Schwerwiegende Schwachstellen in FortiOS und FortiProxy sowie Veeam Backup & Replication, Emotet-Botnet reaktiviert, Cyberangriffe auf Stadtwerke Karlsruhe, Hospital Clínic Barcelona, Rüstungskonzern Rheinmetall sowie Stadtverwaltung Rastatt, Schlag gegen zwei hochrangige Ransomware-Ziele und Iran startet neue Cyberspionage-Kampagne.
Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Kritische Schwachstelle in FortiOS und FortiProxy entdeckt
Fortinet hat kürzlich eine Reihe von Sicherheitsupdates veröffentlicht, die insgesamt 15 Schwachstellen beheben. Die als CVE-2023-25610 gelistete Sicherheitslücke wurde aufgrund ihres potenziellen Schadensausmaßes mit 9,3 von 10 Punkten bewertet.
Die kritische Sicherheitslücke im Administrationsinterface von FortiOS & FortiProxy ermöglicht einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Codes auf dem Gerät sowie die Durchführung einer DoS-Attacke auf der grafischen Oberfläche (GUI).
Die Ursache der Schwachstelle liegt in einem Buffer Underwrite („Buffer Underflow“), der auf alle Versionen von FortiOS und FortiProxy anwendbar ist. Einige Geräte sind nur von der DoS-Schwachstelle betroffen und nicht von der Ausführung von Code.
Die neueste Version von FortiOS (7.4.0 oder höher) und FortiProxy (7.2.3 oder höher) beseitigt das Problem.
Wenn ein Upgrade nicht möglich ist, empfiehlt Fortinet die Deaktivierung des HTTP/HTTPS-Administrationsinterfaces oder die Begrenzung der IP-Adressen, die auf das Administrationsinterface zugreifen können, um potenzielle Angriffe zu minimieren.
Schwachstelle in Veeam Backup & Replication
Eine Schwachstelle mit der Bezeichnung CVE-2023-27532 in einer Veeam Backup & Replication-Komponente ermöglicht es einem nicht authentifizierten Benutzer innerhalb des Netzwerkperimeters der Backup-Infrastruktur, verschlüsselte Anmeldeinformationen aus der Konfigurationsdatenbank abzurufen.
Dies kann dazu führen, dass ein Angreifer Zugriff auf die Backup-Infrastruktur-Hosts erhält. Die Schwere der Schwachstelle wird als hoch eingestuft, mit einem CVSS v3-Score von 7,5.
Die Ursache dieser Schwachstelle ist der anfällige Prozess „Veeam.Backup.Service.exe“ (standardmäßig TCP 9401), der es einem nicht authentifizierten Benutzer ermöglicht, verschlüsselte Anmeldeinformationen anzufordern.
Um dieses Problem zu beheben, müssen die neuesten Build-Versionen von Veeam Backup & Replication installiert werden.
Der Patch ist in den Versionen 12 (Build 12.0.0.1420 P20230223) und 11a (Build 11.0.1.1261 P20230227) enthalten.
Anwender die eine ältere Version verwenden, sollen auf eine unterstützte Version aktualisieren. Kunden, die eine All-in-One-Veeam-Appliance ohne Remote-Backup-Infrastrukturkomponente verwenden, können alternativ externe Verbindungen zu Port TCP 9401 in der Firewall des Backup-Servers blockieren, bis der Patch installiert ist.
Alle neuen Installationen von Veeam Backup & Replication Version 12 und 11a, die mit den ISO-Images mit dem Datum 20230223 (V12) und 20230227 (V11a) oder später installiert wurden, sind nicht anfällig.
Hacker-Gruppen und Kampagnen
Emotet-Botnet reaktiviert
Das gefährliche Emotet-Botnet hat nach mehreren Monaten der Inaktivität seine bösartigen E-Mail-Aktivitäten wieder aufgenommen, wie aus einer Analyse von Cofense hervorgeht.
Laut den Forschern sind seit Dienstag, den 7. März 2023 um 8:00 Uhr EST, wieder bösartige E-Mails im Umlauf.
Die gefährlichen E-Mails enthalten angehängte .zip-Dateien, die nicht passwortgeschützt sind und Office-Dokumente mit bösartigen Makros liefern. Diese Makros laden die Emotet-.dll-Datei von einer externen Website herunter und führen sie lokal auf dem Computer aus.
Unternehmen und Organisationen sollten ihre Sicherheitsmaßnahmen prüfen, um sich vor einer möglichen Infektion durch das Emotet-Botnet zu schützen.
Emotet, wie eine Vielzahl anderer Malware Angriffe, setzt vorwiegend E-Mail ein, um sich weiterzuverbreiten. Zwar hat die IT-Abteilung Möglichkeiten, manche schadhaften Mails erst gar nicht durchkommen zu lassen, aber dennoch sickern manchmal bösartige Mails durch.
Da auch Angreifer ihre Vorgehensweise laufend anpassen, ist es daher wichtig, am Ball zu bleiben. Und das gilt nicht nur für die IT Abteilung. Alle Mitarbeiter sollten die gängigen Bedrohungen kennen und in der Lage sein, verdächtige Vorgänge oder E-Mails zu erkennen und zu melden.
Mit unserer Security Awareness Schulung bleiben deine Mitarbeiter aktuell. Kontaktiere uns unter kontakt@lastbreach.com, um unsere fortlaufende Awareness Schulungen kennen zu lernen.
Cyberangriff auf Hospital Clínic in Barcelona
Die Hospital Clínic in Barcelona wurde am 5. März Opfer eines Cyberangriffs.
Seitdem setzen die katalanische Agentur für Cybersicherheit und das Krankenhaus alle Kräfte ein, um die betroffenen Informationssysteme wiederherzustellen.
Dank der Notfallmaßnahmen konnten 90 % der komplexen chirurgischen Aktivitäten, 40 % der ambulanten Operationen und 70 % der ambulanten Sprechstunden wiederhergestellt werden.
Trotzdem mussten mehr als 4.000 ambulante Untersuchungen, 300 Operationen und mehr als 11.000 ambulante Besuche abgesagt werden.
Das Krankenhaus und die katalanische Agentur für Cybersicherheit setzen ihre Arbeit fort, um die Situation vollständig zu normalisieren.
Cyberangriff auf Stadtwerke Karlsruhe
Am 6. März 2023 wurde bekannt, dass die Stadtwerke Karlsruhe Opfer eines Cyberangriffs geworden sind. Wie das Unternehmen mitteilte, sei Mitte Februar ein PC in ihrem Netzwerk mit einer kritischen Schadsoftware befallen gewesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe die Stadtwerke darüber informiert.
Die Schadsoftware habe das Potenzial, sich im Netzwerk auszubreiten und Festplatten zu verschlüsseln. Allerdings hätten interne Fachkräfte und externe Spezialisten schnell reagiert und eine Taskforce gebildet. In der Analyse zeigte sich, dass sich die Software nicht hatte ausbreiten können.
Die versorgungsrelevante Informationstechnik sowie Kundendaten seien nicht betroffen gewesen, hieß es weiter. Die Stadtwerke Karlsruhe betonten, dass sie IT-Sicherheit sehr ernst nehmen und regelmäßig Maßnahmen ergreifen, um ihre Systeme zu schützen.
Cyberangriff auf Rüstungskonzern Rheinmetall
Der Rüstungskonzern Rheinmetall war einem Bericht des WDR zufolge Ziel eines Cyberangriffs, bei dem eine sogenannte DDoS-Attacke eingesetzt wurde, um die Server zu überlasten und vorübergehend die Konzern-Website unzugänglich zu machen.
Die IT-Infrastruktur des Unternehmens blieb stabil, und es gab keinen Hinweis darauf, dass die interne IT-Infrastruktur von einem Leck betroffen war oder finanzieller Schaden entstanden ist, wie ein Konzernsprecher erklärte.
Cyberangriff auf Stadtverwaltung Rastatt
Auch die Stadtverwaltung Rastatt ist Opfer eines Cyberangriffs geworden, der den Dienstbetrieb erheblich einschränkte. Die städtischen Ämter waren weder per Mail noch per Telefon erreichbar, da die digitalen Systeme aus Sicherheitsgründen außer Betrieb gesetzt wurden.
Die IT-Abteilung der Stadt hat externe Experten mit der Untersuchung der Vorfälle beauftragt, um eventuelle Sicherheitslücken zu identifizieren. Es ist derzeit nicht absehbar, wann die Stadtverwaltung wieder normal erreichbar sein wird. Die Stadt bittet die Bürgerinnen und Bürger um Geduld und Verständnis.
Wirtschaft, Politik und Kultur
Schlag gegen zwei hochrangige Ransomware-Ziele in Deutschland und der Ukraine
Deutschland und die Ukraine haben am 28. Februar 2023 gemeinsam hochrangige Mitglieder einer Ransomware-Gruppe verhaftet, die für groß angelegte Cyberangriffe verantwortlich ist.
Die Gruppe nutzte die DoppelPaymer-Ransomware und setzte ein doppeltes Erpressungsschema ein. Europol unterstützte die Aktionen durch forensische Analysen und operativen Austausch zwischen den Strafverfolgungsbehörden.
Die Analyse der beschlagnahmten Geräte dauert noch an, um die genaue Rolle der Verdächtigen und ihre Verbindungen zu anderen Komplizen zu ermitteln.
Iran startet neue Cyberspionage-Kampagne
Iranische Regierungsstellen und der Geheimdienst der Islamischen Revolutionsgarde haben eine neue Cyberspionage-Kampagne namens „Cobalt Illusion“ gestartet, um Frauen, die sich für politische Angelegenheiten und Menschenrechte im Nahen Osten einsetzen, zu überwachen und zu eliminieren.
Die Bedrohungsakteure verwenden gefälschte Twitter-Konten, insbesondere das Konto „Sara Shokouhi“, um Kontakt mit den Zielpersonen aufzunehmen und bösartige Links zu senden, die Malware auf dem Computer oder Gerät der Zielperson installieren können.
Die Identität von „Sara Shokouhi“ wurde durch gestohlene Bilder von einem Instagram-Konto einer in Russland ansässigen Psychologin und Tarotkartenleserin erstellt.
Die Bedrohungsakteure haben eine überzeugende Identität geschaffen, um eine Beziehung zur Zielperson aufzubauen und Informationen zu sammeln, die für militärische und sicherheitspolitische Operationen des Iran im In- und Ausland genutzt werden könnten.
Die Analyse von Secureworks, die am Tag nach dem Internationalen Frauentag veröffentlicht wurde, zeigt, dass alle Zielpersonen Frauen sind, die aktiv für politische Angelegenheiten und Menschenrechte eintreten.
Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!