Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Nach Cyberangriff: Wayback Machine des Internet Archive wieder online

Das Internet Archive meldet die ersten Erfolge bei der Wiederherstellung seiner Systeme nach dem jüngsten Hackerangriff. Eine DDoS-Attacke hatte unter anderem die Hauptseite und auch mehrere Unterseiten in Mitleidenschaft gezogen. Seit gestern ist nun auch die Wayback Machine wieder online, wie Brewster Kahle, Gründer des Internet Archive, auf X bekannt gab.

Allerdings arbeitet die Website derzeit noch in einem provisorischen, schreibgeschützten Modus. Nutzer können also wie der auf frühere Versionen von mehr als 900 Millionen Websites im Archiv zugreifen. Neue Seiten lassen sich indes noch nicht wieder im Archiv speichern. Zudem kündigte Kahle weitere Wartungsarbeiten an, für die Wayback Machine wieder offline gehen muss.

Darüber hinaus bat Kahle alle Nutzer um einen „sanften Umgang“ mit der Wayback Machine. Probleme treten offenbar noch mit der Performance der Seite auf. Unter anderem soll es zu Timeout-Fehlern kommen.

Die Hauptseiten des Internet Archive und der Open Library sind hingegen weiterhin offline. Der DDoS-Angriff deckte zudem ein Datenleck auf, bei dem Benutzernamen, E-Mail-Adressen und per Salt and Hash geschützte Passwörter kompromittiert wurden. Laut Have I Been Pwned betrifft der Angriff bis zu 31 Millionen Konten des Internet Archive.

Original Autor: Stefan Beiersmann

  206 Aufrufe

Sicherheitsupdate: Angreifer können Netzwerkanalysetool Wireshark crashen lassen

Angreifer können das Netzwerkanalysetool Wireshark ins Visier nehmen und nach erfolgreichen Attacken abstürzen lassen.

Anzeige

In einem Beitrag zur aktuellen Version Wireshark 4.4.1 versichern die Entwickler, die beiden Sicherheitslücken (CVE-2024-9780 "hoch", CVE-2024-9781 "hoch") geschlossen zu haben. Bislang gibt es ihnen zufolge noch keine Hinweise auf bereits laufende Attacken.

In beiden Fällen können Angreifer durch das Versenden von präparierten Paketen dafür sorgen, dass bestimmte Komponenten (AppleTalk, ITS, Reload framing) im Zuge einer DoS-Attacke abstürzen.

Weiterhin haben die Entwickler mehrere Bugs aus der Welt geschafft. Den Angaben im Changelog zufolge wurden unter anderem Bluetooth-Probleme gelöst. Zusätzlich gibt es Aktualisierungen für Protokolle wie BT L2CAP und TWAMP.

Weiterlesen
  109 Aufrufe

heise-Angebot: iX-Workshop IT-Sicherheit: Pentests methodisch planen, anfordern und analysieren

Penetrationstests (Pentests) sind effektive Maßnahmen, um Schwachstellen und Lücken in der eigenen IT-Infrastruktur aufzudecken. Dabei werden IT-Systeme und Netzwerke mit Methoden und Techniken, die auch von echten Angreifern oder Hackern eingesetzt werden, auf ihre Angriffssicherheit überprüft und mögliche Schwachstellen identifiziert.

Anzeige

In der Regel entscheiden Unternehmen, ob sie Penetrationstests selbst durchführen oder einen externen Experten damit beauftragen. Grundlage für die Durchführung ist eine Ausschreibung, in der Umfang und Schwerpunkte des Tests definiert werden. Die Parameter richten sich nach der individuellen Infrastruktur des Unternehmens, den spezifischen Anforderungen und dem Bedarf.

Im iX-Workshop Penetrationstests: Methodik verstehen, richtig ausschreiben und Ergebnisse auswerten erweitern Sie Ihr Verständnis für Penetrationstests und lernen, worauf es ankommt, wenn Sie Ihre IT-Systeme und Anwendungen professionell durchleuchten lassen wollen.

Die nächste Schulung findet vom 5. bis 6. November 2024 statt und vermittelt an zwei Vormittagen Methodenkompetenz für Testbereiche wie Port- und Vulnerability-Scans, Webanwendungen und Endgeräte. Sie hilft Ihnen, klassische Fallstricke zu erkennen - nicht nur bei der eigentlichen Durchführung von Penetrationstests, sondern auch bei der Analyse und Bewertung der gewonnenen Ergebnisse.

Weiterlesen
  127 Aufrufe

Archive.org: "Wayback Machine" nach Angriffen wieder eingeschränkt online

Die "Wayback Machine", das wohl bekannteste Angebot des Internet Archive, ist wieder verfügbar. Wie die Internet-Chronisten auf ihrer Homepage sowie verschiedenen sozialen Netzwerken ankündigten, haben sie die Webseiten-Zeitmaschine wieder freigeschaltet, wenn auch im "nur lesen"-Modus. Alle anderen Dienste der digitalen Bibliotheken sind derzeit noch vom Netz, während die Aufräum- und Reparaturarbeiten andauern.

Anzeige

Wie Brewster Kahle, der Gründer des Internet Archive, auf Mastodon berichtete, schalten Techniker die Dienste Stück für Stück frei, sobald das sicher erscheint. Auch erste Crawling-Aktivitäten haben sie wieder aufgenommen – wenn auch im sehr begrenzten Umfang und nur für die Nationalbibliothek der Vereinigten Staaten. Die restlichen Dienste bleiben aus Sicherheitsgründen zunächst noch offline.

Die "Wayback Machine" ist nun wieder für Nutzer zugänglich und enthält historische Website-Daten bis einschließlich 10. Oktober dieses Jahres. Neue Daten werden, so Kahle, derzeit nicht hinzugefügt und sollten weitere Reparaturarbeiten notwendig werden, könne das Archiv auch erneut vom Netz gehen. "Bitte seid behutsam", bittet er die Nutzer.

Wenig behutsam waren Angreifer, die in den vergangenen Wochen das Internet Archive mehrfach unter Beschuss nahmen. Neben dem Abfluss von Millionen Nutzerkonten hatten sie in der zweiten Oktoberwoche das Archiv mittels Supply-Chain-Angriff defaced und mit mehreren dDoS-Angriffen überzogen. Eine Aktivistengruppe übernahm die Verantwortung für die Angriffe, hat sich zwischenzeitlich jedoch wieder anderen Zielen zugewandt.

Weiterlesen
  147 Aufrufe

Host Europe und LKA Niedersachsen warnen vor Phishing-Welle

Online-Betrüger ködern derzeit Kunden des Hosting-Anbieters Host Europe. Davor warnt das Unternehmen selbst, aber auch das LKA Niedersachsen sieht sich zu einer Warnung der Bevölkerung genötigt.

Anzeige

Das Landeskriminalamt Niedersachsen erklärt in einer aktuellen Mitteilung auf dem Portal polizei-praevention.de, dass die Phishing-Mails optisch den originalen E-Mails, die Host Europe versendet, stark ähneln. Wer nicht genau hinschaue, erkenne die Fälschung im ersten Moment nicht und könne dadurch möglicherweise in die Falle tappen.

Die betrügerischen E-Mails enthalten echte Daten, erklärt das LKA Niedersachsen. Wo dieser herstammen, sei unklar. In den von heise online gesichteten Mails waren insbesondere die Domain-Namen korrekt, an die die Mails gerichtet waren; insbesondere eine info@-Sammeladresse sollte zudem jede Domain vorhalten, die sich an die RFCs hält, die die Basis des Internets definieren.

Die Mails behaupten, es stünden Rechnungen offen. Bei ausbleibender Zahlung würden die Domain und die gespeicherten Inhalte umgehend gelöscht. Dem LKA Niedersachsen zufolge verschicken die Cyberkriminellen mehrere E-Mails, die aufeinander aufbauen. Sie beziehen sich teils auf zuvor bereits versendete Phishing-Mails und bieten etwa eine Wiederherstellung an.

Weiterlesen
  116 Aufrufe

Ransomware: Sophos warnt vor Angriffen auf Veeam-Sicherheitslücke

Eine Sicherheitslücke in Veeam Backup & Replication steht aktiv unter Beschuss durch Cyberkriminelle. Sophos warnt, dass das Unternehmen eine Reihe an Attacken beobachtet habe, bei denen Ransomware installiert werden sollte.

Anzeige

Auf Mastodon erörtert das IT-Sicherheitsunternehmen, dass Cyberkriminelle mit kompromittierten Zugangsdaten und einer bekannten Sicherheitslücke (CVE-2024-40711) versuchen, ein Konto auf verwundbaren Systemen anzulegen und darin Ransomware zu installieren. In einem Fall hätten die Angreifer eine Ransomware namens Frog verankert. Im gleichen Zeitraum sei bei einer weiteren Attacke versucht worden, die Akira-Ransomware zu verteilen.

Sophos hat bis zur Meldung auf Mastodon vier Angriffe auf die Sicherheitslücke beobachtet – es dürften jedoch viele nicht erkannte Angriffe auf die Schwachstelle erfolgen. In den belegten Fällen sei die Akira- und Frog-Ransomware zum Einsatz gekommen.

Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten. Einige Gateways hätten zudem nicht mehr unterstützte Software-Versionen eingesetzt. In allen vier Fällen haben die Angreifer die URI /trigger auf dem Port 8000 der Veeam-Instanz missbraucht. Das führt dazu, dass Veeam.Backup.MountService.exe den Befehl net.exe aufruft. Der Exploit erstellt damit das lokale Konto "point" und fügt es den Gruppen der lokalen Administratoren und Remote Desktop Users hinzu.

Weiterlesen
  107 Aufrufe

Nach Cyberattacke: Datenleck beim Pokémon-Entwickler Game Freak

Der Videospielentwickler Game Freak hat eine Cyberattacke vermeldet. Das Studio ist vor allem für seine Titel der Pokémon-Serie bekannt. Beim IT-Sicherheitsvorfall hatten dem Entwicklerstudio zufolge unbekannte Angreifer Zugriff auf Personaldaten. Es gibt aber auch Berichte über geleakte Informationen zu bisher nicht veröffentlichten Pokémon-Spielen.

Anzeige

Im offiziellen Statement führt Game Freak aus, dass die Cyberattacke im August 2024 stattfand. Im Zuge dessen konnten Angreifer auf Personaldaten von 2606 Mitarbeitern zugreifen. Die persönlichen Daten umfassen dem Unternehmen zufolge unter anderem Namen und dienstliche E-Mail-Adressen. Die Betroffenen werden derzeit kontaktiert.

Game Freak gibt an, dass sie die Server-Sicherheit mittlerweile wiederhergestellt haben. Außerdem versichern sie, dass sie, um künftige Attacken zu erschweren, ihre Systeme gehärtet haben. Wie die Angreifer sich konkret Zugriff verschafft haben, ist bislang nicht bekannt.

Medienberichten zufolge, unter anderem von Comicbook.com, gibt es Hinweise darauf, dass neben den Personaldaten auch Interna aus der Spielentwicklung geleakt sind. Demzufolge sollen im Internet Informationen zum kommenden Pokémon-Spiel mit dem Codenamen "Gaia" und einem Massively Multiplayer Online Role-Playing Game (MMORPG) für die bislang nicht veröffentlichte Spielkonsole Nintendo Switch 2 kursieren. Obendrein soll Quellcode von älteren Pokémon-Titeln geleakt sein.

Weiterlesen
  112 Aufrufe

Sicherheitslücke in Sonicwall SMA1000-Reihe ermöglicht Rechteausweitung

Sonicwall warnt vor Sicherheitslücken in SSL-VPN-Appliances der SMA1000-Serie und dem Connect-Tunnel-Client für Windows. Angreifer können dadurch ihre Rechte ausweiten, unbefugt Anfragen umleiten oder Denial-of-Service provozieren.

Anzeige

In einer Sicherheitsmitteilung listen Sonicwalls Entwickler drei Schwachstellen auf. Im Connect-Tunnel-Client für Windows der Appliances aus der SMA1000-Baureihe können bösartige Akteure mit Standard-Rechten beliebige Ordner und Dateien löschen. Dadurch können sie ihre Rechte im System ausweiten (CVE-2024-45316, CVSS 7.8, Risiko "hoch"). Ursache ist eine unzureichende Auflösung von Links vor dem Zugriff auf Dateien ("Link Following").

Im Connect-Tunnel-Client der SMA1000-Appliances führt zudem eine weitere "Link-Following"-Lücke dazu, dass Nutzerinnen und Nutzer mit Standard-Rechten beliebige Dateien und Ordner anlegen und so einen Denial-of-Service auslösen können (CVE-2024-45315, CVSS 6.1, mittel).

Aufgrund einer sogenannten Server-Side-Request-Forgery (SSRF) können Angreifer aus dem Netz ohne vorherige Authentifizierung die serverseitige App dazu bringen, Anfragen an eigentlich nicht gewünschte IP-Adressen zu stellen (CVE-2024-45317, CVSS 7.2, hoch). Das ermöglicht weitere Angriffe und oftmals auch unbefugte Zugriffe auf eigentlich geschützte Netzwerkbereiche.

Weiterlesen
  104 Aufrufe

OpenAI bestätigt Nutzung von ChatGPT zur Malware-Entwicklung

OpenAI hat sich ausführlich dazu geäußert, wie Cyberkriminelle in der Vergangenheit das ChatGPT-Modell zur Entwicklung von Malware und zur Vorbereitung von Cyberangriffen genutzt haben. Das KI-Unternehmen veröffentlichte einen Bericht, in dem es über 20 Fälle aus 2024 dokumentierte, bei denen Cyberkriminelle ChatGPT für Cyberangriffe oder zur Malware-Entwicklung verwendeten.

Anzeige

Der Bericht mit dem Titel "Influence and Cyber Operations: An Update" offenbart, dass staatlich geförderte Hackergruppen aus Ländern wie China und dem Iran die Fähigkeiten von ChatGPT einsetzten, um vorhandene Malware zu verbessern und neue Schadsoftware zu entwickeln. Sie nutzten ChatGPT dabei in erster Linie dazu, neuen Malware-Code zu debuggen, Inhalte für Phishing-Kampagnen zu generieren und Desinformation in sozialen Medien zu verbreiten.

Eine etwas anders ausgerichtete Bedrohung ging dem Bericht nach von der iranischen Gruppe "CyberAv3ngers" aus, die mit den Islamischen Revolutionsgarden in Verbindung stehen soll. Diese setzten ChatGPT nicht direkt zur Malware-Entwicklung ein. Vielmehr nutzten Sie die KI, um Schwachstellen in industriellen Steuerungssystemen zu erforschen und dann zielgerichtet Skripte für potenzielle Angriffe auf kritische Infrastrukturen zu programmieren.

In anderen Fällen wurde das KI-Modell dafür eingesetzt, Phishing-Malware zu entwickeln, um damit Benutzerdaten wie Kontakte, Anrufprotokolle und Standortinformationen zu entwenden. Obwohl diese Ergebnisse alarmieren, betonte OpenAI, dass die Cyberkriminellen durch ChatGPT keine signifikanten Durchbrüche bei der Erstellung von Malware erzielten. Auch sei kein Anstieg von erfolgreichen Malware-Attacken durch den missbräuchlichen Einsatz von ChatGPT zu erkennen.

Weiterlesen
  101 Aufrufe

heise-Angebot: IT-Sicherheitstag Gelsenkirchen: Komplexität beherrschen - mit Frühbucherrabatt

Der IT-Sicherheitstag in Gelsenkirchen steht am 21. November unter dem Motto "Cybersicherheit: Komplexität managen". Er bietet Sicherheitsverantwortlichen, IT- und Security-Experten ein abwechslungsreiches Programm aus Vorträgen und Diskussionrunden rund um die vielschichtigen Themen moderner Informationssicherheit.

Anzeige

Die Vorträge decken eine breite Palette der Fragestellungen ab, denen sich Sicherheitsverantwortliche stellen müssen. Die Titel der einzelnen Vorträge lauten:

Welche IT-Sicherheit und Vertrauenswürdigkeit brauchen wir für unsere komplexe digitale Zukunft?Nahtlose Sicherheit: Clientseitige Verschlüsselung für die CloudDigitale Signatur gegen Spear-PhishingSupply Chain Sicherheit - Komplexität managen mit SBOMs

Die Veranstalter lassen ausreichend Raum zur Vernetzung der Teilnehmer untereinander und mit den Referenten. In Diskussionsrunden, aber auch abseits des Programms in Kaffeepausen und dem abschließenden Get-Together bleibt reichlich Zeit, um fachzusimpeln und offene Fragen zu komplexen IT-Sicherheitsthemen zu vertiefen.

In einer Panel-Diskussion tauschen sich zudem CISOs und Sicherheitsmanager zum Thema "IT Sicherheit in Deutschland – wie komplex ist die gesetzliche und technische Situation im internationalen Vergleich?" aus.

Weiterlesen
  127 Aufrufe

Nach Cyberattacke: Ecovacs-Saugroboter erlauben Kamerazugriff und mehr

Dystopische Szenen spielten sich unlängst in US-amerikanischen Wohnzimmern ab: Innerhalb weniger Tage gelang es Cyberangreifern wiederholt, aus der Ferne die komplette Kontrolle über Saugroboter in mehreren Städten zu erlangen. Die Täter überzogen daraufhin die Bewohner über die eingebauten Lautsprecher schreiend mit Obszönitäten und rassistischen Beschimpfungen inklusive des F- und des N-Wortes. Das Problem betrifft laut einem Bericht des US-Senders ABC insbesondere das Modell Deebot X2 des chinesischen Herstellers Ecovacs, dessen Geräte seit Längerem als notorisch unsicher gelten.

Anzeige

Neben den Sicherheitslücken steht der Hersteller in der Kritik, angeblich mit vom Saugroboter erfassten Daten die KI des Unternehmens zu trainieren. Selbst von Nutzern gelöschte Aufnahmen sollen im Unternehmen gespeichert und genutzt worden sein. Diese Möglichkeiten zur Audio- und Bilddatenerfassung der Geräte haben nun offenbar auch die Cyberkriminellen entdeckt und genutzt.

Zu den Betroffenen gehört laut ABC die Familie des Anwalts Daniel Swenson aus Minnesota. Er sah demnach an einem Tag im Mai fern, als sein Saugroboter seltsame Geräusche von sich gab. "Es klang wie ein unterbrochenes Funksignal oder so etwas", sagte er dem Sender. "Man konnte vielleicht Stimmfetzen hören." Über die Ecovacs-App sah er, dass ein Fremder auf die Live-Kameraübertragung und die Fernsteuerungsfunktion zugegriffen hatte. Swenson hielt es für eine Panne, setzte sein Passwort zurück, startete den Bot neu und setzte sich wieder neben seine Frau und seinen 13-jährigen Sohn auf die Couch. Doch das Gerät regte sich sofort wieder und diesmal waren die rassischen Beleidigungen unüberhörbar.

Trotz der lautstarken Ansprache war Swenson dem Bericht zufolge froh, dass die Angreifer ihre "Anwesenheit" zumindest deutlich ankündigten. Es wäre viel schlimmer gewesen, gab er zu bedenken, wenn sie beschlossen hätten, seine Familie heimlich in ihrem Haus zu beobachten. Der Saugroboter landete dann abgeschaltet in der Garage.

Weiterlesen
  116 Aufrufe

Internet Archive bleibt vorerst offline

Nach einem Angriff auf das Gedächtnis des Internets bleibt Internet Archive vorerst offline. Das ist eine bewusste Entscheidung und kein Hinweis auf eine durch die Attacke hervorgerufene Fehlfunktion. Das geht aus Postings des Gründers der Plattform, Brewster Kahle, auf Social-Media-Diensten hervor.

Anzeige

Auf X etwa schreibt er, die Dienste seien offline, um "untersucht und gestärkt" zu werden. Die archivierten Daten seien dabei sicher. Dieser Hinweis ist besonders wichtig, weil bei dem digitalen Einbruch in die Systeme von archive.org auch rund 30 Millionen gehashte Passwörter von Benutzerkonten erbeutet wurden. Es war nicht auszuschließen, dass auch Inhalte des Archivs geändert worden sein könnten.

Kurz nachdem die Attacke bekannt geworden war, gab es einen DDoS-Angriff auf die Plattform, sodass viele Nutzer nicht unmittelbar ein neues Passwort setzen konnten. Der Einbruch sowie eine zwischenzeitlich vom Archiv dargestellte merkwürdige Fehlermeldung und die DDoS-Attacke scheinen nicht unmittelbar zusammenzuhängen. Den gesamten Ablauf schildert eine frühere Meldung.

Laut Brewster Kahle sollen die Reparaturarbeiten noch einige Tage, nicht aber Wochen andauern. Derzeit zeigt die Startseite von archive.org nur einen Hinweis auf den Offline-Zustand des Projekts samt Verweis auf die Postings von Kahle. Klickt man einen der zahlreich im Internet verfügbaren Direktlinks zu Inhalten der Seite an, gibt es jedoch eine Timeout-Fehlermeldung des Browsers ohne weiteren Hinweis. Für viele Nutzer dürfte der auch als "Wayback Machine" bekannte Dienst damit von außen schlicht als defekt erscheinen.

Weiterlesen
  117 Aufrufe

heise-Angebot: iX-Workshop: Sich selbst hacken – Pentesting mit Open-Source-Werkzeugen

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Weiterlesen
  142 Aufrufe

Schadhafte Chrome-Extensions kommen an Googles Sicherheitsvorkehrungen vorbei

Schadhafte Chrome-Erweiterungen finden ihren Weg in den Chrome Web Store – ungeachtet der verbesserten Security- und Datenschutzeinstellungen von Manifest V3, der API, mit der Browsererweiterungen in Googles Chrome-Browser laufen. Obwohl die aktuelle API-Version in dieser Hinsicht verglichen mit V2 verbessert wurde, hat sie offenbar immer noch zu viele laxe Berechtigungen.

Anzeige

Wie das IT-Newsportal Dark Reading berichtet, haben Sicherheitsforscher der Firma SquareX auf der Hackerkonferenz DefCon 32 demonstriert, wie sich solche schadhaften Erweiterungen einfach an den Schutzvorkehrungen vorbeischmuggeln lassen. Diese können dann Videomaterial von Konferenzplattformen wie Google Meet oder Zoom stehlen, ohne dass dafür besondere Berechtigungen nötig wären.

Weiter zeigten die Forscher, wie derartige Manifest-V3-basierte Browsererweiterungen es Angreifern ermöglichen, Daten, Browserhistorie und Session Cookies zu stehlen, Nutzer auf schädliche Webseiten umzuleiten oder Mitwirkende zu privaten Github-Repositiories hinzuzufügen.

Vivek Ramachandran, Gründer und CEO von SquareX, warnt, dass Browser-Erweiterungen ein blinder Fleck für die Sicherheitstechnologien von Endpoint Detection and Response (EDR) beziehungsweise Extended Detection and Response (XDR) seien. Mitarbeiter würden sie von Sicherheitsvorkehrungen unbemerkt installieren. Angreifer könnten sie nutzen, um sich Zugriff auf interne Systeme und Daten eines Unternehmens zu verschaffen. Ohne dynamische Analysen und die Durchsetzung strenger Sicherheitsrichtlinien sei es Unternehmen nicht möglich, solche Angriffe zu erkennen und zu blockieren. Googles Manifest V3 sei zwar gut gemeint, aber weit davon entfernt, wirklich für Sicherheit zu sorgen.

Weiterlesen
  128 Aufrufe

"Cyberresilienz muss in die Köpfe kommen": Bundestag berät über NIS2

Vor nahezu leeren Sitzreihen hat der Bundestag am heutigen Freitag erstmals über das Umsetzungs- und Cybersicherheitsstärkungsgesetz der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) beraten – eine Woche vor Ablauf der Umsetzungsfrist. Die EU-Richtlinie NIS2 müsste nämlich bis zum 18. Oktober in nationales Recht umgesetzt werden. Deutschland wird diesen Termin reißen – derzeit geht man davon aus, dass NIS2 in Deutschland erst im Frühjahr 2025 wirksam wird.

Anzeige

Johannes Saathoff, parlamentarischer Staatssekretär im Innenministerium, fasste die wesentlichen Vorgaben von NIS2 zusammen: ein definiertes Niveau an Sicherheitsmaßnahmen und Meldepflichten bei Cybersicherheitsvorfällen. NIS2 weite die Zahl der Unternehmen, die bei der Cybersicherheit staatlichen Auflagen unterliegen, von derzeit 4500 kritischen Infrastrukturen auf rund 29.500 Unternehmen aus 18 Sektoren aus.

Obwohl es 2023 durch Cybervorfälle in der Wirtschaft Rekordschäden von 267 Milliarden Euro gegeben habe, sei das Problem noch nicht in allen Vorstandsetagen angekommen: "Cyberresilienz muss in die Köpfe kommen." Es sei daher richtig, dass die NIS2-Richtlinie die Unternehmensführung in die Pflicht nimmt.

Außerdem soll die deutsche NIS2-Umsetzung die Cybersicherheit der Bundesverwaltung stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll mehr Befugnisse erhalten und zu einer zentralen Sicherheitsbehörde weiterentwickelt werden. Zudem sollen Bund und Länder enger zusammenarbeiten.

Weiterlesen
  126 Aufrufe

CISA warnt vor Sicherheitslücken in 21 IoT-Industrie-Kontrollsystemen

Die oberste US-IT-Sicherheitsbehörde hat 21 Sicherheitsmeldungen zu Schwachstellen in industriellen Kontrollsystemen (ICS; IoT) veröffentlicht. Zahlreiche Produkte der Hersteller Delta Electronics, Schneider, Siemens und Rockwell Automation finden sich darunter.

Anzeige

Die CISA erläutert in ihrer Sicherheitsmitteilung, dass die einzelnen Security-Advisories Informationen zu Sicherheitsproblemen, Schwachstellen sowie Exploits "rund um ICS" (Industrial Control Systems) enthalten. Die einzelnen Sicherheitslücken betreffen in der Regel eine ganze Reihe von Geräten. Der Schweregrad variiert: Während einige Schwachstellen die Risikobewertung mittel erhalten, finden sich viele als hochriskant oder gar einige als kritisches Risiko eingestufte Sicherheitslecks in den IoT-Geräten.

Etwa eine kritische Sicherheitslücke in Siemens Sentron 7KM PAC3200 soll keinen Sicherheitsfix erhalten, Administratoren sollen beispielsweise eine PIN als Schutz vor nicht autorisierten Operationen einrichten. Die Mitteilungen enthalten weitergehende Informationen, erörtern, ob Updates geplant oder vorhanden sind und gehen auf gegebenenfalls verfügbare Workarounds ein. Weiterreichende Hinweise der Hersteller stellt die CISA in den Advisories ebenfalls bereit.

Die Liste der Produkte mit Sicherheitslücken ist recht lang:

Weiterlesen
  125 Aufrufe

Anonymisierendes Linux: Tails 6.8.1 kann persistenten Speicher reparieren

Das Tails-Projekt hat Version 6.8.1 der anonymisierenden Linux-Distribution für den USB-Stick veröffentlicht. Sie korrigiert eine kritische Sicherheitslücke im Firefox-Browser, der als Basis für Tor zum Einsatz kommt.

Anzeige

Diese kritische Sicherheitslücke in dem Webbrowser (und Thunderbird) wird bereits in freier Wildbahn angegriffen. Tails-Nutzerinnen und -Nutzer sollten daher umgehend die aktualisierte Fassung herunterladen und ihre USB-Sticks auf neuen Stand bringen.

Das Sicherheitsupdate ist die einzige Änderung in Tails 6.8.1. Der Tor Browser kommt darin auf dem fehlerbereinigten Stand 13.5.7 zum Einsatz. Das in der Nacht zum Mittwoch erschienene Tails 6.8 hingegen hat einige Änderungen mehr zu bieten. Die Entwickler schreiben, dass beim Entsperren des persistenten Speichers erkannte Dateisystemfehler nun repariert werden können. Es lassen sich jedoch nicht alle Dateisystemfehler sicher ausbessern, weshalb sie auch eine ausführlichere Dokumentation mit weiteren Lösungsmöglichkeiten erstellt haben.

Sofern eine Netzwerkschnittstelle deaktiviert wird, da sich die MAC-Adresse nicht anonymisieren lässt, erscheint nun eine verbesserte Benachrichtigung darüber. Die maximale Wartezeit für das Entsperren des persistenten Speichers haben die Entwickler auf acht Minuten angehoben, bevor Tails eine Fehlermeldung ausspuckt. Wenn ausgewählt wurde, das Passwort beim Eingeben anzuzeigen, versteckt Tails es nun dennoch während des laufenden Entsperrvorgangs. Sollte dieser länger dauern, erhalten Unbefugte keinen Einblick.

Weiterlesen
  129 Aufrufe

Updates unmöglich: Niederlande müssen Ampeln wegen Sicherheitslücke austauschen

Die Niederlande sehen sich mit einem unerwarteten Großprojekt konfrontiert: Sie müssen Zehntausende Ampelanlagen austauschen. Grund ist eine Sicherheitslücke im Funksystem der Schaltungskästen, mit der Angreifer die Verkehrszeichen fernsteuern können. Ein Sicherheitsforscher hatte die Lücke kürzlich auf einer Konferenz vorgestellt, nun handeln die Behörden.

Anzeige

Es klingt wie eine Filmszene aus einem Hollywood-Actionfilm: Per Knopfdruck schaltet ein Hacker im Auftrag einer Gangsterbande alle Ampeln in einer Stadt auf Grün und verursacht damit ein Verkehrschaos. In den Niederlanden könnte das tatsächlich eintreten, befürchten niederländische Experten. Schuld ist ein Kurzstreckenfunksystem namens KAR ("Korteafstandsradio"), das die Fernsteuerung von Ampeln erlaubt. So können Rettungskräfte, aber auch Busse Ampeln auf ihrer Route umschalten und so schneller vorankommen.

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden

Der Sicherheitsforscher Alwin Peppels erforschte das System und fand heraus, dass Angreifer es mit einfachen Mitteln, etwa einem "Software-Defined Radio" ausnutzen können. Das geht anders als bei anderen Verfahren auch über weite Entfernungen und kann mehrere Ampelkreuzungen auf einmal beeinflussen. Seine Forschungsergebnisse präsentierte Peppels am 2. Oktober auf der "One Conference" in Den Haag.

Die Niederlande setzen seit 2005 auf das KAR-System und planen nun, wie RTL Nieuws berichtet, die betroffenen Ampelanlagen auszutauschen. Obwohl die verwundbaren Funkempfänger sich oft in separaten Schaltkästen befinden und somit die Lichtzeichen nicht abgebaut werden müssen, ist der Aufwand für diese Aktion erheblich. Laut RTL Nieuws schätzen Fachleute, dass der Austausch der zehntausenden Anlagen sich bis 2030 hinziehen wird.

Weiterlesen
  112 Aufrufe

Schwachstellen in der Supply-Chain verdoppeln sich jedes Jahr

Supply-Chain-Angriffe, regulatorische Herausforderungen und neue technologische Entwicklungen – im neuen Report "The State of Software Supply Chain" hat Sonatype, Anbieter von Anwendungen für das Supply-Chain-Management, über sieben Millionen Open-Source-Projekte analysiert und Trends sowie Herausforderungen herausgearbeitet.

Anzeige

Mit inzwischen über 6,6 Billionen Downloads an Open-Source-Komponenten pro Jahr und dem Umstand, dass quelloffene Pakete inzwischen bis zu 90 Prozent moderner Softwareanwendungen ausmachen, sind Entwicklerinnen und Entwickler mit neuen Herausforderungen konfrontiert. Besonders rund um JavaScript (npm-Pakete) und Python (PyPi-Bibliotheken) führt die steigende Zahl an Abfragen und Abhängigkeiten zu einem über die letzten Jahre gestiegenem Risiko von Malware und Supply-Chain-Angriffen, also das Einschleusen von bösartigem Code. Letztere können Code-Repositorys, Build-Systeme und Distributionskanäle betreffen.

Tatsächlich identifiziert der Report allein für das vergangene Jahr über 512,000 verdächtige Pakete im OSS-Ökosystem, was über die letzten Jahre betrachtet einem Anstieg von rund 156 Prozent von Jahr zu Jahr entspricht.

Bis zu 4,5 Milliarden npm-Pakete pro Jahr verdeutlichen die Verbreitung quelloffener Komponenten in der Software Supply Chain.

Weiterlesen
  100 Aufrufe

Juniper: Mehr als 30 Sicherheitslücken gestopft

Juniper Networks hat einen ganzen Schwung an Sicherheitsmitteilungen veröffentlicht und veranstaltet eine Art Patchday. Zu den Advisories gehörende Patches dichten mehr als 30 Sicherheitslücken ab.

Anzeige

Die Auflistung der aktuellen Security-Bulletins von Juniper Networks enthält gleich mehrere Security-Bulletins, die etwa Probleme mit dem Border Gateway Protocol (BGP) betreffen. Die Auswirkungen reichen von Denial-of-Service-Situationen hin zur Ausführung von untergeschobenen Befehlen oder Schadcode.

Von den Sicherheitslücken gilt eine in Junos OS als kritisches Risiko. Sie betrifft die mitgelieferte Open-Source-Software nginx. Eine der nginx-Lücken erreicht einen CVSS-Wert von 9.8, erörtern die Autoren der Warnung von Juniper. 13 weitere Sicherheitsmitteilungen behandeln Schwachstellen, die die Entwickler des Herstellers als hohes Risiko einstufen.

IT-Verantwortliche mit Juniper-Networks-Hardware in ihrer Organisation sollten die Liste der Security-Bulletins prüfen, ob die eingesetzten Geräte oder Software-Versionen von den Sicherheitslücken betroffen sind. In den einzelnen Mitteilungen nennt Juniper Networks die verwundbaren Versionen und ab welcher Fassung die Sicherheitslecks gestopft sind. Die zugehörigen Aktualisierungen sollten Admins zügig herunterladen und installieren, um die Angriffsfläche in ihren Netzwerken zu reduzieren. Teils nennt Juniper auch temporäre Gegenmaßnahmen in den Sicherheitsmitteilungen, die das Risiko reduzieren helfen, sollten Updates nicht unmittelbar installierbar sein.

Weiterlesen
  107 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image