Die Weekly Hacker News – 19.06.2023

von | Jun 19, 2023 | News | 0 Kommentare

Kritische Sicherheitslücke in HP Druckern, Massive Cyberangriffe durch Lücke in MOVEit Transfer-Software, Cyberangriffe auf Medizinischen Dienst und Helmholtz-Zentrum Berlin, Krankenhaus schließt wegen Ransomware-Angriff, aktuelle Phishing Warnungen und LockBit-Ransomware Mitglied verhaftet.


Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.

Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.

Inhalt laden


Schwachstellen und Exploits

Kritische Sicherheitslücke in HP Enterprise LaserJet Multifunktionsdruckern

HP hat einen Sicherheitshinweis veröffentlicht, in dem eine potenzielle Sicherheitslücke bei bestimmten HP Enterprise LaserJet Multifunktionsdruckern (MFPs) bekannt gegeben wird.

Die Schwachstelle kann zu einem Buffer-Overflow und zur Remote-Codeausführung führen, was bedeutet, dass unbefugter Zugriff auf die Geräte und die Ausführung von schädlichem Code möglich sind. Ein Risiko dafür besteht insbesondere dann, wenn HP Workpath-Lösungen auf den betroffenen Geräten verwendet werden. Die Sicherheitslücke CVE-2023-1329 wird mit einem Score von 9,8 als kritisch eingestuft.

Um das Risiko zu minimieren, empfiehlt HP allen Besitzern der betroffenen HP Enterprise LaserJet MFPs, die Firmware ihrer Geräte zu aktualisieren. HP hat bereits eine aktualisierte Firmware-Lösung bereitgestellt, die auf der Website des HP-Kundensupports zum Download verfügbar ist.


Hacker-Gruppen und Kampagnen

Schwerwiegende Datenverluste sowie globale Cyberangriffe durch Lücke in MOVEit Transfer

Die Zero-Day-Lücke in MOVEit Transfer, über die wir bereits vor 2 Wochen berichtet haben, trägt nun die Bezeichnung CVE-2023-34362 und hat einen nahezu maximalen Score von 9,8 erhalten.

Sicherheitsforscher haben festgestellt, dass die SQL-Injection-Schwachstelle in der Managed File Transfer Lösung MOVEit seit 2021 weltweit ausgenutzt wird. Es wird vermutet, dass die Ransomware-Gruppe CL0P daran beteiligt ist.

Diese Lücke führte kürzlich zu einem groß angelegten Cyberangriff auf US-Bundesbehörden, bei dem etwa 3,5 Millionen Datensätze von Ausweisen und Führerscheinen gestohlen wurden, insbesondere in den Staaten Oregon und Louisiana.

Als Reaktion darauf hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) Maßnahmen ergriffen, um die betroffenen Behörden zu unterstützen und die Auswirkungen des Angriffs zu verstehen. Gemäß den Erkenntnissen des leitenden Beamten der CISA könnten mehrere hundert US-Unternehmen und Organisationen von diesem Angriff betroffen sein.

Einige Unternehmen, darunter Heidelberger Druckmaschinen AG, haben ihre Statements zu den Datenverlusten abgegeben. In diesen Statements wird erwähnt, dass nach einer gründlichen Datenanalyse, auch dem deutschen Unternehmen Daten gestohlen wurden. Das MOVEit-System wurde offline genommen.

Das britische Unternehmen Zellis hat ähnlich gehandelt und den Server, der die MOVEit-Software nutzte, abgeschaltet. Sie haben externe Sicherheitsexperten mit einer Analyse beauftragt.

Weitere Betroffene sind die Johns Hopkins University und das Johns Hopkins Health System, die Provinz Nova Scotia in Kanada, die Regulierungsbehörde für Kommunikationsdienste in Großbritannien (Ofcom) und die zentrale Behörde für das Gesundheitswesen in Irland (HSE).

Es ist wahrscheinlich, dass die Liste der Betroffenen noch nicht abgeschlossen ist, da sich die Schwachstelle zu einem massiven globalen Problem mit erheblichem Datenverlust entwickelt hat.

Darüber hinaus wurden zwei weitere kritische Sicherheitslücken (CVE-2023-35036 und CVE-2023-35708) in der MOVEit Transfer-Software identifiziert.

Beide Lücken sind SQL-Injection-Schwachstellen, die es einem nicht authentifizierten Angreifer ermöglichen könnten, unbefugten Zugriff auf die MOVEit Transfer-Datenbank zu erlangen.

Die erste Lücke (CVE-2023-35036) betrifft Versionen vor 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1.6) und 2023.0.2 (15.0.2), während die zweite Lücke in den Versionen vor 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7) und 2023.0.3 (15.0.3) auftritt.

In beiden Fällen kann ein Angreifer durch speziell präparierte Anfragen die MOVEit Transfer-Datenbank modifizieren und den Inhalt offenlegen. Patches zur Behebung der Lücken für unterstützte Versionen wurden bereitgestellt. Es ist dringend erforderlich, Maßnahmen zu ergreifen.

Cyberangriff auf Medizinischen Dienst Bremen und Niedersachsen

Der Medizinische Dienst Bremen und der Medizinische Dienst Niedersachsen, die eine Verwaltungsgemeinschaft bilden, sehen sich mit einem schwerwiegenden IT-Sicherheitsvorfall konfrontiert.

Als Dienstleister für die IT-Infrastruktur beider Organisationen wurde der MD Niedersachsen zum Ziel eines Angriffs auf seine Systeme. Derzeitigen Erkenntnissen zufolge konnte kein unbefugter Zugriff auf Daten festgestellt werden.

Aufgrund der laufenden Untersuchungen und bis zur Freigabe der Systeme wurde die Auftragsbearbeitung vorübergehend unterbrochen. Zudem sind aus Sicherheitsgründen die Kommunikationskanäle des MD Bremen (Telefon, E-Mail, Fax) derzeit gestört.

Cyberangriff auf das Helmholtz-Zentrum Berlin

Das Helmholtz-Zentrum Berlin (HZB) wurde am 15.06.2023 Opfer eines Cyberangriffs.

Aus Sicherheitsgründen wurden alle IT-Systeme vorübergehend heruntergefahren. Dadurch ist das HZB derzeit nicht über die Webseite, per E-Mail oder Telefon erreichbar.

Experten arbeiten mit Hochdruck daran, die Situation zu klären, Sicherheitslücken zu beheben und die IT-Systeme wieder vollständig funktionsfähig zu machen.

Krankenhaus in Illinois schließt wegen verheerendem Ransomware-Angriff

Einem Bericht der NBC zufolge schließt ein von SMP Health betriebenenes Krankenhaus in Illinois, aufgrund eines verheerenden Ransomware-Angriffs aus dem Jahr 2021.

Die Cyberattacke führte dazu, dass das Krankenhaus mindestens 14 Wochen lang außer Betrieb war und keine Anträge bei Versicherungen, Medicare oder Medicaid stellen konnte.

Die finanzielle Situation des Krankenhauses verschlechterte sich aufgrund dieser Einschränkungen. Beigetragen haben auch Faktoren wie die COVID-19-Pandemie und Personalmangel.

Experten betrachten dieses Krankenhaus als das erste, das öffentlich den Zusammenhang zwischen einem Cyberangriff und seiner Schließung herstellt.


Verbraucherschutzzentrale warnt vor Phishing

Die Verbraucherschutzzentrale warnt regelmäßig vor aktuellen Phishing Attacken. Aktuell sind 5 neue Angriffe im Umlauf.

 

  • Kriminelle zielen auf Kunden der Commerzbank mit betrügerischer „PhotoTAN Risikowarnung“ ab.

 

  • Telekom-Kunden werden Opfer einer ausgeklügelten Phishing-Mail, die vorgibt, Sprachnachrichten zu enthalten. Die E-Mail enthält eine Verlinkung, die neugierig machen soll. In einer anderen Phishing Mail werden die Kunden aufgefordert, ihre E-Mail-Kontodaten zu aktualisieren. Der Betreff lautet „Aktualisieren Sie Ihre E-Mail alle 3 Monate – Erforderlich.“

 

  • Kunden der Oldenburgischen Landesbank werden vermehrt mit Phishing-Mails konfrontiert, die eine vermeintliche Systemüberarbeitung vorgeben. Die E-Mail fordert die Kunden auf, sich über einen Link zu registrieren, um Datenverluste und Verzögerungen zu vermeiden.

 

  • Kunden der Postbank erhalten betrügerische E-Mails, die vorgeben, dass ihre Kreditkarte fälschlicherweise doppelt belastet wurde. Sie werden aufgefordert, einem Link zu folgen, um ihre Identität zu bestätigen und ein Rückerstattungsformular auszufüllen.

 

Ihr könnt die Originalen dieser Phishing-Mails im Phishing-Radar der Verbraucherzentrale einsehen.


Wirtschaft, Politik und Kultur

LockBit-Ransomware Mitglied verhaftet

Das US-Justizministerium hat einen russischen Staatsbürger aus Tschetschenien verhaftet und angeklagt, weil er an einer Reihe von LockBit-Ransomware-Angriffen auf Unternehmen in den USA und anderen Ländern beteiligt war.

LockBit-Ransomware wurde erstmals im Januar 2020 entdeckt und hat seitdem mehr als 1.400 Angriffe weltweit durchgeführt. Die LockBit-Akteure forderten über 100 Millionen US-Dollar an Lösegeldzahlungen und erhielten mindestens zehn Millionen US-Dollar in Bitcoin.

Der 20-jährige Ruslan Magomedovich Astamirov wird beschuldigt, mindestens fünf Angriffe durchgeführt zu haben.

Astamirov wird mit verschiedenen Anklagepunkten konfrontiert, darunter Verschwörung zum Betrug und zur absichtlichen Beschädigung geschützter Computer sowie zur Übermittlung von Lösegeldforderungen.

Im Falle einer Verurteilung drohen ihm bis zu 20 Jahre Gefängnis für den ersten Anklagepunkt und bis zu fünf Jahre Gefängnis für den zweiten Anklagepunkt. Es besteht auch die Möglichkeit einer Geldstrafe von bis zu 250.000 US-Dollar oder dem doppelten Gewinn aus der Straftat.


Das war’s für diese Woche. Die Weekly Hacker News gibt es auf unserem Youtube Channel Channel und als reine Audioversion auf rss.com sowie diversen Podcast-Plattformen zum Abonnieren oder als monatliche Zusammenfassung in unserem Newsletter. Danke für’s lesen und bis zum nächsten Mal – stay safe!