{"id":291171,"date":"2024-01-30T08:40:35","date_gmt":"2024-01-30T07:40:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291171"},"modified":"2025-05-21T01:52:52","modified_gmt":"2025-05-20T23:52:52","slug":"sicherheitsvorflle-schneider-electric-32andme-interpol-argentinien-mercedes-schwachstellen-etc","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/30\/sicherheitsvorflle-schneider-electric-32andme-interpol-argentinien-mercedes-schwachstellen-etc\/","title":{"rendered":"Sicherheitsvorfälle: Schneider Electric, 32AndMe, Interpol Argentinien, Mercedes, Schwachstellen, etc."},"content":{"rendered":"

\"SicherheitIn den Kommentaren hier im Blog las ich die Tage, \"wenn das so weiter geht, lesen wir t\u00e4glich von Sicherheitsvorf\u00e4llen\". Ich fasse mal einige Sicherheitsmeldungen der letzten Tage zu einem Sammelbeitrag zusammen, weil der Blog sonst mit Einzelmeldungen platzen w\u00fcrde. Vom Ransomware-Vorfall bei Schneider Electric, \u00fcber Interpol Argentinien bis hin zum alten 32AndMe-Fall ist alles dabei. Zudem dr\u00e4uen in diversen Software-Systemen schwere Sicherheitsl\u00fccken, die bereits angegriffen werden. Anmerkung:<\/strong> Der Beitrag ist jetzt in vollst\u00e4ndiger Fassung ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Hacks und Ransomware-Vorf\u00e4lle<\/h2>\n

\"\"Hier eine kurze \u00dcbersicht \u00fcber diverse Sicherheitsvorf\u00e4lle, die durch Hacks oder Ransomware-Infektionen verursacht wurden.<\/p>\n

Argentinien: Interpol und Justizministerium gehackt<\/h3>\n

Unbekannten haben in Argentinien angeblich das Justizministerium in Buenos Aires angegriffen, wie nachfolgender Tweet<\/a> ausf\u00fchrt. Ein Cyberkrimineller behauptete, die Zugangsdaten von Interpol Argentinien zur Verf\u00fcgung gestellt zu haben, bietet nun die Administrator-Zugangsdaten des Justizministeriums von Buenos Aires frei an.<\/p>\n

\"Argentinien:<\/a><\/p>\n

Der Cyberkriminelle behauptet, dass diese Zugangsdaten nicht nur das Ansehen und Herunterladen diverser Daten erm\u00f6glicht. Vielmehr soll es auch die \u00c4nderung von Strafprozessdaten von mehr als 2.000 Personen erm\u00f6glichen.<\/p>\n

Cactus-Ransomware-Angriff auf Schneider Electric<\/h3>\n

Schneider Electric ist im Bereich Energiemanagement und Automatisierung ein Schwergewicht. Die Kollegen von Bleeping Computer berichten in nachfolgendem Tweet<\/a> und in diesem Artikel<\/a>, dass das Unternehmen Opfer eines Cactus-Ransomware-Angriffs geworden ist.<\/p>\n

\"Cactus-Ransomware-Angriff<\/a><\/p>\n

Der Angriff wurde bereits am 17. Januar 2024 bemerkt und es ist klar, dass Daten aus dem Unternehmensbereich Sustainability (Nachhaltigkeit) entwendet wurden. Durch den Angriff ist ein Teil der Cloud-Plattform Resource Advisor von Schneider Electric von Ausf\u00e4llen betroffen ist.<\/p>\n

Laut Bleeping Computer hat die Ransomware-Bande w\u00e4hrend des Cyberangriffs Terabytes an Unternehmensdaten gestohlen und erpresst nun das Unternehmen mit der Drohung, die gestohlenen Daten weiterzugeben, wenn kein L\u00f6segeld gezahlt wird. Weitere Details sind dem Artikel von Bleeping Computer zu entnehmen.<\/p>\n

32AndMe-Hack: Neue Details<\/h3>\n

Im Oktober 2023 wurde bekannt dass beim Anbieter 23andMe <\/em>(dieser erstellt Analysen des menschlichen Genoms) es einen Cybervorfall gegeben hat, bei dem Millionen Kundendaten erbeutet wurden. Erst wurde alles abgestritten, und dann kam schrittweise mehr ans Tageslicht. Ich hatte im Blog-Beitrag Kundendaten von Genom-Analyseanbieter 23andMe im Netz aufgetaucht<\/a> berichtet, dass auch Deutsche Kunden betroffen sind.<\/p>\n

<\/a><\/p>\n

In obigem Mastodon-Post<\/a> erf\u00e4hrt man, dass 23andMe <\/em>zugeben musste, dass Hacker zwischen April und September 2023 in Kundenkonten eingedrungen sind, ohne dass das Unternehmen die Angriffe bemerkt hat. Der Umfang des Angriffs ist unbekannt. Ein englischsprachiger Beitrag findet sich bei Techchrunch<\/a>, und heise hat einen deutschsprachigen Artikel<\/a> zu diesem Thema ver\u00f6ffentlicht.<\/p>\n

Die Hacks des Tages<\/h2>\n

Im Hinblick auf die Frage \"Erfahren wir jetzt t\u00e4glich etwas \u00fcber Hacks\" nur der Hinweis auf diesen Tweet<\/a>, der Hacks vom 27., 28. und 29. Januar 2023 zusammen fasst: 20 Opfer, 11 Cyber-Gangs (Akira, Medusa, BlackBasta, BianLian, MyData, Abyss, Cactus, Qilin, INC Ransom, Knight und LockBit 3.0) und 3 L\u00e4nder (Brasilien, USA, Rum\u00e4nien) sind betroffen. Hack Maniac hatte mit auf X auf seinen Post hingewiesen – die Liste der Angriffe findet sich in diesem Artikel<\/a>.<\/p>\n

Technica Corporation Opfer von ALPHV BlackCat<\/h3>\n

Technica entwickelt fortschrittliche L\u00f6sungen f\u00fcr Cyberoperationen. Die Technica Corporation ist laut diesem Tweet<\/a> angeblich von ALPHV BlackCat angegriffen worden – die Ransomware-Gruppe listet das Unternehmen auf seiner Opferseite. Laut Mitteilung sollen Daten des FBI und anderer US-Geheimdienste gestohlen worden sein.<\/p>\n

Erkenntnisse zu Ransomware-Zahlungen<\/h3>\n

Und es gibt noch zwei Infosplitter zum Thema \"H\u00f6he der Zahlungen bei Ransomware-Vorf\u00e4llen\". Die Tage ist mir die Information<\/a> untergekommen, dass im vierten Quartal 2023 die Zahl der Ransomware-Opfer, die L\u00f6segeld zahlen, auf 29 % gesunken ist. Anbieter Coveware nennt eine bessere Vorbereitung, rechtlichen Druck (in den USA im Hinblick auf ein Verbot von Zahlungen) und Misstrauen gegen\u00fcber Cyberkriminellen als Gr\u00fcnde. Die durchschnittliche Zahlung lag bei 568.705 US-Dollar, der Median bei 200.000 US-Dollar.<\/p>\n

\"L\u00f6segeldzahlungen;<\/a><\/p>\n

Aus den Niederlanden gibt es eine Untersuchung<\/a> (siehe obiger Tweet), basierend auf 481 Cybervorf\u00e4llen, zu Faktoren, die die H\u00f6he der L\u00f6segeldzahlungen beeinflussen. Eine Cyberversicherung f\u00fchrte zu einer 2,8-fach h\u00f6heren L\u00f6segeldzahlung. Datenexfiltration f\u00fchrte zu einer 5,5-mal h\u00f6heren L\u00f6segeldzahlung. Unternehmen mit wiederherstellbaren Backups zahlten 27,4-mal seltener. Dieser Tweet<\/a> thematisiert diesen Sachverhalt ebenfalls.<\/p>\n

Und das Argument \"wir sind zu klein, wir fliegen unter dem Radar der Cyberkriminellen\" noch eine Information. Aus Israel gibt es einen Regierungsbericht, der besagt, dass kleinste KMUs (bis 20 Mitarbeiter) am st\u00e4rksten von Cyberangriffen betroffen seien. Darkreading hat es hier<\/a> aufbereitet.<\/p>\n

Schwachstellen und Angriffe<\/h2>\n

Weiterhin gibt es eine Reihe an Schwachstellen die angegriffen werden oder Datenschutzvorf\u00e4lle, die durch Unachtsamkeit Daten offen gelegt haben.<\/p>\n

Jenkins-Schwachstelle CVE-2024-23897<\/h3>\n

In Jenkins-Instanzen gibt es die Schwachstelle CVE-2024-23897, die Remote Code Execution (RCE) Angriffe erm\u00f6glicht. Weltweit sind \u00fcber 45.000 Instanzen wohl ungepatcht und angreifbar. Shadow Server hat in nachfolgendem Tweet<\/a> eine Karte der L\u00e4nder mit betroffenen Systemen<\/a> ver\u00f6ffentlicht.<\/p>\n

\"Jenkins-Schwachstelle<\/a><\/p>\n

Deutschland befindet sich da mit \u00fcber 3.000 Instanzen auch fett dabei. Die Kollegen von Bleeping Computer\u00a0 haben in diesem Artikel<\/a> noch einige Details zum Thema zusammen getragen.<\/p>\n

Akira und die Cisco Anyconnect-Schwachstelle CVE-2020-3259<\/h3>\n

Von TrueSec gibt es einen Artikel mit dem Titel Akira Ransomware and exploitation of Cisco Anyconnect vulnerability<\/a>, der sich mit der Frage befasst, wie die Ransomwaregruppe Akira die Cisco Anyconnect-Schwachstelle CVE-2020-3259 f\u00fcr Cyberangriffe ausnutzt. Ich hatte ja gerade in der Aufbereitung des Vorfalls bei der S\u00fcdwestfalen IT (SIT) das Thema auf dem Tisch.<\/p>\n

Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2<\/a><\/p>\n

Weitere Cisco-Schwachstelle CVE-2024-20253<\/h3>\n

Die Kollegen von Bleeping Computer haben vor einigen Tagen ebenfalls diesen Artikel<\/a> mit einer Warnung vor der Schwachstelle CVE-2024-20253 im Unified Communications Manager (CM) und Contact Center Solutions gewarnt.<\/p>\n

Kritische Confluence RCE-Schwachstelle wird angegriffen<\/h3>\n

In Confluence-Servern gibt es die kritische Schwachstelle CVE-2023-22527<\/a> (CVSS score: 10.0), die seit Dezember 2023 gepatcht sein sollte. Seit Januar 2024 gibt es verst\u00e4rkt Angriffe auf Systeme, bei der diese Schwachstelle ausgenutzt wird. Eine Zusammenfassung findet sich in diesem Artikel<\/a>.<\/p>\n

Fortra GoAnywhere MFT-Schwachstelle ausgenutzt<\/h3>\n

In der Managed File Transfer-Software Fortra GoAnywhere MFT gibt es eine Authentifizierungsschwachstelle CVE-2024-0204<\/a> mit einem CVSS v3.1-Score 9.8, zu der der Anbieter eine Sicherheitswarnung ver\u00f6ffentlicht hat. Diese Schwachstelle ist verst\u00e4rkt im Fokus von Angreifern – die Kollegen von Bleeping Computer haben die Details in diesem Artikel<\/a> zusammen gestellt.<\/p>\n

Kompromittierte SSH-Hosts<\/h3>\n

Ich hatte es nicht im Blog, aber bei SSH-Hosts scheint es ein Problem zu geben. Shadowserver hat einen Bericht<\/a> \u00fcber kompromittierte SSH-Hosts ver\u00f6ffentlicht, auf den in nachfolgendem Tweet<\/a> hingewiesen wird.<\/p>\n

\"Kompromittierte<\/a><\/p>\n

DLL-Proxying in Antivirussoftware<\/h3>\n

DLL-Proxying ist eine spezielle Technik des DLL-Hijacking, die im Mai 2023 im Beitrag Weaponizing DLL Hijacking via DLL Proxying<\/a> beschrieben wurde. Das Thema ist vor wenigen Tagen im Beitrag AV \u2014 When a Friend Becomes an Enemy \u2014 (CVE-2024\u201323940)<\/a> erneut hochgekocht, weil Sicherheitsforscher diese M\u00f6glichkeit zum Aushebeln von Antivirus-Software entdeckt haben.<\/p>\n

\"DLL-Proxying<\/a><\/p>\n

Anbieter Trend Micro will in seinen Produkten Ma\u00dfnahmen gegen diesen Angriffsvektor ergriffen haben. Aber Produkte anderer Hersteller sind angreifbar. Die Redaktion von heise befasst sich im Beitrag DLL Proxying: Trend Micro liefert Updates, weitere Hersteller angreifbar<\/a> mit diesem Thema.<\/p>\n

Ivanti hat Schwierigkeiten mit dem Patchen<\/h3>\n

Gem\u00e4\u00df diesem Artikel<\/a> hat Anbieter Ivanti Probleme den Zeitplan f\u00fcr die Ver\u00f6ffentlichung von Zero-Day-Patches (f\u00fcr die Schwachstellen CVE-2023-46805 \/ CVE-2024-21887, siehe auch meinen Beitrag Tausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a>) einzuhalten.<\/p>\n

WordPress-Plugin 'Better Search Replace' wird angegriffen<\/h3>\n

Zum \u00c4ndern von Eintr\u00e4gen in WordPress-Datenbanken gibt es das Plugin 'Better Search Replace' – habe ich sogar gelegentlich im Einsatz, um Inhalte in der Datenbank auszutauschen. Allerdings l\u00f6sche ich das Plugin nach Gebrauch wieder aus der WordPress-Installation. Die Kollegen von Bleeping Computer meldete<\/a>n vor einigen Tagen, dass 'Better Search Replace' im Fokus von Angreifern steht, die eine nicht gepatchte Schwachstelle ausnutzen, um Seiten zu kompromittieren.<\/p>\n

Sicherheit im Fahrzeugumfeld<\/h2>\n

Im Bereich PKW-Software gab es die Tage zwei Meldungen, die mir so ins Auge gestochen sind. Mercedes ist ein Fehler passiert, so das interne Software -Sourcecodes mit Schl\u00fcsseln per GitHub abrufbar waren. Und auf einem Hackerwettbewerb wurde Teslas-Fahrzeug-Firmware massenweise \u00fcber Sicherheitsl\u00fccken gehackt.<\/p>\n

Das Mercedes Software-Leck<\/h3>\n

Dem Fahrzeughersteller Mercedes ist ein Fehler passiert: Auf Github hochgeladene Daten enthielten auch ein Authentifizierungstoken mit weitgehenden Zugriffsrechten, mit dem sich auch auf Quellcodes des Herstellers zugreifen lie\u00df.<\/p>\n

\"Mercedes<\/p>\n

Ich bin \u00fcber obigen Tweet<\/a> auf das Thema gesto\u00dfen, welches von Golem vor einigen Tagen in diesem Artikel<\/a> aufbereitet wurden. Der initiale Bericht stammt wohl von Techchrunch<\/a>. Ob unbefugte Dritte wirklich Zugriff auf den Quellcode hatten, ist bisher unklar.<\/p>\n

Tesla-Fahrzeuge auf Pwn2Own Tokyo gehackt<\/h3>\n

Die Fahrzeuge von Tesla sind ja fahrende Computer mit ganz viel Firmware, die da werkelt. Und bei ganz viel Firmware sind da auch ganz viele Schwachstellen zu finden. In diesem Beitrag<\/a> berichtete Bleeping Computer, dass Tesla \u00fcber 24 0-days auf der Pwn2Own Automotive 2024 in Tokyo angegriffen wurde. Und in einem zweiten Beitrag<\/a> werden weitere Hacks von Bleeping Computer angesprochen.<\/p>\n

\"Schwachstellen<\/a><\/p>\n

Darkreading hat das in obigem Tweet<\/a> und diesem Artikel<\/a> ebenfalls angesprochen.<\/p>\n

Weitere Security-News<\/h2>\n

Nachfolgend noch einige Sicherheits-News aus weiteren Bereichen.<\/p>\n

BSI-Leitfaden zur sicheren KI-Nutzung<\/h3>\n

Das BSI weist in nachfolgendem Tweet auf einen neu ver\u00f6ffentlichten Leitfaden<\/a> zur sicheren Nutzung von AI-L\u00f6sungen hin.<\/p>\n

\"BSI-Leitfaden<\/a><\/p>\n

Overblocking beim Jugendschutzprogramm<\/h3>\n

Vor einigen Tagen bin ich \u00fcber Tweets<\/a> von Lilith Wittmann zum Thema Jugendschutzprogramm gestolpert. Wittmann hat sich die Details der betreffenden Klassifizierung angesehen und ist zum Schluss gekommen, dass deren Filtersystem schlicht kaputt ist.<\/p>\n

\"Jugendschutzprogramm<\/a><\/p>\n

Die Tweets und ihr Beitrag auf Medium<\/a> sind ganz aufschlussreich. Veraltete Software kann auch noch zur Verbreitung von Schadsoftware f\u00fchren. heise hatte das Ganze in diesem Artikel<\/a> aufgegriffen.<\/p>\n

Das omin\u00f6se MOAB-Datenleck<\/h3>\n

Vor einigen Tagen gab es auf Forbes diesen Artikel<\/a> mit einer Warnung vor einem gigantischen Datenleck mit 26 Milliarden Datens\u00e4tzen. Daten von\u00a0 Dropbox, LinkedIn, Twitter etc. waren in diesem Leck enthalten. Sicherheitsexperten, die sich die Daten angesehen haben, kamen aber zum Schluss, dass da nur Daten aus bekannten Datenlecks zu einer Superdatenbank zusammen gef\u00fchrt wurden – also nichts neues.<\/p>\n","protected":false},"excerpt":{"rendered":"

In den Kommentaren hier im Blog las ich die Tage, \"wenn das so weiter geht, lesen wir t\u00e4glich von Sicherheitsvorf\u00e4llen\". Ich fasse mal einige Sicherheitsmeldungen der letzten Tage zu einem Sammelbeitrag zusammen, weil der Blog sonst mit Einzelmeldungen platzen w\u00fcrde. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291171","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291171","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291171"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291171\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291171"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291171"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291171"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}