Comretix Blog

Eine Sicherheitslücke in Veeam Backup & Replication steht aktiv unter Beschuss durch Cyberkriminelle. Sophos warnt, dass das Unternehmen eine Reihe an Attacken beobachtet habe, bei denen Ransomware installiert werden sollte.

Anzeige

Auf Mastodon erörtert das IT-Sicherheitsunternehmen, dass Cyberkriminelle mit kompromittierten Zugangsdaten und einer bekannten Sicherheitslücke (CVE-2024-40711) versuchen, ein Konto auf verwundbaren Systemen anzulegen und darin Ransomware zu installieren. In einem Fall hätten die Angreifer eine Ransomware namens Frog verankert. Im gleichen Zeitraum sei bei einer weiteren Attacke versucht worden, die Akira-Ransomware zu verteilen.

Sophos hat bis zur Meldung auf Mastodon vier Angriffe auf die Sicherheitslücke beobachtet – es dürften jedoch viele nicht erkannte Angriffe auf die Schwachstelle erfolgen. In den belegten Fällen sei die Akira- und Frog-Ransomware zum Einsatz gekommen.

Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten. Einige Gateways hätten zudem nicht mehr unterstützte Software-Versionen eingesetzt. In allen vier Fällen haben die Angreifer die URI /trigger auf dem Port 8000 der Veeam-Instanz missbraucht. Das führt dazu, dass Veeam.Backup.MountService.exe den Befehl net.exe aufruft. Der Exploit erstellt damit das lokale Konto "point" und fügt es den Gruppen der lokalen Administratoren und Remote Desktop Users hinzu.

Der Videospielentwickler Game Freak hat eine Cyberattacke vermeldet. Das Studio ist vor allem für seine Titel der Pokémon-Serie bekannt. Beim IT-Sicherheitsvorfall hatten dem Entwicklerstudio zufolge unbekannte Angreifer Zugriff auf Personaldaten. Es gibt aber auch Berichte über geleakte Informationen zu bisher nicht veröffentlichten Pokémon-Spielen.

Anzeige

Im offiziellen Statement führt Game Freak aus, dass die Cyberattacke im August 2024 stattfand. Im Zuge dessen konnten Angreifer auf Personaldaten von 2606 Mitarbeitern zugreifen. Die persönlichen Daten umfassen dem Unternehmen zufolge unter anderem Namen und dienstliche E-Mail-Adressen. Die Betroffenen werden derzeit kontaktiert.

Game Freak gibt an, dass sie die Server-Sicherheit mittlerweile wiederhergestellt haben. Außerdem versichern sie, dass sie, um künftige Attacken zu erschweren, ihre Systeme gehärtet haben. Wie die Angreifer sich konkret Zugriff verschafft haben, ist bislang nicht bekannt.

Medienberichten zufolge, unter anderem von Comicbook.com, gibt es Hinweise darauf, dass neben den Personaldaten auch Interna aus der Spielentwicklung geleakt sind. Demzufolge sollen im Internet Informationen zum kommenden Pokémon-Spiel mit dem Codenamen "Gaia" und einem Massively Multiplayer Online Role-Playing Game (MMORPG) für die bislang nicht veröffentlichte Spielkonsole Nintendo Switch 2 kursieren. Obendrein soll Quellcode von älteren Pokémon-Titeln geleakt sein.

Sonicwall warnt vor Sicherheitslücken in SSL-VPN-Appliances der SMA1000-Serie und dem Connect-Tunnel-Client für Windows. Angreifer können dadurch ihre Rechte ausweiten, unbefugt Anfragen umleiten oder Denial-of-Service provozieren.

Anzeige

In einer Sicherheitsmitteilung listen Sonicwalls Entwickler drei Schwachstellen auf. Im Connect-Tunnel-Client für Windows der Appliances aus der SMA1000-Baureihe können bösartige Akteure mit Standard-Rechten beliebige Ordner und Dateien löschen. Dadurch können sie ihre Rechte im System ausweiten (CVE-2024-45316, CVSS 7.8, Risiko "hoch"). Ursache ist eine unzureichende Auflösung von Links vor dem Zugriff auf Dateien ("Link Following").

Im Connect-Tunnel-Client der SMA1000-Appliances führt zudem eine weitere "Link-Following"-Lücke dazu, dass Nutzerinnen und Nutzer mit Standard-Rechten beliebige Dateien und Ordner anlegen und so einen Denial-of-Service auslösen können (CVE-2024-45315, CVSS 6.1, mittel).

Aufgrund einer sogenannten Server-Side-Request-Forgery (SSRF) können Angreifer aus dem Netz ohne vorherige Authentifizierung die serverseitige App dazu bringen, Anfragen an eigentlich nicht gewünschte IP-Adressen zu stellen (CVE-2024-45317, CVSS 7.2, hoch). Das ermöglicht weitere Angriffe und oftmals auch unbefugte Zugriffe auf eigentlich geschützte Netzwerkbereiche.

OpenAI hat sich ausführlich dazu geäußert, wie Cyberkriminelle in der Vergangenheit das ChatGPT-Modell zur Entwicklung von Malware und zur Vorbereitung von Cyberangriffen genutzt haben. Das KI-Unternehmen veröffentlichte einen Bericht, in dem es über 20 Fälle aus 2024 dokumentierte, bei denen Cyberkriminelle ChatGPT für Cyberangriffe oder zur Malware-Entwicklung verwendeten.

Anzeige

Der Bericht mit dem Titel "Influence and Cyber Operations: An Update" offenbart, dass staatlich geförderte Hackergruppen aus Ländern wie China und dem Iran die Fähigkeiten von ChatGPT einsetzten, um vorhandene Malware zu verbessern und neue Schadsoftware zu entwickeln. Sie nutzten ChatGPT dabei in erster Linie dazu, neuen Malware-Code zu debuggen, Inhalte für Phishing-Kampagnen zu generieren und Desinformation in sozialen Medien zu verbreiten.

Eine etwas anders ausgerichtete Bedrohung ging dem Bericht nach von der iranischen Gruppe "CyberAv3ngers" aus, die mit den Islamischen Revolutionsgarden in Verbindung stehen soll. Diese setzten ChatGPT nicht direkt zur Malware-Entwicklung ein. Vielmehr nutzten Sie die KI, um Schwachstellen in industriellen Steuerungssystemen zu erforschen und dann zielgerichtet Skripte für potenzielle Angriffe auf kritische Infrastrukturen zu programmieren.

In anderen Fällen wurde das KI-Modell dafür eingesetzt, Phishing-Malware zu entwickeln, um damit Benutzerdaten wie Kontakte, Anrufprotokolle und Standortinformationen zu entwenden. Obwohl diese Ergebnisse alarmieren, betonte OpenAI, dass die Cyberkriminellen durch ChatGPT keine signifikanten Durchbrüche bei der Erstellung von Malware erzielten. Auch sei kein Anstieg von erfolgreichen Malware-Attacken durch den missbräuchlichen Einsatz von ChatGPT zu erkennen.

Der IT-Sicherheitstag in Gelsenkirchen steht am 21. November unter dem Motto "Cybersicherheit: Komplexität managen". Er bietet Sicherheitsverantwortlichen, IT- und Security-Experten ein abwechslungsreiches Programm aus Vorträgen und Diskussionrunden rund um die vielschichtigen Themen moderner Informationssicherheit.

Anzeige

Die Vorträge decken eine breite Palette der Fragestellungen ab, denen sich Sicherheitsverantwortliche stellen müssen. Die Titel der einzelnen Vorträge lauten:

Die Veranstalter lassen ausreichend Raum zur Vernetzung der Teilnehmer untereinander und mit den Referenten. In Diskussionsrunden, aber auch abseits des Programms in Kaffeepausen und dem abschließenden Get-Together bleibt reichlich Zeit, um fachzusimpeln und offene Fragen zu komplexen IT-Sicherheitsthemen zu vertiefen.

In einer Panel-Diskussion tauschen sich zudem CISOs und Sicherheitsmanager zum Thema "IT Sicherheit in Deutschland – wie komplex ist die gesetzliche und technische Situation im internationalen Vergleich?" aus.

Dystopische Szenen spielten sich unlängst in US-amerikanischen Wohnzimmern ab: Innerhalb weniger Tage gelang es Cyberangreifern wiederholt, aus der Ferne die komplette Kontrolle über Saugroboter in mehreren Städten zu erlangen. Die Täter überzogen daraufhin die Bewohner über die eingebauten Lautsprecher schreiend mit Obszönitäten und rassistischen Beschimpfungen inklusive des F- und des N-Wortes. Das Problem betrifft laut einem Bericht des US-Senders ABC insbesondere das Modell Deebot X2 des chinesischen Herstellers Ecovacs, dessen Geräte seit Längerem als notorisch unsicher gelten.

Anzeige

Neben den Sicherheitslücken steht der Hersteller in der Kritik, angeblich mit vom Saugroboter erfassten Daten die KI des Unternehmens zu trainieren. Selbst von Nutzern gelöschte Aufnahmen sollen im Unternehmen gespeichert und genutzt worden sein. Diese Möglichkeiten zur Audio- und Bilddatenerfassung der Geräte haben nun offenbar auch die Cyberkriminellen entdeckt und genutzt.

Zu den Betroffenen gehört laut ABC die Familie des Anwalts Daniel Swenson aus Minnesota. Er sah demnach an einem Tag im Mai fern, als sein Saugroboter seltsame Geräusche von sich gab. "Es klang wie ein unterbrochenes Funksignal oder so etwas", sagte er dem Sender. "Man konnte vielleicht Stimmfetzen hören." Über die Ecovacs-App sah er, dass ein Fremder auf die Live-Kameraübertragung und die Fernsteuerungsfunktion zugegriffen hatte. Swenson hielt es für eine Panne, setzte sein Passwort zurück, startete den Bot neu und setzte sich wieder neben seine Frau und seinen 13-jährigen Sohn auf die Couch. Doch das Gerät regte sich sofort wieder und diesmal waren die rassischen Beleidigungen unüberhörbar.

Trotz der lautstarken Ansprache war Swenson dem Bericht zufolge froh, dass die Angreifer ihre "Anwesenheit" zumindest deutlich ankündigten. Es wäre viel schlimmer gewesen, gab er zu bedenken, wenn sie beschlossen hätten, seine Familie heimlich in ihrem Haus zu beobachten. Der Saugroboter landete dann abgeschaltet in der Garage.

Nach einem Angriff auf das Gedächtnis des Internets bleibt Internet Archive vorerst offline. Das ist eine bewusste Entscheidung und kein Hinweis auf eine durch die Attacke hervorgerufene Fehlfunktion. Das geht aus Postings des Gründers der Plattform, Brewster Kahle, auf Social-Media-Diensten hervor.

Anzeige

Auf X etwa schreibt er, die Dienste seien offline, um "untersucht und gestärkt" zu werden. Die archivierten Daten seien dabei sicher. Dieser Hinweis ist besonders wichtig, weil bei dem digitalen Einbruch in die Systeme von archive.org auch rund 30 Millionen gehashte Passwörter von Benutzerkonten erbeutet wurden. Es war nicht auszuschließen, dass auch Inhalte des Archivs geändert worden sein könnten.

Kurz nachdem die Attacke bekannt geworden war, gab es einen DDoS-Angriff auf die Plattform, sodass viele Nutzer nicht unmittelbar ein neues Passwort setzen konnten. Der Einbruch sowie eine zwischenzeitlich vom Archiv dargestellte merkwürdige Fehlermeldung und die DDoS-Attacke scheinen nicht unmittelbar zusammenzuhängen. Den gesamten Ablauf schildert eine frühere Meldung.

Laut Brewster Kahle sollen die Reparaturarbeiten noch einige Tage, nicht aber Wochen andauern. Derzeit zeigt die Startseite von archive.org nur einen Hinweis auf den Offline-Zustand des Projekts samt Verweis auf die Postings von Kahle. Klickt man einen der zahlreich im Internet verfügbaren Direktlinks zu Inhalten der Seite an, gibt es jedoch eine Timeout-Fehlermeldung des Browsers ohne weiteren Hinweis. Für viele Nutzer dürfte der auch als "Wayback Machine" bekannte Dienst damit von außen schlicht als defekt erscheinen.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Schadhafte Chrome-Erweiterungen finden ihren Weg in den Chrome Web Store – ungeachtet der verbesserten Security- und Datenschutzeinstellungen von Manifest V3, der API, mit der Browsererweiterungen in Googles Chrome-Browser laufen. Obwohl die aktuelle API-Version in dieser Hinsicht verglichen mit V2 verbessert wurde, hat sie offenbar immer noch zu viele laxe Berechtigungen.

Anzeige

Wie das IT-Newsportal Dark Reading berichtet, haben Sicherheitsforscher der Firma SquareX auf der Hackerkonferenz DefCon 32 demonstriert, wie sich solche schadhaften Erweiterungen einfach an den Schutzvorkehrungen vorbeischmuggeln lassen. Diese können dann Videomaterial von Konferenzplattformen wie Google Meet oder Zoom stehlen, ohne dass dafür besondere Berechtigungen nötig wären.

Weiter zeigten die Forscher, wie derartige Manifest-V3-basierte Browsererweiterungen es Angreifern ermöglichen, Daten, Browserhistorie und Session Cookies zu stehlen, Nutzer auf schädliche Webseiten umzuleiten oder Mitwirkende zu privaten Github-Repositiories hinzuzufügen.

Vivek Ramachandran, Gründer und CEO von SquareX, warnt, dass Browser-Erweiterungen ein blinder Fleck für die Sicherheitstechnologien von Endpoint Detection and Response (EDR) beziehungsweise Extended Detection and Response (XDR) seien. Mitarbeiter würden sie von Sicherheitsvorkehrungen unbemerkt installieren. Angreifer könnten sie nutzen, um sich Zugriff auf interne Systeme und Daten eines Unternehmens zu verschaffen. Ohne dynamische Analysen und die Durchsetzung strenger Sicherheitsrichtlinien sei es Unternehmen nicht möglich, solche Angriffe zu erkennen und zu blockieren. Googles Manifest V3 sei zwar gut gemeint, aber weit davon entfernt, wirklich für Sicherheit zu sorgen.

Vor nahezu leeren Sitzreihen hat der Bundestag am heutigen Freitag erstmals über das Umsetzungs- und Cybersicherheitsstärkungsgesetz der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) beraten – eine Woche vor Ablauf der Umsetzungsfrist. Die EU-Richtlinie NIS2 müsste nämlich bis zum 18. Oktober in nationales Recht umgesetzt werden. Deutschland wird diesen Termin reißen – derzeit geht man davon aus, dass NIS2 in Deutschland erst im Frühjahr 2025 wirksam wird.

Anzeige

Johannes Saathoff, parlamentarischer Staatssekretär im Innenministerium, fasste die wesentlichen Vorgaben von NIS2 zusammen: ein definiertes Niveau an Sicherheitsmaßnahmen und Meldepflichten bei Cybersicherheitsvorfällen. NIS2 weite die Zahl der Unternehmen, die bei der Cybersicherheit staatlichen Auflagen unterliegen, von derzeit 4500 kritischen Infrastrukturen auf rund 29.500 Unternehmen aus 18 Sektoren aus.

Obwohl es 2023 durch Cybervorfälle in der Wirtschaft Rekordschäden von 267 Milliarden Euro gegeben habe, sei das Problem noch nicht in allen Vorstandsetagen angekommen: "Cyberresilienz muss in die Köpfe kommen." Es sei daher richtig, dass die NIS2-Richtlinie die Unternehmensführung in die Pflicht nimmt.

Außerdem soll die deutsche NIS2-Umsetzung die Cybersicherheit der Bundesverwaltung stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll mehr Befugnisse erhalten und zu einer zentralen Sicherheitsbehörde weiterentwickelt werden. Zudem sollen Bund und Länder enger zusammenarbeiten.

Die oberste US-IT-Sicherheitsbehörde hat 21 Sicherheitsmeldungen zu Schwachstellen in industriellen Kontrollsystemen (ICS; IoT) veröffentlicht. Zahlreiche Produkte der Hersteller Delta Electronics, Schneider, Siemens und Rockwell Automation finden sich darunter.

Anzeige

Die CISA erläutert in ihrer Sicherheitsmitteilung, dass die einzelnen Security-Advisories Informationen zu Sicherheitsproblemen, Schwachstellen sowie Exploits "rund um ICS" (Industrial Control Systems) enthalten. Die einzelnen Sicherheitslücken betreffen in der Regel eine ganze Reihe von Geräten. Der Schweregrad variiert: Während einige Schwachstellen die Risikobewertung mittel erhalten, finden sich viele als hochriskant oder gar einige als kritisches Risiko eingestufte Sicherheitslecks in den IoT-Geräten.

Etwa eine kritische Sicherheitslücke in Siemens Sentron 7KM PAC3200 soll keinen Sicherheitsfix erhalten, Administratoren sollen beispielsweise eine PIN als Schutz vor nicht autorisierten Operationen einrichten. Die Mitteilungen enthalten weitergehende Informationen, erörtern, ob Updates geplant oder vorhanden sind und gehen auf gegebenenfalls verfügbare Workarounds ein. Weiterreichende Hinweise der Hersteller stellt die CISA in den Advisories ebenfalls bereit.

Die Liste der Produkte mit Sicherheitslücken ist recht lang:

Das Tails-Projekt hat Version 6.8.1 der anonymisierenden Linux-Distribution für den USB-Stick veröffentlicht. Sie korrigiert eine kritische Sicherheitslücke im Firefox-Browser, der als Basis für Tor zum Einsatz kommt.

Anzeige

Diese kritische Sicherheitslücke in dem Webbrowser (und Thunderbird) wird bereits in freier Wildbahn angegriffen. Tails-Nutzerinnen und -Nutzer sollten daher umgehend die aktualisierte Fassung herunterladen und ihre USB-Sticks auf neuen Stand bringen.

Das Sicherheitsupdate ist die einzige Änderung in Tails 6.8.1. Der Tor Browser kommt darin auf dem fehlerbereinigten Stand 13.5.7 zum Einsatz. Das in der Nacht zum Mittwoch erschienene Tails 6.8 hingegen hat einige Änderungen mehr zu bieten. Die Entwickler schreiben, dass beim Entsperren des persistenten Speichers erkannte Dateisystemfehler nun repariert werden können. Es lassen sich jedoch nicht alle Dateisystemfehler sicher ausbessern, weshalb sie auch eine ausführlichere Dokumentation mit weiteren Lösungsmöglichkeiten erstellt haben.

Sofern eine Netzwerkschnittstelle deaktiviert wird, da sich die MAC-Adresse nicht anonymisieren lässt, erscheint nun eine verbesserte Benachrichtigung darüber. Die maximale Wartezeit für das Entsperren des persistenten Speichers haben die Entwickler auf acht Minuten angehoben, bevor Tails eine Fehlermeldung ausspuckt. Wenn ausgewählt wurde, das Passwort beim Eingeben anzuzeigen, versteckt Tails es nun dennoch während des laufenden Entsperrvorgangs. Sollte dieser länger dauern, erhalten Unbefugte keinen Einblick.

Die Niederlande sehen sich mit einem unerwarteten Großprojekt konfrontiert: Sie müssen Zehntausende Ampelanlagen austauschen. Grund ist eine Sicherheitslücke im Funksystem der Schaltungskästen, mit der Angreifer die Verkehrszeichen fernsteuern können. Ein Sicherheitsforscher hatte die Lücke kürzlich auf einer Konferenz vorgestellt, nun handeln die Behörden.

Anzeige

Es klingt wie eine Filmszene aus einem Hollywood-Actionfilm: Per Knopfdruck schaltet ein Hacker im Auftrag einer Gangsterbande alle Ampeln in einer Stadt auf Grün und verursacht damit ein Verkehrschaos. In den Niederlanden könnte das tatsächlich eintreten, befürchten niederländische Experten. Schuld ist ein Kurzstreckenfunksystem namens KAR ("Korteafstandsradio"), das die Fernsteuerung von Ampeln erlaubt. So können Rettungskräfte, aber auch Busse Ampeln auf ihrer Route umschalten und so schneller vorankommen.

Supply-Chain-Angriffe, regulatorische Herausforderungen und neue technologische Entwicklungen – im neuen Report "The State of Software Supply Chain" hat Sonatype, Anbieter von Anwendungen für das Supply-Chain-Management, über sieben Millionen Open-Source-Projekte analysiert und Trends sowie Herausforderungen herausgearbeitet.

Anzeige

Mit inzwischen über 6,6 Billionen Downloads an Open-Source-Komponenten pro Jahr und dem Umstand, dass quelloffene Pakete inzwischen bis zu 90 Prozent moderner Softwareanwendungen ausmachen, sind Entwicklerinnen und Entwickler mit neuen Herausforderungen konfrontiert. Besonders rund um JavaScript (npm-Pakete) und Python (PyPi-Bibliotheken) führt die steigende Zahl an Abfragen und Abhängigkeiten zu einem über die letzten Jahre gestiegenem Risiko von Malware und Supply-Chain-Angriffen, also das Einschleusen von bösartigem Code. Letztere können Code-Repositorys, Build-Systeme und Distributionskanäle betreffen.

Tatsächlich identifiziert der Report allein für das vergangene Jahr über 512,000 verdächtige Pakete im OSS-Ökosystem, was über die letzten Jahre betrachtet einem Anstieg von rund 156 Prozent von Jahr zu Jahr entspricht.

Bis zu 4,5 Milliarden npm-Pakete pro Jahr verdeutlichen die Verbreitung quelloffener Komponenten in der Software Supply Chain.

Juniper Networks hat einen ganzen Schwung an Sicherheitsmitteilungen veröffentlicht und veranstaltet eine Art Patchday. Zu den Advisories gehörende Patches dichten mehr als 30 Sicherheitslücken ab.

Anzeige

Die Auflistung der aktuellen Security-Bulletins von Juniper Networks enthält gleich mehrere Security-Bulletins, die etwa Probleme mit dem Border Gateway Protocol (BGP) betreffen. Die Auswirkungen reichen von Denial-of-Service-Situationen hin zur Ausführung von untergeschobenen Befehlen oder Schadcode.

Von den Sicherheitslücken gilt eine in Junos OS als kritisches Risiko. Sie betrifft die mitgelieferte Open-Source-Software nginx. Eine der nginx-Lücken erreicht einen CVSS-Wert von 9.8, erörtern die Autoren der Warnung von Juniper. 13 weitere Sicherheitsmitteilungen behandeln Schwachstellen, die die Entwickler des Herstellers als hohes Risiko einstufen.

IT-Verantwortliche mit Juniper-Networks-Hardware in ihrer Organisation sollten die Liste der Security-Bulletins prüfen, ob die eingesetzten Geräte oder Software-Versionen von den Sicherheitslücken betroffen sind. In den einzelnen Mitteilungen nennt Juniper Networks die verwundbaren Versionen und ab welcher Fassung die Sicherheitslecks gestopft sind. Die zugehörigen Aktualisierungen sollten Admins zügig herunterladen und installieren, um die Angriffsfläche in ihren Netzwerken zu reduzieren. Teils nennt Juniper auch temporäre Gegenmaßnahmen in den Sicherheitsmitteilungen, die das Risiko reduzieren helfen, sollten Updates nicht unmittelbar installierbar sein.

Wer glaubt, NTLM sei erledigt, irrt. Angreifer nutzen dessen Sicherheitslücken immer noch routinemäßig aus, um Windows-Netze zu attackieren. Denn obwohl Microsoft diese Authentifizierungsverfahren selbst als veraltet erklärt, wird es wohl noch Jahre dauern, bis sie die endgültig abschalten. Und bis dahin müssen sich Admins mit den Gefahren herumschlagen, die sich daraus ergeben und ihre Netze gezielt dagegen absichern.

Anzeige

Dabei hilft Ihnen das heise security Webinar NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen. Es erklärt die konzeptionellen Schwächen von NTLM, zeigt, wie Angreifer diese konkret ausnutzen und stellt schließlich Konzepte vor, wie Admins das verhindern können. Dabei diskutiert der Referent Frank Ully insbesondere auch, welche Probleme man sich mit den verschiedenen Maßnahmen einhandelt und wie man damit dann wieder umgehen kann. Der praxisorientierte Vortrag mündet schließlich in ein Konzept, wie Sie Ihr Windows-Netz schrittweise absichern und dabei die trotzdem vorhandenen Restrisiken weitestmöglich einschränken

Das Webinar findet statt am Mittwoch, dem 16. Oktober 2024 und dauert circa zwei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

Weitere Informationen zum Webinar und die Möglichkeit sich anzumelden gibt es auf der Webseite zu:

Qualcomm hat eine Zero-Day-Sicherheitslücke bei einer Reihe von Mobilprozessoren und Funktechnikchips bestätigt, die von böswilligen Angreifern bereits ausgenutzt wird. Details gibt es bislang kaum, aber da viele der betroffenen Chips für Android-Smartphones und -Tablets schon einige Jahre auf dem Markt sind, könnte es etliche Angriffsversuche gegeben haben. Qualcomm geht allerdings von begrenzten und gezielten Angriffen aus.

Anzeige

Die bislang unbekannte Zero-Day-Lücke wird als CVE-2024-43047 geführt und könnte unberechtigten Zugriff auf den Speicher des Geräts ermöglichen. Qualcomm gibt der Schwachstelle eine hohe Sicherheitsbewertung, die US-Cybersicherheitsbehörde CISA stuft sie als kritisch ein. Nach Angaben Qualcomms wurde sie Ende Juli dieses Jahres entdeckt. Der Konzern hat seine Kunden Anfang September entsprechend informiert und einen Patch zur Verfügung gestellt, den die Hersteller der Android-Geräte ausspielen sollen.

Zu den von der Sicherheitslücke betroffenen Qualcomm-Plattformen zählen neben WLAN- und Bluetooth-Chips auch die bei Android-Smartphones vielfach genutzten Mobilprozessoren Snapdragon 660, 680, 685, 865, 870, 888 und 888+ sowie die Snapdragon 8 Gen 1 Mobilplattform. Der Snapdragon 660 wurde bereits 2017 eingeführt und war vor allem bei Smartphones der Mittelklasse chinesischer Hersteller wie Xiaomi sehr beliebt. Der Snapdragon 888+ war der High-End-Chip Qualcomms des Jahres 2021, im Jahr darauf ist der Snapdragon 8 Gen 1 erschienen.

Die Zero-Day-Lücke gefunden haben Googles Sicherheitsforscher der "Threat Analysis Group", die sich auf staatlich unterstützte Cyberattacken fokussiert, und das "Security Lab" der Menschenrechtsorganisation Amnesty International, das die Gesellschaft vor digitaler Überwaschung und Spyware schützen will. Beide Organisationen bestätigen, dass die Sicherheitslücke angegriffen wurde. Während Google den Angaben Qualcomms laut Techcrunch nichts hinzufügen wollte, verspricht Amnesty International, dass ein entsprechender Untersuchungsbericht in Kürze erscheinen wird.

Der Rat der Europäischen Union hat am Donnerstag den Cyber Resilience Act (CRA) beschlossen. Mit dem Votum der Innen- und Justizminister der EU-Staaten können die neuen Regelungen für mehr Sicherheit bei vernetzten Geräten in Kraft treten. Die EU will damit erreichen, dass mit dem Netz verbundene Geräte von Computern über Kaffeemaschinen bis zu Babyphones besser gegen Cyberangriffe geschützt werden.

Anzeige

"Vernetzte Produkte erleichtern unseren Alltag, können aber auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein", sagte Bundesinnenministerin Nancy Faeser (SPD). Verbraucher müssten sich darauf verlassen können, dass vernetzte Geräte im Haushalt kein Sicherheitsrisiko darstellten.

Die neue Verordnung verpflichtet Hersteller, Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig auch gegen IT-Angriffe gesichert sein. Zudem müssen Hersteller IT-Schwachstellen und -vorfälle einer zentralen Meldestelle berichten und regelmäßig Sicherheitsupdates anbieten.

Die Hersteller sollen dafür sorgen, "dass alle Produkte mit digitalen Elementen" sowie einer "logischen oder physischen Datenverbindung" im Einklang mit den in der Verordnung formulierten "grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden". Das betrifft ein breites Portfolio von Haushaltsgeräten, Computer-Hardware, Unterhaltungselektronik, Software und Cloud-Lösungen.

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass derzeit ältere Sicherheitslücken in mehreren Fortinet-Produkten angegriffen werden. Sie hat die Sicherheitslücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Das verpflichtet US-Behörden zum zeitnahen Handeln, sollte aber auch für hiesige Organisationen ein Weckruf sein.

Anzeige

In der Warnung der CISA findet sich lediglich ein Hinweis auf die Sicherheitslücken, auf die Angriffe beobachtet wurden. Neben den bereits seit Mittwoch dieser Woche bekannten missbrauchten Lücken in Ivantis CSA warnt die Behörde vor einer Format-String-Schwachsstelle in mehreren Fortinet-Produkten, auf die Cyberkriminelle es derzeit offenbar abgesehen haben.

Wie die Angriffe aussehen und wie Betroffene erfolgreiche Attacken erkennen können, erörtert die CISA wie üblich nicht. Jedoch ist die Lücke selbst bekannt, es geht um die Schwachstelle CVE-2024-23113, mit einem CVSS-Wert 9.8 als "kritisches" Risiko eingestuft. Die Sicherheitslücke geht auf eine Umwandlung von extern kontrollierbaren Eingaben mittels sogenannter Format-String-Funktionen in von der Software weiter verarbeitete Daten zurück. Mittels speziell präparierter Netzwerkpakete können Angreifer dadurch unbefugt Schadcode oder Befehle einschleusen.

Fortinet hat in der zugehörigen Sicherheitsmitteilung betroffene Produkte und die Versionen aufgezählt, die den Fehler korrigieren. IT-Verantwortliche sollten schleunigst auf mindestens die nachfolgend genannten, besser jedoch auf den aktuell verfügbaren Softwarestand aktualisieren. Die Lücke beseitigen FortiOS 7.4.3, 7.2.7 und 7.0.14, FortiPAM in einer nicht genauer genannten Version, wobei FortiPAM 1.3 nicht betroffen sein soll, FortiProxy 7.4.3, 7.2.9 sowie 7.0.16 und schließlich FortiWeb 7.4.3.