{"id":291637,"date":"2024-02-08T08:43:39","date_gmt":"2024-02-08T07:43:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291637"},"modified":"2024-02-19T19:12:49","modified_gmt":"2024-02-19T18:12:49","slug":"sammelbeitrag-sicherheitsvorflle-und-meldungen-8-2-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/08\/sammelbeitrag-sicherheitsvorflle-und-meldungen-8-2-2024\/","title":{"rendered":"Sammelbeitrag: Sicherheitsvorfälle und -Meldungen (8.2.2024)"},"content":{"rendered":"

\"SicherheitAktuell schwappt eine Welle an Meldungen zu Sicherheitsvorf\u00e4llen durch das Internet, die eine regelrecht erschl\u00e4gt. Das reicht vom Nonsense DDoS-Angriff \"vernetzter Zahnb\u00fcrsten\", zu Cybervorf\u00e4llen bei franz\u00f6sischen Gesundheitsdienstleistern oder Datenschutzvorf\u00e4llen bei deutschen Beh\u00f6rden. Und der Bundesrat will Firmen wie Microsoft in die Pflicht nehmen, dass deren Produkten DSGVO-konform sind. Ich habe einige F\u00e4lle, die mir gerade untergekommen sind, in einem Sammelbeitrag zusammen getragen.<\/p>\n

<\/p>\n

Die Zahnb\u00fcrsten und der DDoS-Angriff<\/h2>\n

\"\"Es war eine \"Gaga-Meldung\", die durchs Internet fegt: Cyberkriminelle h\u00e4tten schon rund 3 Millionen smarte Zahnb\u00fcrsten mit einer Schadsoftware infiziert, um die vernetzten Ger\u00e4te in Botnetze einzugliedern und damit DDoS-Angriffe auf verschiedene Onlinedienste auszuf\u00fchren. Golem hat das mit Verlinkungen auf diverse Quellen (u.a. die Aargauer Zeitung als Ursprung) hier aufgegriffen<\/a>.<\/p>\n

\"DDoS-Angriff<\/a><\/p>\n

Kevin Beaumont weist in obigem Tweet darauf hin, dass diese Geschichte \u00fcber Zahnb\u00fcrsten, die einen DDoS ausl\u00f6sen, fabriziert haben, wohl von Fortinet lanciert wurde (\u00fcber Fortinet habe ich gerade was im Beitrag Niederlande: Milit\u00e4rnetzwerk \u00fcber FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen<\/a> geschrieben). Die Firma weigerte sich, diese Geschichte zu kommentieren, aber deren Aktienkurs schoss pl\u00f6tzlich in die H\u00f6he, hei\u00dft es im Tweet. Sicherheitsforscher Beaumont verlinkt auf diesen Beitrag<\/a> von Bleeping Computer, dessen Kurzfassung besagt, dass keine 3 Millionen elektrische Zahnb\u00fcrsten f\u00fcr einen DDoS-Angriff verwendet wurden. Lawrence Abrams weist darauf hin, dass die Annahme, dass elektrische Zahnb\u00fcrsten mit Malware gehackt wurden, um DDoS-Angriffe (Distributed Denial of Service) durchzuf\u00fchren, wahrscheinlich ein hypothetisches Szenario und kein tats\u00e4chlicher Angriff ist. Bleeping Computer hat eine Erkl\u00e4rung von Fortinet erhalten, die das best\u00e4tigt.<\/p>\n

Sicherheitsupdates von Cisco, Fortinet, VMware<\/h2>\n

Von den drei genannten Anbietern Cisco, Fortinet und VMwaregibt es wohl neue Sicherheits-Updates, die Nutzer dringend einspielen sollten, da gravierende Gefahren durch die \u00dcbernahme der Systeme drohen. Das geht aus nachfolgendem Tweet hervor, der mir heute fr\u00fch untergekommen ist.<\/p>\n

\"Sicherheitsupdates<\/a><\/p>\n

The Hacker News hat in diesem Artikel<\/a> die relevanten Informationen zu diesen Schwachstellen und den erforderlichen Updates zusammen gefasst. Cisco patcht drei Schwachstellen – CVE-2024-20252 und CVE-2024-20254 (CVSS-Score: 9.6) und CVE-2024-20255 (CVSS-Score: 8.2) – die sich auf die Cisco Expressway Series auswirken und es einem nicht authentifizierten, entfernten Angreifer erm\u00f6glichen k\u00f6nnten, Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuf\u00fchren.<\/p>\n

Fortinet hat von Updates ver\u00f6ffentlicht, um Umgehungen f\u00fcr eine zuvor bekannt gegebene kritische Schwachstelle (CVE-2023-34992, CVSS-Score: 9.7) in FortiSIEM Supervisor zu beheben. Diese kann laut dem Horizon3.ai-Forscher Zach Hanley zur Ausf\u00fchrung von beliebigem Code f\u00fchren. VMware warnt vor f\u00fcnf mittelschweren bis schwerwiegenden Fehlern in Aria Operations for Networks (ehemals vRealize Network Insight). Details finden sich im The Hacker News-Beitrag.<\/p>\n

Datenpannen bei Gesundheitsdienst und Beh\u00f6rden<\/h2>\n

Dann hat es noch einen Cyberangriff auf den franz\u00f6sischen Gesundheitsdienst Viamedis gegeben, bei dem pers\u00f6nliche Daten von Versicherten abgezogen wurden. Das geht aus nachfolgendem Tweet<\/a> hervor, der gleichzeitig auf einen zweiten Vorfall bei Almerys hinweist.<\/p>\n

\"Cyberangriff<\/a><\/p>\n

CSOnline hat zu Viamedis mehr Details in diesem Beitrag<\/a> zusammen getragen. Ein weiterer Beitrag dazu findet sich auf Bleeping Computer<\/a>. Erg\u00e4nzung:<\/strong> Bleeping Computer schreibt hier<\/a>, dass der Datenschutzvorfall bei Viamedis und Almerys insgesamt 33 Millionen Franzosen betrifft. Sind aber halt \"blo\u00df Gesundheitsdaten\" – da warten wir doch gespannt auf die super sichere deute ePA, da kriegen wir 70 Millionen GKV-Versicherte zusammen.<\/p>\n

Blog-Leser Patrick sowie Honkhase weisen auf einen Datenskandal in L\u00f6rrach hin. Personenbezogene Daten von Grundbesitzern waren nach SWR-Recherchen offen im Internet abrufbar. Details finden sich in diesem SWR-Bericht<\/a>.<\/p>\n

Festes Passwort in Firmware von W\u00e4rmepumpen<\/h2>\n

Bolko hatte bereits zum 5. Februar 2024 im Diskussionsbereich auf ein Problem in der Firmware von W\u00e4rmepumpen diverser Hersteller hingewiesen. Die Firmware der Hersteller von W\u00e4rmepumpen (Alpha Inntotec<\/a>, Novelan<\/a> und deren OEMs AIT-Deutschland und Nathan\/NIBE) weist im Luxtronic-Controller ein fest kodiertes Passwort (\"eschi\") auf, dass root-Rechte gew\u00e4hrt. Ein Nutzer mit dem Alias Jaarden hat das Ganze auf Github in diesem Beitrag<\/a> offen gelegt.<\/p>\n

Per RS-45-Netzwerk-Schnittstelle w\u00e4ren die Ger\u00e4te so manipulierbar. Bolko erw\u00e4hnt, dass, dank des laufenden ssh-Dienstes, die W\u00e4rmepumpen dieser Hersteller von au\u00dfen \u00fcber das Internet erreichbar\u00a0 sind. Ein Angreifer k\u00f6nnte dann die Temperatur umstellen oder das Ger\u00e4t abschalten. Laut der der Suchmaschine Shodan lassen sich 47 angreifbare W\u00e4rmepumpen im Internet finden.<\/p>\n

Die Benachrichtigung \u00fcber die Schwachstelle erfolgte bereits am 13.Juni 2023 an die Hersteller. Die Schwachstelle CVE-2024-22894 wurde erst am 30.Januar 2024 ver\u00f6ffentlicht. Der OEM AIT hat wohl einen Fix f\u00fcr die Ger\u00e4te entwickelt, der aber nicht automatisch verteilt wird, sondern manuell heruntergeladen und installiert werden muss. Alle Firmware-Versionen des Luxtronic-Controller vor den Versionen V2.88.3, V3.89.0 und V4.81.3 sind verwundbar. Bei heise gibt es aktuell diesen Beitrag<\/a> mit Erl\u00e4uterungen zum Update der Firmware f\u00fcr Alpha Innotec- und Novelan-W\u00e4rmepumpen.<\/p>\n

QNAP mit Firmware-Updates<\/h2>\n

NAS-Hersteller QNAP hat eine Reihe Firmware-Updates ver\u00f6ffentlicht. Details dazu gibt es bei heise in diesem Beitrag<\/a>.<\/p>\n

Weitere Nachrichten<\/h2>\n

Abschlie\u00dfend noch Themen, die irgendwie in den Bereich Sicherheit hinein passen. Der Bundesrat m\u00f6chte Softwarefirmen in die Pflicht nehmen, DSGVO-konforme Produkte bereitzustellen. Und die CANN hat die Top-Level-Domain .internal<\/em> vorgeschlagen.<\/p>\n

Anbieter sollen f\u00fcr DSGVO haften<\/h3>\n

Bisher ist es so geregelt, dass Anwender f\u00fcr DSGVO-Verst\u00f6\u00dfe durch die eingesetzte Software haften. Zum Problem wird dies, wenn Software angeboten wird, die per se nicht DSGVO-konform ist. Hier wird jeder spontan an Microsofts Office 365 und weitere Cloud-L\u00f6sungen oder auch Windows denken, die von der deutschen Datenschutzkonferenz als nicht DSGVO-konform eingestuft wurden.<\/p>\n

Andererseits zeigen der EU Digital Service Act und Digital Markets Act, dass sich die US-Hersteller bewegen und es gesetzliche Auflagen gibt. Erw\u00e4hnt sei die Anpassung von Windows, so dass sich die Bing-Suche und der Edge-Browser deinstallieren lassen. Auch der Microsoft Copilot wird in der EU nicht einfach so auf die Anwender losgelassen.<\/p>\n

Die Tage ging die Meldung durch IT-Medien (heise hat hier<\/a> berichtet, deskmodder hat es hier<\/a> angesprochen), dass die L\u00e4ndervertreter im Bundesrat die Anbieter von Software – vor allem zielt das auf Microsoft – in die Pflicht nehmen, ihre Produkte DSGVO-konform zu gestalten. heise formuliert es so, dass Anbieter wie Microsoft f\u00fcr die Einhaltung der DSGVO in ihren Produkten haften sollen. Der Beschluss des Bundesrats vom 2.2.2024 ist als PDF-Dokument<\/a> abrufbar. Die Interpretation lest ihr in den beiden verlinkten Medien nach – bin gespannt, ob das in die 2024 stattfindenden EU-Evaluierung zur DSGV einflie\u00dfen wird.<\/p>\n

ICANN schl\u00e4gt TLD .internal vor<\/h3>\n

Zum 26. Januar 2024 hatte ich im Blog-Beitrag FRITZ!Box-Problem: Eingabe der URL fritz.box leitet pl\u00f6tzlich auf externe Seite um<\/a> \u00fcber ein Problem berichtet, welches Besitzer einer FRITZ!Box von AVM plagen konnte. Versuchten die Nutzer die Oberfl\u00e4che der FRITZ!Box \u00fcber die Angabe der URL fritz.box <\/em>zu erreichen, landeten sie nicht auf der Oberfl\u00e4che des Ger\u00e4ts sondern wurden zu einer externen Webseite weitergeleitet. Jemand hatte sich die URL fritz.box <\/em>abgegriffen und dort eine Webseite aufgesetzt.<\/p>\n

Normalerweise ist das in internen Netzwerken kein Problem, weil die FRITZ!Box den Verkehr auf fritz.box <\/em>intern auf die FRITZ!OS-Oberfl\u00e4che umleitet und keine externe DNS-Aufl\u00f6sung vornimmt. Im aktuellen Fall war es aber so, dass externe Zugriffe auf die FRITZ!Box umgeleitet wurden – was vor allem auch f\u00fcr Apps ein Problem darstellen kann.<\/p>\n

Mir ist Ende Januar 2024 bereits bei The Register der Beitrag ICANN proposes creating .INTERNAL domain to do the same job as 192.168.x.x<\/a> aufgefallen, der sich mit einem seit 2020 bestehenden Vorschlag<\/a> des ICANN Security and Stability Advisory Committee (SSAC) f\u00fcr private Top Level Domains (.tld) befasst. Konkret hat die Zentralstelle f\u00fcr die Vergabe von Internet-Namen und -Adressen (ICANN) die Einrichtung der neuen Top-Level-Domain (TLD)\u00a0 .INTERNAL vorgeschlagen. Diese .INTERNAL TLD soll die Rolle des der IPv4-Block 192.168.x.x \u00fcbernehmen und f\u00fcr den internen Gebrauch reserviert bleiben. Damit w\u00fcrde diese TLD niemals in das Domain Name System (DNS) oder eine andere Infrastruktur eingebunden werden. Damit w\u00fcrde nicht zugelassen, dass URLs aus diesem TLD zum Stammverzeichnis des globalen Domain-Namen-Systems (DNS) delegiert werden. Damit w\u00e4ren von dieser TLD keine Zugriffe vom offenen Internet aus m\u00f6glich.<\/p>\n

Mozilla wirft MS beim Edge Dark-Pattern-Verwendung vor<\/h3>\n

Noch eine Geschichte vom Monatsanfang. Die Entwickler von Mozilla werfen Microsoft vor, Dark Patterns einzusetzen, um Windows-Nutzer zu Microsoft Edge als Browser zu treiben. Unter Dark Patterns verstehen die Mozilla-Leute\u00a0 Designelemente, die Menschen zu bestimmten Entscheidungen dr\u00e4ngen sollen. The Register hat das Thema in diesem Beitrag<\/a> aufbereitet.<\/p>\n

NOYB obsiegt gegen Adressh\u00e4ndler Acxiom und Kreditauskunftei CRIF<\/h3>\n

Ich hatte im Blog-Beitrag DSGVO und die \"Ohnmacht\" der Datenschutzbeh\u00f6rden gegen\u00fcber Firmen \u2013 Teil 1<\/a> den Fall aufgegriffen, dass die deutschen Datenschutzbeh\u00f6rden im Verfahren wegen Datenschutzverst\u00f6\u00dfen gegen den Adressh\u00e4ndler Acxiom versagen. Dieser hatte Daten an die Scoring-Agentur CRIF verkauft. Das war laut der Organisation noyb rechtwidrig, weil diese Daten urspr\u00fcnglich nur zu Marketingzwecken erhoben wurden. Der Anbieter CRIF sie aber zur Einsch\u00e4tzung der Kreditw\u00fcrdigkeit verwendet. Die Beschwerden bei den Landesdatenschutzbeh\u00f6rden in Hessen und Bayern verliefen aber zwei Jahre im Sande, bzw. Anw\u00e4lte der Firmen verhinderten die Aufarbeitung.<\/p>\n

Nun wies Norddeutsch im Diskussionsbereich (ich hatte es auch von noyb als Tweet gesehen) darauf hin, dass Max Schrems mit noyb einen Teilerfolg errungen hat. Wie Netzpolitik hier berichtet<\/a>, hat noyb bei der bayerischen Datenschutzbeh\u00f6rde einen Erfolg errungen. Die Beh\u00f6rde stellte fest, dass die Kreditauskunftei CRIF personenbezogene Daten zweckentfremdet und somit die Datenschutz-Grundverordnung verletzt habe. D\u00fcrfte dann einen Bescheid geben, der eine Grundsatzentscheidung darstellt. Es bewegt sich also was, wenn auch langsam.<\/p>\n

Meta darf Konto nicht ohne weiteres sperren<\/h3>\n

Noch ein Informationssplitter, der mich sofort getriggert hat. Bei Facebook teilt mit deren KI ja h\u00e4ufiger mit, dass die von mir geposteten Hinweise mit Links auf Beitr\u00e4ge hier im Blog \"gegen Gemeinschaftsstandards versto\u00dfen w\u00fcrden\". Es wird auch schon mal eine Kontensperre angedroht. Sind zwar alles \"Fehlarme\", und oft hei\u00dft es beim Versuch, die beanstandeten Beitr\u00e4ge zu inspizieren \"nein, alles in Ordnung\". Bots, die massenhaft in meinen Facebook-Posts einschlagen und kommentieren \"hast Du einen Sicherheitsvorfall, kontaktiere xyz und dir wird geholfen\", werden von den Facebook-Algorithmen in meine Zeitleiste gesp\u00fclt und ich darf die melden sowie manuell l\u00f6schen.<\/p>\n

In diesem Kontext habe ich das Urteil des OLG Dresden zu Facebook-Kontensperren mit Interesse gelesen. \"Die Deaktivierung eines Nutzerkontos in Sozialen Netzwerke ist ohne Anh\u00f6rung des Users nur in besonderen F\u00e4llen zul\u00e4ssig.\", schreibt heise in diesem Artikel<\/a>. Der Betroffene muss angeh\u00f6rt werden, sofern nicht besonders schwere Verst\u00f6\u00dfe gegen die Gemeinschaftsstandards beziehungsweise strafbare Handlungen vorliegen. Obwohl, ganz ketzerisch: In Deutschland kann es ja schon strafbar sein, \u00fcber Sicherheitsl\u00fccken zu berichten, wie wir im Fall Modern Solutions gesehen haben.<\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell schwappt eine Welle an Meldungen zu Sicherheitsvorf\u00e4llen durch das Internet, die eine regelrecht erschl\u00e4gt. Das reicht vom Nonsense DDoS-Angriff \"vernetzter Zahnb\u00fcrsten\", zu Cybervorf\u00e4llen bei franz\u00f6sischen Gesundheitsdienstleistern oder Datenschutzvorf\u00e4llen bei deutschen Beh\u00f6rden. Und der Bundesrat will Firmen wie Microsoft in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291637","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291637"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291637\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}