Comretix Blog

Cyberattacke oder IT-Störung? Die Ransomwaregang BlackBasta gibt an, Zugriff auf interne Daten des Anbieters Medion gehabt zu haben. Das Unternehmen hat das bislang nicht bestätigt.

Anzeige

Ende November 2024 kam es bei Medion zu Störungen. Unter anderem war die Website nicht erreichbar und es gab Probleme mit E-Mails und Telefonen. Davon sollen interne Systeme und der Onlineshop betroffen gewesen sein. Auf der mittlerweile wieder aufrufbaren Internetseite werden nicht näher ausgeführte IT-Störungen als Grund angegeben. Am 28. November war dort noch die Rede von einem durch externe Angreifer ausgelösten IT-Vorfall. Die Antwort auf eine Anfrage von heise Security steht derzeit noch aus.

Screenshot vom Leakingportal von BlackBasta: Bislang hat Medion keine Cyberattacke bestätigt.

Nun mehren sich die Hinweise auf eine Cyberattacke: Die Kriminellen des Erpressungstrojaners BlackBasta geben an, Medion erfolgreich attackiert und 1,5 Terabyte an Daten kopiert zu haben. Darunter sollen sich unter anderem vertrauliche Geschäftsdaten und Informationen zu Angestellten befinden.

Angreifer können die Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust attackieren und eigene Befehle im zugrundeliegenden Betriebssystem ausführen.

Anzeige

Aufgrund der "kritischen" Einstufung der Sicherheitslücke (CVE-2024-12356) ist davon auszugehen, dass Systeme nach erfolgreichen Attacken als vollständig kompromittiert gelten. Angriffe sollen einer Warnmeldung zufolge aus der Ferne und ohne Authentifizierung möglich sein.

Das Einleiten von Attacken soll über bestimmte Clientanfragen möglich sein. Wie das im Detail aussehen könnte, geht aus der Meldung nicht hervor. Bislang gibt es noch keine Meldungen zu laufenden Attacken.

Die Entwickler versichern, die Lücke in den Ausgaben PRA patch BT24-10-ONPREM1 oder BT24-10-ONPREM2 und RS patch BT24-10-ONPREM1 oder BT24-10-ONPREM2 geschlossen zu haben. Wer noch eine Version vor 22.1 nutzt, muss ein Upgrade durchführen, um das Sicherheitsupdate zu bekommen. Cloudinstanzen wurden BeyondTrust zufolge bereits automatisch auf den aktuellen Stand gebracht.

Hohe Bankspesen veranlassen einen ausländischen Lieferanten dazu, das Geldinstitut zu wechseln. Er informiert seinen Kunden per E-Mail über die neue Bankverbindung, der daraufhin vier Überweisungen zu insgesamt 85.000 Euro auf das neue Konto veranlasst. Leider ist der angebliche Bankwechsel ein Trick eines Betrügers, der den Exchange-Server des Lieferanten geknackt und dann darüber E-Mails unter Missbrauch eines bekannten Absendernamens verschickt hat. Da die Banken das Geld nicht zurückholen können, wendet sich der entreicherte Zahler an seine Cyberversicherung, die er sowohl für Netzwerksicherheitsverletzungen als auch Täuschungsschäden abgeschlossen hat. Doch die Versicherung zahlt nicht.

Anzeige

Zu Recht, wie aus einer nun bekannt gewordenen Entscheidung des Landgerichts Hagen hervorgeht (Az. 9 O 258/23). Denn der beim Versicherungsnehmer eingetretene Schaden ist gar kein Versicherungsfall.

Das kommt so: Die Versicherungsbedingungen definieren Netzwerksicherheitsverletzungen als "Beeinträchtigungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Versicherungsnehmers." Die Täter haben allerdings beim Versicherten nichts kompromittiert, sondern den Exchange-Server eines Dritten, nämlich des Lieferanten. Zusätzlich enthalten die Versicherungsbedingungen Beispiele dafür, wann keine versicherte Netzwerksicherheitsverletzung vorliegt, darunter "Beeinträchtigungen ... in Netzwerken Dritter", selbst wenn die Auswirkungen auch beim Versicherungsnehmer auftreten, sowie "fake president Angriffe mittels nachgebildeter E-Mail-Adresse" ohne Eingriff in das Netz des Versicherungsnehmers.

"Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt", erläutert das Gericht. "Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt."

Sicherheitsforscher von CheckPoint berichten, dass Cyberkriminelle verstärkt Google-Kalender-Einladungen nutzen, um Internetnutzer auf Phishingseiten zu locken: Allein über einen Zeitraum von vier Wochen gingen demnach etwa 4000 solcher Einladungen bei Mitarbeitern von rund 300 Unternehmen ein. Laut dem Start-up Calendly nutzen etwa 500 Millionen Internetnutzer Google Kalender, zudem ist dieser in 41 Sprachen verfügbar. Die Zahl der potenziellen Opfer ist dementsprechend hoch.

Anzeige

Die Angreifer modifizieren die E-Mail-Header, sodass die Phishing-Mails wie Google-Kalender-Invites von Personen wirken, die den Empfängern bekannt sind. Die Mails enthalten meist eine für Kalender-Einladungen typische .ics-Kalenderdatei mit einem Link zu einem Google-Fomular. Wenn man den Link klickt, landet man bei einer Aufforderung zum Klicken eines weiteren. Dieser zweite Phishing-Link ist allerdings als Support-Button oder reCAPTCHA getarnt. Wer darauf hereinfällt, landet schließlich auf einer Phishing-Webseite, die aussieht wie eine Bitcoin-Support- oder -Mining-Webseite, die im Rahmen eines Authentifizierungsvorgangs persönliche Daten und schließlich Zahlungsinformationen abfragt. Wer dabei immer noch nicht stutzig wird, spielt den Angreifern in die Hände.

Zum Schutz gegen derartige Phishing-Versuche empfiehlt Google, die Einstellung "bekannte Absender" zu aktivieren. Dann weist das Kalender-Tool auf Einladungen von fremden Personen hin, die nicht in der Kontaktliste stehen oder mit denen zuvor kein Mail-Kontakt bestand.

Die Verfasser des Checkpoint-Blogposts benennen neben der Empfehlung Googles noch weitere Maßnahmen, um sich vor solchen Betrugsversuchen zu schützen: Unübliche Anforderungen wie das Lösen eines reCAPTCHA seien starke Hinweise darauf, dass etwas mit einer Einladung nicht stimme. Außerdem empfehlen sie, Links nicht blind zu klicken, sondern sich die Link-Vorschau anzusehen und die in einer Mail benannte URL gegebenenfalls selbst im Browser aufzurufen.

Apex One und Apex One as a Service von Trend Micro sind unter Windows verwundbar. Eigentlich soll die Sicherheitslösung Computer schützen, nun können Angreifer aber an sechs Schwachstellen ansetzen und Systeme attackieren.

Anzeige

In einem Beitrag listen die Entwickler die gepatchten Versionen Apex One SP1 build 13140 und Apex One as a Service December 2024 Monthly Maintenance (202412) Agent version 14.0.14203 auf. Die darin geschlossenen Sicherheitslücken (CVE-2024-52048, CVE-2024-52049, CVE-2024-52050, CVE-2024-55631, CVE-2024-55632, CVE-2024-55917) sind mit dem Bedrohungsgrad "hoch" eingestuft.

Als Voraussetzungen für Attacken müssen Angreifer physisch oder aus der Ferne auf PCs zugreifen können und in der Lage sein, Code mit niedrigen Benutzerrechten auszuführen. Sind diese Bedingungen erfüllt, können sich Angreifer höhere Nutzerrechte aneignen. Detaillierte Angaben zu Abläufen solcher Attacken gibt es bislang nicht. Unbekannt ist auch, ob es bereits Attacken gibt und woran Admins attackierte Computer erkennen können.

Angreifer können Systeme, auf denen Foxit PDF Editor oder Reader installiert ist, aufgrund von Schwachstellen in der Software attackieren. Für eine erfolgreiche Attacke müssen Opfer aber mit Schadcode versehene PDF-Dateien öffnen.

Anzeige

Aus dem Sicherheitsbereich der Foxit-Website geht hervor, dass PDF-Dateien mit interaktiven Formularen nach dem XML-Forms-Architecture-Standard (XFA) manipuliert werden können. Wie das im Detail vonstattengehen kann, ist derzeit nicht bekannt.

Bringen Angreifer Opfer dazu, solch eine Datei zu öffnen, führt die Verarbeitung der XFA-Elemente zu Fehlern und Angreifer können unter anderem im System eigene Befehle ausführen. Im Rahmen dieser Problematik nennen die Entwickler keine CVE-Nummern. Demzufolge ist eine standardisierte Einstufung der Gefahr derzeit nicht möglich.

Weiterhin sind Manipulationen von PDF-Formularen mit AcroForms-Elementen vorstellbar. Das Öffnen einer solchen Datei führt zu Speicherfehlern und Abstürzen. In der Regel kann es in so einem Fall auch zur Ausführung von Schadcode kommen. Die Einstufung des Bedrohungsgrads der Lücken (CVE-2024-49576, CVE-2024-47810) steht zurzeit noch aus.

Passwort, der Podcast von heise security, legt in Folge 21 mit ZUGFeRD los, einem Standard für die E-Rechnung. ZUGFeRD-Dokumente sind eine Kombination aus PDF und XML, die Rechnungsdaten mehrfach enthalten. Praktisch, wenn man eine Rechnung inspizieren will, ohne ein Tool für das XML-Format zur Hand zu haben. Einige Podcast-Hörer sehen allerdings ein Sicherheitsproblem darin, dass die Daten in den beiden Formaten voneinander abweichen können. Die Hosts diskutieren, warum das gefährlich sein kann und was man am besten dagegen tut.

Anzeige

Synolgy hat aktualisierte Software-Pakete für den Media Server veröffentlicht. Sie schließen eine hochriskante Schwachstelle, die Angreifern das unbefugte Lesen von Dateien ermöglicht.

Anzeige

In der aktualisierten Sicherheitsmitteilung von Synology will das Unternehmen angeblich Details zur Sicherheitslücke nennen. Allerdings gehen die nicht sonderlich in die Tiefe: Eine Umgehung der Autorisierung aufgrund einer Schwachstelle durch Benutzer-kontrollierte Schlüssel im Streaming-Dienst des Synology Streaming Servers ermöglicht Angreifern, bestimmte Dateien auf nicht spezifizierten Wegen zu lesen (CVE-2024-4464, CVSS 7.5, Risiko "hoch").

Es bleibt unklar, wie genau Angriffe aussehen könnten und wie die Lücke sich genau von bösartigen Akteuren ausnutzen lässt. Es sind auch keine Indizien für einen Angriff bekannt.

Der Fehler betrifft die Synology Media Server für SRM 1.3 und für DSM 7.1 sowie 7.2. Für die stehen jeweils die Versionen 1.4-2680, 2.0.5-3152 und 2.2.0-3325 oder neuere zur Installation bereit. Der integrierte Update-Mechanismus sollte die verfügbare Aktualisierung anzeigen und je nach Einstellung bereits automatisch heruntergeladen und installiert haben. Wer Synology-Router und Synology-NAS-Systeme einsetzt, sollte sich zur Sicherheit jedoch einmal an der Web-Oberfläche der Geräte anmelden und prüfen, ob Updates bereitstehen, und diese zügig anwenden lassen.

792 Betrugsverdächtige hat die nigerianische Antikorruptionsbehörde EFCC nach eigenen Angaben auf einen Schlag verhaftet. Sie arbeiteten in einem Callcenter, das ein sieben Geschoße hohes Bürogebäude in Lagos ausfüllte. Das Callcenter soll vorzugsweise deutsche und italienische Rufnummer genutzt haben und auf das Vorgaukeln großer Liebe ("Romance Scam") spezialisiert gewesen ein. Ziel war insbesondere Anlagebetrug mit Kryptowährungen.

Anzeige

Die EFCC (Economic and Financial Crimes Commission) betont, dass die Hinterleute keine Nigerianer sind. Die Callcenter-Mitarbeiter kontaktieren Menschen in den USA, Kanada, Mexiko und diversen europäischen Ländern über Whatsapp, Instagram und Telegram. Erstes Ziel der Täter war, die Opfer in Konversationen zu verwickeln und schließlich zu romantischem Vertrauen zu verleiten. Die für Whatsapp genutzten Telefonnummern sollen vor allem aus Deutschland und Italien sein. Ohne örtliche Infrastruktur ging es natürlich nicht: "Alleine im vierten Stock haben Ermittler 500 SIM-Karten lokaler Netzbetreiber gefunden", berichtet die EFCC.

Die offenbar noch unbekannten Betreiber des Callcenters haben laut Behörde junge Menschen gesucht, die gut auf Tastaturen schreiben können. Bestanden sie den Aufnahmetest, folgte eine zwei Wochen lange Schulung. Gelehrt wurde die Kunst, sich verliebt habende ausländische Frauen zu spielen, und Opfer davon zu überzeugen, in betrügerische Systeme zu investieren. Dafür war unter www.yooto.com eine "investment shopping platform" aufgesetzt (nicht mehr online, Anmerkung), die gleich einmal 35 US-Dollar für die Anmeldung verlangte. Sie verleitete zu angeblichen Investitionen in Kryptowährungen und Unternehmen.

Der Tator und die Verdächtigen

Der im Oktober vom Bundesministerium der Justiz (BMJ) in die Ressortabstimmung gegebene Gesetzentwurf zur Modernisierung des Computerstrafrechts zielt darauf ab, IT-Sicherheitsforschern die verantwortungsvolle Identifikation und Schließung von Sicherheitslücken zu erleichtern. Dieser Ansatz geht prinzipiell in die richtige Richtung, erklären Vertreter der Zivilgesellschaft im Rahmen einer vom BMJ organisierten Verbändeanhörung. Das Vorhaben müsse aber noch an diversen Stellen verbessert und vor allem zeitnah vom Bundestag verabschiedet werden – am besten noch vor der Neuwahl im Februar. Das BMJ setzt vor allem darauf, Paragraf 202a Strafgesetzbuchs (StGB) zu entschärfen, in dem es um das Ausspähen und Abfangen von Daten sowie Vorbereitungshandlungen geht. Er führte jüngst zur Verurteilung eines Programmierers im Fall Modern Solution.

Anzeige

Die Bundesregierung sollte die verbleibende Zeit in der Legislaturperiode nutzen, um endlich die Rechtsunsicherheit in der IT-Sicherheitsforschung zu reduzieren und die Cybersicherheit in Deutschland nachhaltig zu stärken, betont Nikolas Becker, Leiter Politik & Wissenschaft bei der Gesellschaft für Informatik (GI). "Dabei wäre es wichtig, Vorbereitungshandlungen zur IT-Sicherheitsforschung klarer zu adressieren und den rechtssicheren Nachweis lauterer Absichten zu vereinfachen." In einer Stellungnahme hat die GI den Korrekturbedarf aus ihrer Sicht aufgezeigt. Für den Nachweis fehlten klare Kriterien.

Besonders umkämpft ist der eigentliche Hackerparagraf 202c StGB. Danach ist die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr zu ahnden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch etwa Systemadministratoren dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Die GI kritisiert ferner – wie zuvor der Chaos Computer Club (CCC) –, dass das BMJ diesen Paragrafen unverändert lassen will.

Auch die AG Kritis, die sich mit der Sicherheit kritischer Infrastrukturen befasst, unterstreicht in ihrer Stellungnahme den dringenden Handlungsbedarf. Dieser bestehe vor allem im Interesse von Forschern, "die sich ehrenamtlich und aus gemeinnützigem Interesse für die IT-Sicherheit in Deutschland engagieren". Die Rechtsunsicherheit führe zu einem besorgniserregenden "Chilling-Effekt": "Sicherheitslücken werden aus Angst vor strafrechtlichen Konsequenzen nicht mehr gemeldet, wodurch potenzielle Gefahren für die Allgemeinheit unentdeckt bleiben." Der vom BMJ gewählte Ansatz bringe hier Verbesserungen mit sich, sei aber nicht der bestmögliche. So dürften IT-Sicherheitsforscher künftig zwar regelmäßig vor Gericht freigesprochen werden. Das Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware sowie des Aufwands des Führens eines Prozesses bleibe aber bestehen.

Kali Linux 2024.4 ist da und bringt unter anderem 14 neue Tools mit. Damit können Pentester und Sicherheitsforscher die Sicherheit von IT-Systemen noch ausführlicher abklopfen.

Anzeige

In einem Beitrag führen die Entwickler die Neuerungen aus. Zu den neuen Tools zählen unter anderem bloodyad zum Prüfen der Anfälligkeit von Active-Directory-Umgebungen für Attacken zur Rechteerhöhung. Hexwalk dient als Hex-Editor und mssqlpwner malträtiert MSSQl-Server.

Als Python-Interpreter fungiert nun Python 3.12. Das inzwischen implementierte OpenSSH (9.8p1) verarbeitet aus Sicherheitsgründen keine DSA-Schlüssel mehr. Wer damit arbeitende SSH-Server trotzdem untersuchen will, muss ab sofort den Befehl ssh1 statt ssh nutzen.

Außerdem geben die Entwickler das Ende von 32-Bit-Images und -Kernels bekannt. Es gibt aber nach wie vor noch 32-Bit-Pakete, die man etwa über i386-Docker-Images auf 64-Bit-Systemen ausführen kann.

Nach Kritik des Bundesrechnungshofs wegen fehlender Redundanz bei "einsatzwichtigen IT-Services" der Bundeswehr teilt das Bundesministerium für Verteidigung (BMVg) mit, dass solche Redundanz ab 2026 schrittweise geschaffen werden sollen. Das BMVg prüfe regelmäßig, welche Voraussetzungen "organisatorisch, strukturell und logistisch zu schaffen sind, um die Forderung nach Resilienz und Georedundanz für IT-Projekte bedarfsgerecht und unter Beachtung von Wirtschaftlichkeitsgesichtspunkten umzusetzen", sagte eine Sprecherin des Ministeriums.

Anzeige

Der Bundesrechnungshof hatte in der vergangenen Woche bei der Bundeswehr eine Gefährdung "einsatzwichtiger IT-Services" bemängelt. Unter anderem betreibe das BMVg "ein Rechenzentrum für einsatzwichtige IT-Services lediglich an einem Standort – und damit nicht georedundant". Der Bundesrechnungshof spreche damit das Projekt "Automatisiertes Archivierungssystem im Geoinformationsdienst der Bundeswehr" an, das "technisch grundsätzlich so ausgelegt ist, dass es an zwei Standorten betrieben werden kann", erklärte die BMVg-Sprecherin auf Anfrage von heise online. "Diese Georedundanz nach den Standortkriterien für die Rechenzentren im Geschäftsbereich des BMVg soll schrittweise ab dem Jahr 2026 umgesetzt werden."

Bezüglich der Finanzierung erklärte die Behördensprecherin, dass die "Regeneration und Konsolidierung der IT im Geoinformationsdienst der Bundeswehr" ein Teilprojekt des Herkules-Folgeprojekts ist und über den Einzelplan 14 finanziert werde. Darin wird auch die Mittelverwendung des sogenannten "Sondervermögens Bundeswehr" erläutert. Konkrete Hinweise auf den Bau und Betrieb von den genannten Rechenzentren finden sich jedoch nicht – lediglich die Kosten für "Satellitenkommunikation / Rechenzentrumsverbund".

Durch eine Umsetzung des Ausbaus und die Schaffung von Redundanz ab 2026 lässt das Verteidigungsministerium jedoch auf Jahre das von Bundesrechnungshof genannte Risiko offen, dass IT-Services für Waffensysteme im Einsatzfall nicht nutzbar seien.

Ab 2025 tritt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich in Kraft. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Der Workshop findet vom 13. bis 17. Januar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (13., 15. und 17. Januar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

In der Control-Panel-Software CyberPanel zur Verwaltung von (Web-)Servern wurden zwei Sicherheitslücken gemeldet. Sie erlauben Angriffe mit Cross-Site-Scripting oder das Einschleusen von Schadcode.

Anzeige

Eine der Sicherheitslücken ermöglicht Cross-Site-Scripting mittels Token oder Nutzernamen in plogical/phpmyadminsignin.php (CVE-2024-56112). Nutzern kann dadurch etwa mit manipulierten Links Code untergeschoben werden, der in ihrem Kontext ausgeführt wird. Die Entwickler haben die Lücke am 11. November im Quellcode gefixt.

Das zweite Sicherheitsleck betrifft CyberPanel vor Version 2.3.8 und erlaubt bösartigen Akteuren, nach Log-in in der Software beliebige Befehle mit Shell-Meta-Zeichen im phpSelection-Feld von der websites/submitWebsiteCreation-URI einzuschleusen und auszuführen (CVE-2024-53376).

Die Version 2.3.8 von CyberPanel erschien bereits am 1. November. Die Cross-Site-Scripting-Lücke ist in Version 2.3.9 offenbar nicht mehr dabei, ohne jedoch explizit im Changelog aufgeführt zu werden – dasselbe gilt jedoch auch für die Befehlsschmuggel-Lücke, die bereits die Vorgängerversion abdichtet.

Einige deutsche Unternehmen erhalten derzeit erheblich mehr Pakete als erwünscht. Urheber ist die russische dDoS-Bande NoName057(16), die gemeinsam mit Handlangern zu einer Aktion aufgerufen hat. Die Kriminellen erpressen dabei kein Lösegeld von Betroffenen, sondern nutzen die Angriffe als politische Botschaft.

Anzeige

In ihren Präsenzen auf der Plattform Telegram hat die von russischer Staatsräson beherrschte Gruppe mehrere Ziele bekannt gegeben, darunter der Waffenhersteller Walther und der Pressebereich des Vattenfall-Konzerns. Die Liste der Opfer wirkt wahllos, so enthält sie auch einen Hersteller von Holzwerkstoffen, Autozulieferer und ein Unternehmen für Bauchemie. Die angegriffenen Webseiten waren am Vormittag des 17. Dezember zwischenzeitlich schwer oder gar nicht erreichbar.

Am Vortag hatte sich die Paketflut unter anderem gegen zwei deutsche Bundesbehörden gerichtet: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) sowie die Bundesnetzagentur wurden angeblich von einer Unterstützergruppe der Russen attackiert. Die hat in ihrer Siegesmeldung offenbar etwas zu dick aufgetragen: Weder das BfDI noch dessen Hoster, das ITZBund, bemerkten Auswirkungen des Angriffs, die BfDI-Webseite war nach Aussage der Behörde durchgehend erreichbar. Die Bundesnetzagentur antwortete nicht unmittelbar auf eine Anfrage durch heise security.

Auch gegen deutsche Medien will die Gruppe offenbar vorgehen. So stellte sie mittels eines Telegram-Bots an ihre Unterstützer eine Aufgabe, 30 URLs und E-Mail-Adressen deutscher Medienunternehmen zu sammeln – bereits am 16. Dezember griff NoName057(16) die Webseiten des "nd" an.

Die Dateiübertragungssoftware CrushFTP ist verwundbar. Sind Attacken erfolgreich, können Angreifer Systeme vollständig kompromittieren. Ein Sicherheitsupdate ist schon seit November dieses Jahres verfügbar. Informationen zur geschlossenen Schwachstelle wurden aber erst jetzt veröffentlicht.

Anzeige

Wer CrushFTP nutzt, sollte sicherstellen, dass Version 10.8.3 oder 11.2.3 installiert ist. Für CrushFTP 7, 8 und 9 ist der Support ausgelaufen und diese Ausgaben bekommen keine Sicherheitsupdates mehr. Wer noch so eine Version nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen.

Weil Eingaben im Host Header fehlerhaft verarbeitet werden, kann ein Angreifer ohne Authentifizierung an der "kritischen" Lücke (CVE-2024-11986) ansetzen. Im Zuge der Attacke kann er dauerhaft Schadcode im Web-Application-Log platzieren (Stored XSS). Ruft ein Admin das Log auf, wird der Schadcode ausgeführt.

Ob es bereits Angriffe gibt, ist derzeit nicht bekannt. Unklar bleibt auch, woran Admins attackierte PCs erkennen können.

Die Verbraucherzentrale Nordrhein-Westfalen warnt vor einer aktuellen Betrugsmasche, bei der Kriminelle mit fremden Kontodaten auf Einkaufstour gehen. Schutz davor ist kaum möglich. Betroffene können sich aber wehren.

Anzeige

Im Zentrum der Kritik steht eine Paypal-Bezahloption, die sich "Zahlen ohne Paypal-Konto" nennt und auch als "Gast-Konto" oder "Gastzahlung" bekannt ist. Damit können Käufer über das Lastschrift-Verfahren zahlen, ohne dass ein Paypal-Konto angelegt wird. Dafür ist eine IBAN anzugeben. Auf die Frage, ob eine Prüfung stattfindet, ob die IBAN der bestellenden Person tatsächlich gehört, antwortete Paypal eher ausweichend gegenüber der Verbraucherzentrale: "PayPal führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch."

In der Paypal-Community finden sich Diskussionen um den Missbrauch dieser Bezahloption. Die Verbraucherzentrale NRW hat Paypal darauf basierend befragt, warum das Unternehmen keine potenziellen Schutzmaßnahmen umsetzt. So könnten Verbraucher etwa ihre IBAN für Gastzahlungen sperren lassen oder Paypal bei Gastzahlungen einen Cent-Betrag mit einem Code im Verwendungszweck an die angegebene IBAN überweisen, den Käufer zur Verifikation angeben müssen. Eine Antwort gab es dazu jedoch nicht.

Nicht nur Paypal sei von dieser Betrugsmasche betroffen. Auch eine Discounter-App ermöglichte im Jahr 2021 durch Eingabe einer beliebigen IBAN die Zahlung, aktuell lassen zudem einige Verkehrsverbünde das Abonnement des Deutschlandtickets offenbar über beliebige IBANs zu. Die Datenherkunft der IBANs lässt sich nicht feststellen, aber es ist wahrscheinlich, dass sie etwa aus früheren Datenlecks bei Unternehmen, durch Einbrüche in Unternehmens-IT, aus Datensammlungen im Darknet oder dem Sammeln von Daten mit unseriösen Gewinnspielen stammen.