{"id":284955,"date":"2023-08-16T03:30:08","date_gmt":"2023-08-16T01:30:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284955"},"modified":"2023-08-18T03:34:49","modified_gmt":"2023-08-18T01:34:49","slug":"schwachstellen-sicherheitsvorflle-und-cyberangriffe-16-august-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/16\/schwachstellen-sicherheitsvorflle-und-cyberangriffe-16-august-2023\/","title":{"rendered":"Schwachstellen, Sicherheitsvorfälle und Cyberangriffe (16. August 2023)"},"content":{"rendered":"

\"SicherheitDie letzten Tage gab es erneut eine Reihe an Sicherheitsvorf\u00e4llen und Hacks. Die Polizei in Nordirland und der Zollernalbkreis haben Datenpannen zu verantworten und es gibt Ransomware-F\u00e4lle (z.B. Bundesrechtsanwaltskammer). Doc Morris k\u00e4mpft erneut mit einem Hack von Benutzerkonten, \u00fcber die unrechtm\u00e4\u00dfig Bestellungen get\u00e4tigt wurden. Zudem wurden Schwachstellen \u00f6ffentlich. So sind Monitoring- und Steuersysteme (OT) in kritischen Infrastrukturen durch Schwachstellen gef\u00e4hrdet. Weiterhin gibt es ein Sicherheitsupdate f\u00fcr Nextcloud, welches eine Schwachstelle schlie\u00dft. F\u00fcr eine Schwachstelle in Lexmark-Druckern ist nun ein Proof of Concept (PoC) aufgebraucht. Fast 2.000 Citrix Netscaler sind \u00fcber eine Schwachstelle kompromittiert und Mandiant hat einen Scanner ver\u00f6ffentlicht, um solche Kompromittierungen zu erkennen. Diese und weitere Meldungen habe ich in einem Sammelbeitrag zusammen gefasst.<\/p>\n

<\/p>\n

Schwachstellen in CODESYS V3 SDK<\/h2>\n

\"\"Sicherheitsforscher von Microsoft haben k\u00fcrzlich mehrere kritische Schwachstellen im CODESYS V3 Software Development Kit (SDK) \u00f6ffentlich gemacht<\/a>. Dieses SDK kommt h\u00e4ufig zur Entwicklung von speicherprogrammierbaren Steuerungen (SPS) zum Einsatz.<\/p>\n

\"Schwachstellen<\/a><\/p>\n

Ein Angreifer k\u00f6nnte \u00fcber die Schwachstellen, die alle Versionen von CODESYS V3 vor Version 3.5.19.0 betreffen, die Infrastruktur der Betriebstechnik (OT) z. B. per Remote Code Execution (RCE) und Denial of Service (DoS) angreifen. Ein deutschsprachiger Artikel zum Thema findet sich bei heise<\/a>.<\/p>\n

Ransomware bei M\u00fcnchner Verlagsgruppe<\/h2>\n

Der gr\u00f6\u00dfte deutsche Sachbuchverlag, die M\u00fcnchner Verlagsgruppe, ist Opfer eines Cyberangriffs geworden, bei dem die Dateien auf den Servern durch Ransomware verschl\u00fcsselt wurden. It-daily.net hat in diesem Artikel<\/a> einige Informationen zusammen getragen. Eine Verlagssprecherin sagte dazu \"Wir fangen wieder ganz von neuem an und k\u00f6nnen noch gar nicht absch\u00e4tzen, wie lange es dauert, bis wir den Normalbetrieb wieder in voll umf\u00e4nglichem Ma\u00dfe aufnehmen k\u00f6nnen.\"<\/p>\n

Ransomware bei Bundesrechtsanwaltskammer<\/h2>\n

Auch die Bundesrechtsanwaltskammer ist Opfer eines Angriffs mit Ransomware geworden, wie ich diesem Tweet<\/a> entnehme. Der Anwaltsverein hat diese Information<\/a> ver\u00f6ffentlicht, der zufolge das Br\u00fcsseler B\u00fcro der Bundesrechtsanwaltskammer gehackt wurde und komplett aus dem eigenen IT-System ausgeschlossen werden musste. Hier die Mitteilung der BRAK:<\/p>\n

Sehr geehrte Damen und Herren,<\/p>\n

hiermit m\u00f6chten wir Sie dar\u00fcber informieren, dass das Br\u00fcsseler B\u00fcro der Bundesrechtsanwaltskammer (BRAK) Opfer eines kriminellen Cyberangriffs<\/b> geworden ist, infolgedessen es zu einem Ausfall der IT-Systeme gekommen ist.<\/p>\n

Die BRAK wurde Ziel einer so genannten Ransomware-Attacke. Der Vorfall wurde am 2.8.2023 entdeckt. Daraufhin wurden umgehend s\u00e4mtliche Netzwerkverbindungen getrennt. Mit einem externen Dienstleister f\u00fcr IT-Sicherheit arbeitet die BRAK derzeit an einer forensischen Analyse der IT-Systeme, um den Vorfall aufzukl\u00e4ren und die Sch\u00e4den zu beheben. Zudem wird an einer Wiederherstellung der Systeme gearbeitet. Die BRAK hat den Vorfall fristgerecht dem Bundesbeauftragten f\u00fcr Datenschutz gemeldet und steht in Kontakt sowohl mit der belgischen Polizei als auch dem Landeskriminalamt Berlin sowie dem Cyber Emergency Response Team des belgischen Centre for Cyber Security.<\/p>\n

Nach derzeitigem Erkenntnisstand wurden die Systeme des Br\u00fcsseler B\u00fcros, insbesondere der Mailserver, verschl\u00fcsselt. Im Rahmen des Angriffs ist, soweit derzeit bekannt, eine Datenmenge von ca. 160 GB abgeflossen<\/b>. Die Angreifer drohen mit deren Ver\u00f6ffentlichung, aktuell liegt allerdings lediglich eine Aufforderung zur Kontaktaufnahme mit den Angreifern vor und es sind noch keine weiteren Schritte erfolgt. Ob und in welchem Umfang Daten zu Ihrer Person wie etwa Kontaktinformationen oder Kommunikationsverl\u00e4ufe abgeflossen sind, wird noch eruiert. Derzeit m\u00fcssen wir vorsorglich davon ausgehen, dass dies der Fall ist. Sollten sich weitere Erkenntnisse zu konkreten Personen ergeben, werden wir die Betroffenen dar\u00fcber gesondert \u00fcber unser Berliner B\u00fcro informieren.<\/p>\n

Infolge der Isolierung der Systeme ist das Br\u00fcsseler B\u00fcro der BRAK aktuell nicht per E-Mail erreichbar. In dringenden F\u00e4llen wenden Sie sich bitte an die Zentrale der BRAK in Berlin (zentrale@brak.de). Telefonisch erreichen Sie das Br\u00fcsseler B\u00fcro derzeit ausschlie\u00dflich unter der zentralen Nummer +32 2 7438646.
\nWir bitten Sie dar\u00fcber hinaus grunds\u00e4tzlich um erh\u00f6hte Aufmerksamkeit bei verd\u00e4chtigen E-Mails und insbesondere solchen, die das Br\u00fcsseler B\u00fcro der BRAK als vermeintlichen Absender ausweisen und\/oder in denen zu ungew\u00f6hnlichen Handlungen wie z.B. \u00dcberweisungen an ge\u00e4nderte Kontoverbindungen aufgefordert wird. Das gilt auch dann, wenn dabei wom\u00f6glich an tats\u00e4chliche fr\u00fchere E-Mail-Korrespondenz angekn\u00fcpft wird. Wir bitten zudem, nicht auf solche verd\u00e4chtigen E-Mails zu antworten und Anlagen und Links auf keinen Fall zu \u00f6ffnen.<\/p><\/blockquote>\n

Bereits 2020 gab es einen Ransomware-Vorfall bei der Bundesrechtsanwaltskammer (BRAK), wie Golem hier<\/a> berichtete.<\/p>\n

Datenpanne bei Polizei Nordirland<\/h2>\n

Es ist bereits einige Tage bekannt, ein Leser hatte hier<\/a> darauf hingewiesen: In Nordirland gab es eine riesige Sicherheitspanne. Die Polizei in Nordirland hat aus Versehen die Namen von 10.000 Mitarbeitern an Dritte herausgegeben. Die Beh\u00f6rde war in einer Anfrage um eine Aufschl\u00fcsselung der Beamten und Besch\u00e4ftigten nach Dienstgraden gebeten worden. Aus Versehen wurde bei der Antwort auch eine Tabelle mit den Nachnamen und Dienstorten aller etwa 10.000 Mitarbeitern angeh\u00e4ngt. Das wirft nun ernsthafte Sicherheitsfragen auf, da Angeh\u00f6rige der Polizei immer wieder das Ziel politischer Aktivisten werden. Details lassen sich im Artikel Daten von 10.000 Polizisten aus Versehen freigegeben<\/a> nachlesen. Gewaltbereite Anh\u00e4nger einer Wiedervereinigung mit Irland behaupteten, im Besitz einiger der Daten zu sein.<\/p>\n

Datenpanne bei Landratsamt des Zollernalbkreises<\/h2>\n

Auch das Landratsamt des Zollernalbkreises musste eine Datenpanne bei einem Dienstleister einr\u00e4umen, bei dem f\u00fcr kurze Zeit personenbezogene Daten \u2013 zum Beispiel Namen und Mailadressen – per Internet abrufbar waren. Der externe Dienstleister wickelt Vorg\u00e4nge im Ausl\u00e4nderamt sowie in der Zulassungs- und F\u00fchrerscheinstelle ab. Details lassen sich in diesem Beitrag<\/a> nachlesen.<\/p>\n

Doc Morris Opfer von Hack<\/h2>\n

Bei der Online-Apotheke Doc Morris hat es wieder eine Reihe betr\u00fcgerischer Bestellungen (ca. 200) gegeben, die auf einen Hack von Benutzerkonten mittels Credential-Stuffing zur\u00fcckgehen.<\/p>\n

\"Doc<\/a><\/p>\n

heise hat in diesem Beitrag<\/a> \u00fcber den neuen Vorfall berichtet. Im Januar 2023 hatte ich im Beitrag Kontenhack bei Online-Versandapotheke DocMorris (Jan. 2023)<\/a> \u00fcber einen \u00e4hnliche Vorfall berichtet.<\/p>\n

Rosenbauer Feuerwehrfahrzeuge ortbar<\/h2>\n

Die Tage gab es auch die Meldung<\/a>, dass Standortdaten der Feuerwehrfahrzeuge des Herstellers Rosenbauer durch Dritte abrufbar waren. Das Kollektiv Zerforschung hat diesen Sachverhalt in diesem Artikel<\/a> \u00f6ffentlich gemacht.<\/p>\n

Massenhack bei LinkedIn-Konten<\/h2>\n

Die Kollegen von Bleeping Computer berichten hier<\/a>, dass LinkedIn das Ziel einer Angriffswelle zum Hacken von Benutzerkonten ist. Dies f\u00fchrt dazu, dass viele LinkedIn-Jonten aus Sicherheitsgr\u00fcnden gesperrt oder von Angreifern gekapert werden. Das Ganze geht auf diesen Bericht<\/a> von Cyberint zur\u00fcck, die das als erste beobachtet und \u00f6ffentlich gemacht haben.<\/p>\n

Sicherheitsupdate f\u00fcr Nextcloud<\/h2>\n

Nutzer der Software Nextcloud sollten zeitnah ein Sicherheitsupdate des Herstellers einspielen, das eine Schwachstelle Angreifen die M\u00f6glichkeit bietet, Daten zu l\u00f6schen. Betroffen sind Notes-, Server-, Talk-Android- und user_oidc-Pakete von Nextcloud und Nextcloud Enterprise in verschiedenen Versionen. heise hat in diesem Artikel<\/a> Details zu den Schwachstellen und betroffenen Versionen ver\u00f6ffentlicht.<\/p>\n

PoC f\u00fcr CVE-2023-26067 in Lexmark Druckern<\/h2>\n

In Lexmark-Druckern ist seit M\u00e4rz 2023 die Schwachstelle CVE-2023-26067 bekannt (siehe meinen Beitrag Kritische Sicherheitsl\u00fccke in Lexmark-Druckern (M\u00e4rz 2023)<\/a>). Es gibt auch Firmware-Updates f\u00fcr die betroffenen Druckermodell. Nun berichtet\u00a0 Security Online in diesem Artikel<\/a>, dass Horizon3-Sicherheitsforscher ein Proof-of-Concept (PoC)-Code f\u00fcr eine kritische Schwachstelle zur Privilegienerweiterung (CVE-2023-26067) in Lexmark-Druckern ver\u00f6ffentlicht haben. Diese Schwachstelle besitzt einen CVSS-Score von 8.0 und k\u00f6nnte es einem Angreifer erm\u00f6glichen, auf einem ungepatchten Ger\u00e4t erh\u00f6hte Rechte zu erlangen.<\/p>\n

Schwachstellen in Ivanti Avalanche<\/h2>\n

Ivanti kommt mit seinen Schwachstellen in seinen Mobilger\u00e4te-Verwaltungsl\u00f6sungen nicht zur Ruhe (siehe Ivanti best\u00e4tigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung<\/a> und Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)<\/a>). Gerade lese ich<\/a> bei den Kollegen von Bleeping Computer, dass in der Enterprise Mobility Management (EMM)-L\u00f6sung Ivanti AvalanchezZwei Stack-basierte Puffer\u00fcberl\u00e4ufe (laufen unter CVE-2023-32560) \u00f6ffentlich wurden. Die Schwachstellen werden als kritisch eingestuft (CVSS v3: 9.8) und k\u00f6nnen ohne Benutzerauthentifizierung remote ausgenutzt werden. Das erm\u00f6glicht eine Codeausf\u00fchrung auf dem Zielsystem. Die EMM-L\u00f6sung wurde f\u00fcr die Verwaltung, \u00dcberwachung und Absicherung einer Vielzahl mobiler Ger\u00e4te entwickelt.<\/p>\n

Neues zu Citrix ADC Zero-Day (CVE-2023-3519)<\/h2>\n

Bei Citrix wurden im Juli 2023 mehrere Schwachstellen, u.a. CVE-2023-3519 im Citrix ADC bekannt, siehe Kritische RCE-Schwachstelle in Citrix NetScaler ADC und Citrix Gateway<\/a>. Vom Hersteller gibt es zwar Sicherheitsupdates, aber im Juli 2023 hatte die CISA gewarnt, dass Angriffe auf nicht gepatchte Instanzen erfolgen (siehe CISA-Warnung: Citrix NetScaler ADC wird \u00fcber CVE-2023-3519 angegriffen<\/a>).<\/p>\n

\"Compromise<\/a><\/p>\n

Mandiant hat einen Compromise Scanner f\u00fcr den Citrix ADC Zero-Day (CVE-2023-3519) ver\u00f6ffentlich, der anzeigt, ob eine Instanz \u00fcber die Schwachstelle infiziert wurde. Details zum Scanner finden sich in diesem Mandiant-Beitrag<\/a>. Die Kollegen von Bleeping Computer berichten hier<\/a>, dass fast 2.000 Tausend Citrix NetScaler-Server in einer Kampagne durch einen Angreifer \u00fcber die RCE-Schwachstelle kompromittiert wurden.<\/p>\n

Hacker fangen sich Info-Stealer ein<\/h2>\n

Und zum Schluss noch was \"lustiges\": Diesem Artikel<\/a> zufolge hat Sicherheitsanbieter Hudson Rock Daten von Computern analysiert, die zwischen 2018 und 2023 durch Infostealer infiziert wurden. Dabei wurde die unglaubliche Anzahl von 120.000 infizierten Computern gefunden. Diese waren mit einer Stealer-Malware infiziert, die Anmeldinformationen abgezogen hat.<\/p>\n

Im konkreten Fall bezogen sich diese Anmeldeinformationen aber auf Cybercrime-Foren, die von vielen b\u00f6sartigen Akteuren genutzt wurden. So konnten die Zugangsdaten zu solchen Foren von den Sicherheitsforschern ermittelt werden. Hudson Rock ist kein Unbekannter – ich hatte im Beitrag\u00a0Russischer Hacker infiziert sich durch eigenen Infostealer und geht Sicherheitsfirma ins Netz<\/a> k\u00fcrzlich etwas \u00e4hnliches berichtet.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die letzten Tage gab es erneut eine Reihe an Sicherheitsvorf\u00e4llen und Hacks. Die Polizei in Nordirland und der Zollernalbkreis haben Datenpannen zu verantworten und es gibt Ransomware-F\u00e4lle (z.B. Bundesrechtsanwaltskammer). Doc Morris k\u00e4mpft erneut mit einem Hack von Benutzerkonten, \u00fcber die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-284955","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284955"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284955\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284955"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}