{"id":282231,"date":"2023-06-07T07:52:15","date_gmt":"2023-06-07T05:52:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282231"},"modified":"2024-01-17T17:56:59","modified_gmt":"2024-01-17T16:56:59","slug":"moveit-schwachstelle-tangiert-100-deutsche-firmen-aoks-von-datenabfluss-betroffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/07\/moveit-schwachstelle-tangiert-100-deutsche-firmen-aoks-von-datenabfluss-betroffen\/","title":{"rendered":"MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?"},"content":{"rendered":"

\"SicherheitSeit einigen Tagen ist die SQL-Injection-Schwachstelle CVE-2023-34362 in der Managed File Transfer (MFT)-L\u00f6sung MOVEit bekannt und wir wissen, dass dies seit \"einiger Zeit\" (u.a. von der Clop-Gruppe) ausgenutzt wird. In Deutschland sind \u00fcber hundert Firmen und Organisationen betroffen. So wurden Daten (u.a. von Abonnenten) der Maizer Verlagsgruppe VRM abgezogen. Verwirrung herrscht aktuell, ob die AOKs in zehn Bundesl\u00e4ndern bereits durch Datenabfluss von sensiblen Patientenakten betroffen sind.<\/p>\n

<\/p>\n

MOVEit-Schwachstelle CVE-2023-34362<\/h2>\n

\"\"Es hat das Potential, zu einem richtig gro\u00dfen Fall zu werden: Die Schwachstelle CVE-2023-34362 in der Software MOVEit. Bekannt ist, dass diese SQL-Injection-Schwachstelle bereits seit einiger Zeit durch Cyberkriminelle f\u00fcr die Entwendung von Informationen ausgenutzt zu wird. Hier ein schneller \u00dcberblick.<\/p>\n

Was ist MOVEit?<\/h3>\n

MOVEit<\/a> ist eine Managed File Transfer (MFT)-Software, die eine \u00dcbertragung von Dateien zwischen verschiedenen Rechnern erm\u00f6glicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist h\u00e4ufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Gesch\u00e4ftspartnern per Internet auszutauschen. Dabei werden Uploads \u00fcber die Protokolle SFTP, SCP und HTTP unterst\u00fctzt, um die Dateien sicher zu \u00fcbertragen.<\/p>\n

Die Schwachstelle CVE-2023-34362<\/h3>\n

Die Schwachstelle CVE-2023-34362 steckt in der Webanwendung von MOVEit, die zum Transfer von Daten benutzt wird. Es handelt sich um eine SQL Injection-Schwachstelle, die es einem Angreifer erm\u00f6glicht, die Privilegien \u00fcber die Managed File Transfer (MFT)-L\u00f6sung MOVEit auszuweiten und auf die den Betroffenen von MOVEit zugewiesenen SQL-Datenbank zuzugreifen.<\/p>\n

So erhalten nicht authentifizierte Angreifer die M\u00f6glichkeit, alle \u00fcber MOVEit ausgetauschten Daten einzusehen. Der Anbieter der Software, das US-Unternehmens Progress Software Corporation hat zum 31. Mai 2023 einen Sicherheitshinweise zur Schwachstelle<\/a> ver\u00f6ffentlicht. Die Schwachstelle gilt als kritisch, Sicherheitsbeh\u00f6rden warnen weltweit und es gibt entsprechend erste Betroffene, da die Ausnutzung bereits einige Zeit passiert.<\/p>\n

Ich hatte im Blog-Beitrag Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a> \u00fcber diese Schwachstelle und die BSI-Warnung berichtet. Die Kollegen von Bleeping Computer schreiben hier<\/a>, dass die US-Sicherheitsbeh\u00f6rde CISA die US-Beh\u00f6rden aufgefordert hat, die Schwachstelle bis zum 23. Juni 2023 zu patchen. Das erscheint mir zu langsam – Administratoren m\u00fcssen sofort reagieren und vor allem die MOVEit-Umgebung auf Kompromittierung pr\u00fcfen (siehe den verlinkten Blog-Beitrag sowie den Sicherheitshinweis von Progress Software).<\/p>\n

Ausnutzung durch Lace Tempest\/Clop<\/h3>\n

Microsoft hat nun darauf hingewiesen, dass die Hacker von Lace Tempest, die die Ransomware-Seite von Clop betreiben, diese Schwachstelle ausnutzen. Ich hatte dies im Blog-Beitrag Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a> angesprochen.<\/p>\n

<\/p>\n

Da lauert wohl ein gro\u00dfes Risiko, so einigen Unternehmen d\u00fcrfte noch nicht klar sein, dass sie u.U. demn\u00e4chst mit Erpresserschreiben konfrontiert werden, weil Clop vertrauliche Daten abziehen konnte.<\/p>\n

Erg\u00e4nzung:<\/strong> Diesem Artikel<\/a> zufolge gibt es die Vermutung, dass die Clop-Ransomware-Gang bereits seit 2021 \u00fcber die Schwachstelle Bescheid wusste.<\/p>\n

\u00dcber 100 Betroffene in Deutschland<\/h2>\n

Die Kollegen von heise haben zum 6. Juni 2023 in diesem Artikel<\/a> eine kurze Auswertung der Suchmaschine Shodan ver\u00f6ffentlicht. Weltweit wurden \u00fcber 2.500 Instanzen verwundbarer MOVEit-Nutzer gefunden.<\/p>\n

\"Shodan:
\nShodan-Auswertung MOVEit-Schwachstelle<\/p>\n

Der Schwerpunkt liegt zwar auf den USA, aber auch in Deutschland werden 111 Treffer ausgewiesen. Ob alle Instanzen bereits kompromittiert sind, ist unklar – die betreffenden Administratoren m\u00fcssten reagieren und patchen sowie die log-Dateien auswerten, um Klarheit zu haben. Aber einen prominenten Fall gibt es mit zehn deutschen AOK-Ortskrankenkassen bereits. Und auch die Maizer Verlagsgruppe VRM ist betroffen.<\/p>\n

Mainzer Verlagsgruppe VRM betroffen<\/h2>\n

Ich bin die Nacht auf nachfolgenden Tweet von Dennis Kipker gesto\u00dfen, der erw\u00e4hnt, dass\u00a0Daten der Maizer Verlagsgruppe VRM abgezogen wurden.<\/p>\n

\"Verlagsgruppe
\nCSOnline hat es in diesem Artikel<\/a> aufbereitet, die Verlagsgruppe VR hat \"eine Software des IT-Anbieters Progress Software verwendet, die eine kritische Sicherheitsl\u00fccke aufwies. Beim Wiesbadener Kurier<\/a> hei\u00dft es:<\/p>\n

\n
\n
\n

Der Cyberangriff wurde am Mittwoch, 31. Mai 2023, festgestellt. Wir haben sofort alle datensichernden Ma\u00dfnahmen ergriffen und stehen in engem Austausch mit unseren Cyber-Security-Experten und Datenschutzbeauftragten. Die Datenschutzbeh\u00f6rde wurde gem\u00e4\u00df DSGVO informiert. Eine forensische Untersuchung hat ergeben, dass keine weiteren IT-Systeme der VRM kompromittiert wurden.<\/span><\/p>\n<\/div>\n<\/div>\n

\n
\n

Nach unseren bisherigen Erkenntnissen befinden sich unter den unberechtigt heruntergeladenen Dateien auch personenbezogene Daten unserer Abonnenten, wie Name und Adresse. Sensiblere Daten, z. B. Bankverbindungen, sind jedoch nicht betroffen.<\/span><\/p>\n<\/div>\n<\/div>\n<\/blockquote>\n

\n
\n

Da hat es also voll reingehauen – dass keine Bankverbindungen betroffen sind, ist in meinen Augen nur ein schwacher Trost.<\/p>\n

\u00d6sterreich: Finanzaufsicht (FMA) betroffen<\/h2>\n

Erg\u00e4nzung: Auf Facebook wies mich ein Leser darauf hin, dass es in \u00d6sterreicht die Finanzaufsicht (FMA) getroffen habe. Details hat die FMA in diesem Beitrag<\/a> ver\u00f6ffentlicht und schreibt zum 5. Juni 2023<\/p>\n

\n

Finanzmarktaufsichtsbeh\u00f6rde FMA von \u201eMOVEit\"-Hacker-Angriff betroffen. Sehr heterogene Datens\u00e4tze gestohlen, datenschutzrechtliche Relevanz begrenzt.<\/strong><\/p>\n

Im Zuge eines weltweiten zeitgleichen Hacker-Angriffs auf eine bis dahin unbekannte Sicherheitsl\u00fccke in der Progress-Software \u201eMOVEit\" wurden auch Datens\u00e4tze der \u00f6sterreichischen Finanzmarktaufsichtsbeh\u00f6rde (FMA) kopiert und gestohlen.<\/p>\n

Die FMA konnte diese Sicherheitsl\u00fccke in der auch von ihr verwendeten \u201eSecure-File-Transfer\"-Plattform unter Beiziehung externer Spezialisten unverz\u00fcglich schlie\u00dfen und arbeitet seither mit Hochdruck an der Begrenzung und Behebung des Schadens.<\/p>\n

Die gestohlenen Datens\u00e4tze wurden bereits identifiziert und datenschutzrechtlich analysiert. Da es sich bei der gehackten Software um ein Datentransfer-Tool handelt sind die betroffenen Datens\u00e4tze zuf\u00e4llig ausgew\u00e4hlt und von sehr heterogener Struktur.<\/p>\n

Die Anzahl der von diesem Datendiebstahl indirekt betroffenen Personen ist entsprechend der datenschutzrechtlichen Analyse begrenzt, weshalb diese von der FMA direkt informiert werden.<\/p>\n

Selbstverst\u00e4ndlich wurden auch bereits die zust\u00e4ndigen Beh\u00f6rden, insbesondere jene f\u00fcr die strafrechtlichen Ermittlungen, informiert und eingeschaltet.<\/p><\/blockquote>\n<\/div>\n<\/div>\n

Datenabfluss bei AOK-Ortskrankenkassen?<\/h2>\n

Aktuell gibt es aus meiner Sicht etwas Verwirrung, ob es bereits zum Abfluss vertraulicher Patientendaten von zehn AOK-Ortskrankenkassen gekommen ist. Der AOK-Bundesverband hat in dieser Pressemitteilung<\/a> vom 6.6.2023 best\u00e4tigt, das MOVEit on den AOKs Baden-W\u00fcrttemberg, Bayern, Bremen\/Bremerhaven, Hessen, Niedersachsen, Rheinland-Pfalz\/Saarland, Sachsen-Anhalt und PLUS (Sachsen und Th\u00fcringen) sowie vom AOK-Bundesverband eingesetzt wurde.<\/p>\n

Man betont, dass die Schwachstelle in der von der AOK eingesetzten Software \"MOVEit Transfer\" inzwischen geschlossen sei und ein sichere Datenaustausch zwischen externen Partnern und den jeweiligen AOKs wieder m\u00f6glich sei. Die spannendere Frage ist aber: Konnten unbefugte Dritte bereits Daten abgreifen. Laut obiger Pressemitteilung schreibt der Bundesverband:<\/p>\n

Die betroffenen Partner werden informiert. Dies betrifft Leistungserbringer und Sozialversicherungstr\u00e4ger wie die Agentur f\u00fcr Arbeit, Firmenkunden sind nach aktuellen Erkenntnissen nicht direkt betroffen.<\/p>\n

Parallel wird weiter gepr\u00fcft, ob die Sicherheitsl\u00fccke einen Zugriff auf die Sozialdaten von Versicherten erm\u00f6glicht hat. Sobald diese Pr\u00fcfung abgeschlossen ist und valide Ergebnisse vorliegen, wird die AOK-Gemeinschaft dar\u00fcber informieren.<\/p><\/blockquote>\n

Verwirrung schafft aber nachfolgendem Tweet<\/a>, der auf diesen Artikel des Handelsblatts<\/a> verweist. Das Handelsblatt schreibt nicht nur, dass die Schwachstelle die AOKs von 19 Millionen Versicherten betraf, sondern titelt auch \u00fcber einen \"best\u00e4tigten Datenabfluss\".<\/p>\n

\"MOVEit-Schwachstelle:<\/a><\/p>\n

Gehe ich den Text des Handelsblatts durch, kann ich nichts von einer Best\u00e4tigung lesen – dort hei\u00dft es nur, dass die AOKs \"pr\u00fcfen\", ob Daten abgeflossen sind. Das deckt sich auch mit der AOK-Pressemitteilung und dem zeitlichen Verlauf (Artikel stammt vom 6. Juni 2023).<\/p>\n

\"MOVEit<\/a><\/p>\n

Andererseits gibt es obigen Tweet<\/a> von Martin Tschirsich, der gleich zwei Sachverhalte thematisiert. Einmal wird J\u00fcrgen Kl\u00f6ckner zitiert, der angibt, dass das BSI \"von einem best\u00e4tigten Datenabfluss warnt\" – wobei sich dies nicht auf die AOK-F\u00e4lle beziehen muss. Die Einbeziehung des Handelsblatts deutet aber in die Richtung, dass deren Titel f\u00fcr den Beitrag \"missverst\u00e4ndlich\" sein k\u00f6nnte.<\/p>\n

Einsatz von MOVEit Transfer fahrl\u00e4ssig<\/h3>\n

Der gravierendere Punkt ist aber die Aussage von Tschirsich, dass MOVEit Transfer seit Jahren durch vergleichbar M\u00e4ngel aufgefallen sei und dass SQL-Injections nicht mehr vorkommen d\u00fcrften. Tschirsich sieht den Einsatz von MOVEit Transfer als fahrl\u00e4ssig an und schlie\u00dft nicht aus, dass der Schaden gr\u00f6\u00dfer als bisher angenommen ist.<\/p>\n

Datentransfer im Gesundheitswesen<\/h3>\n

Unabh\u00e4ngig von diesem Sachverhalt zeigt der Vorfall, wie wackelig der gesamte Vorgang ist. Nur zur Erinnerung: Die Krankenkassen sollen bis Ende 2024 die elektronische Patientenakte (ePA) f\u00fcr die gesetzlich Krankenversicherten einf\u00fchren. Zur Kommunikation mit \u00c4rzten wird zwar die gematik TI-Infrastruktur (KIM) verwendet. Wie aber sp\u00e4ter der Austausch vertraulicher Patientendaten mit anderen Stellen erfolgen soll, steht auf einem anderen Blatt.<\/p>\n

Ich will es noch thematisieren – mir liegen auch Informationen vor, dass zumindest eine AOK f\u00fcr bestimmte Kommunikationsvorg\u00e4nge mit \u00c4rzten nicht die KIM-L\u00f6sung der gematik sondern ein Transportportal von kubus IT mit \"E-Mail-Link-L\u00f6sung\" einsetzt. Dort erfolgt der Transfer aber verschl\u00fcsselt und \u00fcber Cryptshare<\/a>. kubus IT<\/a> wurde 2008 gegr\u00fcndet und stellt den IT-Betrieb f\u00fcr 17.000 AOK-Anwender in den Bundesl\u00e4ndern Bayern, Sachsen und Th\u00fcringen sicher. Das Leistungsspektrum reicht laut eigener Webseite \"vom kompletten Betrieb der technischen Systeme, \u00fcber Anwendungsbetreuung und Support, bis hin zu Beratungs- und Entwicklungsleistungen\". Sch\u00f6ne Aussichten.<\/p>\n

Bald wird es lustig<\/h2>\n

Kleine Erg\u00e4nzung: Auf Twitter bin ich auf nachfolgenden Tweet<\/a> von John Hammond gesto\u00dfen. Die cl0p-Ransomw-Gruppe hat sich auf ihrer Dark-Web\/Tor Hidden Services .onion-Leak-Site gemeldet.<\/p>\n

\"MOVEit<\/a><\/p>\n

Die Gruppe bekennt sich zum Missbrauch von MOVEit Transfer. Zudem hat man den Opfern eine Frist bis zum 14. Juni 2023 gesetzt. Wer nicht zahlt, muss mit der Offenlegung von Dokumenten rechnen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a>
\nLace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Seit einigen Tagen ist die SQL-Injection-Schwachstelle CVE-2023-34362 in der Managed File Transfer (MFT)-L\u00f6sung MOVEit bekannt und wir wissen, dass dies seit \"einiger Zeit\" (u.a. von der Clop-Gruppe) ausgenutzt wird. In Deutschland sind \u00fcber hundert Firmen und Organisationen betroffen. So wurden … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282231","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282231","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282231"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282231\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282231"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282231"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282231"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}