Die letzten Tage gab es erneut eine Reihe an Sicherheitsvorfällen und Hacks. Die Polizei in Nordirland und der Zollernalbkreis haben Datenpannen zu verantworten und es gibt Ransomware-Fälle (z.B. Bundesrechtsanwaltskammer). Doc Morris kämpft erneut mit einem Hack von Benutzerkonten, über die unrechtmäßig Bestellungen getätigt wurden. Zudem wurden Schwachstellen öffentlich. So sind Monitoring- und Steuersysteme (OT) in kritischen Infrastrukturen durch Schwachstellen gefährdet. Weiterhin gibt es ein Sicherheitsupdate für Nextcloud, welches eine Schwachstelle schließt. Für eine Schwachstelle in Lexmark-Druckern ist nun ein Proof of Concept (PoC) aufgebraucht. Fast 2.000 Citrix Netscaler sind über eine Schwachstelle kompromittiert und Mandiant hat einen Scanner veröffentlicht, um solche Kompromittierungen zu erkennen. Diese und weitere Meldungen habe ich in einem Sammelbeitrag zusammen gefasst.
Anzeige
Schwachstellen in CODESYS V3 SDK
Sicherheitsforscher von Microsoft haben kürzlich mehrere kritische Schwachstellen im CODESYS V3 Software Development Kit (SDK) öffentlich gemacht. Dieses SDK kommt häufig zur Entwicklung von speicherprogrammierbaren Steuerungen (SPS) zum Einsatz.
Ein Angreifer könnte über die Schwachstellen, die alle Versionen von CODESYS V3 vor Version 3.5.19.0 betreffen, die Infrastruktur der Betriebstechnik (OT) z. B. per Remote Code Execution (RCE) und Denial of Service (DoS) angreifen. Ein deutschsprachiger Artikel zum Thema findet sich bei heise.
Ransomware bei Münchner Verlagsgruppe
Der größte deutsche Sachbuchverlag, die Münchner Verlagsgruppe, ist Opfer eines Cyberangriffs geworden, bei dem die Dateien auf den Servern durch Ransomware verschlüsselt wurden. It-daily.net hat in diesem Artikel einige Informationen zusammen getragen. Eine Verlagssprecherin sagte dazu "Wir fangen wieder ganz von neuem an und können noch gar nicht abschätzen, wie lange es dauert, bis wir den Normalbetrieb wieder in voll umfänglichem Maße aufnehmen können."
Ransomware bei Bundesrechtsanwaltskammer
Auch die Bundesrechtsanwaltskammer ist Opfer eines Angriffs mit Ransomware geworden, wie ich diesem Tweet entnehme. Der Anwaltsverein hat diese Information veröffentlicht, der zufolge das Brüsseler Büro der Bundesrechtsanwaltskammer gehackt wurde und komplett aus dem eigenen IT-System ausgeschlossen werden musste. Hier die Mitteilung der BRAK:
Sehr geehrte Damen und Herren,
hiermit möchten wir Sie darüber informieren, dass das Brüsseler Büro der Bundesrechtsanwaltskammer (BRAK) Opfer eines kriminellen Cyberangriffs geworden ist, infolgedessen es zu einem Ausfall der IT-Systeme gekommen ist.
Die BRAK wurde Ziel einer so genannten Ransomware-Attacke. Der Vorfall wurde am 2.8.2023 entdeckt. Daraufhin wurden umgehend sämtliche Netzwerkverbindungen getrennt. Mit einem externen Dienstleister für IT-Sicherheit arbeitet die BRAK derzeit an einer forensischen Analyse der IT-Systeme, um den Vorfall aufzuklären und die Schäden zu beheben. Zudem wird an einer Wiederherstellung der Systeme gearbeitet. Die BRAK hat den Vorfall fristgerecht dem Bundesbeauftragten für Datenschutz gemeldet und steht in Kontakt sowohl mit der belgischen Polizei als auch dem Landeskriminalamt Berlin sowie dem Cyber Emergency Response Team des belgischen Centre for Cyber Security.
Nach derzeitigem Erkenntnisstand wurden die Systeme des Brüsseler Büros, insbesondere der Mailserver, verschlüsselt. Im Rahmen des Angriffs ist, soweit derzeit bekannt, eine Datenmenge von ca. 160 GB abgeflossen. Die Angreifer drohen mit deren Veröffentlichung, aktuell liegt allerdings lediglich eine Aufforderung zur Kontaktaufnahme mit den Angreifern vor und es sind noch keine weiteren Schritte erfolgt. Ob und in welchem Umfang Daten zu Ihrer Person wie etwa Kontaktinformationen oder Kommunikationsverläufe abgeflossen sind, wird noch eruiert. Derzeit müssen wir vorsorglich davon ausgehen, dass dies der Fall ist. Sollten sich weitere Erkenntnisse zu konkreten Personen ergeben, werden wir die Betroffenen darüber gesondert über unser Berliner Büro informieren.
Infolge der Isolierung der Systeme ist das Brüsseler Büro der BRAK aktuell nicht per E-Mail erreichbar. In dringenden Fällen wenden Sie sich bitte an die Zentrale der BRAK in Berlin (zentrale@brak.de). Telefonisch erreichen Sie das Brüsseler Büro derzeit ausschließlich unter der zentralen Nummer +32 2 7438646.
Wir bitten Sie darüber hinaus grundsätzlich um erhöhte Aufmerksamkeit bei verdächtigen E-Mails und insbesondere solchen, die das Brüsseler Büro der BRAK als vermeintlichen Absender ausweisen und/oder in denen zu ungewöhnlichen Handlungen wie z.B. Überweisungen an geänderte Kontoverbindungen aufgefordert wird. Das gilt auch dann, wenn dabei womöglich an tatsächliche frühere E-Mail-Korrespondenz angeknüpft wird. Wir bitten zudem, nicht auf solche verdächtigen E-Mails zu antworten und Anlagen und Links auf keinen Fall zu öffnen.
Bereits 2020 gab es einen Ransomware-Vorfall bei der Bundesrechtsanwaltskammer (BRAK), wie Golem hier berichtete.
Datenpanne bei Polizei Nordirland
Es ist bereits einige Tage bekannt, ein Leser hatte hier darauf hingewiesen: In Nordirland gab es eine riesige Sicherheitspanne. Die Polizei in Nordirland hat aus Versehen die Namen von 10.000 Mitarbeitern an Dritte herausgegeben. Die Behörde war in einer Anfrage um eine Aufschlüsselung der Beamten und Beschäftigten nach Dienstgraden gebeten worden. Aus Versehen wurde bei der Antwort auch eine Tabelle mit den Nachnamen und Dienstorten aller etwa 10.000 Mitarbeitern angehängt. Das wirft nun ernsthafte Sicherheitsfragen auf, da Angehörige der Polizei immer wieder das Ziel politischer Aktivisten werden. Details lassen sich im Artikel Daten von 10.000 Polizisten aus Versehen freigegeben nachlesen. Gewaltbereite Anhänger einer Wiedervereinigung mit Irland behaupteten, im Besitz einiger der Daten zu sein.
Datenpanne bei Landratsamt des Zollernalbkreises
Auch das Landratsamt des Zollernalbkreises musste eine Datenpanne bei einem Dienstleister einräumen, bei dem für kurze Zeit personenbezogene Daten – zum Beispiel Namen und Mailadressen – per Internet abrufbar waren. Der externe Dienstleister wickelt Vorgänge im Ausländeramt sowie in der Zulassungs- und Führerscheinstelle ab. Details lassen sich in diesem Beitrag nachlesen.
Anzeige
Doc Morris Opfer von Hack
Bei der Online-Apotheke Doc Morris hat es wieder eine Reihe betrügerischer Bestellungen (ca. 200) gegeben, die auf einen Hack von Benutzerkonten mittels Credential-Stuffing zurückgehen.
heise hat in diesem Beitrag über den neuen Vorfall berichtet. Im Januar 2023 hatte ich im Beitrag Kontenhack bei Online-Versandapotheke DocMorris (Jan. 2023) über einen ähnliche Vorfall berichtet.
Rosenbauer Feuerwehrfahrzeuge ortbar
Die Tage gab es auch die Meldung, dass Standortdaten der Feuerwehrfahrzeuge des Herstellers Rosenbauer durch Dritte abrufbar waren. Das Kollektiv Zerforschung hat diesen Sachverhalt in diesem Artikel öffentlich gemacht.
Massenhack bei LinkedIn-Konten
Die Kollegen von Bleeping Computer berichten hier, dass LinkedIn das Ziel einer Angriffswelle zum Hacken von Benutzerkonten ist. Dies führt dazu, dass viele LinkedIn-Jonten aus Sicherheitsgründen gesperrt oder von Angreifern gekapert werden. Das Ganze geht auf diesen Bericht von Cyberint zurück, die das als erste beobachtet und öffentlich gemacht haben.
Sicherheitsupdate für Nextcloud
Nutzer der Software Nextcloud sollten zeitnah ein Sicherheitsupdate des Herstellers einspielen, das eine Schwachstelle Angreifen die Möglichkeit bietet, Daten zu löschen. Betroffen sind Notes-, Server-, Talk-Android- und user_oidc-Pakete von Nextcloud und Nextcloud Enterprise in verschiedenen Versionen. heise hat in diesem Artikel Details zu den Schwachstellen und betroffenen Versionen veröffentlicht.
PoC für CVE-2023-26067 in Lexmark Druckern
In Lexmark-Druckern ist seit März 2023 die Schwachstelle CVE-2023-26067 bekannt (siehe meinen Beitrag Kritische Sicherheitslücke in Lexmark-Druckern (März 2023)). Es gibt auch Firmware-Updates für die betroffenen Druckermodell. Nun berichtet Security Online in diesem Artikel, dass Horizon3-Sicherheitsforscher ein Proof-of-Concept (PoC)-Code für eine kritische Schwachstelle zur Privilegienerweiterung (CVE-2023-26067) in Lexmark-Druckern veröffentlicht haben. Diese Schwachstelle besitzt einen CVSS-Score von 8.0 und könnte es einem Angreifer ermöglichen, auf einem ungepatchten Gerät erhöhte Rechte zu erlangen.
Schwachstellen in Ivanti Avalanche
Ivanti kommt mit seinen Schwachstellen in seinen Mobilgeräte-Verwaltungslösungen nicht zur Ruhe (siehe Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung und Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)). Gerade lese ich bei den Kollegen von Bleeping Computer, dass in der Enterprise Mobility Management (EMM)-Lösung Ivanti AvalanchezZwei Stack-basierte Pufferüberläufe (laufen unter CVE-2023-32560) öffentlich wurden. Die Schwachstellen werden als kritisch eingestuft (CVSS v3: 9.8) und können ohne Benutzerauthentifizierung remote ausgenutzt werden. Das ermöglicht eine Codeausführung auf dem Zielsystem. Die EMM-Lösung wurde für die Verwaltung, Überwachung und Absicherung einer Vielzahl mobiler Geräte entwickelt.
Neues zu Citrix ADC Zero-Day (CVE-2023-3519)
Bei Citrix wurden im Juli 2023 mehrere Schwachstellen, u.a. CVE-2023-3519 im Citrix ADC bekannt, siehe Kritische RCE-Schwachstelle in Citrix NetScaler ADC und Citrix Gateway. Vom Hersteller gibt es zwar Sicherheitsupdates, aber im Juli 2023 hatte die CISA gewarnt, dass Angriffe auf nicht gepatchte Instanzen erfolgen (siehe CISA-Warnung: Citrix NetScaler ADC wird über CVE-2023-3519 angegriffen).
Mandiant hat einen Compromise Scanner für den Citrix ADC Zero-Day (CVE-2023-3519) veröffentlich, der anzeigt, ob eine Instanz über die Schwachstelle infiziert wurde. Details zum Scanner finden sich in diesem Mandiant-Beitrag. Die Kollegen von Bleeping Computer berichten hier, dass fast 2.000 Tausend Citrix NetScaler-Server in einer Kampagne durch einen Angreifer über die RCE-Schwachstelle kompromittiert wurden.
Hacker fangen sich Info-Stealer ein
Und zum Schluss noch was "lustiges": Diesem Artikel zufolge hat Sicherheitsanbieter Hudson Rock Daten von Computern analysiert, die zwischen 2018 und 2023 durch Infostealer infiziert wurden. Dabei wurde die unglaubliche Anzahl von 120.000 infizierten Computern gefunden. Diese waren mit einer Stealer-Malware infiziert, die Anmeldinformationen abgezogen hat.
Im konkreten Fall bezogen sich diese Anmeldeinformationen aber auf Cybercrime-Foren, die von vielen bösartigen Akteuren genutzt wurden. So konnten die Zugangsdaten zu solchen Foren von den Sicherheitsforschern ermittelt werden. Hudson Rock ist kein Unbekannter – ich hatte im BeitragRussischer Hacker infiziert sich durch eigenen Infostealer und geht Sicherheitsfirma ins Netz kürzlich etwas ähnliches berichtet.
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.
