![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich nehme alles zur\u00fcck und behaupte das Gegenteil. Gerade ist mir eine Warnung des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) unter die Augen gekommen, indem vor einer Schwachstelle in Check Point Security Gateways gewarnt wird. Blog-Leser waren \u00fcber diese Schwachstelle informiert. Aber es gibt den Verdacht, dass genau diese Schwachstelle der CDU beim Cyberangriff, der zum Wochenende bekannt wurde, zum Verh\u00e4ngnis wurde.<\/p>\n
<\/p>\n
Ein Advisory<\/a> sowie ein Sicherheitsfix f\u00fcr betroffene Produkte (CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances), der diese Schwachstelle entsch\u00e4rft, ist seit dem 26. Mai 2024 verf\u00fcgbar (Check Point gibt aber nur Kunden entsprechende Informationen und das Update heraus). Im Advisory gibt Check Point auch ein Script an, um eine Liste der Security Gateways\/Cluster anzuzeigen, die IPSec VPN, Remote Access VPN oder Mobile Access Blade aktiviert haben. Erg\u00e4nzung:<\/strong> Es gibt diesen Beitrag<\/a> vom 30. Mai 2024, der weitere Details zur Schwachstelle verr\u00e4t.<\/p>\n Die Schwachstelle wird von Angreifern seit Ende April 2024 ausgenutzt. Diese stehlen Active Directory-Daten, um Zugriffe auf Netzwerke der Opfer zu erhalten und sich im Netzwerk weiter umzusehen. Scheint aber alles nicht wirklich von Interesse f\u00fcr die Leserschaft zu sein, denn der Beitrag Check Point Remote VPN Sicherheitsupdate f\u00fcr CVE-2024-24919<\/a> wurde \"\u00e4u\u00dferst sp\u00e4rlich\" abgerufen.<\/p>\n Das Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt in einer Mitteilung Check Point Security Gateways: Abfluss von Zugangsdaten m\u00f6glich<\/a> vom 3. Juni 2024 vor der Schwachstelle CVE-2024-24919. Ich bin \u00fcber nachfolgenden Tweet auf diesen Sachverhalt gesto\u00dfen.<\/p>\n Das BSI-Dokument hier<\/a> enth\u00e4lt weitere Informationen rund um diesen Themenkomplex.<\/p>\n Und an dieser Stelle wird es nun echt interessant. Im Blog-Beitrag Cyberangriff auf das CDU-Netzwerk<\/a> hatte ich \u00fcber den am Wochenende bekannt gewordenen Cyberangriff berichtet. Dort hatte ich mich auch dar\u00fcber mokiert, dass au\u00dfer Binsen und Worth\u00fclsen (Staatschutz ermittelt, Innenministerin telefoniert mit Merz, die \u00fcber diesen \"schwerwiegenden Cyberangriff\", alle Schutzma\u00dfnahmen gegen digitale und hybride Bedrohungen wurden hochgefahren etc.) nicht genaues verraten wurde.<\/p>\n Nun berichtet heise, unter Berufung auf Insider, im Artikel CDU-Angriff: L\u00fccke in Check Point Gateway soll Einfallstor gewesen sein<\/a>, was wohl wirklich Sache war. Mit der Formulierung \"der bekanntgewordene Cyber-Angriff auf die CDU-Parteizentrale erfolgte laut gut unterrichteten Kreisen unter Ausnutzung einer Schwachstelle in Check Point Network Security Gateway\". Das Ganze soll in Kombination mit einem Phishing-Angriff, so ein Insider, dann ausgenutzt worden sein.<\/p>\n Das ist der Punkt, wie ich vorsichtshalber schreibe \"ich nehme alles zur\u00fcck und behaupte das Gegenteil\". Sofern obige Inside-Information zutrifft, ist meine im Blog-Beitrag Cyberangriff auf das CDU-Netzwerk<\/a> ge\u00e4u\u00dferte Vermutung, dass ranzige Software die Ursache war, m\u00f6glicherweise unzutreffend. Ich schreibe \"m\u00f6glicherweise\", weil die spannende Frage lautet: Wann fand der Angriff auf das CDU-Netzwerk statt. Sofern das vor dem 27. Mai 2024 der Fall war, w\u00e4re eine 0-Day-Schwachstelle ausgenutzt worden. Erfolgte der Angriff aber nach dem 27. Mai 2027, w\u00e4re eine \"ranzige\" (weil nicht upgedatete) Schwachstelle das Einfallstor.<\/p>\n Und es gibt noch eine \"ranzige\" Stelle, die mir ins Auge gesprungen ist. So ganz spontan geht mir bei den Begriffen Schwachstelle in Check Point Security Gateway (Check Point Remote Access VPN) in Kombination mit einem Phishing-Angriff die Frage: \"Wer hat das abgesichert?\" durch den Kopf. Denn der oben skizzierte Angriff funktioniert imho nur bei einer Authentifizierung mittels Benutzername und Kennwort. Dazu aus dem Check Point-Beitrag Important Security Update \u2013 Stay Protected Against VPN Information Disclosure (CVE-2024-24919)<\/a><\/p>\n The vulnerability potentially allows an attacker to read certain information on Internet-connected Gateways with remote access VPN or mobile access enabled. The attempts we've seen so far, as previously alerted on May 27, focus on remote access scenarios with old local accounts with unrecommended password-only authentication<\/em><\/strong>.<\/p><\/blockquote>\n Nur so erkl\u00e4re ich mir, dass ein Phishing-Angriff dazu f\u00fchrte, dass das Opfer seiner Anmeldedaten (Nutzername und Passwort) verlustig wurde. Dann konnte der Angreifer diesen Zugang nutzen, um \u00fcber die oben genannte Schwachstelle CVE-2024-24919<\/a> Active Directory-Daten abzurufen und so Zugriff auf das Netzwerk der CDU zu erhalten und sich dort weiter umzusehen.<\/p>\n Ein \u00fcber MFA oder Zertifikate abgesicherter Zugang h\u00e4tte sich eher nicht durch die Angreifer ausnutzen lassen – so jedenfalls meine Lesart der obigen Aussage – aber ich mag mich irren. Und wenn ich postuliere, dass Parteien seit Jahren im Fokus staatlicher Angreifer stehen, h\u00e4tte dass zur Absicherung umgesetzt werden m\u00fcssen. Ich glaube, ich denke nochmals dr\u00fcber nach, ob ich wirklich alles zu \"ranziger\" IT im CDU-Fall zur\u00fcck nehmen muss.<\/p>\n Im Blog-Beitrag Cyberangriff auf das CDU-Netzwerk<\/a> hatte ich auch deutlich mein Missfallen \u00fcber die Schwurbelei von CDU und BSI ausgedr\u00fcckt. Man verspricht zwar Unterrichtung und will auch warnen. Aber es kommen nur Buzzwords, bis heute ist weder klar, was genau passiert ist, noch wann es entdeckt wurde (dass das \"wie es entdeckt wurde\" ans Licht kommt, wage ich gar nicht zu hoffen – ermittlungstaktische Gr\u00fcnde und so, wisst ihr schon). Auch bei heise im Beitrag lese ich \"Die CDU \u00e4u\u00dferte sich auf Anfrage von heise online am Montag nicht zum Stand der Untersuchung.\" und \"Auch das Bundesamt f\u00fcr Verfassungsschutz, das einbezogen wurde, \u00e4u\u00dfert sich vorerst nicht weiter zum Geschehen.\".<\/p>\n Daher kann ich mir die Spitze \"Das ist Cybersecurity in Deutschland im Jahr 2024\" nicht verkneifen.\u00a0 Das kannst Du einfach nix machen, wenn ausgebuffte Angreifer mit extrem krimineller Energie oder gar staatlich unterst\u00fctzte Akteure an die T\u00fcre klopfen und Cyber rufen.<\/p>\n \u00c4hnliche Artikel: Ich nehme alles zur\u00fcck und behaupte das Gegenteil. Gerade ist mir eine Warnung des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) unter die Augen gekommen, indem vor einer Schwachstelle in Check Point Security Gateways gewarnt wird. Blog-Leser waren \u00fcber diese … Weiterlesen In Check Point Remote Access VPN gibt es eine Schwachstelle CVE-2024-24919<\/a> (CVSS v3.1 Score 8.6 von 10), die es einem Angreifer erm\u00f6glicht, bestimmte Informationen auf Check Point Security Gateways zu lesen, wenn diese mit dem Internet verbunden und mit Remote Access VPN oder Mobile Access Software Blades aktiviert sind.<\/p>\n
BSI-Warnung vor CVE-2024-24919<\/h2>\n
![\"BSI-Warnung](\"https:\/\/i.postimg.cc\/HsPHx07N\/image.png\" "\\"BSI-Warnung")
<\/a><\/p>\nPhishing und CVE-2024-24919 als CDU-Killer?<\/h2>\n
(M\u00f6glicherweise) muss ich ja alles zur\u00fccknehmen, oder doch nicht?<\/h3>\n
Geheimniskr\u00e4merei geht weiter<\/h3>\n
\n<\/strong>WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr<\/a>
\nCyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Gr\u00fcnen<\/a>
\nCyberspionage: CDUCDU erneut gerettet \u2013 deren NextCloud-Server ist wieder online <\/a>
\nR\u00fcckblick: Cybervorf\u00e4lle der letzten Tage (6. Mai 2024)<\/a>
\nCyberangriff auf das CDU-Netzwerk<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"