{"id":259564,"date":"2021-11-18T02:06:37","date_gmt":"2021-11-18T01:06:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259564"},"modified":"2021-11-18T12:36:54","modified_gmt":"2021-11-18T11:36:54","slug":"warnung-cert-bund-usa-gb-vor-angriffen-auf-exchange-und-fortinet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/18\/warnung-cert-bund-usa-gb-vor-angriffen-auf-exchange-und-fortinet\/","title":{"rendered":"Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Aktuell warnt CERT-Bund vor veralteten Microsoft Exchange-Servern. In Deutschland werden noch Tausende Exchange Server 2010 mit offenem OWA betrieben. Auch in den USA und Gro\u00dfbritannien schlagen Sicherheitsorganisationen Alarm, da iranische Hacker wohl Microsoft Exchange-Server und Fortinet-Produkte angreifen. Zudem hat das US-CERT die Liste bekannter Exploits um vier Eintr\u00e4ge erg\u00e4nzt. Die Schwachstellen sind durch Sicherheitsupdates schlie\u00dfbar.<\/p>\n

<\/p>\n

CERT-Bund warnt vor alten Exchange-Installationen<\/h2>\n

\"\"In einem Tweet<\/a> warnt CERT-Bund, dass noch \u00fcber 8.000 Exchange 2010-Server noch mit offenem OWA (Outlook Web App) betrieben werden. Das hei\u00dft, dass 15 Prozent der deutschen Exchange-Server seit mehreren Jahren keine Sicherheitsupdates mehr bekommen.<\/p>\n

\"CERT-Bund<\/a><\/p>\n

Iranische Hacker zielen auf Exchange und Fortinet<\/h2>\n

Das US CISA (Cybersecurity & Infrastructure Security Agency) hat die Warnung AA21-321A<\/a> mit einer Warnung vor iranischen Hackerangriffen auf Exchange und Fortinet herausgegeben. Diese Cyber-Security-Hinweis\u00a0 ist das Ergebnis einer Analyse des Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA), des Australian Cyber Security Centre (ACSC) und des National Cyber Security Centre (NCSC) des Vereinigten K\u00f6nigreichs, um auf laufende b\u00f6swillige Cyber-Aktivit\u00e4ten einer APT-Gruppe (Advanced Persistent Threat) hinzuweisen, die nach Einsch\u00e4tzung von FBI, CISA, ACSC und NCSC mit der iranischen Regierung in Verbindung steht.<\/p>\n

\"Cyber-Warning\"<\/a><\/p>\n

Das FBI und die CISA haben beobachtet, dass diese von der iranischen Regierung gesponserte APT-Gruppe seit mindestens M\u00e4rz 2021 Schwachstellen von Fortinet und seit mindestens Oktober 2021 eine Microsoft Exchange ProxyShell-Schwachstelle ausnutzt, um sich zun\u00e4chst Zugang zu Systemen zu verschaffen, bevor sie Folgeoperationen durchf\u00fchrt, zu denen auch die Verbreitung von Ransomware geh\u00f6rt. ACSC ist auch bekannt, dass diese APT-Gruppe dieselbe Microsoft Exchange-Schwachstelle in Australien genutzt hat.<\/p>\n

Die von der iranischen Regierung gesponserten APT-Akteure zielen aktiv auf ein breites Spektrum von Opfern in mehreren kritischen US-Infrastruktursektoren, einschlie\u00dflich des Transportsektors und des Gesundheitswesens, sowie auf australische Organisationen. Nach Einsch\u00e4tzung von FBI, CISA, ACSC und NCSC konzentrieren sich die Akteure auf die Ausnutzung bekannter Schwachstellen und nicht auf bestimmte Sektoren. Diese von der iranischen Regierung gesponserten APT-Akteure k\u00f6nnen diesen Zugang f\u00fcr Folgeoperationen wie Datenexfiltration oder Verschl\u00fcsselung, Ransomware und Erpressung nutzen.<\/p>\n

Diese Empfehlung enth\u00e4lt beobachtete Taktiken und Techniken sowie Kompromittierungsindikatoren (IOCs), die nach Einsch\u00e4tzung von FBI, CISA, ACSC und NCSC wahrscheinlich mit diesen von der iranischen Regierung gesponserten APT-Aktivit\u00e4ten zusammenh\u00e4ngen. Die Kollegen von Bleeping Computer haben hier<\/a> einen Artikel zum Thema ver\u00f6ffentlicht.<\/p>\n

Das FBI, die CISA, die ACSC und die NCSC empfehlen kritischen Infrastrukturorganisationen dringend, die im Abschnitt \"Abhilfema\u00dfnahmen\" dieser Empfehlung aufgef\u00fchrten Empfehlungen anzuwenden, um das Risiko einer Kompromittierung durch von der iranischen Regierung gesponserte Cyber-Akteure zu verringern.<\/p>\n

\"Iranian<\/a><\/p>\n

Auch von Microsoft gibt es einen Artikel<\/a>, der auf Trends bei iranischen Thead-Angreifern hinweist, wie aus nachfolgendem Tweet<\/a> hervorgeht. Weiterhin hat das US-CERT seine Liste bekannter Exploits<\/a> um vier neue CVEs erg\u00e4nzt.<\/p>\n

\"Exploits\"<\/a><\/p>\n

Es handelt sich um folgende Schwachstellen, f\u00fcr die\u00a0 Patches bereitstehen:<\/p>\n\n\n\n\n\n\n\n
CVE Number<\/strong><\/td>\nCVE Title<\/strong><\/td>\nRemediation Due Date<\/strong><\/td>\n<\/tr>\n
CVE-2021-22204<\/a><\/td>\nExiftool Remote Code Execution vulnerability<\/td>\n12\/01\/2021<\/td>\n<\/tr>\n
CVE-2021-40449<\/a><\/td>\nMicrosoft Win32k Elevation of Privilege<\/td>\n12\/01\/2021<\/td>\n<\/tr>\n
CVE-2021-42292<\/a><\/td>\nMicrosoft Excel Security Feature Bypass<\/td>\n12\/01\/2021<\/td>\n<\/tr>\n
CVE-2021-42321<\/a><\/td>\nMicrosoft Exchange Server Remote Code Execution<\/td>\n12\/01\/2021<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

US-CERT mahnt an, dass US-Beh\u00f6rden die Sicherheitsupdates bis zum 1. Dezember 2021 einzuspielen haben. Vielleicht auch ein Wink an Administratoren in DACH zu pr\u00fcfen, ob eigene Systeme diesbez\u00fcglich gepatcht sind.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
\nNeues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a>
\nVorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
\nKumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>
\nExchange Server Security Update KB5001779 (13. April 2021)<\/a>
\nExchange-Schwachstellen: Droht Hafnium II?<\/a>
\nExchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>
\nAngriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a>
\nAngriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a>
\nProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a>
\nExchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten<\/a>
\nTianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a>
\nBabuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a>
\nExchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-423<\/a>
\nBSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a><\/p>\n

Fortinet FortiWeb OS anf\u00e4llig f\u00fcr Command Injection (August 2021)<\/a>
\nFBI-Warnung: APT-Hacker brechen \u00fcber alten Fortinet-Bug in Beh\u00f6rden-IT ein<\/a>
\nFBI\/CISA-Warnung: Angriffe auf Fortinet VPN<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Aktuell warnt CERT-Bund vor veralteten Microsoft Exchange-Servern. In Deutschland werden noch Tausende Exchange Server 2010 mit offenem OWA betrieben. Auch in den USA und Gro\u00dfbritannien schlagen Sicherheitsorganisationen Alarm, da iranische Hacker wohl Microsoft Exchange-Server und Fortinet-Produkte angreifen. Zudem hat das … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-259564","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259564"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259564\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}