Die Weekly Hacker News – 23.10.2023

von | Okt 23, 2023 | News | 0 Kommentare

Cisco Zero Day Lücke wird aktiv ausgenutzt, kritische Sicherheitslücken in CasaOS, Malvertising-Angriff auf KeePass, Sicherheitsvorfall bei D-Link, ehemaliger IT-Manager der Navy erhält über 5 Jahre Gefängnis und internationale Operation gegen Ragnar Locker Ransomware-Gruppe.


Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.

Inhalt laden


Schwachstellen und Exploits

Cisco Zero Day Lücke wird aktiv ausgenutzt

Cisco hat eine kritische Sicherheitslücke in seiner Web-Benutzeroberfläche (Web UI) mit der Kennung CVE-2023-20198 bekannt gegeben. Die Schwachstelle hat eine maximalen Schadenscore von 10 und wird bereits aktiv ausgenutzt. Ein Angreifer kann ohne Authentifizierung ein Konto mit vollen Zugriffsrechten erstellen, und es gibt noch keinen Patch dafür.

Cisco Talos hat beobachtet, dass die Schwachstelle genutzt wird, um initialen Zugang zu erhalten, gefolgt von einer so genannten “Implant Injection” durch einen noch unbekannten Mechanismus, für den bisher ebenfalls kein Patch verfügbar ist. Angreifer nutzen die CVE-2021-1435 Schwachstelle, um das Implantat zu installieren.

Es wurde festgestellt, dass Tausende von im Internet erreichbaren Cisco IOS XE-Systemen bereits mit bösartigen Implantaten infiziert sind, was den Angreifern privilegierten Zugriff ermöglicht. Das Implantat überlebt jedoch keinen Neustart, es sei denn, die Angreifer haben zuvor einen dauerhaften Zugang eingerichtet.

Es ist anzunehmen, dass ähnliche Cisco-Geräte in internen Netzwerken ebenfalls gefährdet sind. Daher wird empfohlen, die Web-Benutzeroberfläche zu deaktivieren, bis ein Patch verfügbar ist, und Incident-Response-Übungen durchzuführen, um verdächtiges Verhalten zu erkennen.

Kritische Sicherheitslücken in Open-Source-Cloud-Software CasaOS

In der Open-Source-Software CasaOS Personal Cloud wurden zwei schwerwiegende Sicherheitslücken entdecktCVE-2023-37265 und CVE-2023-37266. Beide Schwachstellen erhielten einen hohen CVSS-Wert von 9,8 von 10 und ermöglichten Angreifern die Umgehung der Authentifizierung, was den vollständigen Zugriff auf das CasaOS-Dashboard ermöglichte.

Besonders alarmierend ist die Tatsache, dass die Unterstützung von Drittanbieteranwendungen in CasaOS als Einfallstor für Angreifer dienen konnte, um beliebigen Code auf dem System auszuführen, was potenziell dauerhaften Zugriff oder das Eindringen in interne Netzwerke ermöglichte.

Die Sicherheitslücken wurden in Version 0.4.4 von IceWhale behoben.

Hacker-Gruppen und Kampagnen

Malvertising-Angriff auf KeePass

In einer kürzlich aufgetretenen Malvertising-Kampagne haben Cyberkriminelle die Google-Anzeigenplattform genutzt, um eine bösartige Anzeige für KeePass zu schalten, einen populären Open-Source-Passwortmanager.

Die Angreifer verwendeten Punycode, eine spezielle Zeichenkodierung, um eine gefälschte internationale KeePass-Domain zu registrieren. Der visuelle Unterschied zur echten Website ist minimal und könnte leicht übersehen werden.

Klickt ein Nutzer auf die gefälschte Anzeige, erfolgt eine Umleitung auf eine schädliche Website, die ein gefälschtes KeePass-Installationsprogramm anbietet. Dieses Programm ist digital signiert und enthält bösartigen PowerShell-Code.

Diese Taktik verdeutlicht, wie geschickt Cyberkriminelle vorgehen, um Nutzer zu täuschen.

Sicherheitsvorfall bei D-Link Corporation

Die D-Link Corporation, ein führender Anbieter von Netzwerklösungen und Kommunikationstechnologie, hat kürzlich Details zu einem Sicherheitsvorfall veröffentlicht, der das Unternehmen Anfang Oktober 2023 betraf.

Das Unternehmen wurde über eine „Behauptung“ in einem Online-Forum informiert, die auf eine Datenverletzung hinwies. D-Link leitete daraufhin eine gründliche Untersuchung ein, um der Sache auf den Grund zu gehen.

Das Unternehmen schreibt, dass die betroffenen Daten nicht aus der Cloud stammten, sondern aus einem veralteten D-View 6-System, das bereits 2015 außer Betrieb genommen wurde. Diese Daten waren veraltet und fragmentiert, ohne sensible Informationen wie Benutzer-IDs oder finanzielle Daten. Laut D-Link sind „lediglich einige geringfügige Informationen von öffentlichem Interesse wie Kontaktnamen und Büro-E-Mail-Adressen betroffen.“

Der Vorfall resultierte aus einem Phishing-Angriff, bei dem ein Mitarbeiter unwissentlich zum Opfer wurde, was unbefugten Zugriff auf diese veralteten Daten ermöglichte.

D-Link reagierte, indem relevante Server heruntergefahren wurden. Zudem wurden Benutzerkonten auf den aktiven Systemen gesperrt und nur zwei Wartungskonten zur weiteren Untersuchung beibehalten. Die Testlaboreinrichtung wurde vom internen Netzwerk des Unternehmens getrennt, um mögliche verbliebene Backup-Daten zu isolieren.

D-Link betonte, dass das betroffene D-View 6-System 2015 außer Betrieb genommen wurde und das aktuelle Produktangebot, D-View 8, erheblich verbesserte Informationssicherheitsmaßnahmen aufweist.

Die meisten seiner aktuellen Kunden seien voraussichtlich nicht von diesem Vorfall betroffen.


Wirtschaft, Politik und Kultur

Ehemaliger IT-Manager der Navy erhält über 5 Jahre Gefängnis

Marquis Hooper, ein früherer IT-Manager der US Navy, wurde zu einer Freiheitsstrafe von fünf Jahren und fünf Monaten verurteilt.

Der Grund: Er hatte eine Datenbank mit persönlichen Daten von über 9.000 Personen gehackt und die Informationen für 160.000 US-Dollar in Bitcoin verkauft. Die Ermittlung wurde von verschiedenen Behörden, darunter das Naval Criminal Investigative Service, das Federal Bureau of Investigation und die Homeland Security Investigations, durchgeführt.

Im August 2018 eröffnete Hooper ein Konto bei einem Unternehmen, das Zugang zu sensiblen Daten gewährt. Er gab vor, dass die Navy seine Dienste für Sicherheitsüberprüfungen benötigte, um Zugriff zu erhalten. Mit seiner Frau Natasha Chalk stahl er die Daten und verkaufte sie im Dark Web. Einige Käufer missbrauchten die Informationen für kriminelle Aktivitäten, darunter die Herstellung gefälschter Ausweisdokumente.

Internationale Operation gegen Ragnar Locker Ransomware-Gruppe

In einer von Frankreich koordinierten internationalen Aktion mit Unterstützung von Eurojust und Europol wurde der Ragnar Locker Ransomware-Gruppe ein schwerer Schlag versetzt.

Zwischen dem 16. und 20. Oktober wurden sechs Verdächtige in der Tschechischen Republik, Spanien, Lettland und Frankreich verhört, und neun Server in den Niederlanden, Deutschland und Schweden außer Betrieb genommen. Die kriminelle Gruppe wird verdächtigt, seit 2020 Angriffe auf 168 internationale Unternehmen weltweit durchgeführt zu haben.

Der Hauptverdächtige, ein vermeintlicher Entwickler der Ragnar-Gruppe, wurde am Ende der Aktionswoche in Paris den Untersuchungsrichtern vorgeführt.

Die Täter stahlen sensible Unternehmensdaten, verschlüsselten sie und forderten Lösegeldzahlungen von 5 bis 70 Millionen Dollar. Sie drohten, die gestohlenen Daten im Dark Web zu veröffentlichen, falls ihren Forderungen nicht nachgekommen wurde.

Die aktuelle Operation ist die dritte gegen diese Ransomware-Gruppe. Zuvor wurden im September 2021 in der Ukraine und im Oktober 2022 in Kanada Verdächtige verhaftet.

Die Ermittlungen begannen im Mai 2021 auf Ersuchen Frankreichs. Eurojust erleichterte die justizielle Zusammenarbeit, und Europol unterstützte die Ermittlungen von Anfang an.

Beteiligte Länder umfassten Tschechien, Frankreich, Deutschland, Italien, Japan, Lettland, die Niederlande, Schweden, Spanien und die Ukraine. Gemeinsam wurden Server der Hackergruppe identifiziert und ausgeschaltet. In den genannten Ländern fanden gleichzeitig Durchsuchungen und Vernehmungen statt, und Kryptowährungen wurden beschlagnahmt.


Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!