{"id":295565,"date":"2024-05-24T16:35:33","date_gmt":"2024-05-24T14:35:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295565"},"modified":"2024-05-26T19:45:19","modified_gmt":"2024-05-26T17:45:19","slug":"sicherheitsmeldungen-zum-24-mai-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/24\/sicherheitsmeldungen-zum-24-mai-2024\/","title":{"rendered":"Sicherheitsmeldungen zum 24. Mai 2024"},"content":{"rendered":"

\"SicherheitZum Wochenabschluss noch ein kleiner Sammelbeitrag zu diversen Sicherheitsvorf\u00e4llen und Meldungen, die mir die Tage untergekommen sind. LockBit wollte Telekom-Daten von einem Cyberangriff \u00f6ffentlich machen. BitBuckets kann Authentifizierungsinformationen als Klartext leaken. Bei QNAP gibt es eine 0-day-Schwachstelle, f\u00fcr die jetzt ein \u00f6ffentlicher RCE-Exploit bekannt wurde. Bei Confluence Data Center und Server ist ebenfalls eine RCE-Schwachstelle bekannt geworden.<\/p>\n

<\/p>\n

 <\/p>\n

RCE-Exploit f\u00fcr QNAP QTS Zero-Day-Schwachstelle<\/h2>\n

\"\"Eine umfassende Sicherheits\u00fcberpr\u00fcfung von QNAP QTS hat k\u00fcrzlich wohl f\u00fcnfzehn Schwachstellen unterschiedlichen Schweregrades aufgedeckt, von denen elf noch nicht behoben sind. Kritisch ist die Stack-Overflow-Schwachstelle\u00a0 CVE-2024-27130, in der Funktion \"No_Support_ACL\" von \"share.cgi\", die es einem Angreifer erm\u00f6glichen k\u00f6nnte, Remotecodeausf\u00fchrung durchzuf\u00fchren, wenn bestimmte Voraussetzungen erf\u00fcllt sind. In der Share-Funktion des NAS QNAP-Betriebssystems QTS gibt es eine 0-Day-Schwachstelle, f\u00fcr die nun ein \u00f6ffentlicher Exploit bekannt wurde, der eine Remote Code-Ausf\u00fchrung (RCE) erm\u00f6glicht. Die Details lassen sich bei Bleeping Computer im Beitrag QNAP QTS zero-day in Share feature gets public RCE exploit<\/a> nachlesen.<\/p>\n

Confluence RCE-Schwachstelle\u00a0 CVE-2024-21683<\/h2>\n

Im Confluence Data Center und Server wurde eine Remote Code Execution-Schwachstelle CVE-2024-21683 (CVSS 8.3) bekannt. Diese erlaubt einem authentifizierten Angreifer, ohne Benutzerinteraktion, beliebigen Code auszuf\u00fchren. Damit hat die Schwachstelle eine hohe Auswirkung auf die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit. Confluence hat die Details in diesem Support-Beitrag<\/a> offen gelegt. \u00dcber die Plattform hunter.how werden gem\u00e4\u00df folgendem Tweet 1,7 Millionen Instanzen gefunden.<\/p>\n

<\/a><\/p>\n

Linguistic Lumberjack in Fluent Bit gef\u00e4hrdet Cloud-Anbieter<\/h2>\n

Fluent Bit ist eine Protokollierungs- und Metrikl\u00f6sung f\u00fcr Windows, Linux und macOS. Diese wird in die wichtigsten Kubernetes-Distributionen (inclusive von Amazon AWS, Google GCP und Microsoft Azure) eingebettet. Bis M\u00e4rz 2024 wurde Fluent Bit mehr als 13 Milliarden Mal heruntergeladen und bereitgestellt, wie Bleeping Computer hier schreibt<\/a>. Fluent Bit ist auch bei Crowdstrike und Trend Micro sowie bei Cisco, VMware, Intel, Adobe und Dell in Verwendung.<\/p>\n

Die Sicherheitsforscher von Tenable haben im Produkt die Schwachstelle CVE-2024-4323 entdeckt und nennen sie und Linguistic Lumberjack. Es handelt sich um eine kritische Speicherfehlfunktion, die mit der Version 2.0.7 eingef\u00fchrt wurde und einen Heap-Puffer\u00fcberlaufs im eingebetteten HTTP-Server von Fluent Bit beim Parsen von Trace-Anfragen verursacht.<\/p>\n

Nicht authentifizierte Angreifer k\u00f6nnen die Sicherheitsl\u00fccke ausnutzen, um einen Denial-of-Service auszul\u00f6sen oder vertrauliche Informationen remote abzufangen. Denkbar ist auch eine Remote-Code-Ausf\u00fchrung, wenn die Angreifer die richtigen Bedingungen und gen\u00fcgend Zeit haben, einen zuverl\u00e4ssigen Exploit zu erstellen. Tenable hat die Details im Blog-Beitrag Linguistic Lumberjack: Attacking Cloud Services via Logging Endpoints (Fluent Bit – CVE-2024-4323)<\/a> offen gelegt.<\/p>\n

Bitbucket-Artefaktdateien leaken Authentifizierung<\/h2>\n

Bitbucket ist ein Git-kompatibles, webbasiertes Versionskontroll-Repository und ein Hosting-Dienst, der von Atlassian betrieben wird und Entwicklern eine Plattform f\u00fcr Code-Management und Zusammenarbeit bietet. Sicherheitsforscher von Mandiant haben entdeckt, dass Angreifer mithilfe von geheimen Authentifizierungsinformationen\u00a0 in AWS-Konten eingedrungen sind. Die geheimen Authentifizierungsinformationen konnten als Klartext in Atlassian Bitbucket-Artefaktobjekten ausgelesen werden. Die Details lassen sich in diesem Artikel<\/a> bei Bleeping Computer nachlesen.<\/p>\n

Rockwell fordert ICS offline zu nehmen<\/h2>\n

Es ist ein Problem, dass industrielle Kontrollsysteme (ICS), die nie f\u00fcr einen Online-Betrieb entwickelt wurden, in Unternehmen doch per Internet erreichbar gemacht werden. Rockwell Automation hat seine Kunden gewarnt, und aufgefordert, alle industriellen Kontrollsysteme (ICS), die nicht f\u00fcr den Online-Zugriff konzipiert sind, vom Internet zu trennen. Hintergrund ist, das Angriffe auf ICS weltweit zunehmen. Die Kollegen von Bleeping Computer haben das Thema in diesem Artikel<\/a> aufgegriffen.<\/p>\n

GhostEngine deaktiviert EDR<\/h2>\n

GhostEngine ist eine b\u00f6sartige Nutzlast, die in einer Krypto-Mining-Kampagne mit dem Codenamen \"REF4578\" verwendet wird. Diese Schadsoftware nutzt anf\u00e4llige Treiber, um\u00a0 Sicherheitsprodukte abzuschalten und einen XMRig-Miner auf den Systemen zu installieren. Forscher von Elastic Security Labs und Antiy haben\u00a0 das Vorgehen dokumentiert – auch hier m\u00f6chte ich auf den Beitrag von Bleeping Computer<\/a> f\u00fcr Details verweisen.<\/p>\n

LLM Kryptonite Bug in AI-L\u00f6sungen<\/h2>\n

Dann gibt es noch den Beitrag I stumbled upon LLM Kryptonite \u2013 and no one wants to fix this model-breaking bug<\/a> auf The Register, wo jemand sich diverse AI-L\u00f6sungen der \"f\u00fchrenden Anbieter\" vorgenommen hat und auf erschreckende Schwachstellen gesto\u00dfen ist. Mit den gefundenen Bugs kann er die LLM wie ChatGPT jederzeit abst\u00fcrzen lassen. Er hat die Bugs den Herstellern gemeldet, aber passiert ist genau nichts.<\/p>\n

Datenleck im EU-Parlament<\/h2>\n

Beim EU-Parlament hat es nach Informationen des Spiegel<\/a> ein gro\u00dfes Datenleck gegeben. \u00dcber eine Personal-App der Verwaltung des EU-Parlaments konnten Hacker Daten abziehen. Dahinter k\u00f6nnte eine Attacke aus Russland stecken, hei\u00dft es. Erg\u00e4nzung: Bei heise ist es hier aufgegriffen<\/a> worden – betroffen sind Mitarbeiterdaten (Strafregister, Reisep\u00e4sse etc.). Einfach nur \"nice\" – f\u00fcr die Betroffenen schlecht, aber es rappelt an den Schaltstellen der EU-Gesetzgebung, das ist immer gut im Sinne einer \"Aufmerksamkeitsschwelle\", wenn es dort \"Betroffene\" gibt.<\/p>\n

Storm-1811 missbraucht Quick Assist<\/h2>\n

Microsoft Threat Intelligence beobachtet seit Mitte April 2024, dass der Bedrohungsakteur Storm-1811 das Client-Management-Tool Quick Assist missbraucht. Benutzer werden in Social-Engineering-Angriffen angesprochen, um die Black Basta Ransomware zu installieren. Microsoft hat das Ganze im Detail im Blog-Beitrag Threat actors misusing Quick Assist in social engineering attacks leading to ransomware<\/a> ver\u00f6ffentlicht.<\/p>\n

\"Storm-1811<\/a><\/p>\n

LKA-Warnung vor Cyberangriffen \u00fcber Office 365<\/h2>\n

Das Landeskriminalamt Nordrhein-Westfalen warnt<\/a> vor m\u00f6glichen Cyberangriffen \u00fcber Outlook und die Dokumentenverwaltung von Office 365. Bei heise gab es die Tage den Beitrag Polizei warnt vor Cyberangriffen \u00fcber Office 365<\/a> zu diesem Thema. Hier im Blog hatte ich das Thema zum 12. Mai 2024 im Beitrag Phishing-Welle auf Microsoft 365, benutzt die Adobe-Cloud<\/a> eingestellt.<\/p>\n

Ransomware nutzt BitLocker<\/h2>\n

Es ist auch eine nette Geschichte: Datei- und Laufwerksverschl\u00fcsselung durch Microsofts Bitlocker – soll NSA-fest sein. Gerade bei The Register auf den Artikel Here's yet more ransomware using BitLocker against Microsoft's own users<\/a> gesto\u00dfen. Einfach k\u00f6stlich, das neue Windows-Feature hei\u00dft ShrinkLocker und wurde von Ransomware-Gruppen genutzt, um Daten von Stahl- und Impfstoffherstellern zu verschl\u00fcsseln, den Decryption-Key zu stehlen und dann von den Opfern eine Zahlung zu erpressen.<\/p>\n

Das Global Emergency Response Team des Antivirenherstellers Kaspersky entdeckte ShrinkLocker in Mexiko, Indonesien und Jordanien und sagte, dass die ungenannten Angreifer es auf Unternehmen der Stahl- und Impfstoffherstellung sowie auf eine Regierungsbeh\u00f6rde abgesehen haben.<\/p>\n

Meta will KI mit Nutzerdaten trainieren<\/h2>\n

Facebook-Konzern Meta plant die Daten seiner Nutzer in einer eigenen KI zum Training zu verwenden. Leser Marcel hat mich per Mail darauf hingewiesen – und das Thema ist mir auch auf Facebook untergekommen. Meta (Facebook) entwickelt auch eine Generative AI \/ LLM und ben\u00f6tigt nat\u00fcrlich (Nutzer)Daten. Dazu werden u.a. Daten aus Facebook herangezogen.<\/p>\n

Facebook Benutzer und Unternehmen haben die M\u00f6glichkeit aus dem Gen AI-Programm auszusteigen, so dass Bild-Informationen und Captions zu der Person nicht genutzt werden sollen. In ihrer Erkl\u00e4rung ist Meta nicht wirklich transparent. Im Zuge des EU AI Act wird es spannend, wie US Unternehmen mit dieser EU Verordnung umgehen werden, meint Marcel dazu.<\/p>\n

Bei heise wurde es im Artikel KI-Training: Meta erlaubt Widerspruch zu Datenverwendung \u2013 mit Einschr\u00e4nkungen<\/a> aufgegriffen. Das Facebook-Widerspruchsformular l\u00e4sst sich hier<\/a> ausf\u00fcllen.<\/p>\n

Betrug mit Deutschland-Ticket und Kontodaten<\/h2>\n

Das Deutschlandticket l\u00e4sst sich nur online buchen. Aber so gut wie alle Verkehrsbetriebe leiden beim Verkauf dieses Tickets unter massenhaftem Betrug. F\u00fcr die Bezahlung werden gestohlene Kontendaten angegeben, worauf die Konteninhaber die Abbuchung r\u00fcckg\u00e4ngig machen. In dieser Mitteilung<\/a> ist die Rede von 15.000 R\u00fcckbuchungen – heise hat das Thema in diesem Artikel<\/a> aufgegriffen.<\/p>\n

Fortinet FortiSIEM (CVE-2023-34992)<\/h2>\n

In\u00a0 Fortinet FortiSIEM gibt es eine Command Injection-Schwachstelle CVE-2023-34992. \u00dcber nachfolgenden Tweet von Nicolas Krassas bin ich auf den Deep-Dive-Beitrag CVE-2023-34992: Fortinet FortiSIEM Command Injection Deep-Dive<\/a> von horion3.ai mit mehr Details gesto\u00dfen.<\/p>\n

\"<\/a><\/p>\n

Flughafen Hamburg: \u00dcberwachungssystem infiltriert<\/h2>\n

Die Kollegen von Golem berichteten im Beitrag Cyberangriff trifft Flughafen Hamburg<\/a>, dass eine Hackergruppe namens Just Evil das \u00dcberwachungssystem des Flughafens infiltriert habe. Die Gruppe hat auf Telegram Screenshots von dem infiltrierten \u00dcberwachungssystem geteilt. (via<\/a>)<\/p>\n

Wireshark-Update schlie\u00dft Sicherheitsl\u00fccke<\/h2>\n

Im Netzwerkanalysetool Wireshark gab es eine Sicherheitsl\u00fccke, die DoS-Angriffe erm\u00f6glichte. Diese Schwachstelle wurde durch ein Sicherheitsupdate der Software geschlossen, wie heise in diesem Beitrag<\/a> ausf\u00fchrt.<\/p>\n

Windows-Sicherheitsproblem: Admin-Rechte der Nutzer<\/h2>\n

Noch ein Infosplitter: Microsoft pustet ja die Backen m\u00e4chtig auf, was die Verbesserung der Sicherheit in Windows 11, mit Copilot+PC etc. betrifft. Und dann kommt jemand mit einer Nadel und piekst den aufgepusteten Ballon an, so dass dieser platzt und mit einem Knall ist die \"Luft raus\". Ich spiele hier auf den Microsoft-Beitrag New Windows 11 features strengthen security to address evolving cyberthreat landscape<\/a> im Microsoft Security-Blog an. Da wird m\u00e4chtig \u00fcber Sicherheit geschwurbelt und wie toll man sei.<\/p>\n

\"Windows-Sicherheit\"<\/a><\/p>\n

Die \"Nadel\" zum Pieksen kommt \u00fcber obigen Tweet von Panu Saukko, der das Kernproblem aus der Textwand herausgezogen hat. \"Die meisten Leute arbeiten unter einem Administratorkonto\", hei\u00dft es dort. Und warum? Zwei Antworten von mir:<\/p>\n