Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Sicherheitsupdates: Root-Attacken auf VoIP-Adapter von Cisco möglich

Unter anderem VoIP-Adapter von Cisco sind verwundbar. Nun hat der Netzwerkausrüster Sicherheitspatches veröffentlicht.

Anzeige

Am gefährlichsten gelten acht Schwachstellen (unter anderem CVE-2024-20420 "mittel", CVE-2024-20421 "hoch", CVE-2024-20459 "mittel") in VoIP-Adaptern der ATA-190-Serie (ATA 191 Multiplatform oder on-premise, ATA 192 Multiplatform).

Diese machen aus analogen Telefonen VoIP-Geräte. Der Warnmeldung zufolge können entfernte Angreifer im schlimmsten Fall eigene Kommandos als Root ausführen. Schuld daran ist eine unzureichende Überprüfung von Eingaben im Web-Management-Interface. Außerdem können Angreifer noch unter anderem Passwörter einsehen und auf Geräten einen Neustart auslösen. Dagegen sind die Softwareversionen 11.2.5 und 12.0.2 gerüstet.

Aufgrund einer Lücke (CVE-2024-20280 "mittel") in der Backupfunktion von UCS Central können Angreifer auf eigentlich nicht einsehbare Informationen zugreifen. Schuld daran ist eine Schwäche in der Verschlüsselung der Backupfunktion. UCS Central 2.0(1v) ist gegen so eine Attacke abgesichert. Alle vorigen Ausgaben sollen verwundbar sein.

Weiterlesen
  90 Aufrufe

F5 BIG-IP: Zugriffsbeschränkungen umgehbar

In den F5 BIG-IP-Appliances können Angreifer eine Schwachstelle ausnutzen, um ihre Rechte auszuweiten und die Konfiguration zu manipulieren. Dies könne das BIG-IP-System kompromittieren, warnt der Hersteller.

Anzeige

In der zugehörigen Sicherheitsmitteilung schreiben F5-Entwickler, dass "diese Schwachstelle authentifizierten Angreifern mit Rechten der Manager-Rolle oder höheren und Zugriff auf das Konfigurationswerkzeug oder der TMOS Shell (tmsh) ermöglicht, ihre Rechte auszuweiten und das BIG-IP-System zu kompromittieren" (CVE-2024-45844, CVSS 8.6, Risiko "hoch"). Bei der Schwachstelle handelt es sich demnach um eine fehlende Authentifizierung für eine kritische Funktion (CWE-306).

Verwundbar sind den F5-Entwicklern zufolge demnach F5 BIG-IP in den Versionen 15.1.0 bis 15.1.10, 16.1.0 bis 16.1.4 und 17.1.0 bis 17.1.1. Die betroffene Komponente respektive Funktion "Monitors" enthält die Sicherheitsfixes in F5 BIG-IP 15.1.10.5, 16.1.5 sowie 17.1.1.4. Das Unternehmen weist darauf hin, dass es lediglich Software untersucht, die noch nicht am Ende des technischen Supports angelangt ist. Ältere Software-Stände sollten daher zunächst auf noch unterstützte Fassungen aktualisiert werden.

F5 listet außerdem als nicht betroffene Produkte BIG-IP Next (all modules), BIG-IP Next Central Manager sowie BIG-IP Next SPK und CNF auf. Dazu gehören ebenfalls BIG-IQ Centralized Management, F5 Distributed Cloud, F5 Silverline, NGINX One Console, F5OS-A, F5OS-C, NGINX und schließlich Traffix SDC.

Weiterlesen
  96 Aufrufe

GMX und Web.de filtern wöchentlich 1,9 Milliarden Spam-Mails – auch dank KI

GMX und Web.de filtern wöchentlich 1,9 Milliarden Mails aus dem Nachrichtenstrom, die potenziell gefährlich sind. Im Vorjahresquartal waren es noch 1,4 Milliarden, also deutlich weniger. Die meisten Mails mit bösen Absichten sind vermeintlich von Paketdiensten und dem Kundenservice. Künstliche Intelligenz sei ein "Gamechanger" beim Entdecken von Spam.

Anzeige

Wie die beiden großen E-Mail-Anbieter berichten, werden für die Spam-Mails vermehrt kleine Internet-Unternehmen genutzt und nicht mehr nur die großen Anbieter, wie Microsoft und Gmail. "Wir sehen aktuell, dass die Angreifer in die Systeme kleiner und mittelständischer Cloud- und Hosting-Anbieter im europäischen Ausland eindringen. Haben sie deren Infrastruktur erst einmal übernommen, können sie über eine Vielzahl an E-Mail-Servern Spam-Nachrichten versenden", sagt Arne Allisat, E-Mail-Security-Chef von GMX und Web.de. Solche Spam-Attacken fielen allerdings meist leicht auf. Insgesamt, sagt Allisat, würden 99,9 Prozent der Spam-Mails abgefangen.

Ein Sicherheitskonzept nennt sich "Reject and Defer Policy", gemeint ist, dass verdächtige Mails bereits beim Verbindungsaufbau zur Mail-Infrastruktur abgelehnt werden, alternativ werden die Mails verzögert ausgeliefert. Seriöse Absender versuchen es später erneut. Kriminelle stehen laut GMX und Web.de unter Zeitdruck, da ihnen der Zugriff auf gekaperte E-Mail-Server verloren gehen könnte – sie versuchen es also direkt als "One shot".

Basis der Sicherheitssysteme ist freilich KI. "Mit unseren KI-gestützten Analysetools können wir inzwischen noch schneller auf unterschiedlichste Bedrohungen reagieren. Unsere Systeme entscheiden zum Beispiel innerhalb von Millisekunden dynamisch, wie viele E-Mails ein Absender-Server in einer gewissen Zeit zustellen darf – wenn dieser Wert spontan nach oben steigt, ist das ein klares Indiz für möglichen Spam-Versand, und wir können sofort reagieren“, erläutert Allisat in einer Presseaussendung.

Weiterlesen
  115 Aufrufe

Solarwinds: Lücken in Plattform und Serv-U ermöglichen Schadcode-Schmuggel

Solarwinds stellt aktualisierte Software für die Self-Hosted-Plattform und den Serv-U-FTP-Server bereit. Die Aktualisierungen bessern Schwachstellen aus, die teilweise als kritisch eingestuft werden und Angreifern unter anderem ermöglichen, Schadcode einzuschleusen und auszuführen.

Anzeige

Die Aktualisierung auf die Solarwinds Platform 2024.4 stopft zwei Sicherheitslecks in der Kern-Software und sechs in mitgelieferten Dritthersteller-Komponenten. Laut Release-Notes zur neuen Version ermöglicht ein "nicht kontrolliertes Suchpfad-Element" Angreifern die lokale Rechteausweitung (CVE-2024-45710, CVSS 7.8, Risiko "hoch"). Zudem können bösartige Akteure durch eine Cross-Site-Scripting-Lücke schädliche Skripte beim Editieren von Elementen einschleusen (CVE-2024-45715, CVSS 7.1, hoch).

In mehreren Komponenten von Drittherstellern klaffen zudem Sicherheitslücken. In Lodash.js etwa eine als kritisch eingestufte (CVE-2019-10744, CVSS 9.1), in Moment.js eine hochriskante (CVE-2022-31129, CVSS 7.5) und in Python Tudoor ist ebenfalls eine als hohes Risiko eingestufte Lücke enthalten (CVE-2023-29483, CVSS 7.0). Dazu kommen Lücken in OpenSSL (CVE-2024-2511, CVSS 5.9; CVE-2024-0727, CVSS 5.5) sowie in RabbitMQ (CVE-2023-46118, CVSS 4.9).

IT-Verantwortliche sollten aufgrund des Schweregrads der Lücken zügig die Updates anwenden.

Weiterlesen
  89 Aufrufe

VMware HCX: Codeschmuggel durch SQL-Injection-Lücke möglich

In VMware HCX klafft eine Sicherheitslücke, durch die Angreifer Code einschleusen und ausführen können. Broadcom stellt aktualisierte Software bereit, die die zugrundeliegenden Fehler ausbessert. IT-Verantwortliche sollten die Aktualisierung zügig anwenden.

Anzeige

Wie Broadcom in einer Sicherheitsmitteilung warnt, ist VMware HCX von einer SQL-Injection-Schwachstelle betroffen. Authentifizierte Nutzer mit niedrigen Rechten im System können manipulierte SQL-Anfragen absetzen und damit unbefugt Code aus dem Netz auf den HCX Manager schleusen (CVE-2024-38814, CVSS 8.8, Risiko "hoch").

Die Sicherheitslücke findet sich in VMware-HCX-Versionszweigen 4.8.x, 4.9.x und 4.10.x. Die nun verfügbaren Aktualisierungen auf VMware HCX 4.8.3, 4.9.2 und 4.10.1 bessern die sicherheitsrelevanten Fehler in der Software aus.

Die neuen Software-Fassungen stehen bei Broadcom zum Herunterladen bereit:

Weiterlesen
  94 Aufrufe

Cyberangriff auf Internet Archive offenbar von russischen Hackern durchgeführt

Das Internet Archive ist seit letzter Woche nur eingeschränkt nutzbar, weil die freie Internet-Bibliothek massiv unter Beschuss von Millionen gleichzeitiger Zugriffe geriet. Jetzt haben sich die Verursacher der Störung zu dem Cyberangriff bekannt. Die russische Hackergruppe "SN_BLACKMETA" hat nach eigenen Angaben diese dDoS-Angriffe durchgeführt, um auf die Lage der palästinensischen Zivilbevölkerung im Gaza-Konflikt aufmerksam zu machen.

Anzeige

Der Angriff auf das Internet Archive stehe zwar nicht in direktem Zusammenhang mit dem Gaza-Krieg, aber die Bedeutung einer digitalen Ressource wie der Internet-Bibliothek stellen die Hacker auf eine Stufe mit der Geschichte und den Erfahrungen der Palästinenser, schreibt die Gruppe bei X (vormals Twitter). Zuvor hätten die Hacker bereits Cyberangriffe auf verschiedene Banken Israels und sogar auf ein Krankenhaus durchgeführt, wo Israels Premierminister einer Herzoperation unterzogen wurde.

Das Internet Archive hat es sich zur Aufgabe gemacht, flüchtige Daten für die Nachwelt aufzubewahren: Webseiten, Bücher, aber auch historische Software, Apps und Filme. Die nach US-Recht gemeinnützige Organisation hat einen gewaltigen Datenschatz angesammelt. Anfang Oktober wurde bekannt, dass Teile dieses Schatzes, nämlich die Zugangsdaten der Archive-Nutzer, in unbefugte Hände gerieten. Außerdem litt das Internet Archive zu der Zeit unter einem dDoS und einer Defacement-Attacke.

Über 30 Millionen Nutzerdaten wurden beim Angriff auf das Internet Archive gestohlen, aber die Erbeutung dieser Daten proklamiert SN_BLACKMETA nicht für sich. Das geschah bereits im September und hatte offenbar andere Verursacher. Mittlerweile ist die "Wayback Machine" nach den Angriffen wieder eingeschränkt online, wenn auch nur im Lesemodus. Auch erste Crawling-Aktivitäten haben sie wieder aufgenommen – wenn auch im sehr begrenzten Umfang und nur für die Nationalbibliothek der Vereinigten Staaten. Die restlichen Dienste bleiben aus Sicherheitsgründen zunächst noch offline.

Weiterlesen
  108 Aufrufe

Sicherheitsupdate: Zwei Drucker-Modelle aus HPs DesignJet-Serie attackierbar

Alert!

Setzen Angreifer erfolgreich an einer Sicherheitslücke in bestimmten HP-Druckern an, können sie eigentlich abgeschottete Informationen einsehen.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Anzeige

Bestimmte Drucker von HP sind verwundbar und Angreifer können an einer Sicherheitslücke ansetzen.

Anzeige

Weiterlesen
  110 Aufrufe

Jetzt patchen! Angreifer attackieren Solarwinds Web Help Desk

Um derzeit laufenden Attacken ein Schnippchen zu schlagen, sollten Admins Solarwinds Web Help Desk (WHD) umgehend auf den aktuellen Stand bringen. Nur so können sie unbefugte Zugriffe und die Manipulation von Daten vorbeugen.

Anzeige

Vor den Attacken warnt die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) in einem aktuellen Beitrag. Die "kritische" Sicherheitslücke (CVE-2024-28987) ist seit August dieses Jahres bekannt. Seitdem gibt es auch die abgesicherte Version WHD 12.8.3 Hotfix 2.

Aufgrund von hartcodierten Zugangsdaten verschaffen sich Angreifer Zugriff auf die Kundensupport-Software und modifizieren Daten. Was die Angreifer konkret anstellen und in welchem Umfang die Attacken derzeit ablaufen, ist unbekannt. Die CISA führt auch nicht aus, wie Angriffe ablaufen. Unklar bleibt auch, wie Admins bereits attackierte Systeme erkennen können. Da helfen leider auch die Informationen aus der offiziellen Warnmeldung nicht weiter.

Weiterlesen
  111 Aufrufe

Github Enterprise Server: Angreifer können Authentifizierung umgehen

Admins, die Github-Instanzen mit Github Enterprise Server selbst hosten, sollten die zugrundeliegende Software zügig auf den aktuellen Stand bringen. Andernfalls können Angreifer unter anderem an einer "kritischen" Sicherheitslücke ansetzen.

Anzeige

Um Server abzusichern, stehen die abgesicherten Versionen 3.11.16, 3.12.10, 3.13.5 und 3.14.12 zum Download bereit. Ältere Ausgaben befinden sich nicht mehr im Support und an dieser Stelle ist ein Upgrade notwendig, um auch in Zukunft noch Sicherheitsupdates zu bekommen. Die kritische Schwachstelle (CVE-2024-9487) hat den Release Notes zufolge ihren Ursprung in einem Fix für eine ähnliche Lücke (CVE-2024-4985 "kritisch") aus Mai dieses Jahres.

Betroffen sind ausschließlich Instanzen, die zur Authentifizierung auf SAML SSO setzen. Außerdem muss die Funktion Encrypted Assertions aktiv sein, was den Entwicklern zufolge standardmäßig nicht der Fall ist. Obendrein benötigen Angreifer Netzwerkzugriff und eine signierte SAML Response. Sind diese Voraussetzungen erfüllt, können Angreifer aufgrund von unzureichenden Zertifikatsüberprüfungen die Authentifizierung umgehen. So sind unbefugte Zugriffe möglich.

Darüber hinaus haben die Entwickler noch eine zweite Sicherheitslücke (CVE-2024-9539 "mittel") geschlossen. Wenn Opfer auf eine präparierte URL klicken, können Informationen leaken.

Weiterlesen
  111 Aufrufe

"Passwort" Folge 16: Die Technik hinter der Chatkontrolle

In der Politik wird die Chatkontrolle derzeit intensiv diskutiert, immer wieder bringt die ungarische Ratspräsidentschaft Vorschläge für eine Neuauflage der EU-Regelungen ein. Unter anderem die deutsche Regierung lehnt diese vehement ab, Justizminister Buschmann konstatierte gar, sie habe "in einem Rechtsstaat nichts zu suchen".

Anzeige

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden

Die politische Debatte, aber auch ihre persönlichen Bedenken, blenden Sylvester Tremmel und Christopher Kunz in der aktuellen Folge des Security-Podcasts bestmöglich aus, um Antworten auf andere Fragen herauszuarbeiten. Zunächst klären sie, was überhaupt hinter dem griffigen, aber vielleicht überspitzten Begriff "Chatkontrolle" steckt und wer die Akteure in dieser Gemengelage sind.

Dann wenden die "Passwort"-Hosts sich jedoch technischen und Sicherheits-Aspekten zu: Wer scannt eigentlich was für Material und nach welchen Kriterien? Wie schafft man es, riesige Datenbanken strafbarer Bilder mit einem Chat abzugleichen, ohne sich selbst strafbar zu machen?

Unweigerlich landen Sylvester und Christopher tief im technischen Morast des Bildabgleichs mittels perzeptiver Hashes. Da gibt es einige Verfahren, besonders bekannt ist "PhotoDNA" von Microsoft. Aber auch Meta, Google und Apple haben eigene Systeme entwickelt, um Bildmaterial gegen eine Liste bekannter (Missbrauchs-)Darstellungen abzugleichen, ohne die Originalbilder in der Gegend herumzuschicken. Denn das wäre strafbar.

Weiterlesen
  105 Aufrufe

BSI: Forscher finden teils kritische Schwachstellen in Passwort-Managern

Das Bundesamt für Informationssicherheit (BSI) hat zusammen mit der Münchner Firma MGM Security Partners zwei Passwort-Manager im Rahmen des Projekts zur Codeanalyse von Open-Source-Software (Caos 3.0) auf mögliche Mängel überprüft. Die Tester wurden dabei vor allem bei Vaultwarden fündig. Bei der Lösung zum Speichern von Passwörtern identifizierten die Experten zwei Sicherheitslücken und stuften sie als "hoch" ein. Die Untersuchungen, die zwischen Februar und Mai stattfanden, bezogen sich auf die Version 1.30.3. Mit der Version 1.32.0 vom 11. August behoben die Entwickler auf Basis der Hinweise die wichtigsten Bugs. Administratoren sollten daher ein entsprechendes Update durchführen.

Anzeige

Vaultwarden unterstützt das Frontend und die Anwendungen der Alternative Bitwarden, gilt durch eine Implementation in Rust aber als schneller und ressourcensparender. Eine direkte Verbindung zwischen beiden Projekten gibt es nicht. Der Ergebnisbericht von MGM stammt vom 11. Juni, das BSI hat ihn aber erst am Montag veröffentlicht. Die Vaultwarden-Serveranwendung weist demnach in der inspizierten Version insbesondere zwei Sicherheitslücken mittlerer beziehungsweise hoher Kritikalität auf, mit denen ein Angreifer gezielt Nutzer und die Anwendung kompromittieren kann.

"Vaultwarden sieht keinen Offboarding-Prozess für Mitglieder vor", die eine Organisation wie ein Unternehmen oder eine Behörde verlassen, schreiben die Autoren. "Das bedeutet, dass die für den Datenzugriff notwendigen Master-Schlüssel in diesem Fall nicht ausgetauscht werden." Folglich besitze die ausscheidende Person, der eigentlich der Zugang entzogen werden sollte, weiterhin den kryptografischen Schlüssel zu den Daten der Organisation. In Kombination mit einer weiteren Schwachstelle, über die unberechtigt auf verschlüsselte Daten anderer Einrichtungen zugegriffen werden könne, behalte das ehemalige Mitglied so weiterhin unberechtigten Zugriff auf alle – auch später erzeugten – Geheimnisse der entsprechenden Organisation im Klartext.

Zudem werde beim Ändern der Metadaten eines eingerichteten Notfallzugriffs die Berechtigung des entsprechend ausgerüsteten Nutzers nicht überprüft, erklären die Tester. Über den Endpunkt könnten die Bedingungen für das Notfallszenario einschließlich der Zugriffsebene und der Wartezeit nachträglich geändert werden. Ein Angreifer, dem ein Admin auf diesem Wege Zugriff auf ein Konto gewährt habe, wäre damit in der Lage, auf die Daten des Accounts mit einer höheren Zugriffsstufe zugreifen. Ferner könnte er die durch den Besitzer festgelegte Wartezeit, die standardmäßig 7 Tage beträgt, beliebig verkürzen.

Weiterlesen
  135 Aufrufe

Passkeys sicher importieren und exportieren

Mit einer neuen Spezifikation will die FIDO Alliance den Import und Export von Passkeys vereinfachen und sicherer machen. Konkret führt sie das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF) ein. Nutzer können mit ihnen ihre Passkeys von einem Passwort-Manager verschlüsselt zu einem anderen kopieren, ohne wie bisher auf den unsicheren Umweg über CSV-Dateien auszuweichen. Die Spezifikation soll sich ebenfalls mit anderen Authentifizierungsinformationen nutzen lassen, worunter unter anderem herkömmliche Kennwörter fallen.

Anzeige

Offiziell erscheint der Working Draft am 18. Oktober. Eng an der Entwicklung beteiligt ist unter anderem 1Password. Deren Software soll laut Ankündigung das neue CXP und CXF so schnell wie möglich unterstützen. Laut Working Draft trugen ferner Bitwarden, Dashlane, Google und NordPass zur neuen Spezifikation bei. Die Ankündigung der FIDO Alliance nennt ferner Apple, Enpass, Microsoft, Okta, Samsung und TK Telekom. Auch wenn sich diese Unternehmen selbst noch nicht zu den Änderungen geäußert haben, verspricht das breite Bündnis, dass sich Passkeys bald einfach und sicher zwischen unterschiedlichen Anbietern kopieren lassen.

Wann genau die neue Spezifikation jedoch fertig sein wird, ist unklar. Nach dem Erscheinen des Working Draft können interessierte Nutzer in einem eigens eingerichteten GitHub-Repository Rückmeldung geben.

Weiterlesen
  105 Aufrufe

Datenverkauf im Darknet: Cisco untersucht mögliche Cyberattacke

API Tokens, Geschäftsdokumente und private Schlüssel: Im Darkent stehen Interna von Cisco zum Verkauf, die angeblich aus einer Cyberattacke stammen sollen

Anzeige

Die Daten bietet der Leaker IntelBroker im BreachForums an. In der Vergangenheit hat er bereits Daten aus anderen Cyberattacken, etwa auf AMD, zum Verkauf gestellt. Die Interna sollen aus einer IT-Attacke durch ihn und zwei weitere Komplizen aus Juni dieses Jahres stammen. Bislang hat der Netzwerkausrüster den Vorfall nicht bestätigt, führt aber derzeit eine Untersuchung durch, erläutert ein Sprecher gegenüber heise security.

Als Beweis hat der Leaker Auszüge aus dem Datensatz veröffentlicht. Darunter finden sich unter anderem Datenbanken, Kundeninformationen und Screenshots von Kundenmanagementportalen. Ob die Daten echt sind, ist bislang nicht bekannt. Auch wie die Cyberkriminellen konkret an die Daten gekommen sind, ist noch unklar. Berichten zufolge sollen die Daten aus einer Attacke auf einen Dienstleister im DevOps-Bereich stammen. Aber auch dafür gibt es zurzeit keine Bestätigung.

Im zum Verkauf stehenden Datenpaket finden sich viele interne Informationen. Unter anderem Screenshots von Kundenportalen.

Weiterlesen
  109 Aufrufe

Sicherheitsupdates: Angreifer können Anmeldung in Telerik Report Server umgehen

Admins von Unternehmen, die Telerik Report Server zum Erstellen von unter anderem Geschäftsberichten nutzen, sollten die Reportmanagementlösung aus Sicherheitsgründen auf den aktuellen Stand bringen.

Anzeige

Andernfalls können Angreifer an mehreren Sicherheitslücken ansetzen und im schlimmsten Fall Schadcode ausführen, um Systeme zu kompromittieren. Davon sind verschiedene Versionen bedroht. In den unterhalb dieser Meldung verlinkten Beiträgen finden Admins konkrete Angaben zu verwundbaren und reparierten Ausgaben von Telerik Report Server.

Am gefährlichsten gilt eine "kritische" Schwachstelle (CVE-2024-4358) durch deren erfolgreiche Ausnutzung Angreifer ohne Authentifizierung auf eigentlich abgeschottete Funktionen von Telerik Report Server zugreifen. Wie so ein Angriff ablaufen könnte, führen die Entwickler derzeit nicht aus.

Um Systeme zu schützen, müssen Admins die Ausgabe 2024 Q2 (10.1.24.514) installieren. Alle vorigen Versionen sollen angreifbar sein. Ist die Installation nicht unmittelbar möglich, können Admins Server durch einen in der Warnmeldung beschriebenen URL-Rewrite-Workaround temporär schützen.

Weiterlesen
  117 Aufrufe

Nach Cyberangriff: Wayback Machine des Internet Archive wieder online

Das Internet Archive meldet die ersten Erfolge bei der Wiederherstellung seiner Systeme nach dem jüngsten Hackerangriff. Eine DDoS-Attacke hatte unter anderem die Hauptseite und auch mehrere Unterseiten in Mitleidenschaft gezogen. Seit gestern ist nun auch die Wayback Machine wieder online, wie Brewster Kahle, Gründer des Internet Archive, auf X bekannt gab.

Allerdings arbeitet die Website derzeit noch in einem provisorischen, schreibgeschützten Modus. Nutzer können also wie der auf frühere Versionen von mehr als 900 Millionen Websites im Archiv zugreifen. Neue Seiten lassen sich indes noch nicht wieder im Archiv speichern. Zudem kündigte Kahle weitere Wartungsarbeiten an, für die Wayback Machine wieder offline gehen muss.

Darüber hinaus bat Kahle alle Nutzer um einen „sanften Umgang“ mit der Wayback Machine. Probleme treten offenbar noch mit der Performance der Seite auf. Unter anderem soll es zu Timeout-Fehlern kommen.

Die Hauptseiten des Internet Archive und der Open Library sind hingegen weiterhin offline. Der DDoS-Angriff deckte zudem ein Datenleck auf, bei dem Benutzernamen, E-Mail-Adressen und per Salt and Hash geschützte Passwörter kompromittiert wurden. Laut Have I Been Pwned betrifft der Angriff bis zu 31 Millionen Konten des Internet Archive.

Original Autor: Stefan Beiersmann

  206 Aufrufe

Sicherheitsupdate: Angreifer können Netzwerkanalysetool Wireshark crashen lassen

Angreifer können das Netzwerkanalysetool Wireshark ins Visier nehmen und nach erfolgreichen Attacken abstürzen lassen.

Anzeige

In einem Beitrag zur aktuellen Version Wireshark 4.4.1 versichern die Entwickler, die beiden Sicherheitslücken (CVE-2024-9780 "hoch", CVE-2024-9781 "hoch") geschlossen zu haben. Bislang gibt es ihnen zufolge noch keine Hinweise auf bereits laufende Attacken.

In beiden Fällen können Angreifer durch das Versenden von präparierten Paketen dafür sorgen, dass bestimmte Komponenten (AppleTalk, ITS, Reload framing) im Zuge einer DoS-Attacke abstürzen.

Weiterhin haben die Entwickler mehrere Bugs aus der Welt geschafft. Den Angaben im Changelog zufolge wurden unter anderem Bluetooth-Probleme gelöst. Zusätzlich gibt es Aktualisierungen für Protokolle wie BT L2CAP und TWAMP.

Weiterlesen
  109 Aufrufe

heise-Angebot: iX-Workshop IT-Sicherheit: Pentests methodisch planen, anfordern und analysieren

Penetrationstests (Pentests) sind effektive Maßnahmen, um Schwachstellen und Lücken in der eigenen IT-Infrastruktur aufzudecken. Dabei werden IT-Systeme und Netzwerke mit Methoden und Techniken, die auch von echten Angreifern oder Hackern eingesetzt werden, auf ihre Angriffssicherheit überprüft und mögliche Schwachstellen identifiziert.

Anzeige

In der Regel entscheiden Unternehmen, ob sie Penetrationstests selbst durchführen oder einen externen Experten damit beauftragen. Grundlage für die Durchführung ist eine Ausschreibung, in der Umfang und Schwerpunkte des Tests definiert werden. Die Parameter richten sich nach der individuellen Infrastruktur des Unternehmens, den spezifischen Anforderungen und dem Bedarf.

Im iX-Workshop Penetrationstests: Methodik verstehen, richtig ausschreiben und Ergebnisse auswerten erweitern Sie Ihr Verständnis für Penetrationstests und lernen, worauf es ankommt, wenn Sie Ihre IT-Systeme und Anwendungen professionell durchleuchten lassen wollen.

Die nächste Schulung findet vom 5. bis 6. November 2024 statt und vermittelt an zwei Vormittagen Methodenkompetenz für Testbereiche wie Port- und Vulnerability-Scans, Webanwendungen und Endgeräte. Sie hilft Ihnen, klassische Fallstricke zu erkennen - nicht nur bei der eigentlichen Durchführung von Penetrationstests, sondern auch bei der Analyse und Bewertung der gewonnenen Ergebnisse.

Weiterlesen
  127 Aufrufe

Archive.org: "Wayback Machine" nach Angriffen wieder eingeschränkt online

Die "Wayback Machine", das wohl bekannteste Angebot des Internet Archive, ist wieder verfügbar. Wie die Internet-Chronisten auf ihrer Homepage sowie verschiedenen sozialen Netzwerken ankündigten, haben sie die Webseiten-Zeitmaschine wieder freigeschaltet, wenn auch im "nur lesen"-Modus. Alle anderen Dienste der digitalen Bibliotheken sind derzeit noch vom Netz, während die Aufräum- und Reparaturarbeiten andauern.

Anzeige

Wie Brewster Kahle, der Gründer des Internet Archive, auf Mastodon berichtete, schalten Techniker die Dienste Stück für Stück frei, sobald das sicher erscheint. Auch erste Crawling-Aktivitäten haben sie wieder aufgenommen – wenn auch im sehr begrenzten Umfang und nur für die Nationalbibliothek der Vereinigten Staaten. Die restlichen Dienste bleiben aus Sicherheitsgründen zunächst noch offline.

Die "Wayback Machine" ist nun wieder für Nutzer zugänglich und enthält historische Website-Daten bis einschließlich 10. Oktober dieses Jahres. Neue Daten werden, so Kahle, derzeit nicht hinzugefügt und sollten weitere Reparaturarbeiten notwendig werden, könne das Archiv auch erneut vom Netz gehen. "Bitte seid behutsam", bittet er die Nutzer.

Wenig behutsam waren Angreifer, die in den vergangenen Wochen das Internet Archive mehrfach unter Beschuss nahmen. Neben dem Abfluss von Millionen Nutzerkonten hatten sie in der zweiten Oktoberwoche das Archiv mittels Supply-Chain-Angriff defaced und mit mehreren dDoS-Angriffen überzogen. Eine Aktivistengruppe übernahm die Verantwortung für die Angriffe, hat sich zwischenzeitlich jedoch wieder anderen Zielen zugewandt.

Weiterlesen
  147 Aufrufe

Host Europe und LKA Niedersachsen warnen vor Phishing-Welle

Online-Betrüger ködern derzeit Kunden des Hosting-Anbieters Host Europe. Davor warnt das Unternehmen selbst, aber auch das LKA Niedersachsen sieht sich zu einer Warnung der Bevölkerung genötigt.

Anzeige

Das Landeskriminalamt Niedersachsen erklärt in einer aktuellen Mitteilung auf dem Portal polizei-praevention.de, dass die Phishing-Mails optisch den originalen E-Mails, die Host Europe versendet, stark ähneln. Wer nicht genau hinschaue, erkenne die Fälschung im ersten Moment nicht und könne dadurch möglicherweise in die Falle tappen.

Die betrügerischen E-Mails enthalten echte Daten, erklärt das LKA Niedersachsen. Wo dieser herstammen, sei unklar. In den von heise online gesichteten Mails waren insbesondere die Domain-Namen korrekt, an die die Mails gerichtet waren; insbesondere eine info@-Sammeladresse sollte zudem jede Domain vorhalten, die sich an die RFCs hält, die die Basis des Internets definieren.

Die Mails behaupten, es stünden Rechnungen offen. Bei ausbleibender Zahlung würden die Domain und die gespeicherten Inhalte umgehend gelöscht. Dem LKA Niedersachsen zufolge verschicken die Cyberkriminellen mehrere E-Mails, die aufeinander aufbauen. Sie beziehen sich teils auf zuvor bereits versendete Phishing-Mails und bieten etwa eine Wiederherstellung an.

Weiterlesen
  116 Aufrufe

Ransomware: Sophos warnt vor Angriffen auf Veeam-Sicherheitslücke

Eine Sicherheitslücke in Veeam Backup & Replication steht aktiv unter Beschuss durch Cyberkriminelle. Sophos warnt, dass das Unternehmen eine Reihe an Attacken beobachtet habe, bei denen Ransomware installiert werden sollte.

Anzeige

Auf Mastodon erörtert das IT-Sicherheitsunternehmen, dass Cyberkriminelle mit kompromittierten Zugangsdaten und einer bekannten Sicherheitslücke (CVE-2024-40711) versuchen, ein Konto auf verwundbaren Systemen anzulegen und darin Ransomware zu installieren. In einem Fall hätten die Angreifer eine Ransomware namens Frog verankert. Im gleichen Zeitraum sei bei einer weiteren Attacke versucht worden, die Akira-Ransomware zu verteilen.

Sophos hat bis zur Meldung auf Mastodon vier Angriffe auf die Sicherheitslücke beobachtet – es dürften jedoch viele nicht erkannte Angriffe auf die Schwachstelle erfolgen. In den belegten Fällen sei die Akira- und Frog-Ransomware zum Einsatz gekommen.

Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten. Einige Gateways hätten zudem nicht mehr unterstützte Software-Versionen eingesetzt. In allen vier Fällen haben die Angreifer die URI /trigger auf dem Port 8000 der Veeam-Instanz missbraucht. Das führt dazu, dass Veeam.Backup.MountService.exe den Befehl net.exe aufruft. Der Exploit erstellt damit das lokale Konto "point" und fügt es den Gruppen der lokalen Administratoren und Remote Desktop Users hinzu.

Weiterlesen
  107 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image