DRPR00014: Alles kaputt – Netzwerke, Cloud, VMs, KRITIS, OT, ...
Wenn Patchen allein nicht mehr hilft.
25.09.2023 39 min
Zusammenfassung & Show Notes
Malware wird immer persistenter, die Schwachstellen immer mehr. Und obwohl Hersteller Patches und Updates zur Verfügung stellen, bleiben Unternehmen angreifbar. Und KRITIS oder OT scheinen völlig verloren.
Der beliebte Key Value Store Redis ist nach wie vor anfällig für remote Codeausführung. Mit einem Score von 10 von 10 in der Schwachstellen-Datenbank des NIST gehört die Schwachstelle zu den Kritischsten.
Collide+Power (CVE-2023-20583), Downfall (CVE-2022-40982), und Inception (CVE-2023-20569) sind neue Seitenkanalangriffe für moderne CPUs und zwar Intel und AMD.
MIt Zenbleed gefährdet eine Schwachstelle in AMD Zen 2 Prozessoren die Sicherheit und Integrität von Verschlüsselungsschlüsseln und Passwörtern. Von Linux gibt es bereits ein Kernel-Update.
Mehrere Sicherheitslücken in der PowerPanel Enterprise Data Center Infrastructure Management (DCIM)-Plattform von CyberPower und der iBoot Power Distribution Unit (PDU) von Dataprobe können ausgenutzt werden, um sich unautorisierten Zugang zu diesen Systemen zu verschaffen und anschließend katastrophale Schäden in den Zielumgebungen anzurichten – zum Beispiel das komplette Rechenzentrum ausschalten. Trellix hat die Details und betroffenen Versionen in einem Blogpost zusammengefasst.
Fast 2.000 Citrix NetScaler-Instanzen (Citrix NetScaler ADC und Citrix NetScaler Gateway.) wurden im August über kritische Sicherheitslücke angegriffen – die meisten davon in Deutschland! Mandiant hat ein Open-Source-Tool veröffentlicht, mit dem ihr eure Citrix-Appliances auf Anzeichen von Post-Exploitation-Aktivitäten im Zusammenhang mit CVE-2023-3519 überprüfen könnt. Die CISA weiß, wie verheerend die Auswirkungen sind.
Vier neue Schwachstellen in Junos machen Juniper Geräte angreifbar. Die Schwachstellen betreffen vor allem die J-Web component in Junos und zwar in allen Versionen von Junos auf Geräten der SRX- und EX-Serie. Juniper hat Patches bereitgestellt und bietet einen Workaround an, wenn Patchen nicht möglich ist. Ebenfalls unter Beschuß sind aktuell Openfire und Apache RocketMQ. Juniper hat den Angriff beschrieben in einem Blogpost.
Seit März bekannte Schwachstellen in Cisco ASA SSL VPN Appliances werden aktiv als Einfallstore für Akira und LockBit Ransomware genutzt. Cisco hat außerdem Patches für mehrere Sicherheitslücken in Cisco BroadWorks Application Delivery Platform und der Xtended Services Platform veröffentlicht. Was sonst noch alles kaputt ist in den Cisco-Büchsen findet ihr im Security Advisory Board.
Neue Fortinet FortiNAC-Schwachstellen machen Netzwerke anfällig für Code-Execution-Angriffe. Auch Fortinet hat ein Advisory Board mit vielen, sehr vielen, Einträgen…
Das FKIE hat in seiner MalPedia aufgeführt, welche Schadprogramme ihr euch über Winnti so alles einfangen könnt und bietet euch freundlicherweise passende YARA-Rules für deep scans.
Außerdem wurde eine neue OpenSSH-Schwachstelle in Linux-Systemen entdeckt. Betroffen sind alle Versionen von OpenSSH vor 9.3p2. Update please!
Eine kritische MikroTik RouterOS-Schwachstelle macht bis zu einer Million Geräte angreifbar über ihre Web- bzw. Winbox-Schnittstellen, inkl. VulnCheck. Gints Kirsteins beschrieb schon 2019 auf Medium, wie ihr das schafft.
VMware Aria Operations Networks ist von mehreren Schwachstellen betroffen, der Hersteller hilft bei der Behebung. Auch hier wird die Schwachstelle als Einfallstor für Ransomware genutzt.
Neue Kubernetes-Schwachstellen ermöglichen Remote-Angriffe auf Windows-Endpoints. Betroffen sind Kubelet Versionen 1.24 bis 1.28. Sowohl Amazon Web Services (AWS), Google Cloud als auch Microsoft Azure haben Advisories für die Behebung der Fehler veröffentlicht.
Im Take Control Agent von N-Able wurde eine schwerwiegende Sicherheitslücke entdeckt, die es einem lokalen, unprivilegierten Nutzer (auch Angreifern!) ermöglicht, SYSTEM-Rechte zu erlangen – was zum Löschen beliebiger Dateien auf einem Windows-System genutzt werden kann.
Bereits im Juli hat Atlassian Patches für kritische Schwachstellen in Confluence und Bamboo veröffentlicht. Bitte nutzen.
Bestimmte Email Security Gateways von Barracuda werden immer noch angegriffen. 👉🏼 Nochmal für alle. Zum Mitmeißeln: Die Hersteller-Patches sind ineffektiv. Ihr müsst das Blech tauschen!
RedEnergy, eine Stealer-as-a-Ransomware-Bedrohung, hat es auf Energie- und Telekommunikationsanbieter abgesehen. Wie Zscaler herausgefunden hat, ermöglicht eine .NET-Malware, Informationen von verschiedenen Browsern zu stehlen.
Laut eines aktuellen Reports von SynSaber sind mehr als ein Drittel der Industriesteuerungen ungepatcht. Mit dem von MITRE entwickelten Cybersicherheits-Framework Caldera erhalten Cyberverantwortliche eine skalierbare, automatisierte Plattform zur Emulation von Angriffen, die speziell auf Netzwerke der Betriebstechnik (also OT) ausgerichtet ist.
Bugs in der Rockwell Automation ControlLogix machen industrielle Systeme angreifbar. Rockwell bietet Hilfe, du musst einen Account haben, um sie zu sehen.
Bugs in der Rockwell Automation ControlLogix machen industrielle Systeme angreifbar. Rockwell bietet Hilfe, du musst einen Account haben, um sie zu sehen.
Drei Sicherheitslücken wurden in den Produkten von Wago und Schneider Electric für Betriebstechnik (OT) sind Teil einer größeren Gruppe von Mängeln, die unter dem Namen OT:ICEFALL zusammengefasst sind und insgesamt 61 Probleme bei 13 verschiedenen Herstellern, u. a. auch Siemens und Motorola, umfassen. Die CISA hat mehr Informationen.
Auch neu entdeckte Schwachstellen in verteilten Honeywell-Kontrollsystemen ermöglichen Angreifern den Zugang zu Systemen, welche Prozesse in Industrie-, Energie-, Chemie- und anderen Anlagen unterstützen. Auch hier gibt es Hilfe nur für registrierte User.
Mehr Reports:
- Blackberry hat seinen Global Threat Intelligence Report veröffentlicht.
- Von Continuity Software gibt es The State of Storage and Backup Security Report 2023.
- Erschreckende Ergebnisse zeigt eine Studie von Permiso.
- Gigamon gibt in seinem Cloud Security Report Einblicke in unentdeckte Sicherheitsverletzungen.
- Nautilusstellte für den aktuellen Cloud Native Threat Report einen Anstieg der Speicherangriffe um 1.400 % im Vergleich zum Vorjahr fest.
- Eine SANS-Umfrage 2023 zur API-Sicherheit ergab, dass das größte Risiko Phishing-Angriffe sind.
- Der IOCTA 2023-Bericht von Europol kennt interessante Zusammenhänge und zeigt, dass Cyberkriminelle immer mehr voneinander abhängig sind und die Grundlagen der Cyberkriminalität, technisch gesehen, die gleichen bleiben.
- Die Kosten für Datenschutzverletzungen stiegen im Jahr 2023 auf 4,45 Millionen US-Dollar pro Vorfall, weiß IBM in seinem jährlichen Bericht Cost of a Data Breach Report.
_________________________________________________________________________________
Artikel, News, Veranstaltungskalender und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates.RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.
Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s mit meinem alter ego FrauStief auf Bluesky.
_________________________________________________________________________________
Artikel, News, Veranstaltungskalender und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.
Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s mit meinem alter ego FrauStief auf Bluesky.