Zusammenfassung zu Bedrohungen und Sicherheitslücken vom 20. bis 26. August

Jun 21, 2023

Willkommen beim Threat and Vulnerability Roundup, einer wöchentlichen Veröffentlichung von Cyber ​​Writes, die die neuesten Nachrichten zum Thema Cybersicherheit bietet. Nutzen Sie unsere breite Reichweite, um auf dem Laufenden zu bleiben.

Kritische Schwachstellen, Exploits und aktuelle Angriffstechniken wurden alle hervorgehoben. Wir bieten auch die neuesten Software-Upgrades an, um die Sicherheit Ihrer Geräte zu gewährleisten.

Dies bietet einen Überblick über die spezifischen Risiken, denen Ihr Unternehmen aufgrund der Kerntechnologie ausgesetzt ist, und dient als Leitfaden für die Verbesserung der Sicherheitsstrategie.

Cisco NX-OS-Softwarefehler

Eine Sicherheitslücke mit hohem Schweregrad in der TACACS+- und RADIUS-Remote-Authentifizierung für die Cisco NX-OS-Software könnte es einem nicht authentifizierten lokalen Angreifer ermöglichen, ein betroffenes Gerät unbeabsichtigt neu zu laden.

NX-OS ist ein Netzwerkbetriebssystem für die Ethernet-Switches der Nexus-Serie und die Fibre-Channel-Storage-Area-Network-Geräte der MDS-Serie von Cisco Systems. Es entstand aus dem SAN-OS-Betriebssystem, das Cisco für seine MDS-Switches entwickelt hat.

Mit einem CVSS-Score von 7,1 wird diese Schwachstelle als CVE-2023-20168 gekennzeichnet. Wenn der Exploit erfolgreich ist, kann der Angreifer möglicherweise ein unerwartetes Neuladen des Geräts auslösen, das einen Denial-of-Service-Angriff (DoS) auslösen würde.

Apache XML Graphics Batik-Fehler

In Apache Batik wurden zwei SSRF-Schwachstellen (Server-Side Request Forgery) gefunden, die es einem Bedrohungsakteur ermöglichen könnten, auf vertrauliche Informationen in Apache Batik zuzugreifen.

Diese Schwachstellen bestehen in Apache XML Graphics Batik und erhalten die CVE-IDs CVE-2022-44729 und CVE-2022-44730.

Es handelt sich um ein Java-basiertes Anwendungs-Toolkit, das zum Rendern, Generieren und Bearbeiten des SVG-Formats (Scalable Vector Graphics) verwendet wird.

Ivanti Sentry-Fehler

In der Ivanti Sentry-Schnittstelle wurde eine nicht authentifizierte kritische Schwachstelle beim API-Zugriff gefunden, die es einem Bedrohungsakteur ermöglichen könnte, Zugriff auf vertrauliche APIs zu erhalten, die für den Zugriff auf das Ivanti-Administratorportal und die Konfiguration von Ivanti Sentry verwendet werden können.

Wenn einem Angreifer die Ausnutzung gelingt, kann er Ivnati Sentry konfigurieren, Systembefehle ausführen oder Dateien auf das System schreiben.

Apache Ivy-Injektionsfehler

In Apache Software Foundation Apache Ivy wurde eine Schwachstelle durch blinde XPath-Injection entdeckt, die es Bedrohungsakteuren ermöglicht, Daten zu exfiltrieren und auf vertrauliche Informationen zuzugreifen, die nur auf dem Rechner, auf dem Apache Ivy läuft, beschränkt sind.

Diese Sicherheitslücke besteht beim Parsen von XML-Dateien in Versionen vor 2.5.2 beim Parsen der eigenen Konfiguration, Maven POMs (Project Object Models), die das Herunterladen externer Dokumente und die Erweiterung beliebiger Entitätsreferenzen ermöglicht.

Junos OS-Fehler

Auf Junos OS wurden mehrere Schwachstellen entdeckt, die kombiniert werden können, um eine PreAuth-Schwachstelle zur Remotecodeausführung in Junos OS auf der SRX- und EX-Serie auszulösen. Ein nicht authentifizierter netzwerkbasierter Angreifer kann diese Schwachstellen ausnutzen, indem er sie verkettet.

Junos OS SRX ist eine Firewall, die zum Schutz entfernter Büros, Zweigstellen, Campusgelände oder Rechenzentren verwendet wird, indem sie sich auf jeden Punkt erstreckt. Die EX-Serie ist ein leistungsstarkes Zugangs- und Verteilungs-/Core-Layer-Gerät für Unternehmenszweigstellen.

Juniper Networks hat einen Sicherheitshinweis zur Behebung dieser Schwachstellen veröffentlicht.

Chrome-Funktion zur Warnung vor bösartigen Erweiterungen

Chrome hat eine Ankündigung zu seiner Version 117 veröffentlicht, in der eine neue Funktion bezüglich entfernter Erweiterungen aus dem Chrome-Webshop eingeführt wurde.

Künftig wird Chrome die Erweiterungen hervorheben, die aus verschiedenen Gründen aus dem Chrome-Webshop entfernt wurden, darunter:

WinRAR-Fehler

In WinRAR wurde eine Sicherheitslücke bezüglich der Ausführung willkürlichen Codes entdeckt, die durch Öffnen einer speziell gestalteten RAR-Datei ausgenutzt werden kann. Der CVE für diese Schwachstelle wird als CVE-2023-40477 angegeben und der Schweregrad beträgt 7,8 (Hoch) gemäß der Zero-Day-Initiative.

Diese Schwachstelle wurde WinRAR vom Sicherheitsforscher „goodbyeselene“ gemeldet. Es handelt sich um einen Archivmanager für die Windows-Plattform, der von Millionen Benutzern weltweit verwendet wird.

Wireshark 4.0.8

Der weltweit am häufigsten verwendete Netzwerkprotokollanalysator Wireshark hat Version 4.0.8 veröffentlicht. Es wird für Netzwerkanalysen, Fehlerbehebung, Software- und Kommunikationsprotokollentwicklung sowie Schulungen eingesetzt.

Diese neue Version enthält Fehlerbehebungen, verbesserte Protokollunterstützung und einige andere Verbesserungen.

Kali Linux 2023.3

Kali Linux 2023.3 ist jetzt verfügbar und enthält eine Vielzahl neuer Pakete und Tools sowie die üblichen Upgrades. Die Veröffentlichung von Kali Linux 2023.3 erfolgt drei Monate nach Kali Linux 2023.2.

Dadurch wird der Kernel von Debian Bookworms langfristig unterstütztem LiLinux 6.1 LTS auf den Linux-Kernel 6.3 aktualisiert, der Anfang Juli 2023 das Ende seiner Lebensdauer erreichte. Dennoch sollte der aktualisierte Kernel eine bessere Hardwareunterstützung bieten.

Die Version Kali Linux 2023.3 enthält insbesondere neun neue Tools.

Intelligente Glühbirnen können gehackt werden

Der aktuelle Aufstieg des Internets der Dinge (IoT) befindet sich auf dem Höhepunkt und erweitert seine Fähigkeiten rasch, indem es grundlegende Gegenstände in über Smartphones steuerbare intelligente Geräte verwandelt, darunter Glühbirnen und Stecker.

Im Jahr 2021 überstieg die Zahl der IoT-Geräte die Zahl von 13,8 Milliarden; bis 2025 soll sie sich verdoppeln. Dieser enorme Anstieg schafft jedoch auch enorme Angriffsmöglichkeiten für die Bedrohungsakteure und stellt Sicherheitsanalysten vor Sicherheitsherausforderungen.

Föderiertes lernbasiertes IDS

Im heutigen digitalen Zeitalter gehören KI- (Künstliche Intelligenz) und ML- (Maschinelles Lernen) Anwendungen zu den Schlüsselentwicklungen.

Aber globale Initiativen wie der EU AI Act und die US AI Strategy unterstreichen die Bedeutung einer ethischen KI-Regulierung, insbesondere im Bereich der Cybersicherheit.

Ein Bericht, der von einer Gruppe von Cybersicherheitsanalysten, bestehend aus Jose L. Hernandez-Ramos, GeorgiosKaropoulos, EfstratiosChatzoglou, VasileiosKouliaridis, Enrique Marmol, Aurora Gonzalez-Vidal und GeorgiosKambourakis, mit Cyber ​​Security News geteilt wurde, enthüllte die neueste Entwicklung im Bereich Cybersicherheit der dezentrale Lernansatz, bekannt als „Federated Learning (FL).“

Tesla-Datenverstoß

Tesla entwirft und fertigt mehrere Elektrofahrzeuge, aber was es von anderen unterscheidet, sind seine Autos, die über zahlreiche Funktionen verfügen. Zu seinen außergewöhnlichen Eigenschaften zählt, dass Tesla bei seinen Automodellen im „Auto Pilot“-Modus eine herausragende Qualität bietet.

Diese Funktion ermöglicht es einem Tesla-Auto, ohne menschliches Eingreifen automatisch zu fahren. Allerdings ist Tesla mit solch großartiger Technik nicht ganz perfekt.

Kürzlich meldete Tesla einen Datenverstoß, bei dem mehr als 75.000 Benutzerinformationen offengelegt wurden. Es wurde jedoch bestätigt, dass es sich bei dieser Enthüllung nicht um eine Datenschutzverletzung handelt, sondern dass sie auf „Fehlverhalten von Insidern“ zurückzuführen ist.

Datenschutzverletzung bei SEIKO

Der bekannte Uhrenhersteller Seiko veröffentlichte kürzlich im August 2023 die Meldung einer Datenschutzverletzung, die im Visier der berüchtigten Bedrohungsgruppe BlackCat/ALPHV stand.

Die BlackCat/ALPHV Group ist seit 2021 aktiv und richtet sich an mehrere Unternehmen in der gesamten Branche. Es wurde als Ransomware as a Service betrieben.

Am 10. August informierte das Unternehmen seine Kunden über eine Datenschutzverletzung, nachdem sie einen unbefugten Zugriff auf seinen Server festgestellt hatten.

Der Cloud-Host hat alle Daten verloren

Es gab einen Cyberangriff auf zwei Cloud-Hosting-Anbieter, nämlich CloudNordic und Azero Cloud, zu denen die Certiqa Holding gehört. Der Cyberangriff hat zu einem vollständigen Datenverlust aller Kunden geführt.

Berichten zufolge ereignete sich der Cloud-Angriff am Freitag, dem 18. April 2023, gegen 4 Uhr morgens, als CloudNordic und Azero Cloud einem Ransomware-Angriff ausgesetzt waren, bei dem die Bedrohungsakteure alle Systeme lahmlegten, einschließlich Kundensysteme, E-Mail-Systeme und Websites und alles, worauf sie Zugriff hatten.

Beide Unternehmen gaben an, dass sie das von den Bedrohungsakteuren geforderte Lösegeld nicht zahlen konnten und wollten.

Hacker nutzen die Zero-Day-Schwachstelle von Barracuda aus

Die kürzliche Entdeckung einer Zero-Day-Schwachstelle (CVE-2023-2868) in den Email Security Gateway (ESG)-Appliances von Barracuda Networks hat große Besorgnis ausgelöst.

CVE-2023-2868 ist eine Schwachstelle durch Remote-Befehlsinjektion, die die unbefugte Ausführung von Systembefehlen mit Administratorrechten auf Barracuda ESG-Appliances ermöglicht.

Diese Schwachstelle betrifft insbesondere die ESG-Versionen 5.1.3.001–9.2.0.006 im Appliance-Formfaktor. Die Schwachstelle wird bei der Prüfung von E-Mail-Anhängen ausgenutzt.

NoFilter-Tool: Eskalation von Windows-Berechtigungen

Rechteausweitung ist ein häufig eingesetzter Angriffsvektor in der Windows-Betriebssystemumgebung.

Angreifer nutzen häufig anstößige Tools wie Meterpreter, CobaltStrike oder Potato-Tools, um Code wie „NT AUTHORITY\SYSTEM“ auszuführen.

Diese Tools nutzen in der Regel Token-Duplizierung und Service-Manipulationstechniken, um Angriffe wie LSASS-Basteln durchzuführen.

Hacker bedrohen Patienten nach Cyberangriff

Eines der renommiertesten Krankenhäuser in Israel wurde Opfer einer Datenpanne und Patienten wurden aus finanziellen Gründen erpresst.

Laut einem Bericht von Israel Hayom wurde das MaayaneiHaYeshua Medical Center in BneiBrak angegriffen und die sensiblen Daten der meisten prominenten Politiker und anderer wurden verletzt.

Der Angriff ereignete sich Anfang August, nun drohen die Cyberkriminellen den Patienten mit ihren privaten Krankenakten.

Carderbee Hacking Group

Für einen Supply-Chain-Angriff und um die Korplug-Hintertür (auch bekannt als PlugX) auf den Systemen der Zielopfer zu installieren, wurde festgestellt, dass eine unbekannte APT-Gruppe den „Cobra DocGuard“ nutzte.

Cobra DocGuard ist ein legitimes Softwarepaket, mit dem Benutzer ihre Consolidated Omnibus Budget Reconciliation Act-Dokumente verwalten können. Es wurde von „EsafeNet“, einem chinesischen Unternehmen, entwickelt.

Cybersicherheitsexperten von Symantec haben herausgefunden, dass die Bedrohungsakteure hinter dieser unbekannten APT-Gruppe, die als „Carderbee“ bezeichnet wird, das legitime Microsoft-Zertifikat zum Signieren von Malware verwenden.

Malware-Entwickler entdeckt

Forscher haben einen neuen Malware-as-a-Service (MaaS)-Betreiber namens „EVLF DEV“ identifiziert, der hinter der Entwicklung von CypherRAT und CraxsRAT steckt.

EVLF verkauft seit drei Jahren CraxsRAT, eines der gefährlichsten Android-RATs, die heute erhältlich sind, und hat bisher mindestens 100 lebenslange Lizenzen verkauft.

Das CYFIRMA-Forschungsteam berichtet, dass „RATs von Angreifern verwendet werden können, um die Kamera, den Standort und das Mikrofon eines Opfers fernzusteuern“.

Über 3.000 Android-Malware entgeht der Erkennung mit einzigartigen Taktiken

Android-Smartphones spielen eine wichtige Rolle in unserem täglichen Leben, da sie uns helfen, in Verbindung zu bleiben, und nicht nur das, sie helfen uns auch bei der Erledigung verschiedener täglicher Aufgaben wie:

Darüber hinaus erregt es aber auch die Aufmerksamkeit von Cyberkriminellen oder Bedrohungsakteuren, da Smartphones unsere wertvollen und vertraulichen Daten speichern.

Lazarus Group nutzt ManageEngine-Fehler aus

Laut Cisco Talos greift die von Nordkorea unterstützte Lazarus-Gruppe aktiv die Backbone-Infrastruktur des Internets und Unternehmen im Gesundheitssektor in ganz Europa und den USA an.

Diese Veranstaltung zeigt deutlich, wie aktiv sie sind und konsequent dieselbe Infrastruktur nutzen, da es sich um ihre dritte Kampagne in weniger als einem Jahr handelt.

Kürzlich haben Sicherheitsanalysten von Cisco Talos in einem mit Cyber ​​Security News geteilten Bericht herausgefunden und bestätigt, dass der nordkoreanische staatlich geförderte Bedrohungsakteur Lazarus Group die ManageEngine-Schwachstelle (CVE-2022-47966) aktiv ausnutzt, um MagicRAT-Malware einzusetzen.

Raccoon-Malware taucht wieder auf

Kürzlich wurde bekannt, dass die Personen, die für die Entwicklung und Verbreitung der berüchtigten Raccoon Stealer-Malware verantwortlich sind, in Online-Hackerforen zurückgekehrt sind.

Diese Nachricht folgt auf einen Zeitraum von sechs Monaten, in dem die Täter alle Aktivitäten eingestellt und geschwiegen hatten.

Die Raccoon Stealer-Malware stiehlt sensible Informationen von ahnungslosen Opfern, was diese Entwicklung sowohl bei Cybersicherheitsexperten als auch bei der breiten Öffentlichkeit Anlass zur Sorge gibt.

Flax Typhoon nutzt Betriebssystem-Tools zur Malware-Bereitstellung

Mit der rasanten Entwicklung der Technologie werden auch die Bedrohungsakteure und ihre Angriffe immer ausgefeilter und entwickeln sich immer schneller weiter, was eine wachsende Bedrohung für wichtige Infrastrukturen und sensible Daten darstellt.

Die in Taiwan ansässigen Organisationen wurden im Rahmen einer neuen Kampagne aktiv mit einer Reihe von Techniken angegriffen, in deren Rahmen Microsoft kürzlich ungewöhnliche Angriffsmuster entdeckte, die weltweit in mehreren Sektoren eingesetzt werden könnten.

In einem mit Cyber ​​Security News geteilten Bericht haben die Cybersicherheitsanalysten von Microsoft diese Kampagne mit „Flax Typhoon“ in Verbindung gebracht, einem chinesischen nationalstaatlichen Akteur, der Verbindungen zu „ETHEREAL PANDA“ hat.

Bewaffnete LNK-Dateien

Bedrohungsakteure sind für den Erstzugriff von der Verwendung bösartiger Makros auf bösartige LNK-Dateien umgestiegen. Dies ist auf die Ankündigung von Microsoft im Jahr 2022 zurückzuführen, Makros standardmäßig für Office-Dokumente zu deaktivieren, die aus unbekannten Quellen oder dem Internet heruntergeladen wurden.

Der aktuelle Angriffsvektor verwendet das Microsoft Connection Manager-Profil, das den Prozess cmstp.exe ausführt, um die Ausführung bösartiger Payloads als Proxy zu übertragen.

Es wurde festgestellt, dass diese aktuelle Kampagne der Invicta-Stealer-Infektionsmethode ähnelt, die Infektionskette scheint jedoch unterschiedlich zu sein. Dies kommt zu dem Schluss, dass Bedrohungsakteure ihre TTPs (Taktiken, Techniken und Verfahren) geändert haben.

Roblox-Entwickler im Visier

In einer auffälligen Parallele zu einem Angriff im Jahr 2021 haben Forscher ein Wiederaufleben bösartiger Pakete im npm-Repository entdeckt, die es auf Entwickler abgesehen haben, die die Roblox-API verwenden.

Diese bösartigen Pakete setzen den berüchtigten Luna Grabber ein, eine Open-Source-Malware zum Informationsdiebstahl, und verleihen einer Kampagne, die Warnsignale für die Sicherheit der Software-Lieferkette auslöst, eine weitere Ebene der Raffinesse.

XLoader-Malware greift macOS an

XLoader stellt seit 2015 eine besonders hartnäckige und anpassungsfähige Bedrohung dar. Da XLoader tief in der digitalen Landschaft verwurzelt ist, hat es eine transformative Entwicklung durchgemacht, die die Aufmerksamkeit von Sicherheitsexperten erfordert.

In dieser umfassenden Analyse analysiert SentinelOne die neueste Version von XLoader – eine macOS-Variante, die sich als harmlose „OfficeNote“-App ausgibt.

Diese neue Version, die nativ in den Programmiersprachen C und Objective C entwickelt wurde, stellt ihre heimtückische Raffinesse durch strategische Verteilung, komplizierte Verschleierungstechniken und fortschrittliche Ausweichmanöver zur Schau.

Verwendung von QR-Codes als Waffe zum Diebstahl von Microsoft-Anmeldeinformationen

Eine aktuelle Entdeckung beleuchtet eine bedeutende QR-Code-Phishing-Kampagne, die auf Microsoft-Anmeldeinformationen in verschiedenen Branchen abzielt.

Bemerkenswert ist, dass ein großes Energieunternehmen mit Sitz in den USA an vorderster Front dieses Angriffs steht, was die Bedeutung robuster Sicherheitspraktiken zur Bekämpfung sich entwickelnder Bedrohungen unterstreicht.

Dieser Artikel bietet eine ausführliche Analyse der Kampagne, ihrer Ziele, Taktiken und möglichen Gegenmaßnahmen.

Phishing-Angriff zielt auf Zimbra-E-Mail-Benutzer ab

Eine Gruppe von Forschern hat kürzlich eine bedeutende, massenhafte Phishing-Kampagne veröffentlicht. Es richtet sich an Benutzer von Zimbra-Konten und beleuchtet eine Kampagne, die seit April 2023 aktiv ist.

Dieser Artikel befasst sich mit den komplizierten Details dieser Operation und beleuchtet ihre Ziele, Methodik und geografischen Auswirkungen.