Die Tage wurden wieder einige Cybervorfälle bekannt. So musste ein amerikanischer Wasserversorgung die IT-Dienste einstellen. Der US-Geld-Transferdienst MoneyGram wurde gehackt und die Benutzerdatenbank abgezogen. Zudem wurde das Internetarchive gehackt, Millionen Nutzerdaten sind abgeflossen. Hier eine kurze Zusammenfassung diverser Cybervorfälle und Hinweise auf Sicherheitslücken (z.B. Qualcomm DSPs).
Cybervorfall bei American Water
American Water ist das größte, börsennotierte Wasser- und Abwasserversorgungsunternehmen der USA. Das Unternehmen war am 3. Oktober 2024 gezwungen, einige seiner Systeme auf Grund eines Cyberangriffs abzuschalten.
Das geht aus einer Form K8 -Pflichtmitteilung an die US-Börsenaufsicht SEC hervor. Am 3.10.2024 hat das Unternehmen unbefugte Aktivitäten innerhalb seiner Computernetzwerke und -systeme festgestellt, die auf einen Cybervorfall zurückzuführen sind. Die intern festgelegten Routinen zur Vorgehensweise bei solchen Vorfällen wurden aktiviert und die Systeme deaktiviert. Aktuell sind externe Cybersicherheitsexperten hinzugezogen, um bei der Eindämmung und Schadensbegrenzung zu helfen und die Art und den Umfang des Vorfalls zu untersuchen. Das Unternehmen hat zudem zeitnah die Strafverfolgungsbehörden benachrichtigt. Bleeping Computer hat die Details in diesem Artikel zusammen getragen.
US Geldtransfer-Dienst MoneyGram gehackt
MoneyGram wickelt nach eigenen Angaben jedes Jahr Geldtransfers für über 50 Millionen Kunden in mehr als 200 Ländern und Territorien ab. Es war bereits seit September 2024 bekannt, dass es beim US Geldtransfer-Dienst MoneyGram einen Cybervorfall gab.
Am 8. Oktober 2024 teilte das Unternehmen mit, dass eine unbefugte dritte Partei während des Cyberangriffs zwischen dem 20. und 22. September 2024 auf Kundendaten zugegriffen und diese abgezogen hat. Die Cyberattacke führte zu einem einwöchigen Ausfall, bei dem die Website und die App des Unternehmens offline gingen.
Zu den abgeflossenen Daten gehören bestimmte Namen betroffener Verbraucher, Kontaktinformationen (wie Telefonnummern, E-Mail- und Postadressen), Geburtsdaten, eine begrenzte Anzahl von Sozialversicherungsnummern, Kopien von staatlich ausgestellten Ausweisdokumenten (wie Führerscheine), andere Ausweisdokumente (wie Rechnungen von Versorgungsunternehmen), Bankkontonummern, MoneyGram Plus Rewards-Nummern, Transaktionsinformationen (wie Daten und Beträge von Transaktionen) und, für eine begrenzte Anzahl von Verbrauchern, strafrechtliche Ermittlungsinformationen (wie Betrug).
Die Art der betroffenen Informationen variierte je nach betroffener Person. Techcrunch hat das Ganze in diesem Artikel zusammen gefasst.
Internet Archive gehackt
Einem Hacker ist es gelungen, in das System der "Wayback Machine" des Internet Archive einzudringen und die Datenbank zur Authentifizierung der 31 Millionen angemeldeten Benutzer abzuziehen. Das Ganze wurde bekannt, als am 9. Oktober 2024 Besuchern eine per JavaScript eingeblendete Warnung des Hackers erschien, die die Leute über den Hack informierte.
Hatten Sie schon einmal das Gefühl, dass das Internet Archive auf der Stelle tritt und ständig kurz vor einem katastrophalen Sicherheitsverstoß steht? Das ist gerade passiert. Ich sehe 31 Millionen von Ihnen auf HIBP!"
Die Kollegen von Bleeping Computer haben den Vorfall in diesem Artikel aufbereitet.
Ransomware-Vorfall bei KFZ-Teile-Händler Autodoc SE
Der KFZ-Teile-Händler Autodoc SE muss wohl Opfer eines Ransomware-Vorfalls geworden sein. Das geht aus einem Tweet hervor, der mir am 8. Oktober 2024 untergekommen ist.
Der obige Screenshot stammt von einer Leak-Seite einer Ransomware-Gruppe (RansomHub). Details liegen mir aktuell keine vor, CSO online hat inzwischen hier einige Informationen zusammen getragen. Mir ging sofort durch den Kopf, dass ich 2022 den Blog-Beitrag Vorsicht: Cyber-Angriff auf Autodoc.de veröffentlicht hatte.
Qualcomm Signalprozessoren (DSP) mit Schwachstelle
Qualcomm hat Anfang Oktober 2024 seine Security Bulletins veröffentlicht. Dort spricht das Unternehmen auch die Schwachstelle CVE-2024-43047 in seinen Signalprozessoren (DSP) an.
Die als schwerwiegend eingestufte Sicherheitslücke in seinem digitalen Signalprozessor birgt das Risiko eines unbefugten Zugriffs und der Ausnutzung von Daten auf verschiedenen Geräten. Qualcomm fordert Nutzer auf, betroffene Geräte zu patchen (benötigt aber entsprechende Firmware-Updates der Gerätehersteller.
Details hat The CyberExpress veröffentlicht. Auch bei Techcrunch gibt es den Beitrag Hackers targeted Android users by exploiting zero-day bug in Qualcomm chips. Es wird (nach meiner Einschätzung) aber für die Masse der Android-Nutzer kein Firmware-Update geben. Aktuell ist mir auch unklar, wie groß der Angriffsvektor wirklich ist – es sollen nur begrenzte Versuche, die Schwachstelle auszunutzen, beobachtet worden sein.
Schwachstelle CVE-2024-5910 in PaloAlto Expedition
Palo Alto Networks warnt vor einem öffentlichem Exploit, mit dem sich die Schwachstelle CVE-2024-5910 in PaloAlto Expedition für Firewall-Hijacking ausnutzen lässt.
Sicherheitsforscher von Horizon3 haben in diesem Beitrag Details zur Schwachstelle veröffentlicht. Palo Alto veröffentlichte bereits am 10. Juli 2024 einen Sicherheitshinweis für CVE-2024-5910. Es handelt sich um eine Schwachstelle, die es Angreifern ermöglicht, die Admin-Anmeldedaten der Anwendung Expedition Remote zurückzusetzen. Die Expedition-Anwendung wird wie folgt beworben:
Der Zweck dieses Tools ist es, den Zeit- und Arbeitsaufwand für die Migration einer Konfiguration von einem unterstützten Anbieter zu Palo Alto Networks zu reduzieren. Durch die Verwendung von Expedition kann jeder eine Konfiguration von Checkpoint, Cisco oder einem anderen Hersteller in ein PAN-OS konvertieren und Sie haben mehr Zeit, um die Ergebnisse zu verbessern.
Die Expedition-Anwendung wird auf einem Ubuntu-Server bereitgestellt, mit dem über einen Webdienst interagiert wird, und die Benutzer integrieren die Geräte der Hersteller aus der Ferne, indem sie die Anmeldeinformationen der einzelnen Systeme hinzufügen.
Nach Lektüre der Dokumentation wurde für die Sicherheitsforscher deutlich, dass diese Anwendung für Angreifer möglicherweise wertvoller als ursprünglich angenommen ist. Bei der Analyse stießen die Sicherheitsforscher auf weitere Schwachstellen, mit der sich die Firewalls dann kapern lassen. Die Details lassen sich im Horionz3-Beitrag nachlesen. Bleeping Computer hat hier noch einiges zu diesem Sachverhalt zusammen getragen.
MVP: 2013 – 2016
Der Begriff DSP ist hier unglücklich gewählt. Besser wäre Chipset. Die Lücke ist im "DSP Service" vom Chipset.
Das Internet Archive ist momentan auch Opfer eines DDoS. Sind wohl mal wieder pupertierende Scriptkiddies unterwegs, um sich "elite" zu fühlen.
Das Internet Archive steht wohl schon etwas länger unter Beschuss.
Schon seit vielen Wochen ist es öfter mal für längere Zeit nicht erreichbar oder es kommen Fehler bei der Suche.
1 oder 2 Stunden später funktioniert dann wieder alles normal.
archive.org ist seit mindestens gestern garnicht erreichbar. Hoffen wir mal das Beste!
Ein Glück das Palo Expedition fast niemand einsetzt.