten Sicherheitsrisiken nach der OWASP-Klassifizierung. Sie lernen nicht nur theoretische Grundlagen, sondern durchlaufen konkrete Übungsszenarien, die Ihnen helfen, ein tiefes Verständnis für die OWASP® Top 10 Risiken zu entwickeln. Sie lernen, wie Schwachstellen in Web-Applikationen identifiziert und ausgenutzt werden und welche Gegenmaßnahmen sinnvoll sind.

Februar
18.02. – 19.02.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 20. Jan. 2025
April
20.05. – 21.05.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 21. Apr. 2025
Juni
12.08. – 13.08.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 14. Jul. 2025
November
05.11. – 06.11.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 07. Okt. 2025

Im Unterschied zum Workshop OWASP® Top 10: Kritische Sicherheitsrisiken für Webanwendungen verstehen führen Sie in diesem Workshop selbstständig Übungen durch, in denen typische Angriffsmethoden erlernt werden. Jeder Teilnehmende erhält einen individuellen Zugang zur Trainingsplattform. Dort suchen Sie selbstständig mit Kali Linux und Burp nach Schwachstellen in verschiedenen verwundbaren Anwendungen. Der Referent steht während der gesamten Übung für Fragen zur Verfügung und stellt die Lösung nach der vorgegebenen Zeit in der Gruppe vor.#

Weiterlesen
  61 Aufrufe

Sicherheitsupdates: Angreifer können Netzwerkgeräte mit Junos OS crashen lassen

Alert!

Netzwerkgeräte wie Switches von Juniper sind verwundbar. Ansatzpunkte sind mehrere Schwachstellen im Betriebssystem Junos OS.

(Bild: Erstellt mit KI in Bing Image Creator durch heise online / dmk)

Anzeige

Aufgrund von Sicherheitslücken könnten Juniper-Geräte mit Junos OS ins Visier von Angreifern geraten. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte über bereits laufende Attacken.

Anzeige

Weiterlesen
  52 Aufrufe

Migrationstool Palo Alto Expedition gefährdet Netzwerksicherheit

Das Werkzeug Expedition von Palo Alto Networks dient dazu, von anderen Firewalls auf Palo-Alto-Geräte umzuziehen. Aufgrund von Schwachstellen darin können Angreifer jedoch etwa wichtige Informationen wie Zugangsdaten abgreifen und damit Netzwerke kompromittieren.

Anzeige

In einer Sicherheitsmitteilung listen die Palo-Alto-Entwickler nun fünf Schwachstellen in Expedition auf. Am schwerwiegendsten stufen sie eine SQL-Injection-Schwachstelle ein, durch die authentifizierte Angreifer Inhalte aus der Expedition-Datenbank auslesen können, darunter etwa Passwort-Hashes, Nutzernamen, Gerätekonfigurationen und API-Keys von Geräten (CVE-2025-0103, CVSS 9.2, Risiko "kritisch").

Die weiteren Sicherheitslecks stellen eine geringere Bedrohung dar. Eine Reflected-Cross-Site-Scripting-Lücke erlaubt Angreifern, Expedition-Nutzern bösartigen Javascript-Code unterzujubeln und so etwa Browser-Sessions zu übernehmen (CVE-2025-0104, CVSS 7.0, hoch). Als lediglich mittleres Risiko ordnen die Palo-Alto-Mitarbeiter ein Leck ein, durch das beliebige Dateien gelöscht werden können (CVE-2025-0105, CVSS 6.9, mittel); ein ebenso niedriges Risiko stellt eine Lücke dar, durch die nicht authentifizierte Angreifer Dateien des Host-Systems auflisten können (CVE-2025-0106, CVSS 6.9, mittel). Zudem können angemeldete Nutzer Befehle einschleusen, die als Nutzer www-data ausgeführt werden (CVE-2025-0107, CVSS 6.3, mittel).

In der Übersichtstabelle gibt Palo Alto lediglich den "temporalen Risikograd" nach CVSS an, der im zeitlichen Verlauf stets niedriger ausfällt – das ist zumindest ungewöhnlich und lässt Leser eine geringere Bedrohung vermuten, als sie tatsächlich besteht. Betroffen ist Palo Altos Expedition vor der aktuellen Version 1.2.101. Palo Alto weist darauf hin, dass Expedition am Support-Ende angelangt ist und keine weiteren Updates oder Sicherheitskorrekturen mehr geplant sind. Palo Alto hat zum Meldungszeitpunkt keine Kenntnis davon, dass die Sicherheitslücken bereits missbraucht werden.

Weiterlesen
  56 Aufrufe

EuGH: Zwang zur Angabe des Geschlechts für Marketingzwecke unzulässig

Der Europäische Gerichtshof hat am Donnerstag in zwei Fällen die Datenschutzgrundverordnung (DSGVO) genauer ausgelegt: Unnötige Pflichtangaben bleiben rechtswidrig – und Beschwerden müssen grundsätzlich bearbeitet werden.

Anzeige

Der erste Fall: Die französische Staatsbahn SNCF versuchte, bei ihren Marketingaktionen besonders höflich zu sein. Um die richtige Anrede für Mails wählen zu können, verlangte sie von Kunden bei der Onlinebuchung über SNCF Connect die Angabe ihres Geschlechts. Das befanden die Richter des Europäischen Gerichtshofs nun für unzulässig.

Denn die Datenschutzgrundverordnung (DSGVO) sehe vor, dass Daten nur dann pflichtweise erhoben werden dürfen, wenn es dafür eine Grundlage gibt. Die höfliche Anrede zu Marketingzwecken sei kein Grund im Sinne der DSGVO: Zur Vertragserfüllung sei diese Angabe nicht notwendig. Die französische Datenschutzaufsichtsbehörde CNIL hatte dies noch anders gewertet, wogegen sich der Kläger vor französischen Gerichten zur Wehr gesetzt hatte. Die legten diese Fragestellung dem EuGH zur abschließenden Klärung vor.

Das Gericht urteilte nun, dass eine höfliche Marketingkommunikation als berechtigtes Interesse in der Abwägung mit den Grundrechten des Betroffenen nachrangig sei – "insbesondere aufgrund des Risikos einer Diskriminierung aufgrund der Geschlechtsidentität." Neben der gesetzlichen Verpflichtung, der Notwendigkeit zur Vertragserfüllung oder der Einwilligung der Betroffenen ist das sogenannte berechtigte Interesse in der DSGVO als ein zulässiger Grund für die Erhebung personenbezogener Daten vorgesehen, den die Richter hier aber nun eng auslegten.

Weiterlesen
  66 Aufrufe

Erlaubt eine neue Phishing-Masche die Übernahme von PayPal-Konten?

Ein angeblicher neuer Phishing-Angriff gegen Paypal-Nutzer sorgt für Aufregung. Mit einem speziell präparierten E-Mail-Verteiler und einer gefälschten Geldanforderung sollen Kriminelle die PayPal-Konten ihrer Opfer kapern können. heise security konnte den Angriff jedoch nicht bestätigen.

Anzeige

Unbekannte bedachten Carl Windsor, den CISO des US-Firewallherstellers Fortinet, im Dezember 2024 mit einer seltsamen Phishing-Mail. Es handelte sich um eine Zahlungsaufforderung eines PayPal-Nutzers, die jedoch an eine vollkommen andere E-Mail-Adresse als die des Sicherheitsprofis gerichtet war. Das machte Windsor stutzig und er forschte nach.

Offenbar hatten die Angreifer seine E-Mail-Adresse herausgefunden und auf einem Mailverteiler eingetragen. Dazu nutzten sie ein Konto bei Microsofts Cloud-Dienst M365 – dessen Reputation bei E-Mail-Servern half den Phishern, an Spam- und Malwarefiltern vorbeizukommen.

An den derart präparierten Mailverteiler hatten sie dann über ein PayPal-Konto, das sie kontrollierten, eine Zahlungsaufforderung über knapp 2200 US-Dollar gesandt. Der Trick dabei: Klickt der Empfänger solch einer E-Mail auf den Link zum Begleichen der Forderung, wird die E-Mail-Adresse des Mailverteilers seinem PayPal-Konto hinzugefügt. Zumindest weckt die Login-Seite von Paypal diesen Eindruck, lautet ein Hinweis doch: "Wir fügen Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. Ihrem PayPal-Konto hinzu, wenn Sie sich einloggen."

Weiterlesen
  64 Aufrufe

Angeblich Datenleck bei Datensammler Gravy Analytics

Einer der größten Positionsdatensammler, Gravy Analytics, ist offenbar Opfer eines Cybervorfalls geworden. In einem Darknet-Forum behaupten Kriminelle, dass sie Daten in großem Umfang kopiert haben. Die Webseite des Unternehmens ist derzeit nicht erreichbar und liefert nur eine Fehlermeldung ("503 Service Temporarily Unavailable") zurück.

Anzeige

Die Nachrichtenagentur Reuters berichtet unter anderem von dem Datenleck. Im Netz sind am Sonntag Screenshots aufgetaucht, auf denen russischsprachige Kriminelle den Einbruch und den Diebstahl großer Mengen an Daten behaupten. In zeitlicher Nähe sind etwa 1,4 GByte an Daten angeblich aus diesem Datenleck aufgetaucht. Der HudsonRock-CTO Alon Gal etwa beschreibt auf LinkedIn, dass er einen Beispieldatensatz mit 10 Millionen Positionsdaten von mehr als 15.000 Apps untersuchen konnte, die der Einbrecher bereitgestellt habe.

Welche Apps Positionsdaten ihrer Nutzerinnen und Nutzer bei Gravy Analytics abliefern, soll eine Liste auf pastejustit zeigen. 15.396 Apps sind darauf, darunter populäre wie Grindr (Zeile 69), Tinder (Zeile 172), Candy Crush Saga (Zeile 221), µTorrent (Zeile 1778), Eurosport (Zeile 10090) oder – insbesondere in den USA in weiten Teilen sehr problematisch – Apps, die sich um Schwangerschaften drehen (26 Einträge zu Pregnancy).

Alon Gal erklärt, dass die genaue Position von diesen Apps mitgeschnitten wird, im Laufe der Zeit bildet sich daraus ein Positionsverlauf. Jeder Eintrag umfasst demnach eine eindeutige Smartphone-ID, GPS-Koordinaten, welche App die Daten geliefert hat, einen User-Agent, Smartphone-Typ, Telekommunikationsanbieter und weitere. Die bislang geleakten Daten seien nur ein kleiner Teil des kompletten Datensatzes. Es könnten auch mehr Partnerschaften von Gravy Analytics ans Licht kommen, wobei eine Liste mit mehr als 1000 Gravy-Analytics-Kunden angeblich bereits veröffentlicht wurde.

Weiterlesen
  66 Aufrufe

heise-Angebot: iX-Workshop IT-Sicherheit: Angriffstechniken verstehen und erfolgreich abwehren

Der iX-Workshop IT-Sicherheit: Aktuelle Angriffstechniken und ihre Abwehr beschäftigt sich mit aktuellen Angriffstechniken und den sich daraus ergebenden notwendigen Schutzmaßnahmen für Ihre IT-Systeme vor potenziellen Angriffen. Ausgehend von der aktuellen Bedrohungslage im Bereich der IT-Sicherheit lernen Sie praktische Strategien und Techniken zur Abwehr häufig auftretender Angriffe kennen. In einer Laborumgebung demonstriert Referent Oliver Ripka typische Angriffstechniken und stellt nützliche Tools vor, mit denen Sie selbst Angriffe erkennen und abwehren können.

Anzeige

Am Ende des Workshops haben Sie ein Verständnis dafür entwickelt, wie Angreifer vorgehen und welche konkreten Schutzmaßnahmen Sie ergreifen können, um Ihre Systeme sicher zu machen. Auf Basis dieses Wissens lernen Sie, die Schwachstellen und Angriffsmöglichkeiten Ihrer eigenen IT-Infrastruktur zu bewerten und die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen einzuschätzen.

Februar
26.02. – 27.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 28. Jan. 2025
April
14.04. – 15.04.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 16. Mrz. 2025
Oktober
08.10. – 09.10.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 09. Sep. 2025

Oliver Ripka ist ein erfahrener Sicherheitsberater und Trainer bei Söldner Consult. Als Experte für Netzwerksicherheit liegen seine fachlichen Schwerpunkte in den Bereichen offensive Sicherheit und Netzwerkanalyse.

Der nächste Sicherheitsworkshop findet am 26. und 27. Februar 2025 online statt und richtet sich an IT-Administratoren, die ihren Blick für IT-Sicherheit schärfen wollen, sowie an Interessierte, die einen Überblick über die Funktionsweise von Cyberangriffen erhalten möchten.

Weiterlesen
  66 Aufrufe

Sicherheitsupdates: Bridge und Switch von HPE Aruba Networking angreifbar

Angreifer können Netzwerke mit Equipment von HPE Aruba attackieren. Im schlimmsten Fall kann unter bestimmten Voraussetzungen Schadcode auf Geräte gelangen.

Anzeige

Konkret geht es um 501 Wireless Client Bridge und Networking CX 10000 Switch Series. Auch wenn Angreifer für erfolgreiche Attacken auf 501 Wireless Client Bridge über Admin-Rechte auf einem Host-System verfügen müssen, sind beide Lücken (CVE-2024-54006, CVE-2024-54007) mit dem Bedrohungsgrad "hoch" eingestuft. Ist das gegeben, können Angreifer über das Web-Interface eigenen Code ausführen.

HPE Aruba warnt, dass dafür bereits Exploitcode in Umlauf ist. Ob es bereits Attacken gibt, ist bislang nicht bekannt. Admins sollten die gegen die geschilderte Attacke abgesicherte Firmware V2.1.2.0-B0033 installieren.

Über die Lücke (CVE-2024-54010 "niedrig") in Networking CX 10000 Switch Series können Angreifer auf eigentlich abgeschottete Daten zugreifen. Abhilfe schaffen die Ausgaben 10.13.1070, 10.14.1030 und 10.15.1000.

Weiterlesen
  59 Aufrufe

CMS: Updates stopfen Sicherheitslecks in Progress Sitefinity

In dem Content Management System (CMS) Sitefinity von Progress klaffen zwei Sicherheitslücken. Die Entwickler haben sie als hohes Risiko eingestuft. Admins sollten zügig die bereitstehenden Aktualisierungen herunterladen und installieren.

Anzeige

Laut der Sicherheitsmitteilung von Progress führt eine unzureichende Filterung von Eingaben während der Webseitenerstellung im CMS-Backend zu einer Cross-Site-Scripting-Schwachstelle (CVE-2024-11626, CVSS 8.4, Risiko "hoch"). Zudem können unbefugt Informationen abfließen, die sich in Fehlermeldungen des CMS finden (CVE-2024-11625, CVSS 7.7, hoch). Wie diese Schwachstellen genau aussehen oder wie bösartige Akteure sie missbrauchen können, beschreibt Progress jedoch nicht.

Betroffen sind die Sitefinity-Versionen von 4.0 bis 14.4.8142, 15.0.8200 bis 15.0.8229, 15.1.8300 bis 15.1.8327 und 15.2.8400 bis einschließlich 15.2.8421. Für unterstützte Versionen von Sitefinity schließen die Updates auf Version 14.4 8143, 15.0 8230, 15.1 8328 und 15.2 8422 die Sicherheitslücken.

Die jüngste Fassung hingegen ist Progress Sitefinity 15.2 8423, erklärt der Hersteller. Nutzer von nicht mehr unterstützten Versionen sollten ihre Instanzen auf diese Version aktualisieren, empfiehlt Progress. Für die Aktualisierung stellt Progress zudem eine eigene Anleitung bereit, die auch Informationen zum Update der Cloud-Versionen enthält.

Weiterlesen
  62 Aufrufe

Google: Device Fingerprinting ist okay

Kurz vor Weihnachten hat Google eine Änderung seiner Policy bezüglich der Benutzung von Fingerprinting-Technik für Werbezwecke angekündigt. Bisher verbietet diese Policy das Fingerprinting:

Anzeige

You must not use device fingerprints or locally shared objects (e.g., Flash cookies, Browser Helper Objects, HTML5 local storage) other than HTTP cookies, or user-resettable mobile device identifiers designed for use in advertising, in connection with Google's platform products. This does not limit the use of IP address for the detection of fraud.

Diese Klausel entfällt in der neuen Version, die ab dem 16. Februar in Kraft treten soll.

(Device) Fingerprinting ist der Oberbegriff für eine Reihe von Techniken, die Geräte zum Beispiel für Werbetreibende wiedererkennbar machen. Browser lässt man zum Beispiel im Hintergrund für den Nutzer unsichtbar Objekte rendern. Aus den Unterschieden der Ergebnisse kann man eine Art Fingerabdruck generieren, der den Browser wiedererkennbar macht. Eine aktuelle Untersuchung zeigt, dass man auf ähnliche Weise mit CSS Nutzer per E-Mail tracken kann.

Weiterlesen
  56 Aufrufe

Kein Patch für Lücke in WordPress-Plug-in Fancy Product Designer in Sicht

Zwei Sicherheitslücken im WordPress-Plug-in Fancy Product Designer gefährden Onlineshops. Ein Sicherheitsupdate ist bislang nicht verfügbar. Sind Attacken erfolgreich, können Angreifer Shops vollständig kompromittieren. Mit dem Plug-in können Onlineshopbetreiber unter anderem Produkte für ihren Shop gestalten.

Anzeige

Davor warnen Sicherheitsforscher von Patchstack in einem Beitrag. Die zwei Schwachstellen (CVE-2024-51919, CVE-2024-51818) sind als "kritisch" eingestuft. Sind Attacken erfolgreich, können Angreifer über die defekte Uploadfunktion Hintertüren installieren oder manipulierend auf Datenbanken zugreifen. Bislang gibt es keine Hinweise auf Attacken.

Die Forscher führen aus, die Lücken bereits im März 2024 an den Anbieter des Plug-ins gemeldet zu haben. Seitdem gab es ihnen zufolge mehrere Kontaktaufnahmen, sie haben aber bislang keine Antwort erhalten. Die aktuelle Ausgabe 6.4.3 soll nach wie vor verwundbar sein. Ob und wann ein Patch erscheint, bleibt weiterhin unklar. Bis dahin sollte man das Plug-in aus Sicherheitsgründen nicht nutzen.

Weiterlesen
  55 Aufrufe

Ivanti Connect Secure: Angreifer attackieren kritische Sicherheitslücke

Ivanti warnt vor aktiven Angriffen auf eine kritische Sicherheitslücke in der VPN-Software Ivanti Connect Secure (ICS). Diese und eine weitere Sicherheitslücke betreffen zudem auch Ivanti Policy Secure und Ivanti ZTA Gateways. Für ICS stehen Aktualisierungen bereit, für die anderen beiden Produkte hat Ivanti Updates lediglich angekündigt.

Anzeige

In einer Sicherheitsmitteilung erörtert Ivanti Details zu den Schwachstellen. Angriffe hat das Unternehmen auf einen Stack-basierten Pufferüberlauf entdeckt, der den bösartigen Akteuren ohne vorherige Anmeldung das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-0282, CVSS 9.0, Risiko "kritisch"). Wie genau die Angriffe aussehen, erörtert Ivanti nicht. Eine zweite Schwachstelle besteht ebenfalls in einem Stack-basierten Pufferüberlauf, der angemeldeten Nutzern die Ausweitung der eigenen Rechte erlaubt (CVE-2025-0283, CVSS 7.0, hoch). Diese Lücke wird laut Ivanti derzeit jedoch nicht missbraucht.

Googles Tochter Mandiant stellt in einem eigenen Blog-Beitrag eine erste Analyse der Angriffe vor. Die Angreifer haben Malware aus dem von Mandiant Spawn genannten Ökosystem nach erfolgreichen Angriffen installiert, aber auch Dryhook und Phasejam genannte Malware-Familien. Die Exploits für die Schwachstelle sind versionsspezifisch für die einzelnen Patch-Levels von ICS. Die Malware stellt dann am Ende Tunnel bereit, Webshells, unterbindet Updates, greift Zugangsdaten ab und kann weiteren Schaden anrichten. Mandiant verortet die Angreifer UNC5337 als Untergruppe von UNC5221 in China, es handelt sich demnach um eine Spionage-Gruppe.

Ivanti spricht davon, von einer begrenzten Anzahl an angegriffenen Kunden zu wissen. Mandiant erklärt, die Angriffe haben Mitte Dezember 2024 angefangen. Die Analysen dauern noch an, die bisherigen Ergebnisse sind noch vorläufig. Mandiant listet am Ende des Beitrags noch Hinweise für Infektionen (Indicators Of Compromise, IOCs) sowie hilfreiche YARA-Regeln auf, mit denen Admins ihre IT untersuchen und sich vor Angriffen warnen lassen können.

Weiterlesen
  50 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image