Schwachstelle in VMware ESXi wird ausgenutzt, KeePass und OpenSSH schließen Sicherheitslücken, Sicherheitsvorfall bei Reddit, Ransomware Angriff auf IT-Systeme der Häfele Gruppe, Cyberangriffe auf Universität Graz, Schweizerische Bundesbahnen, sowie auf ein Forschungsprojekt gegen Hassbilder und Finnischer Hacker verhaftet – das sind die Hacker News der Woche.
Unsere Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Weltweite Ausnutzung einer Schwachstelle in VMware ESXi
Tausende Server, die auf VMware’s ESXi-Virtualisierungslösung setzen, sind von einer Ransomware-Infektion betroffen. Die Angreifer nutzten eine bekannte Schwachstelle im OpenSLP-Service von ESXi aus, die Code-Ausführung aus der Ferne ermöglicht.
Die meisten Angriffe fanden in Frankreich, den USA, Deutschland und Kanada statt, aber auch andere Länder sind betroffen. Obwohl VMware bereits 2021 einen Patch veröffentlicht hat, sind viele Server weiterhin gefährdet. Es kann nicht ausgeschlossen werden, dass neben der Schwachstelle CVE-2021-21974 auch andere gepatchte Sicherheitslücken ausgenutzt werden. In einigen Fällen konnten Systeme bereinigt werden, es gibt aber auch Hinweise, dass infizierte Systeme nicht wiederhergestellt werden können.
Einige Institutionen in Deutschland wurden bestätigt attackiert, die Anzahl potenzieller Ziele hat jedoch abgenommen, was auf Patches oder Abschottung vom Internet hinweist. Die CISA hat ein Skript bereitgestellt, das ausgewählte Systeme wiederherstellen kann. Das BSI prüft derzeit die Angriffe weiter.
KeePass schließt Sicherheitslücke
Eine bekannte Sicherheitslücke im Open-Source-Passwort-Manager KeePass wurde durch ein Update des Entwicklers geschlossen.
Die Lücke ermöglichte Angreifern, bei Zugriff auf das System einen Klartext-Export der Passwortdatenbank ohne weitere Rückfrage zu erstellen. Die aktualisierte Version enthält jetzt eine Rückfrage an die Nutzer, bei der sie ihren Master-Key erneut angeben müssen, bevor ein Export der Datenbank möglich ist.
Trotzdem bleibt das grundlegende Problem bestehen, dass bei einem Trojaner-Befall auch Passwörter gefährdet sind und daher geändert werden sollten.
Schwachstelle in OpenSSH geschlossen
OpenSSH hat eine neue Version 9.2 veröffentlicht, um eine Reihe von Sicherheitslücken zu schließen, darunter ein Pre-Auth Double Free Fehler (CVE-2023-25136) und eine Schwachstelle in der PermitRemoteOpen Funktion.
Pre-Auth Double Free Schwachstellen könnten unter bestimmten Umständen zur Übernahme der Anwendung durch einen Angreifer führen. Die Entwickler vermuten aber, dass der Double Free Fehler nicht ausnutzbar ist und weißen darauf hin, dass die Auswirkung selbst im Falle einer erfolgreichen Ausnutzung aufgrund von weiteren Schutzmaßnahmen beschränkt sein sollte.
Die PermitRemoteOpen Funktion enthält einen Fehler, bei dem die eingestellten Einschränkungen für SSH Proxies nicht wie erwartet greifen.
Benutzern wird empfohlen, auf die neueste Version von OpenSSH zu aktualisieren, um mögliche Sicherheitsbedrohungen zu vermeiden.
Hacker-Gruppen und Kampagnen
Sicherheitsvorfall bei Reddit
Reddit-Systeme wurden am 7. Februar 2023 durch einen ausgeklügelten Phishing-Angriff gehackt.
Der Angreifer gelangte über einen gefälschten Link zu den Login-Daten eines Mitarbeiters und verschaffte sich Zugang zu internen Dokumenten, Code und Geschäftssystemen. Es gibt jedoch keine Anzeichen dafür, dass Benutzerkonten oder Daten gefährdet sind.
Das Reddit-Sicherheitsteam hat den Zugang des Angreifers schnell entfernt und eine Untersuchung eingeleitet. Reddit arbeitet weiterhin eng mit seinen Mitarbeitern zusammen, um seine Sicherheit zu verbessern und zukünftige Vorfälle zu vermeiden.
Cyberangriff auf Universität Graz
Die Universität Graz ist Ziel eines Cyberangriffs geworden. Aus Sicherheitsgründen wurden deshalb einige IT-Systeme und Services abgeschaltet, die von externen IT-Forensikern untersucht werden. Bis jetzt gibt es keinen Anhaltspunkt, dass sensible Daten betroffen sind, endgültigen Aussagen können aber noch nicht getroffen werden.
Ergebnisse über die Dimension des Cyberangriffs sind in dieser Woche zu erwarten, schreibt die Universität in ihrer News-Meldung.
Ransomware Angriff auf IT-Systeme der Häfele Gruppe
In der Nacht zum 2. Februar wurden die IT-Systeme der Häfele Gruppe Ziel eines Ransomware-Angriffs aus einer externen Quelle.
Trotz schnell eingeleiteter Maßnahmen kam es zu einer Abschaltung der Systemlandschaft. Die Kriminalpolizei und externe Forensiker arbeiten an den Ermittlungen.
Aktuell können Kunden ihre Ansprechpartner nur über Mobiltelefon erreichen, es wird aber erwartet, dass die flächendeckende Erreichbarkeit bis Ende dieser Woche wiederhergestellt ist. Bisher liegen keine Erkenntnisse über einen Abfluss von Kundendaten vor. Alle Schnittstellen zu Häfele wurden nach dem Vorfall getrennt und es wird an einer sicheren Lösung gearbeitet.
Im Wiederaufbau des Warenwirtschaftssystems werden Fortschritte gemacht, aber ein verbindlicher Termin für die vollständige Wiederherstellung kann noch nicht benannt werden. Häfele wird Kunden und Lieferanten über den weiteren Fortgang unmittelbar informieren.
Schweizerische Bundesbahnen von Cyberangriff betroffen
Am vergangenen Wochenende hat es einen Cyberangriff auf die Schweizerische Bundesbahnen (SBB) gegeben. Die Angreifer haben Schadsoftware über E-Mails verbreitet und es gelang ihnen, in einen Teil des Unternehmensnetzwerks einzudringen.
Glücklicherweise waren weder Bahnbetrieb noch Kundendaten betroffen. SBB-Sprecher Reto Schärli bestätigte, dass die Sicherheit der Mitarbeiter und Kunden zu jeder Zeit gewährleistet war.
Die SBB arbeiten zusammen mit Partnern und Bundesbehörden daran, den Cyberangriff zu analysieren und haben eine Strafanzeige eingereicht. Um die SBB und die individuellen Daten zu schützen, wurden die aktuellen Sicherheitslevels erhöht und es wurde beschlossen, dass alle Angestellten ihr persönliches Passwort ändern müssen.
Es ist noch nicht bestätigt, ob es sich um einen Angriff durch eine Ransomware-Bande handelt.
Die Phishing Kampagne auf die Schweizerische Bundesbahn checkt fast alle Boxen eines detaillierten Angriffs gegen Mitarbeiter eines Unternehmens. Weil diese Angriffe im heutigen Arbeitsalltag leider keine Ausnahme sind, sondern in vielen Unternehmen fast schon Tagesordnung gehören, gehen wir auf genau diese und viele weitere Themen in unserer Security Awareness Schulung ein.
Mitarbeiter sollten nicht nur wissen, wie sie Phishing Attacken erkennen und vermeiden, sondern auch, warum Spam Filter und Antivirus Programme keinen kompletten Schutz bieten, und daher aufmerksam sein nachwievor wichtig ist.
Mehr Infos und einen ersten Eindruck zum Kurs gibt es auf learn.lastbreach.com
Oder schreib uns an kontakt@lastbreach.com für eine umfangreiche Teststellung.
Cyberangriff auf Forschungsprojekt gegen Hassbilder
Eine Webseite des Forschungsprojekts „Ein Bild verletzt mehr als 1000 Worte“, dessen Ziel es ist, Hassbilder im Internet zu analysieren und zu bekämpfen, wurde von Unbekannten angegriffen. IT-Experten brauchten zweieinhalb Tage, um die Seite vom Virus zu befreien.
Es ist unklar, wer für den Angriff verantwortlich ist und welche Motive dahinter stecken, aber es kann davon ausgegangen werden, dass die Person oder Gruppe, die den Angriff verübte, dem Ziel des Projekts, Hass im Internet zu bekämpfen, schaden wollte.
Durch den Angriff wurde das Hochladen von Bildern auf die Projektseite gestört. Es wird aber betont, dass personenbezogene und sensible Daten aufgrund präventiver Sicherheitsmaßnahmen nicht gefährdet waren.
Wirtschaft, Politik und Kultur
Finnischer Hacker verhaftet
Ein 25-jähriger finnischer Mann, verdächtigt des schweren Computereinbruchs im Psychotherapiezentrums Vastaamo, wurde am 3. Februar in Frankreich festgenommen.
Die französische Polizei nahm ihn aufgrund eines europäischen Haftbefehls in Gewahrsam. Die Übergabe des Verdächtigen an Finnland wird in enger Zusammenarbeit mit den französischen Behörden erfolgen. Seine Verhaftung ist das Ergebnis einer internationalen polizeilichen Zusammenarbeit und Nachrichtendienstermittlungen.
Die strafrechtlichen Ermittlungen in diesem Fall sind noch im Gange und die Polizei wird so bald wie möglich weitere Informationen bereitstellen.
Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!