Comretix Blog

Durch einen kritischen Sicherheitsfehler in Palo-Alto-Firewalls sind weltweit zwischenzeitlich über 2.000 Geräte von Angreifern übernommen worden. Das hat das Shadowserver Project durch eigene Messungen festgestellt. Ironisch: Der Hersteller der Geräte hält es lediglich für möglich, nicht aber bewiesen, dass öffentliche Exploits für die Lücke existieren.

Anzeige

Palo Alto verspricht derweil größte Transparenz bei der Behandlung der Lücke, die aus zwei unterschiedlichen, aber miteinander verketteten Fehlern in der Web-GUI und der Webserverkonfiguration der Firewalls beruht. Die Fehler sind mittlerweile mit Patches behoben. Ob einmal kompromittierte Geräte nach der Aktualisierung sicher sind, ist unklar.

Palo-Alto-Lücke: Die USA und Indien stechen in der Karte betroffener Systeme stark hervor. Deutschland kommt glimpflich davon.

(Bild: The Shadowserver Foundation)

Die Sicherheitslücken in Citrix Session Recording, für die der Hersteller in der vergangenen Woche Software-Updates bereitgestellt hat, werden in freier Wildbahn angegriffen. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen daher schnellstmöglich installieren.

Anzeige

Das Internet Storm Center des SANS Institute hat nun Angriffsversuche auf die Schwachstelle auf ihren Honeypots beobachtet. Johannes Ullrich schreibt, dass er am Montag dieser Woche Exploit-Versuche entdeckt hat.

Ullrich erklärt, dass Citrix Virtual Apps and Desktops sicheren Fernzugriff auf Desktop-Anwendungen liefern soll. Es komme häufig für Arbeit aus der Ferne zum Einsatz; er habe zudem Setups in Callcentern gesehen, die damit die Workstation vom Desktop isolieren. Diese Remote Desktops laufen jedoch alle auf dem gleichen Server. Eine Rechteausweitung betreffe damit nicht nur den konkreten Desktop, sondern den Server und alle damit verbundenen Sitzungen, erklärt der IT-Sicherheitsforscher weiter.

Citrix ergänzt eine Funktion zum Aufzeichnen und Speichern von Sitzungen, die Admins bei Bedarf einsehen können. Dieses Feature nutzt eine .Net-Funktion, die Deserialisierungsschwachstellen aufweist. Die Lücke wurde etwa von den IT-Sicherheitsexperten von Watchtowr untersucht und ein Proof-of-Concept-Exploit auf Github veröffentlicht.

Amazon Web Services (AWS) hat einen Wettbewerb gestartet, der die Sicherheit der Rust-Standard-Library überprüft. Einzelne Herausforderungen verifizieren unterschiedliche Bereiche der Rust-Bibliotheken.

Anzeige

Die Rust Foundation, die sich um die Entwicklung der Programmiersprache kümmert, unterstützt den Wettbewerb.

Rust ist vor allem wegen seiner Memory-Safety-Konzepte beliebt. Die Vorgaben verhindern typische Speicherfehler, die für einen Großteil der Schwachstellen in Software verantwortlich sind.

In der Low-Level-Programmierung, beispielsweise für direkte Interaktionen mit dem Betriebssystem, kommt Rust dabei jedoch an seine Grenzen. Als Ausweg existiert das Keyword unsafe, das unter anderem das Verbot aufhebt, Raw Pointer zu dereferenzieren.

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 4. bis 5. Dezember 2024 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Eine Schadcode-Lücke gefährdet bestimmte D-Link-Router. Weil für diese Modelle der Support ausgelaufen ist, bekommen sie aber keine Sicherheitspatches mehr. Der Hersteller rät zur Entsorgung und zur Anschaffung eines neuen Gerätes.

Anzeige

Das geht aus einem aktuellen Beitrag von D-Link hervor. Davon sind folgende Modelle in allen Hardwarerevisionen betroffen:

Über die Sicherheitslücke gibt es bislang keine weiterführenden Informationen; auch eine CVE-Nummer ist bislang nicht bekannt. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Dementsprechend scheinen die Hürden für Angriffe nicht sehr hoch zu sein. Bislang gibt es noch keine Meldungen zu laufenden Attacken. Besitzer solcher Geräte sollten mit dem Austausch aber nicht zu lange zögern.

Offensichtlich hat D-Link die Produktwebsite des betroffenen Modells DSR-250N noch nicht überarbeitet und das Gerät ist dort noch als im Support befindlich gelistet.

Die PHP-Entwickler haben aktualisierte Pakete veröffentlicht. Während PHP 8.4.1 "zahlreiche Verbesserungen und neue Funktionen" neben geschlossenen Sicherheitslücken liefert, handelt es sich bei PHP 8.1.31, 8.2.26 und 8.3.14 um reine Sicherheitsupdates, die IT-Verantwortliche zügig installieren sollten.

Anzeige

In den Versionsankündigungen zu den PHP-Aktualisierungen halten sich die Programmierer recht bedeckt mit Details. Für 8.4.1 erwähnen sie keine Sicherheitsaktualisierungen, die drei anderen Fassungen hingegen haben ausschließlich "Dies ist ein Sicherheits-Release. Alle PHP 8.[1|2|3].x-Nutzer sollen ermutigt werden, auf diese Version zu aktualisieren." als Änderungseintrag.

Die Aktualisierungen behandeln unterschiedliche Schwachstellen, einige betreffen jedoch alle Fassungen. So kann etwa als eine der hervorstechenden Schwachstellen auf 32-Bit-Systemen die ldap_escape()-Funktion bei der Übernahme ungefilterter langer Strings einen Integer-Überlauf provozieren, der in Schreibzugriffen außerhalb vorgesehener Grenzen mündet – und damit offenbar das Ausführen von eingeschleustem Schadcode ermöglicht (CVE-2024-8932, CVSS 9.8, Risiko "kritisch").

Interessierte finden in den einzelnen Changelogs Details zu den weiteren Änderungen und Sicherheitsfixes der aktualisierten PHP-Pakete:

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 28. und 29. November 2024 statt

Der vor mehr als einem Monat entdeckte Cyberangriff aus China auf die Netzwerke mehrerer großer US-Netzbetreiber ist "der größte Telekommunikationshack in der Geschichte der US-Geschichte – und zwar mit Abstand". Das hat mit Mark Warner (Demokraten) jetzt der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses der Washington Post gesagt. Die einer Gruppe namens "Salt Typhoon", "GhostEmperor" oder "FamousSparrow" zugeschriebene Attacke lasse die Cyberangriffe auf Colonial Pipeline oder SolarWinds im Vergleich wie Kinderspiele aussehen, ergänzte der US-Senator. Außerdem hat er erklärt, dass die Angreifer weiterhin im System seien.

Anzeige

Dass es mutmaßlich in Diensten der chinesischen Regierung stehenden Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren, war Anfang Oktober bekannt geworden. Bei dem Angriff geht es offenbar um Informationsbeschaffung, und schon damals war klar, dass es sich um eine potenziell katastrophale Sicherheitsverletzung handeln könnte. Laut Warner erfolgten die Einbrüche teilweise bereits vor mehr als einem Jahr. Um die Unbekannten aus den Netzen zu werfen, müssten "buchstäblich Tausende und Abertausende an Geräten ausgetauscht werden", vor allem veraltete Switches und Router, ergänzte der Senator.

Dem Bericht zufolge konnten sich die unbekannten Angreifer über ihren Zugang in Echtzeit in Telefonate einklinken und diese belauschen. Gezielt hätten sie dabei unter anderem auf die Telefone des nächsten US-Präsidenten Donald Trump und seines Vizes J.D. Vance zugegriffen, aber auch auf solche von Angestellten der gegenwärtigen US-Vizepräsidentin Kamala Harris und des US-Außenministeriums. Einen direkten Bezug zur US-Präsidentschaftswahl habe es aber wohl nicht gegeben. Bislang seien zwar weniger als 150 Personen als Opfer von der US-Bundespolizei FBI identifiziert und informiert worden, aber die hätten "Millionen" kontaktiert und die Zahl könnte noch "dramatisch ansteigen", meint Warner.

Bei ihrem Angriff ist es ihnen auch gelungen, Zugriff auf jene Systeme zu erlangen, die von US-Strafverfolgungsbehörden für Überwachung benutzt werden, schreibt die Zeitung noch. Damit hätten sie in Erfahrung bringen können, für wen sich US-Behörden interessieren. Bislang gebe es aber noch keinen Beweis dafür, dass sie Zugriff auf die mitgeschnittenen Telefonate selbst erlangt hätten. Belauschen konnten sie lediglich andere Gespräche. Zugreifen konnten sie außerdem auf andere, allgemeinere Internetdaten. Laut einem Eintrag in der Malpedia-Datenbank des Fraunhofer FKIE wurde für den Angriff unter anderem ein Rootkit für Windows-Kernel namens Demodex benutzt.

Seit Ubuntu 21.04 bringen Ubuntu-Server standardmäßig eine installierte Komponente Namens "needrestart" mit. IT-Sicherheitsforscher haben darin nun fünf Sicherheitslücken aufgespürt, durch die Angreifer ihre Rechte auf "root"-Zugriff ausweiten können.

Anzeige

In ihrer Analyse schreiben die IT-Forscher von Qualys, dass in Versionen vor 3.8 von needrestart lokale Angreifer beliebigen Code als root ausführen können. Durch Manipulation einer Umgebungsvariable (PYTHONPATH oder RUBYLIB), die Python- und Ruby-Interpreter beeinflussen, können sie ungefiltert Daten an eine Bibliothek durchreichen, die sicheren Input erwartet, und so beliebige Shell-Befehle ausführen (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, alle im needrestart-Paket mit CVSS 7.8, Risiko "hoch" sowie CVE-2024-10224 im Paket libmodule-scandeps-perl mit CVSS 5.3 und Risiko "mittel").

Die Version 3.8 von needrestart steht bereit und schließt die Sicherheitslücken. Die Software scannt das System und analysiert, ob ein Neustart für das System oder Dienste nötig sind. Sofern etwa Dienste veraltete Bibliotheken nutzen, markiert needrestart sie, was häufig nach Paketaktualisierungen der Fall ist, erörtert Qualys. Auf dem Ubuntu-Server ist es vorinstalliert und läuft automatisch nach APT-Aktionen wie Installationen, Upgrades oder der Entfernung von Software. Angreifer können dadurch ihre Rechte ausweiten und beliebigen Code ausführen, wenn Paketinstallationen oder Upgrades laufen, wodurch das System kompromittiert wird.

Neben der Aktualisierung von needrestart lässt sich das Problem etwa dadurch unterbinden, dass in der Konfigurationsdatei von needrestart (in der Regel /etc/needrestart/needrestart.conf) die Interpreter-Heuristik deaktiviert wird. Dort muss dazu die Option $nrconf{interpscan} = 0; gesetzt werden.

Das Kompressionswerkzeug 7-Zip enthält eine Sicherheitslücke, die Angreifern aus dem Netz ermöglicht, mit manipulierten Archiven Schadcode einzuschleusen und auszuführen. Eine Software-Aktualisierung ist verfügbar. 7-Zip-Nutzer müssen aktiv werden und sie selbst herunterladen und installieren.

Anzeige

Die Sicherheitsmitteilung von Trend Micros Zero-Day-Initiative erörtert die Schwachstelle. Demnach kann bei der Dekomprimierung von nach Zstandard komprimierten Datei ein Integer-Unterlauf auftreten, bevor der Code in den Speicher schreibt. Der Fehler basiert auf unzureichender Prüfung von Benutzer-übergebenen Daten und lässt sich zum Einschmuggeln und Starten von Schadcode missbrauchen (CVE-2024-11477, CVSS 7.8, Risiko "hoch").

Überzeugen Angreifer 7-Zip-Nutzer, sorgsam präparierte Archive aus dem Netz zu öffnen – etwa in Form eines E-Mail-Anhangs oder einer geteilten Datei –, können sie ihnen Schadsoftware unterschieben. Das Zstandard-Format ist vor allem unter Linux öfter im Einsatz, es steht als Option für Btrfs, SquashFS oder OpenZFS zur Verfügung. Es soll ähnliche Kompression wie Deflate (etwa via zlib oder zur HTTP-Kompression) liefern, jedoch schneller insbesondere bei der Dekompression sein.

Die IT-Forscher der ZDI haben die Schwachstelle im Juni bereits entdeckt und an 7-Zip gemeldet. Mit der Version 24.07 haben die Entwickler das Sicherheitsleck gestopft. Aktuell ist die Version 24.08 auf der 7-Zip-Webseite zum Download verfügbar.

Angreifer können PCs mit Anwendungen von Atlassian attackieren und Systeme im schlimmsten Fall kompromittieren. Sicherheitspatches stehen zum Download bereit.

Anzeige

Die geschlossenen Lücken sind in einer Warnmeldung aufgelistet. Alle sind mit dem Bedrohungsgrad "hoch" eingestuft. Nutzen die Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände erzeugen oder sogar Schadcode ausführen.

Um die Lücken auszunutzen, müssen Angreifer unter anderem mit präparierten Signaturen oder speziellen HTTP/2-Anfragen arbeiten. Das klappt den Beschreibungen zufolge in vielen Fällen ohne Authentifizierung. Wie solche Angriffe im Detail ablaufen könnten, führen die Entwickler zurzeit aber nicht aus.

Bislang gibt es keine Berichte zu bereits laufenden Attacken. Admins sollten aber mit dem Installieren der Sicherheitsupdates nicht zu lange warten. Leider gibt es bislang keine Hinweise darauf, an welchen Indicator of Compromise (IoC) Admins schon attackierte Instanzen erkennen können.

Nicht weniger als einen kostenlosen, KI-basierten Videoeditor versprachen Cyberkriminelle in einer Kampagne auf sozialen Medien. Wer auf das Angebot reingefallen ist, hat sich damit jedoch eine Info-Stealer-Malware installiert.

Anzeige

In den sozialen Medien haben die Kampagnen-Drahtzieher mit solchen Posts für den angeblichen KI-Videoeditor geworben.

(Bild: Screenshot: Malwarebytes)

Die IT-Sicherheitsforscher von Malwarebytes schreiben in ihrer Analyse, dass statt des erhofften Videoeditors mit KI-Funktionen auf Windows-PCs der Lumma Stealer und auf Mac-Rechnern der Atomic Stealer landeten. Die Kampagne zum Bewerben der Malware lief auf unterschiedlichen sozialen Medien, etwa auf Facebook, Youtube oder X.

In der vergangenen Woche haben Cyberkriminelle 3,8 GByte an Daten zum Verkauf im digitalen Untergrund angeboten, die angeblich vom Statistischen Bundesamt (Destatis) stammen sollen. Die Behörde hat nun bekannt gegeben, dass aus dem IDEV-Meldesystem keine Daten abgeflossen sind.

Anzeige

Destatis teilt mit, dass durch Sicherheitsbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 13. November Untersuchungen eingeleitet wurden, direkt nach Hinweisen auf ein vermeintliches Datenleck. "In umfassenden Stresstests sowie Datenflussanalysen durch das BSI wurden keine Hinweise auf Sicherheits- oder Datenlecks identifiziert. Das Meldesystem war demnach nicht von einem Hackerangriff betroffen und es sind auch keine Daten von meldenden Unternehmen oder anderen meldenden Stellen aggregiert abgegriffen worden", erklärt die Behörde.

Das Statistische Bundesamt hatte das IDEV-Meldesystem als Vorsichtsmaßnahme vom Netz genommen, da die vermeintlich erbeuteten Daten daraus hätten stammen können. Zudem wurden alle Zugangspasswörter zurückgesetzt. Die im IDEV-System aktiven Unternehmen will Destatis kontaktieren und "zur Wiederaufnahme der Meldeaktivitäten" auffordern. Ab Montag, dem 25. November, soll das IDEV-System wieder für Meldende erreichbar sein. Meldefristen und Mahnverfahren seien um die Dauer der Nichterreichbarkeit verlängert respektive ausgesetzt und betroffene Unternehmen bereits informiert worden.

Auch die Statistischen Ämter der Länder haben ihre IDEV-Systeme offline genommen. Diese sollen ab dem heutigen Donnerstag wieder erreichbar sein.

Die digitale Erfassung und Nutzung von Körperdaten hat sich zu einem boomenden Markt entwickelt, der bis 2030 auf über 500 Milliarden Dollar anwachsen soll. Das geht aus einem Paper von Mozilla-Forscherin Júlia Keserű hervor. Gleichzeitig haben die damit verbundenen Risiken dramatisch zugenommen, allein in den USA sind die gesundheitsbezogenen Cyberangriffe laut Keserű seit 2010 um fast 4000 Prozent gestiegen, im Darknet haben Gesundheitsdaten inzwischen den Wert von Kreditkartendaten überstiegen. Diese Entwicklung steht im Mittelpunkt der aktuellen Studie "Skin to Screen: Bodily Integrity in the Digital Age" von Keserű.

Anzeige

Keserűs Forschung zeigt, wie die massenhafte Sammlung "körperbezogener Daten" – von Fingerabdrücken über Fitness-Tracker bis hin zu digitalen Gesundheitsdaten – erhebliche Risiken birgt: Datenlecks, Überwachung, Diskriminierung und Ausnutzung durch KI-Systeme. Besonders problematisch sei die Rolle von Datenmaklern, die ohne die Zustimmung der Nutzer mit sensiblen Gesundheits- und biometrischen Daten handeln.

Als Lösung schlägt sie das "Databody Integrity Framework" vor – einen ganzheitlichen Ansatz, der darauf abzielt, digitale Informationen über den Körper und die Psyche mit denselben Menschenrechtsstandards zu schützen wie die physische Existenz. Schließlich haben die Menschen ein Interesse an dem Schutz ihrer sensibelsten Daten. Der Rahmen enthält konkrete Handlungsempfehlungen für verschiedene Ebenen:

Im Interview sprechen wir mit Júlia Keserű über die Details ihrer Forschung und die Dringlichkeit, den "digitalen Körper" besser zu schützen, sowie über die Ziele ihres Rahmenwerks.