MOVEit-Schwachstelle: CCleaner-Nutzer auch betroffen; Deutsche Bank und ING lassen Datenleck prüfen

Publiziert am 26. Oktober 2023 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Schwachstelle in der Managed File Transfer (MFT)-Lösung MOVEit von Progress Software, die im Mai 2023 bekannt wurde, hat auch CCleaner-Kunden des Anbieters Priform (von AVAST gekauft und gehört zur Firma Gen Digital) getroffen. Piriform hat gerade ein Datenleck auf Grund der MOVEit-Schwachstelle eingestanden. Derweil ist bekannt geworden, dass die Deutsche Bank und die ING die Umstände des MOVEit-Datenleck beim Dienstleister Majorel durch externe Sachverständige prüfen lassen.

Anzeige

Was ist MOVEit?

MOVEit ist eine Managed File Transfer (MFT)-Software, die eine Übertragung von Dateien zwischen verschiedenen Rechnern ermöglicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist häufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Geschäftspartnern per Internet auszutauschen. Dabei werden Uploads über die Protokolle SFTP, SCP und HTTP unterstützt, um die Dateien sicher zu übertragen.

Die Schwachstelle CVE-2023-34362

Ende Mai 2023 wurde die MOVEit-Schwachstelle CVE-2023-34362 bekannt (siehe Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle), wobei sich herausstellte, dass diese Sicherheitslücke gezielt durch die Lace Tempest/Clop-Ransomware-Gang (mutmaßlich bereits seit 2021) ausgenutzt wurde (siehe Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362).

Im Beitrag MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen? habe ich darauf hingewiesen, dass über hundert deutsche Unternehmen/Institutionen durch Datenabflüsse in der MOVEit-Umgebung betroffen sein dürften. Diverse AOKs und die Mainzer Verlagsgruppe VRM sind wohl betroffen. Weiterhin wurden Kundendaten, die den Kontenwechselservice der Postbank, der Ing und ggf. weiterer Banken genutzt hatten, über die Schwachstelle abgezogen (siehe MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen).

Deutsche Bank und ING lassen Datenleck prüfen

Der Dienstleister Majorel wurde ebenfalls über die MOVEit-Schwachstelle kompromittiert. Die Majorel Deutschland GmbH ist nach meinen Informationen als Dienstleister für das Kontowechselportal kontowechsel24.de der Banken tätig. Daten, der Benutzer, die diese Dienstleistung genutzt haben, konnten über diesen Dienstleister bzw. die MOVEit-Schwachstelle abgezogen werden.

Anzeige

Deutsche Bank und ING lassen Datenleck prüfen

Die Tage habe ich über obigen Tweet mitbekommen, dass das Datenleck beim Dienstleister Majorel wohl Folgen hat. Das Handelsblatte berichtet hier, dass sowohl die Deutsche Bank als auch die ING jetzt Wirtschaftsprüfer beauftragt haben, die Umstände des Datenlecks beim Kontowechsel-Dienstleister Majorel zu untersuchen. Von Deutscher Bank wurde PwC beauftragt, die ING hat Majorel "überzeugt", selbst einen Wirtschaftsprüfer mit der Aufklärung zu beauftragen. Die Hoffnung ist, dass die Wirtschaftsprüfer die zahlreichen offenen Fragen im Zusammenhang mit dem Datendiebstahl aufklären können (so ist unklar, wieso Daten aus 2018 in die Hände der Lace Tempest/Clop-Ransomware-Gang gelangen konnten – die Daten hätten nach DSGVO längst gelöscht sein müssen.

Piriform CCleaner-Kundendaten erbeutet

Weiterhin hat sich auch der Anbieter der "Reinigungs-"Software CCleaner, Pirifom, mit einer Stellungnahme an die Öffentlichkeit gewandt und offen gelegt, dass über die MOVEit-Schwachstelle Kundendaten abgeflossen sind. Troy Hunt hat in nachfolgendem Tweet auf diese Stellungnahme hingewiesen.

Piriform CCleaner victim of MOVEit vulnerability

Es gibt das Eingeständnis, dass Kundendaten der CCleaner-Benutzer wie Name, Kontaktinformationen und Informationen zum gekauften Produkt über die MOVEit-Schwachstelle abgezogen wurden. Piriform betont, dass keine Bankdaten oder Login-Daten für Konten abgeflossen seien. Von CCleaner wird betroffenen Kunden ein sechsmonatiges kostenloses Abonnement für das Sicherheits-Tool Breachguard angeboten. Dies soll die Überwachung auf verdächtige Aktivitäten in Bezug auf die gestohlenen Daten ermöglichen.

Ähnliche Artikel:
MOVEit Transfer: Neue Schwachstelle; dringend patchen!
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Schwachstelle: CCleaner-Nutzer auch betroffen; Deutsche Bank und ING lassen Datenleck prüfenSicherheits-News: BIG-Krankenkasse, Hülben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
MOVEit Transfer: Neue Sicherheitswarnung und Update (6. Juli 2023)
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
Das MOVEit-Desaster: Proof of Concept; Clop-Gang veröffentlicht Opferdaten
MoveIT-Anbieter Progress Software meldet gravierende Schwachstellen in WS_FTP Server

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu MOVEit-Schwachstelle: CCleaner-Nutzer auch betroffen; Deutsche Bank und ING lassen Datenleck prüfen

  1. Luzifer sagt:
    26. Oktober 2023 um 21:24 Uhr

    LOL die bieten einem also nen 6 monate Tool von nem Hersteller (avast) der sich durch Lücken Daten klauen hat lassen… sehr vertrauenswürdig, not!

    Antworten
  2. Anonymous sagt:
    26. Oktober 2023 um 21:49 Uhr

    CCleaner ist spätestens seit einem erzwungenen Update ohne vorherigem Hinweis und trotz komplett deaktivierten Update Funktionen in den Einstellungen komplett unten durch.

    https://community.ccleaner.com/topic/64668-ccleaner-update-installed-on-my-pc-without-my-consent/

    https://old.reddit.com/r/techsupport/comments/138r7ss/ccleaner_installed_on_my_pc_without_my_consent/

    Antworten
  3. Tom sagt:
    26. Oktober 2023 um 21:54 Uhr

    AVAST und PIRIFORM waren wohl mal vor der "Übernahme" des einen durch den anderen zwei durchaus nennenswerte Namen – das tschchische AVAST durch die sehr gründliche Antivirenprogramme, das britische PIRIFORM durch seine Datenwerkzeuge.
    Seitdem ist von beiden eher nur schlechtes zu lesen, auch das übergeordnete GEN DIGITAL hatte früher mal den sehr lobenswerten Namen SYMANTEC (wer erinnert sich noch an Peter Norton?)!

    Antworten
  4. 1ST1 sagt:
    27. Oktober 2023 um 10:49 Uhr

    Als ich die Überschrift und den ersten Absatz las, hielt ich erstmal die Luft an, puh, setzen Deutsche Bank und die ING tatsächlich das Schlangenöl CCleaner auf ihren Systemen ein? Hat sich dann aber aufgeklärt, dass das alles nur über die gemeinsame MOVEit Geschichte irgendwie zusammenhängt! Aber da sieht man wieder, wie weit die Kreise über so eine Supplychain-Attacke gezogen werden können, Leute, das ist nicht gut, entwickelt eure Dienste und Libs selbst, die ihr so braucht, verlasst euch da nicht auf andere…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.