DRPR00009: Geschwätzige SaaS-Plattformen & schon wieder ESXi
Ransomware, Trojaner und falsch konfigurierte Accounts
02.05.2023 16 min
Zusammenfassung & Show Notes
Die nicht ganz freiwilligen Mitwirkenden dieser Ausgabe sind mitteilungsbedürftige SaaS-Plattformen, Cisco, Zyxel, schon wieder ESXi, diverse Trittbretter wie Microsoft PaperCut Server oder Veeam Backup Software und ein Gen-Sequenzer. Außerdem gibt’s wieder interessante Reports.
Salesforce
Organisationen - darunter Banken und Gesundheitsdienstleister - geben private und sensible Informationen über ihre öffentlichen Salesforce Community-Websites preis. Schuld ist eine Fehlkonfiguration, die nicht authentifizierten Benutzern den Zugriff auf Datensätze ermöglicht, die eigentlich nur nach einer Anmeldung verfügbar sein sollten. Laut Salesforce handelt es sich nicht um eine Schwachstelle in der Salesforce-Plattform, sondern falsch konfigurierte Zugriffsrechte der Kunden. Von Aaron Costello gibt es eine gute Anleitung zur Konfiguration bzw. Deaktivierung von Salesforce Communities. Auch Salesforce selbst bietet best practices und Konfigurationshilfe für Gastaccounts. Mit dem kostenlosen Guest User Access Report kannst du prüfen, ob die Daten deiner Community-Sites sicher sind.
Organisationen - darunter Banken und Gesundheitsdienstleister - geben private und sensible Informationen über ihre öffentlichen Salesforce Community-Websites preis. Schuld ist eine Fehlkonfiguration, die nicht authentifizierten Benutzern den Zugriff auf Datensätze ermöglicht, die eigentlich nur nach einer Anmeldung verfügbar sein sollten. Laut Salesforce handelt es sich nicht um eine Schwachstelle in der Salesforce-Plattform, sondern falsch konfigurierte Zugriffsrechte der Kunden. Von Aaron Costello gibt es eine gute Anleitung zur Konfiguration bzw. Deaktivierung von Salesforce Communities. Auch Salesforce selbst bietet best practices und Konfigurationshilfe für Gastaccounts. Mit dem kostenlosen Guest User Access Report kannst du prüfen, ob die Daten deiner Community-Sites sicher sind.
Cisco
Eine Schwachstelle aus dem Jahr 2017 wird aktuell im Rahmen einer Malware-Kampagne für remote code execution auf Cisco-Geräten ausgenutzt.
Zyxel
Auch Zyxel Firewalls sind anfällig für diverse zum Teil kritische Angriffe (CVE-2022-4338, CVE-2023-28771, CVE-2023-27991) u. a. zur Ausführung von Remote-Code. Betroffen sind Zyxels ZyWall, ATP, diverse USG FLEX und VPN-Geräte. Der Hersteller empfiehlt ein Update auf die aktuelle Version 5.36. Downloads gibt es im Supportweb der Firma.
DNA-Sequenzierer
Die CISA warnt vor kritischen Fehlern in den DNA-Sequenziergeräten von Illumina. Der Hersteller hat die Schwachstellen bereits behoben. Es gibt auch eine deutsche Anleitung zur richtigen Konfiguration der UCS-Accounts (Universal Copy Service).
Die CISA warnt vor kritischen Fehlern in den DNA-Sequenziergeräten von Illumina. Der Hersteller hat die Schwachstellen bereits behoben. Es gibt auch eine deutsche Anleitung zur richtigen Konfiguration der UCS-Accounts (Universal Copy Service).
ESXi
Es wurde ein erster Linux-Ransomware-Stamm mit Ziel auf NAS und ESXi-Hosts in freier Wildbahn gesichtet.
Es wurde ein erster Linux-Ransomware-Stamm mit Ziel auf NAS und ESXi-Hosts in freier Wildbahn gesichtet.
Was hilft?
- Erweiterte Detction & Response (XDR) verwenden mit integrierten YARA-Regeln (eine spezielle Form von Signaturen) und anderen fortschrittlichen Erkennungsfunktionen
- Patches! Schwachstellen (u. a. CVE-2023-27350 und CVE-2023-27351) in Microsofts PaperCut-Servern machen eine Auslieferung des RTM Lockers erst möglich.
Mehr Schwachstellen als Gehilfen des Bösen:
- POWERTRASH ist auf die Schwachstelle von Veeam trainiert (CVE-2023-27532).
- Ein Bug im TP-Link Archer Wi-Fi Router (CVE-2023-1389) macht die Geräte anfällig, Teil des Mirai-Botnets zu werden.
- BellaCiao adressiert bevorzugt KRITIS und nutzt als Sprungbrett gern Schwachstellen in Microsoft Exchange und Zoho ManageEngine.
Reports
Any.run hat seinen ersten Trends-Report für 2023 veröffentlicht: die größte Gefahr nach wie vor von Trojanern aus, zu denen wir auch die Loader zählen, die in erster Linie zu Remote Access Trojanern (RAT) gehören und meist die erste Stufe einer Angriffskette bilden.
Schwachstellen-, Risiko- und Exposure-Management:
Runecast ist das aktuell eines der am meisten sophisticated Tools für’s Schwachstellenmanagement und unsere uneingeschränkte Empfehlung. Wer dafür zu geizig ist, sollte sich wenigstens ein Open-Source-Tool besorgen, OWASP hat Empfehlungen.
Schwachstellen-, Risiko- und Exposure-Management:
Runecast ist das aktuell eines der am meisten sophisticated Tools für’s Schwachstellenmanagement und unsere uneingeschränkte Empfehlung. Wer dafür zu geizig ist, sollte sich wenigstens ein Open-Source-Tool besorgen, OWASP hat Empfehlungen.
_________________________________________________________________________________
Artikel, News, Veranstaltungskalender und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.
Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s mit meinem alter ego FrauStief auf Bluesky.