CERT.at - Aktuelles

Mehrere Sicherheitslücken in AppArmor ("CrackArmor") - Updates verfügbar

CERT.at — Fri, 13 Mar 2026 14:30:17 GMT+0100

Sicherheitsforscher:innen des Unternehmens Qualys haben insgesamt neun Schwachstellen in AppArmor entdeckt welche von den Expert:innen zusammengefasst als "CrackArmor" bezeichnet werden.

Bei AppArmor handelt es sich um ein Kernelmodul für Linux welches als standardmäßiger Mechanismus für Mandatory Access Control (MAC) in Ubuntu, Debian und SUSE inkludiert ist. Die Schwachstelle besteht seit 2017 (Kernel-Version 4.11) und betrifft laut den Autor:innen der Veröffentlichung weltweit über 12 Millionen Systeme.

Die Schwachstellen sind sogenannte "Confused Deputy"-Probleme bei deren Ausnutzung unprivilegierte Nutzer:innen einen privilegierten Prozess dazu bringen können, Aktionen in seinem Namen auszuführen, die er selbst nicht durchführen dürfte. Qualys selbst vergleicht das Problem mit einem Einbrecher, der einen Hausverwalter mit Generalschlüssel dazu überredet, ihm gesperrte Tresore zu öffnen.

Die Ausnutzung der Sicherheitsprobleme kann unter Umständen folgende Auswirkungen haben:

Lokale Rechteausweitung: Angreifer:innen können über die Manipulation von AppArmor-Profilen volle Root-Rechte erlangen, beispielsweise durch ein Überschreiben der Datei /etc/passwd.
Container- und Namespace-Ausbruch: Die Schwachstellen ermöglichen es, Isolierungsmaßnahmen von Containern und User-Namespaces zu umgehen.
Denial of Service: Verschachtelte Sicherheitsprofile können Ressourcen erschöpfen und möglicherweise einen Systemabsturz auslösen.
KASLR-Umgehung: Unter Umständen lässt sich die Kernel-Adressraumlayout-Randomisierung aushebeln, was Folgeangriffe erleichtert.

Systemadministrator:innen sind nachdrücklich dazu angehalten die zur Verfügung stehenden Sicherheitsupdates schnellstmöglich einzuspielen. Bisher liegen uns keine Informationen zu einer Ausnutzung der Lücken vor. Qualys hat laut eigener Aussage funktionsfähige Proof-of-Concepts entwickelt, hält den Code dafür aber zurück, um betroffene Systeme nicht unnötig zu gefährden.

Aktive Ausnutzung von Sicherheitslücken in Ivanti Endpoint Manager Mobile (CVE-2026-1281, CVE-2026-1340)

CERT.at — Tue, 03 Feb 2026 11:48:56 GMT+0100

Zwei kürzlich behobene Sicherheitslücken in Ivanti Endpoint Manager Mobile (CVE-2026-1281 und CVE-2026-1340, siehe dazu unsere Warnung vom 31.01.2026 sowie eine technische Analyse der Sicherheitsexpert:innen von Watchtowr) werden bereits von Bedrohungsakteuren ausgenutzt.

Laut Ivanti selbst ist die Untersuchung der bisher bekannten Vorfälle noch im Gange und verlässliche technische Indikatoren liegen noch nicht vor. Allerdings scheinen sich sowohl erfolgreiche als auch versuchte Angriffe mit 404-Errorcodes im Apache-Log niederzuschlagen. Jedoch erzeugen gepatchte Installationen laut den Entwickler:innen ebenfalls derartige Fehlercodes, weshalb Ivanti eine Regular Expression für eine bessere Filterung empfiehlt.

Erschwerend kommt hinzu, dass die Angreifer:innen nach einer erfolgten Kompromittierung die auf dem betroffenen System gespeicherten Logs manipuliert. Eine kontinuierliche Weiterleitung von Logs in ein zentralisiertes System ist dementsprechend, beziehungsweise grundsätzlich, empfohlen.

Systemadministrator:innen und Sicherheitsverantwortliche sind dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Nach aktuellem Stand der Dinge kann jedoch nicht ausgeschlossen werden, dass eine Ausnutzung der Sicherheitslücke bereits vor der Veröffentlichung von Updates erfolgt ist.

Möglicherweise betroffene Systeme sollten dementsprechend im Rahmen der eigenen Incident Response-Prozesse behandelt und gegebenenfalls forensisch untersucht werden. Sollten wir weitere Informationen erhalten werden wir diesen Beitrag schnellstmöglich entsprechend aktualisieren.

Aktuelle Angriffswelle gegen CVE-2025-59718, Patches unzureichend

CERT.at — Wed, 21 Jan 2026 11:32:18 GMT+0100

Im Dezember des vergangenen Jahres hat Fortinet Informationen über einen Login Bypass in mehreren Produkten des Unternehmens veröffentlicht (siehe dazu auch unser Warning vom 19.12.2025) und gleichzeitig Patches zur Verfügung gestellt welche das Problem beheben sollten.

Aktuell mehren sich jedoch Berichte, dass es eine neue Angriffswelle unter Ausnutzung der Schwachstelle - CVE-2025-59718 - zu geben scheint. Auffällig ist, dass mehrere der betroffenen Organisationen die Aktualisierungen zur Behebung des Problems bereits eingespielt hatten und die Angreifer:innen trotzdem in der Lage waren die angegriffenen Systeme mit Hilfe dieser Lücke zu kompromittieren.

Laut einem Beitrag in sozialen Medien hat das Unternehmen inzwischen bestätigt, dass das Problem weiterhin besteht und mit den bereits veröffentlichten Sicherheitsaktualisierungen nicht behoben ist. Als Workaround wird seitens der Entwickler:innen empfohlen den Konfigurationsparameter admin-forticloud-sso-login disable zu setzen.

Seitens Fortinet gibt es bisher noch keine öffentliche Kommunikation. Sollten wir hier weitere Informationen bekommen werden wir diesen Beitrag entsprechend aktualisieren.

Aktuelle Angriffe gegen alte Sicherheitslücke in Fortinet-Geräten (CVE-2020-12812)

CERT.at — Mon, 05 Jan 2026 10:57:21 GMT+0100

Eine bereits seit Juli 2020 bekannte Sicherheitslücke in Fortinet-Firewalls, CVE-2020-12812, wird aktuell aktiv ausgenutzt. Durch Ausnutzung der Schwachstelle können Angreifer:innen durch eine simple Manipulation von Groß- und Kleinbuchstaben in Benutzernamen (z. B. "Mmueller" statt "mmueller") die Zwei-Faktor-Authentifizierung (2FA) über Fortitoken umgehen. Besonders gefährdet sind Systeme, die lokale Nutzer:innen über einen LDAP-Server authentifizieren.

Trotz verfügbarer Patches sind laut aktuellen Scans der Shadowserver Foundation noch immer knapp 10.000 Systeme weltweit angreifbar, in Österreich sind es noch mehr als hundert Geräte. Administrator:innen sind dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Sollte dies aus operativen Gründen nicht möglich sein stellt Fortinet im ursprünglichen Advisory Workarounds zur Mitigation des Problems zur Verfügung.

Betroffene Systeme sollten aufgrund der langen Verwundbarkeit und insbesondere in Anbetracht der aktuellen Angriffe als zumindest gefährdet betrachtet werden und im Rahmen der eigenen Incident Response-Prozesse entsprechend behandelt und untersucht werden.

Schwerwiegende Sicherheitslücke in MongoDB ("MongoBleed")

CERT.at — Mon, 29 Dec 2025 10:09:51 GMT+0100

In MongoDB wurde um Weihnachten eine schwerwiegende Sicherheitslücke entdeckt. Die Schwachstelle, CVE-2025-14847 (auch bekannt als "MongoBleed") erlaubt es unauthentifizierten Angreifer:innen durch manipulierte, zlib-kompromierte Anfragen Teile des Heap-Speichers auszulesen und damit potentiell sensible Daten (wie beispielsweise Passwörter oder API-Schlüssel) zu stehlen.

Betroffen sind zahlreiche Releases von Version 3.6 bis 8.x. Laut MongoDB selbst sind alle Versionen mit standardmässig aktiviertem zlib-Kompressor verwundbar. Konkret handelt es sich dabei um:

MongoDB 8.2.0 through 8.2.3
MongoDB 8.0.0 through 8.0.16
MongoDB 7.0.0 through 7.0.26
MongoDB 6.0.0 through 6.0.26
MongoDB 5.0.0 through 5.0.31
MongoDB 4.4.0 through 4.4.29
All MongoDB Server v4.2 versions
All MongoDB Server v4.0 versions
All MongoDB Server v3.6 versions

Für alle betroffenen Versionen haben die Entwickler:innen bereits Updates veröffentlicht. Als Workaround wird folgendes empfohlen:

If you cannot upgrade immediately, disable zlib compression on the MongoDB Server by starting mongod or mongos with a networkMessageCompressors or a net.compression.compressors option that explicitly omits zlib. Example safe values include snappy,zstd or disabled

Nachdem bereits öffentliche Proof-of-Concept-Exploits existieren und es laut Medienberichten bereits Ausnutzungsversuche durch verschiedene Bedrohungsakteure gibt sind Systemadministrator:innen dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen beziehungsweise, falls dies nicht möglich ist, die Workarounds zu implementieren. Ebenso ist es empfehlenswert, eigene Infrastruktur auf eine mögliche Ausnutzung der Lücke zu untersuchen. Sicherheitsforscher:innen haben hierzu bereits entsprechende Signaturen veröffentlicht.

Kritische Zero-Day-Lücke in Cisco Secure Email-Lösungen aktiv ausgenutzt

CERT.at — Thu, 18 Dec 2025 16:59:17 GMT+0100

Update 16.01.2026: Cisco hat hierzu einen Patch veröffentlicht.

Cisco warnt in einer am 17. Dezember veröffentlichten Meldung vor einer kritischen, bislang ungepatchten Sicherheitslücke (CVE-2025-20393) in seinen auf AsyncOS basierenden E-Mail-Sicherheitslösungen. Die Schwachstelle ist mit einem maximalen CVSS-Score von 10.0 bewertet und erlaubt es entfernten Angreifer:innen, beliebige Befehle mit Root-Rechten auf den betroffenen Systemen auszuführen. Laut Cisco wird die Lücke bereits seit mindestens November 2025 aktiv ausgenutzt.

Betroffen sind alle Versionen der folgenden Produkte, sofern das Feature „Spam Quarantine“ aktiviert und aus dem Internet erreichbar ist:

Cisco Secure Email Gateway
Cisco Secure Email and Web Manager (ehemals SMA)

Die Standardkonfiguration ist in der Regel nicht verwundbar, da das betroffene Feature standardmäßig deaktiviert ist. Ob die „Spam Quarantine“-Funktion aktiviert ist, kann im Web Management Interface unter Network -> IP Interfaces (Gateway) bzw. Management Appliance -> Network -> IP Interfaces überprüft werden.

Ziel der Angriffe ist es, persistenten Zugriff auf die Zielsysteme zu erlangen. Dabei kommen verschiedene Schadprogramme zum Einsatz, darunter die Python-Backdoor AquaShell, das Tool AquaPurge zur Manipulation von Logs sowie Tunneling-Werkzeuge wie AquaTunnel und Chisel.

Cisco hat eine Liste von empfohlenen Maßnahmen in seinem Advisory veröffentlicht. Da die Untersuchung des Sachverhalts noch nicht abgeschlossen ist, wird empfohlen, dieses Advisory regelmäßig auf Aktualisierungen zu prüfen.

Schwerwiegende Sicherheitslücke in React und Next.js

CERT.at — Wed, 03 Dec 2025 19:03:07 GMT+0100

Ein Sicherheitsforscher hat in der Server-Komponente ("RSC") des Javascript-Frameworks React eine schwerwiegende Sicherheitslücke entdeckt. Die Schwachstelle, CVE-2025-55182, betrifft neben React selbst auch andere Javascript-Frameworks, welche die React Server-Komponente nutzen, insbesondere Next.js.

Hintergrund der Lücke ist eine unsichere Deserialisierung durch Clients verschickter RSC-Payloads, deren Struktur durch den Server nicht korrekt validiert wird. Durch einen speziell präparierten HTTP-Request kann auf diesem Weg eine entfernte Ausführung von Code erreicht werden. Laut Sicherheitsexpert:innen liegt die Erfolgsrate bei der versuchten Ausnutzung der Schwachstelle bei nahezu 100%.

Da die Lücke bei typischen bzw. Standard-Deployments auftritt sind ungewöhnlich viele Anwendungen betroffen. Laut dem auf Cloud-Sicherheit spezialisierten Dienstleister Wiz sind weltweit etwa 39% aller Cloud-Umgebungen von dem Problem betroffen.

Auch wenn bisher keine Ausnutzung durch Bedrohungsakteure bekannt ist sind Systemadministrator:innen und Entwickler:innen dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Für alle Deployments, die RSC nutzen (wie beispielsweise Next.js oder Plugins wie Vite/Parcel) sollte geprüft werden ob bereits ein Update zur Verfügung steht und dieses ebenfalls schnellstmöglich zu applizieren.

Kritische Sicherheitslücke in Fortinet FortiWeb wird aktiv ausgenutzt

CERT.at — Mon, 17 Nov 2025 16:45:55 GMT+0100

Eine kritische Sicherheitslücke (CVE-2025-64446) in Fortinet FortiWeb erlaubt es unauthentifizierten Angreifer:innen, eigene Admin-Konten zu erstellen und somit die vollständige Kontrolle über betroffene Geräte zu erlangen. Die Schwachstelle wird mindestens seit dem 6. Oktober 2025 aktiv ausgenutzt und Exploitcode ist bereits öffentlich verfügbar .

Konkret kombiniert die Sicherheitslücke zwei Schwachstellen: Über einen unzureichend gesicherten API-Endpunkt senden Angreifer:innen einen Payload an das 'fwbcgi'-Binary. Dort kann der Payload die Authentifizierung umgehen und somit ein neues Admin-Konto mit eigenen Zugangsdaten anlegen.

Betroffene Versionen:

FortiWeb 8.0.0 bis 8.0.1
FortiWeb 7.6.0 bis 7.6.4
FortiWeb 7.4.0 bis 7.4.9
FortiWeb 7.2.0 bis 7.2.11
FortiWeb 7.0.0 bis 7.0.11

Empfohlene Maßnahmen:

Betreiber:innen von Fortinet FortiWeb Installationen werden aufgefordert, unverzüglich auf folgende gepatchte Versionen zu aktualisieren: 8.0.2, 7.6.5, 7.4.10, 7.2.12 oder 7.0.12 . Sollte ein Update aktuell nicht möglich sein kann als Zwischenlösung der HTTP/HTTPS-Zugriff auf Internet-facing Interfaces selbst deaktiviert werden, bis ein Update durchgeführt werden kann.

Außerdem wird dringend empfohlen, die Konfiguration auf unerwartete Änderungen zu überprüfen und die Logs auf unautorisierten Zugriff beziehungsweise neu angelegte Admin-Konten seit Oktober 2025 zu checken.

Weitere IoCs sind hier verfügbar.

Aktuelle Phishingwelle im Namen von FinanzOnline

CERT.at — Wed, 05 Nov 2025 10:48:22 GMT+0100

Aktuell erreichen uns vermehrt Meldungen über Phishing-Kampagnen im Namen des österreichischen FInanzministeriums. Während eine Welle an Mails versucht Nutzer:innen mit einer gefälschten Mehrwertsteuer-Rückerstattung in die Falle zu locken warnen SMS-Nachrichten vor einem angeblich abgelaufenen FinanzOnline-Zugang. Auch Watchlist Internet berichtet bereits über diese Angriffe.

Bei der Mailkampagne handelt es sich um Mails die vorgeben vom Finanzministerium zu stammen. Die Empfänger:innen hätten laut diesen Nachrichten Anspruch auf eine Rückerstattung in der Höhe von mehreren hundert Euro - zur "Verifizierung der Bankverbindung" soll ein Link angeklickt werden.

Dieser führt Betroffene auf ein gefälschtes FinanzOnline-Portal. Von dort wird dann auf eine gefälschte Banking-Webseite weitergeleitet mittels derer die Kriminellen eingegebene Login-Daten stehlen.

Bei den SMS-Nachrichten (laut einigen Berichten in sozialen Medien rufen die Kriminellen potentielle Opfer auch an) ist das Ziel der Kriminellen ident, die Vorgehensweise jedoch anders. Empfänger:innen der SMS werden aufgefordert ihre FinanzOnline-Daten zu "bestätigen". Nach der "Anmeldung" bei einem gefälschten FinanzOnline-Portal folgt ein Anruf von vermeintlichen Support-Mitarbeiter:innen, die zur Installation einer Fernzugriffs-Software drängen - und so Vollzugriff auf das Endgerät erhalten.

In beiden Fällen gibt es eindeutige Warnsignale:

Absenderadresse: Echte Mails des Finanzministeriums enden auf @bmf.gv.at.
- Auch offizielle Seiten des Finanzamts enden immer auf .bmf.gv.at.
- Offzielle Stellen versenden in den allerseltensten Fällen Links per SMS, meistens nur Aufforderungen, sich direkt auf der Webseite einzuloggen.
Unpersönliche Anrede: Die Ansprache erfolgt mit Floskeln wie "Sehr geehrter Kunde" anstatt namentlicher Ansprache.
Aufbau von Druck: Das Vortäuschen von vermeintlich notwendiger Eile soll Stress erzeugen und so Misstrauen aushebeln. Die Nutzung solcher "emotionaler Trigger" ist eine klassische Taktik bei Phishing-Angriffen.

Sollten Sie bei bekommenen Benachrichtigungen unsicher sein ob es sich um authentische Nachrichten oder Betrugsversuche handelt sollten Sie direkt beim Finanzamt oder der Bank nachfragen. Nutzen Sie dabei Ihnen bekannte Kontaktdaten und nicht die in der Ihnen verdächtigen Nachricht angegebenen Kontaktmöglichkeiten.

SAP behebt schwerwiegende Sicherheitslücken in mehreren Produkten

CERT.at — Mon, 20 Oct 2025 10:27:24 GMT+0100

Im Rahmen des regulären Oktober-Patchday hat SAP insgesamt 13 Updates für Schwachstellen in seinen Produkten veröffentlicht. Besonders hervorzuheben sind dabei folgende Lücken:

CVE-2025-42944, CVSS 10.0, ist eine Deserialization in SAP NetWeaver, mittels welcher unauthentifizierte Angreifer:innen betroffene Systeme vollständig kompromittieren können. Dieses Problem wurde bereits im vergangenen Monat durch SAP adressiert, laut Sicherheitsforscher:innen bietet das aktuelle Update nochmals verbesserten Schutz.
CVE-2025-42937, CVSS 9.8 - SAP Print Service ist betroffen von einer Directory Traversal-Lücke deren Ausnutzung es unauthentifizierten Angreifer:innen erlaubt Systemdateien zu überschreiben.
CVE-2025-42910, CVSS 9.0, erlaubt es Angreifer:innen beliebige Dateien in SAP Supplier Relationship Management hochzuladen und zur Ausführung zu bringen.

Momentan gibt es noch keine Hinweise, dass eine oder mehrere dieser Sicherheitslücken durch Bedrohungsakteure ausgenutzt werden. In der Vergangenheit gelang es den Kriminellen jedoch oftmals bereits kurz nach Bekanntwerden einer Lücke funktionierende Exploits zu erstellen. Systemadministrator:innen sind dementsprechend dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen schnellstmöglich einzuspielen.

Kritische Redis Sicherheitslücke (CVE-2025-49844) erlaubt Authenticated Remote Code Execution

CERT.at — Tue, 07 Oct 2025 15:09:45 GMT+0100

Die kritische Redis Sicherheitslücke (CVE-2025-49844) erlaubt Remote Code Execution, wenn LUA-Scripting aktiviert ist und ein speziell präpariertes Script im Kontext eines authentifiziertem Benutzer ausgeführt wird.
Redis-Container werden standardmäßig ohne Authentifizierung ausgeliefert. Die Kombination aus weiter Verbreitung, häufig unsicherer Standardkonfiguration und der Schwere der Sicherheitslücke macht diese Schwachstelle unangenehm.
Es wird empfohlen bei exponierten Redis Instanzen die Authentifizierung zu aktivieren, falls nicht benötigt, LUA-Scripting zu deaktivieren und den Patch zügig einzuspielen.

CERT.at informiert automatisiert Abuse-Kontakte (direkt oder über den Internet Service Provider) von IP-Adressen mit Redis Instanzen ohne Authentifizierung seit Jahren über diesen Umstand.

https://www.wiz.io/blog/wiz-research-redis-rce-cve-2025-49844
https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q

Populäre JavaScript Pakete manipuliert

CERT.at — Tue, 09 Sep 2025 10:50:12 GMT+0100

Eine Reihe populärer JavaScript Pakete wurde kürzlich manipuliert um Krypotwährungstransaktionen zu manipulieren. Ursache dieses Supply-Chain-Angriffs scheint eine erfolgreiche Phishing Attacke gegen den Maintainer dieser Pakete und dessen NPM Konto gewesen zu sein. Manipulierte Versionen der betroffenen Pakete wurden bereits zurückgezogen.

Mehrere Berichte & Blogs widmen sich den Details: Betroffen waren folgende Pakete & Versionen:

backslash@0.2.1
chalk@5.6.1
chalk-template@1.1.1
color-convert@3.1.1
color-name@2.0.1
color-string@2.1.1
wrap-ansi@9.0.1
supports-hyperlinks@4.1.1
strip-ansi@7.1.1
slice-ansi@7.1.1
simple-swizzle@0.2.3
is-arrayish@0.3.3
error-ex@1.3.3
has-ansi@6.0.1
ansi-regex@6.2.1
ansi-styles@6.2.2
supports-color@10.2.1
proto-tinker-wc@1.8.7
debug@4.4.2

Wir empfehlen, eigene JavaScript-Entwicklungen auf den Einsatz dieser Pakete und Versionen zu prüfen und generell Softwarepakete Dritter, auch in automatisierten Abläufen, nur auf Sicherheitsbelange hin geprüft einzubinden.

Angriffe gegen Citrix Netscaler CVE-2025-6543

CERT.at — Fri, 25 Jul 2025 07:57:22 GMT+0100

Das Nationale Cybersicherheitszentrum der Niederlande NCSC-NL hat ein Script veröffentlicht, anhand dessen sich Citrix Netscaler Installationen lokal auf gewisse Indikatoren für Angriffe gegen die kürzlich bekannt gewordene Sicherheitslücke CVE-2025-6543 prüfen lassen.

Wir bitten Betreiber:Innen von Citrix Netscaler Installationen in Österreich, die eigenen Installationen durch dieses Script zu prüfen und uns über etwaige Funde zu informieren: Logfiles dieses Scripts nehmen wir gern zur Prüfung entgegen.

Aktiv ausgenutzte Schwachstellen in Citrix NetScaler ADC und NetScaler Gateway

CERT.at — Tue, 08 Jul 2025 12:36:59 GMT+0100

In den vergangenen Wochen hat Citrix mehrere Sicherheitsaktualisierungen für insgesamt drei Sicherheitslücken in seinen Produkten NetScaler ADC und NetScaler Gateway veröffentlicht:

CVE-2025-6543, CVSS-Score 9.2
CVE-2025-5349, CVSS-Score 8.7
CVE-2025-5777, CVSS-Score 9.3, auch bekannt als "CitrixBleed 2"

Zum Zeitpunkt der Veröffentlichung der Advisories sowie der dazugehörigen Aktualisierungen gab es laut Citrix keine aktive Ausnutzung der Schwachstellen, was bereits damals durch Sicherheitsxpert:innen angezweifelt wurde. Inzwischen mehren sich die Stimmen die von einer aktiven Ausnutzung durch Bedrohungsakteure sprechen. Weiters gibt es Indizien dafür, dass dies bereits seit mehreren Wochen der Fall sein könnte.

Da uns aktuell kaum technische Details zu möglichen Angriffen vorliegen können wir momentan noch keine genauen Anleitungen bzw. Empfehlungen zur Erkennung von Angriffsversuchen bzw. bereits erfolgten Kompromittierungen geben.

Laut Berichten in den sozialen Medien gibt es jedoch einige Anzeichen für eine Ausnutzung von CVE-2025-5777:

Logeinträge über wiederholte POST-Requests an den Endpunkt /p/u/doAuthentication, insbesondere mit Content-Length: 5
Logeinträge mit den Zeilen LOGOFF durch eine:n Benutzer:in mit einem # im Benutzer:innennamen

Betreiber:innen sind dennoch dringend angehalten zu prüfen, ob möglicherweise bereits vor dem Einspielen der zur Verfügung stehenden Patches eine Kompromittierung stattgefunden hat. Beispielsweise durch eine genaue Betrachtung von ein- und ausgehenden Verbindungen oder sonstigen ungewöhnlichen Aktivitäten auf möglicherweise betroffenen Systemen.

Auch wird von Citrix selbst angeraten, bestehende ICA- und PCoIP-Sessions zu terminieren, dies sollte jedoch erst geschehen nachdem diese auf möglicherweise verdächtige Verbindungen untersucht worden sind. Eine Beschreibung der Schritte um dies je nach System zu tun findet sich in der Dokumentation des Herstellers. Wir beobachten die Situation weiterhin und werden diese Veröffentlichung gegebenenfalls aktualisieren und um neue Informationen ergänzen.

Auswirkungen des militärischen Konfliktes zwischen Israel und dem Iran auf Österreich

CERT.at — Mon, 23 Jun 2025 09:32:09 GMT+0100

Vorliegende Analysen internationaler Behörden und Sicherheitsunternehmen verzeichnen seit dem Beginn der aktuellen militärischen Auseinandersetzung zwischen Israel und dem Iran verstärkte Aktivitäten von Bedrohungsakteuren aller Konfliktparteien.

Insbesondere Angriffe hacktivistischer Akteure haben massiv zugenommen. Diese setzen insbesondere auf DDoS-Angriffe und Webseiten-Defacements. In den sozialen Medien sprechen diese Angreifer:innen oft auch von erfolgreichen Datendiebstählen, wie auch in der Vergangenheit lassen sich diese Behauptungen momentan schwer verifizieren.

Laut unseren bisherigen Beobachtungen gab es bisher noch keine direkten Angriffe oder Auswirkungen auf lokale Unternehmen oder Organisationen. Eine Ausweitung der Angriffe auf europäische oder österreichische Ziele ist vor diesem Hintergrund jedoch nicht auszuschließen, zumal hacktivistisch motivierte Angreifer:innen oftmals opportunistisch vorgehen und die Wahl ihrer Ziele nicht immer rational nachvollziehbar ist. Selbst wenn es jedoch weitehrin zu keinen gezielten Angriffen auf Österreich kommt ist jedoch nicht auszuschließen, dass es für Organisationen hierzulande aufgrund von Geschäftsbeziehungen oder digitalen Schnittstellen zu Netzwerken in der Region zu Kollateralschäden kommen könnte.

CERT.at empfiehlt dringend, die bestehenden Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls zu verstärken. Besonderes Augenmerk sollte auf die Segmentierung von Netzwerken, die Verbesserung der Sichtbarkeit durch Monitoring-Systeme und die Sensibilisierung von Mitarbeiter:innen gegenüber potentiellen Phishing-Angriffen und Social-Engineering-Versuchen gelegt werden.

Wir beobachten die weitere Entwicklung der Situation aktiv und werden neue Informationen beziehungsweise Veränderungen der Lage schnellstmöglich kommunizieren. Für Rückfragen stehen wir jederzeit zur Verfügung

Selenskyj kommt am 16. Juni nach Wien

CERT.at — Fri, 13 Jun 2025 13:44:28 GMT+0100

Passend zum letzten "Aktuellen": der ukrainische Präsident Selenskyi kommt laut Medienberichten am Montag, den 16. Juni auf einen Besuch nach Wien. Die Erfahrung aus anderen Staaten zeigt, dass das die Aufmerksamkeit gewisser Akteure auf Österreich lenken könnte, und dass daher mit DDoS-Angriffen zu rechnen ist.

Das wäre nichts neues für Österreich, auch rund um die Nationalratswahl im September gab es schon solche Störaktionen.

Wir erwarten keine ernsten Probleme, erhöhte Aufmerksamkeit ist aber angebracht.

DDoS-Angriffe auf österreichische Unternehmen und Organisationen

CERT.at — Fri, 06 Jun 2025 12:39:47 GMT+0100

Uns erreichen aktuell vermehrt Berichte von österreichischen Unternehmen und Organisationen über DDoS-Angriffe gegen ihre Systeme und Netzwerke. Betroffen sind Ziele in den verschiedensten Bereichen und Sektoren, ein besonderer Schwerpunkt der Kriminellen lässt sich bisher nicht festmachen. Bei manchen Angriffen liegen deutliche Hinweise auf eine finanzielle Motivation der Angreifer:innen vor, es scheint jedoch aktuell mehr als eine Täter:innengruppe aktiv zu sein.

In Anbetracht der aktuellen Geschehnisse empfehlen wir Unternehmen und Organisationen, die eigenen Prozesse und technischen Maßnahmen nochmals auf ihre Wirksamkeit zu überprüfen, um im Fall eines Angriffes bestmöglich gewappnet zu sein. Dies gilt insbesondere, da eine Intensivierung der Angriffe oder das Ausweiten der Attacken auf weitere Ziele nicht ausgeschlossen werden kann.

Mitigation durch den ISP

Effiziente DDoS Mitigation findet nicht nur beim Opfer statt, sondern auch beim jeweiligen ISP. Kontaktieren Sie diesen bezüglich entsprechender Produkte und Services. Stellen Sie darüber hinaus sicher, dass Sie einen direkten Kontakt bei Ihrem ISP haben, mit dem Sie eventuelle weitere Vorkehrungen besprechen können und der Sie im Fall eines Angriffes unterstützen kann.

Vorbereitung auf Nichtverfügbarkeit

Wir empfehlen, Kontaktdaten, die im Falle eines Angriffes relevant sein können (z.B. Kontaktdaten behördlicher Stellen, Telefonnummer der Ansprechperson bei Ihrem ISP, ...), offline und direkt verfügbar zu haben.

Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserer Warnung vom 14.06.2021, unseren Blogpost zu Geoblocking, sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" der Direktion Staatsschutz und Nachrichtendienst.

Sollten Sie auch Opfer eines solchen Angriffes werden, bitten wir um eine dementsprechende Meldung unter reports@cert.at zur Unterstützung unseres diesbezüglichen Lagebildes beziehungsweise eine NIS-Meldung, wenn die entsprechende Notwendigkeit gegeben ist.

Microsoft-Patchday behebt aktiv ausgenutzte Sicherheitslücke

CERT.at — Wed, 09 Apr 2025 14:41:08 GMT+0100

Microsoft hat zum April-Patchday (8. April) Aktualisierungen für mehrere kritische Schwachstellen in ihren Produkten veröffentlicht. Eine dieser Lücken wird laut dem Unternehmen bereits aktiv ausgenutzt.

Konkret handelt es sich dabei um die Sicherheitslücke CVE-2025-29824, welche mit einem CVSS-Wert von 7.8 bewertet ist. Durch das Ausnutzen eines sogenannten Use-after-free-Bugs können Angreifer:innen mit einfachen Benutzer:innenrechten vollständige Systemrechte erlangen.

Laut Microsoft wird die Schwachstelle in Verbindung mit einer Backdoor-Malware namens PipeMagic eingesetzt. Im Anschluss nutzen die Angreifer:innen die erlangten Systemrechte, um Ransomware großflächig innerhalb der Umgebung zu verteilen und auszuführen. Es wird empfohlen, die veröffentlichten Patches für die Versionen Windows 10 und 11 sowie Windows Server 2008 (R2), 2012 (R2), 2016, 2019, 2022 und 2025 zu installieren.

Des Weiteren wurden Patches für kritische Sicherheitslücken in Hyper-V, Windows Remote Desktop Services und Excel veröffentlicht.

Text-basiertes QR Code Phishing im Umlauf

CERT.at — Wed, 05 Mar 2025 15:47:42 GMT+0100

Über den neuen Ansatz hatten wir 2024 in unseren Newslettern berichtet, nun erhalten wir auch direkt Meldungen über "bildlose" QR-Code Phishs. Kurz umrissen: der QR-Code wird nicht wie oft üblich als Bilddatei übermittelt, sondern aus einzelnen ASCII-/Unicode Block-Zeichen zusammengesetzt. Dadurch kann der im QR-Code enthaltene Inhalt Sicherheitslösungen verborgen bleiben, für optische QR-Code Scanner jedoch funktional bleiben.

Ransomware nutzt Sicherheitslücke in FortiOS/FortiProxy Management-Interfaces

CERT.at — Tue, 18 Feb 2025 17:26:18 GMT+0100

CERT.at hat kürzlich Aktivitäten beobachtet, bei denen die Schwachstelle CVE-2024-55591 in FortiOS/FortiProxy als initialer Angriffsvektor für Ransomware-Angriffe genutzt wird.

Die Sicherheitslücke ist seit Mitte Jänner bekannt , Patches stehen bereits zur Verfügung. Heise [1] hat bereits vorige Woche berichtet, dass eine Ausnutzung der Schwachstelle stattfindet, wir hatten diesen Artikel auf unserem Tagesbericht. Die Lücke ermöglicht es die Authentifizierung zu umgehen und kann es ermöglichen, Super-Admin-Rechte zu erlangen. Mit Stand 17.02.2025 sehen wir noch 368 verwundbare IP-Adressen in Österreich. Diese Zahl wirkt für uns ungewöhnlich hoch, wenn man das Alter und die Schwere der Schwachstelle bedenkt.

Unternehmen und Organisationen, die eine veraltete Version von FortiOS/FortiProxy einsetzen, werden dringend dazu angehalten, die verfügbaren Sicherheitsupdates zeitnah einzuspielen, den Zugriff auf die Management-Interfaces zu beschränken und betroffene Systeme forensisch zu untersuchen. Hinweise zu den empfohlenen Maßnahmen entnehmen Sie bitte dem Advisory des Herstellers [2]. Details zur Schwachstelle und IOCs finden Sie ebenso im Blog von Arctic Wolf [3].

Wir haben Internet Service Provider und/oder Netzwerkbetreiber bereits über verwundbare Systeme in ihren Netzen informiert.

[1] https://www.heise.de/news/Fortinet-schliesst-Sicherheitsluecken-in-diversen-Produkten-Angriffe-laufen-10279425.html

[2] https://www.fortiguard.com/psirt/FG-IR-24-535

[3] https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

Aktive Ausnutzung einer schwerwiegenden Sicherheitslücke in Ivanti Connect Secure VPN

CERT.at — Thu, 09 Jan 2025 11:48:12 GMT+0100

Der Hersteller Ivanti hat am 08.01.2025 Informationen zu zwei Sicherheitslücken veröffentlicht, CVE-2025-0282 und CVE-2025-0283. Laut einer am selben Tag erfolgten Veröffentlichung von Mandiant wird diese Schwachstelle bereits seit Mitte Dezember des vergangenen Jahres durch Angreifer:innen missbraucht um Unternehmen und Organisationen zu kompromittieren.

Die Untersuchungen der Angriffe dauern laut Mandiant noch an. Es ist laut dem Unternehmen davon auszugehen, dass mehr als ein Bedrohungsakteur an den Ausnutzungsversuchen beteiligt ist. Genaue Details sind jedoch bisher noch nicht bekannt.

Unternehmen und Organisationen die Ivanti Connect Secure VPN einsetzen sind dringend dazu angehalten die nun zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen und möglicherweise betroffene Geräte forensisch zu untersuchen. Hinleitungen und Anweisungen für die idealerweise zu setzenden Schritten können dem Advisory von Ivanti entnommen werden.

Social Engineering nach Mailbombing

CERT.at — Fri, 13 Dec 2024 17:32:04 GMT+0100

Rapid7 hat vor Kurzem einen Blogbeitrag zur Vorgehensweise einer Ransomwaregruppe veröffentlicht, wir haben inzwischen von mehreren Firmen in Österreich gehört, die dieses Angriffsmuster selber beobachten mussten:

Zuerst wird ein Mitarbeiter der Zielfirma mit E-Mail überschüttet: in vielen Fällen sind das legitime Newsletter, die aber in der Masse ein echtes Problem sind.
Danach wird dieser Angestellte per Teams oder über andere Kanäle kontaktiert: Man sei der Helpdesk und will ihm bei der Bewältigung der Mail-Lawine helfen.
Dazu werden Fernwartungswerkzeuge installiert / aktiviert, damit kann dann der Täter Malware einbringen und starten.
Im schlimmsten Fall endet das Ganze mit Ransomware.

Neben rein technischen Sicherheitsmaßnahmen ist hier die Awareness wichtig: Bei der echten IT-Abteilung, die sicher schnell auch von der Mailflut erfährt, und dann den Betroffenen entsprechend warnen sollte, aber auch bei allen Mitarbeitern, damit sie verstehen, was hier gespielt wird.

Stark gestiegenes Aufkommen an Microsoft Remote Desktop Protokoll (RDP) Scanning

CERT.at — Tue, 10 Dec 2024 17:05:55 GMT+0100

Ein internationaler Partner (Shadowserver) verzeichnet seit Anfang Dezember ein weltweit sehr stark gestiegenes Aufkommen (x160) an RDP "Scanning" in Wellen [1]. Ob es nur um Ausforschen offener RDP-Ports geht oder bereits weitere Handlungen gesetzt werden, ist aktuell unbekannt.
Der Fokus scheint nicht auf dem RDP Standard-Port 3389, sondern auf Port 1098 zu liegen.
RDP sollte niemals uneingeschränkt aus dem Internet erreichbar sein, sondern Zugriffe beispielsweise über VPN-Lösungen oder ACLs beschränkt werden.

[1] https://dashboard.shadowserver.org/statistics/honeypot/device/time-series/?date_range=30&dataset=unique_ips&limit=1000&group_by=type&style=stacked

Akute Welle an DDoS-Angriffen gegen österreichische Unternehmen und Organisationen

CERT.at — Mon, 18 Nov 2024 10:41:47 GMT+0100

Seit heute Früh sind verschiedene österreichische Unternehmen und Organisationen aus unterschiedlichen Branchen und Sektoren mit DDoS-Angriffen konfrontiert. Die genauen Hintergründe der Attacke sind uns zurzeit nicht bekannt, Hinweise für eine hacktivistische Motivation liegen jedoch vor.

Mitigation durch den ISP

Effiziente DDoS Mitigation findet nicht beim Opfer statt, sondern beim jeweiligen ISP. Kontaktieren Sie diesen bezüglich entsprechender Produkte und Services. Stellen Sie darüber hinaus sicher, dass Sie einen direkten Kontakt bei Ihrem ISP haben, mit dem Sie eventuelle weitere Vorkehrungen besprechen können und der Sie im Fall eines Angriffes unterstützen kann.

Vorbereitung auf Nicht-Verfügbarkeit

Weiterführende Informationen

Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserem Warning vom 14. Juni 2021 [1] sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" [2] der Direktion Staatsschutz und Nachrichtendienst.

Sollten Sie auch Opfer eines solchen Angriffes werden/sein, bitten wir um eine dementsprechende Meldung unter reports@cert.at zur Unterstützung unseres diesbezüglichen Lagebildes beziehungsweise eine NIS-Meldung, wenn die entsprechende Notwendigkeit gegeben ist.

Informationsquelle(n):

Sicherheitslücken in Citrix Virtual Apps and Desktops

CERT.at — Tue, 12 Nov 2024 18:01:57 GMT+0100

Sicherheitsforscher:innen des Unternehmens Watchtowr haben zwei schwerwiegende Sicherheitslücken in Produkten des Unternehmens Citrix entdeckt. Aktuell ist noch unklar wie kritisch die Schwachstellen, CVE-2024-8068 und CVE-2024-8069, tatsächlich sind.

Laut den Expert:innen handelt es sich bei der Lücke um eine unauthentifizierte Remote Code Execution, der Hersteller bestreitet dies momentan noch. Fest steht, dass Citrix Virtual Apps and Desktops vor der Version 2407 hotfix 24.5.200.8 sowie mehrere LTS-Versionen des Produktes verwundbar sind. Die genauen Details finden sich in dem vom Hersteller veröffentlichten Advisory.

Da neben Aktualisierungen welche das Problem beheben auch bereits ein Proof-of-Concept auf GitHub veröffentlicht wurde ist davon auszugehen, dass es bald zu breitflächigen Ausnutzungsversuchen kommen wird. Dementsprechend sind Administrator:innen dringend angehalten betroffene Systeme schnellstmöglich zu aktualisieren.

Wir behalten die Entwicklungen rund um die Schwachstelle weiter im Auge und aktualisieren diesen Beitrag sollten wir neue Informationen erhalten.

Zugangsdaten aus 2023 für Zugriff ausgenutzt - "Helldown Leaks"-Ransomware kompromittiert Unternehmen über Zyxel-Firewalls

CERT.at — Mon, 11 Nov 2024 11:42:21 GMT+0100

Seit etwa Anfang August 2024 werden international Unternehmen durch die Ransomware-Gruppe "Helldown Leaks" verschlüsselt.
Als initialer Angriffsvektor können durchgängig Zyxel-Firewalls ausgemacht werden, selbst wenn diese auf dem letzten Software-Stand sind.

Betroffen sind ...

ATP (alle Versionen)
USG FLEX (alle Versionen)

im On-Premise-Modus mit Remote-Management oder SSL-VPN, bei denen die Anmeldedaten von Administratoren und Benutzern seit 2023 NICHT aktualisiert wurden.

Anzeichen für eine Kompromittierung sind ...

Unbekannte Benutzerkonten: Vorhandensein von nicht autorisierten Admin- oder Benutzerkonten wie "SUPPORT87", "SUPPOR817" oder "VPN", aber auch andere.
Verdächtige VPN-Verbindungen: SSL-VPN-Anmeldungen von IP-Adressen, die nicht Ihrem Unternehmen zugeordnet sind, insbesondere aus dem Ausland.
Geänderte Sicherheitsrichtlinien: Anpassungen an Firewall-Regeln, die unbeschränkten Zugriff ermöglichen oder WAN-zu-LAN-Zugriff öffnen.
Ungewöhnliche Aktivitätsprotokolle: Admin-Anmeldungen zu ungewöhnlichen Zeiten oder von unbekannten Standorten.

Diese Ransomware-Kampagne ist weiter aktiv.

Es wird empfohlen bei Zyxel-Firewalls aus der ATP oder USG FLEX Serie umgehend ...

ALLE Passwörter zu ändern. Bitte verwenden Sie NICHT dasselbe Passwort wie in der Vergangenheit.
- ALLE Passwörter für Admin-Konten
- ALLE Passwörter für Benutzerkonten, einschließlich lokaler und Active Directory-Konten.
- Der Pre-Share-Schlüssel Ihrer VPN-Einstellungen (Remote Access und Site-to-Site-VPN)
- Das Administratorkennwort mit externem Authentifizierungsserver (AD-Server und Radius)
unbekannte Konten zu entfernen
- Überprüfen Sie alle Benutzerkonten und löschen Sie unautorisierte oder unbekannte Konten.
Sicherheitsrichtlinien zu prüfen
- Untersuchen Sie Firewall- und Sicherheitsregeln auf unautorisierte Änderungen und stellen Sie sicher, dass sie angemessene Zugriffsbeschränkungen enthalten.
die Abmeldung von Benutzern und Administratoren zu erzwingen, die nicht erkannt werden.
Firewall-Regeln zu entfernen, die nicht dazu gedacht sind, den gesamten Zugriff von WAN, SSL-VPN-Zonen oder Any zuzulassen.
die Firmware zu aktualisieren
- Stellen Sie sicher, dass alle Zyxel-Geräte auf dem neuesten Software-Stand sind.

Generell gilt, dass vom Hersteller nicht mehr mit Sicherheitsaktualisierungen versorgte Produkte ehestmöglich durch noch unterstützte Systeme ersetzt werden sollten. In Anbetracht der Bedrohungslage ist in diesem Fall besondere Dringlichkeit gegeben.

Informationsquelle(n):

Zyxel Advisory:
https://support.zyxel.eu/hc/en-us/articles/21878875707410-Zyxel-USG-FLEX-and-ATP-series-Upgrading-your-device-and-ALL-credentials-to-avoid-hackers-attacks

Blog von Truesec:
https://www.truesec.com/hub/blog/helldown-ransomware-group

Blog von Sekoia:
https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/

Artikel vom deutschen Bundesamt für Sicherheit in der Informationstechnik:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032

Denial of Service in Cisco ASA & FTD und weitere Cisco Advisories

CERT.at — Fri, 25 Oct 2024 14:21:50 GMT+0100

Cisco berichtet in einem kürzlich veröffentlichten Advisory, sich "malicious use" einer Denial-of-Service Sicherheitslücke in Cisco Adaptive Security Appliance & Firepower Threat Defense Software Remote Access VPN bewusst zu sein. Berichten nach handelt es sich hierbei aber nicht um gezielte Denial-of-Service Angriffe, sondern um Seiteneffekte von breitgestreuten Brute-Force oder Credential-Spraying Attacken: Eine hohe Anzahl an Authentifizierungsversuchen gegen das VPN Service kann demnach zu einem Ausfall des Services führen.
Neben Updates für diese Denial-of-Service Sicherheitslücke (CVE-2024-20481) hat Cisco kürzliche weitere als kritisch eingestufte Sicherheitslücken mit Updates versorgt. Unter anderen Command Injection Vulnerabilities in Cisco Adaptive Security Appliance und Cisco Firewall Management Center oder hard-coded Credentials in Cisco Firepower Threat Defense Software for Firepower.

Auch ein .rdp File kann gefährlich sein

CERT.at — Tue, 22 Oct 2024 16:14:52 GMT+0100

Heute wurde in ganz Europa eine Spear-Phishing Kampagne beobachtet, bei der es darum geht, dass der Empfänger ein angehängtes RDP File öffnen soll.

Warum ist das gefährlich?

Credential-Phishing: Das Ziel soll dazu gebracht werden, seine Zugangsdaten am RDP-Server der Angreifer einzugeben.
Filesystem Access: Die RDP Files spezifizieren, dass das lokale Filesystem auch am RDP-Server verfügbar sein soll. Damit könnte es möglich sein, dass die Tätergruppe sowohl Dateien wegkopiert, als auch Malware auf das lokale System einbringt.

Empfehlungen:

Blockieren sie auf Mail und Proxy-Ebene das Einbringen von .rdp files - diese sollten ähnlich wie .lnk behandelt werden.
Blockieren sie ausgehende RDP Verbindungen auf dem Perimeter - wenn diese Funktionalität gebraucht wird, dann sollten nur einzelne Ziele freigeschalten werden.
Informieren Sie Ihre Mitarbeiter, dass .rdp Files nicht harmlos sind.

Einige Methoden zum Identifizieren und Blockieren von .rdp files finden Sie hier. Unsere Kollegen von CERT-UA haben dazu mehr Details veröffentlicht.

Aktive Ausnutzung einer Sicherheitslücke in Zimbra Mail Server (CVE-2024-45519)

CERT.at — Wed, 02 Oct 2024 15:19:58 GMT+0100

Der Hersteller des Zimbra Mail-Servers, Synacor, hat ein Advisory zu einer Sicherheitslücke in Zimbra Collaboration veröffentlicht. Die veröffentlichte Schwachstelle, CVE-2024-45519, erlaubt es nicht-authentifizierten Benutzern aus der Ferne Code auszuführen.

Für die betroffenen Versionen (9.0.0, 10.0.9, 10.1.1 und 8.8.15) stehen jeweils Updates bereit, welche eine striktere Prüfung von empfangenen Daten im betroffenen Service umsetzen.

Sollte die Durchführung der Updates zum momentanen Zeitpunkt nicht möglich sein, wird Administrator:innen empfohlen, den betroffenen Service (postjournal) zu deaktivieren, und mithilfe des mynetworks Parameters Zugriffsmöglichkeiten auf vertrauenswürdige IP-Adressen einzuschränken.

Da Beispielcode zur Ausnutzung der Lücke öffentlich verfügbar ist, und bereits breitflächige Angriffsversuche beobachtet werden konnten ist das Einspielen der zur Verfügung stehenden Aktualisierungen jedoch nachdrücklich empfohlen.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Akute Welle an DDoS-Angriffen gegen österreichische Unternehmen und Organisationen

CERT.at — Mon, 16 Sep 2024 08:17:25 GMT+0100

Seit kurzem sind verschiedene österreichische Unternehmen und Organisationen aus unterschiedlichen Branchen und Sektoren mit DDoS-Angriffen konfrontiert. Die genauen Hintergründe der Attacke sind uns zurzeit nicht bekannt, Hinweise für eine hacktivistische Motivation liegen jedoch vor.

Mitigation durch den ISP

Vorbereitung auf Nicht-Verfügbarkeit

Weiterführende Informationen

Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserem Warning vom 14. Juni 2021 \[1\] sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" \[2\] der Direktion Staatsschutz und Nachrichtendienst.

Informationsquelle(n):

Aktive Ausnutzung einer Sicherheitslücke in SonicWall SonicOS (CVE-2024-40766)

CERT.at — Fri, 06 Sep 2024 16:23:33 GMT+0100

Der Hersteller SonicWall hat am 21.08.2024 ein Advisory zu einer schwerwiegenden Sicherheitslücke in seinem Betriebssystem für Netzwerkgeräte, SonicOS, veröffentlicht. Die Ausnutzung besagter Schwachstelle, CVE-2024-40766, könnte es Angreifer:innen erlauben, betroffene Geräte zum Absturz zu bringen. Zeitgleich mit der Veröffentlichung hat das Unternehmen auch aktualisierte Versionen von SonicOS freigegeben welche das Problem beheben.

Das Advisory zu der Schwachstelle wurde heute aktualisiert und um die Information erweitert, dass die Lücke bereits aktiv durch Bedrohungsakteure ausgenutzt wird. Zusätzlich wurden weitere Empfehlungen zur Mitigation des Problems aufgelistet. Administrator:innen von Systemen deren Authentifizierung auf lokalen Benutzer:innenaccounts beruht wird geraten eine Änderung der Zugangsdaten für die betroffenen Accounts durchzuführen sowie Mehrfaktorauthentifizierung einzurichten.

Aufgrund der veränderten Bedrohungslage ist das Einspielen der zur Verfügung stehenden Aktualisierungen nachdrücklich empfohlen.

Sicherheitslücken in Veeam Backup & Replication - Updates verfügbar

CERT.at — Fri, 06 Sep 2024 16:09:33 GMT+0100

Der Softwarehersteller Veeam hat Aktualisierungen für mehrere seiner Produkte veröffentlicht.

Unter den Sicherheitslücken die im Rahmen dieser Veröffentlichung behoben wurden befindet sich CVE-2024-40711, eine schwerwiegende Schwachstelle in Veeam Backup & Replication. Die Ausnutzung dieser Lücke ermöglicht es Angreifer:innen unauthentifiziert entfernte Codeausführung zu erreichen.

Fehler in Veeam Backup & Replication wurden bereits in der Vergangenheit von Bedrohungsakteuren ausgenutzt, insbesondere von Ransomware-Akteuren wie Cuba oder Gruppierungen wie FIN7. Administrator:innen sind daher dringend angehalten die zur Verfügung stehenden Sicherheitsupdates schnellstmöglich einzuspielen.

Versuchte Leistungserschleichung bei Sicherheitsunternehmen

CERT.at — Wed, 14 Aug 2024 10:41:12 GMT+0100

Mehrere Sicherheitsunternehmen (insbesondere im Bereich von Threat Intelligence) berichten von Versuchen von Bedrohungsakteuren sich unter Vortäuschung falscher Tatsachen Zugriff auf die Produkte betroffener Firmen zu verschaffen. Die Täter:innen gehen dabei anscheinend nach einem gleichbleibenden Schema vor (beschrieben beispielsweise in Meldungen von Hudson Rock und Intel471):

Die Angreifer:innen nehmen über das Kontaktformular auf der Webseite eines Unternehmens Kontakt auf, unter missbräuchlicher Verwendung einer kompromittierten Mailadresse einer staatlichen Einrichtung oder einer Organisation der öffentlichen Verwaltung.
Dabei setzen die Kriminellen auf schmeichelnde Texte welche zumindest teilweise mittels Large Language Models erstellt wurden um Verkaufsmitarbeiter:innen zu überzeugen.
Wenn den Täter:innen Zugriff welcher Art auch immer gewährt wird nutzen diese ihn intensiv, potentiell automatisiert, um eine Vielzahl von Informationen und Daten abzufragen.

Was die Kriminellen mit diesen Angriffen bezwecken wollen ist noch nicht abschließend geklärt. Es gibt Vermutungen, dass hier Gegenaufklärung betrieben werden soll oder Zugriff auf kompromittierte Zugangsdaten erhalten werden soll, welche in weiterer Folge für Angriffe auf Unternehmen oder Organisationen missbraucht werden könnten.

Auch welcher Bedrohungsakteur hinter diesen Angriffen steckt ist aktuell nicht klar. Sollte Ihr Unternehmen, auch wenn Sie nicht direkt in dem genannten Bereich tätig sind, von ähnlichen Vorgängen betroffen sein, zögern Sie bitte nicht uns zu kontaktieren.

Mehrere schwerwiegende Sicherheitslücken in Ivanti-Produkten - Updates verfügbar

CERT.at — Wed, 14 Aug 2024 10:06:58 GMT+0100

Ivanti hat Updates für schwerwiegende Sicherheitslücken in mehreren seiner Produkte veröffentlicht. Von den nun behobenen Schwachstellen sind folgende Produkte betroffen:

Ivanti Avalanche

Mehrere behobene Lücken betreffen Ivanti Avalanche - CVE-2024-38652, CVE-2024-38653, CVE-2024-36136, CVE-2024-37399, CVE-2024-37373. Die Ausnutzung dieser Schwachstellen erlaubt es Angreifer:innen nicht nur, beliebige Dateien auf dem lokalen Dateisystem zu lesen sondern teilweise ach diese zu löschen. Neben dem Zugriff auf potentiell sensible Informationen haben Bedrohungsakteure so auch die Möglichkeit, verwundbare Systeme lahmzulegen.

Ivanti Neurons

CVE-2024-7569 und CVE-2024-7570 betreffen für Benutzer:innenauthentifizierung verantwortliche Komponenten von Ivanti Neurons. Ein Missbrauch der Lücken ermöglicht es Angreifer:innen unter Umständen, sensible Daten zu stehlen oder Authentifizierungsmaßnahmen zu umgehen.

Ivanti Virtual Traffic Manager (vTM)

Bei CVE-2024-7593 handelt es sich um eine fehlerhafte Implementation eines Algorithmus zur Benutzer:innenauthentifizierung welche es Angreifer:innen ermöglicht ohne Authentifizierung auf das Adminpanel zuzugreifen. Im vom Hersteller veröffentlichten Advisory zu der Lücke wird beschrieben, wie sich verifizieren lässt ob ein System verwundbar ist und auch ein Workaround für Fälle beschrieben, wo das Einspielen des Patches momentan nicht möglich ist.

Laut dem Unternehmen gibt es bisher keine Anzeichen, dass die Sicherheitslücken aktiv ausgenutzt werden. Da in einigen Fällen aber bereits ein Proof-of-Concept zur Ausnutzung öffentlich zur Verfügung steht ist davon auszugehen, dass die ersten Scans und Ausnutzungsversuche bald beginnen werden.

Microsoft Patchday August 2024 - mehrere aktiv ausgenutzte Schwachstellen

CERT.at — Wed, 14 Aug 2024 09:33:47 GMT+0100

Mit den im Rahmen des monatlichen Patchdays ausgelieferten Updates behebt Microsoft im August insgesamt 92 Schwachstellen. Außergewöhnlich ist in diesem Monat die Anzahl an Sicherheitslücken welche bereits aktiv durch Bedrohungsakteure ausgenutzt werden.

Bei den missbrauchten Lücken handelt es sich um CVE-2024-38189, CVE-2024-38178, CVE-2024-38193, CVE-2024-38106, CVE-2024-38213, und CVE-2024-38107. Mit einem CVSS-Score von 8.8 ist CVE-2024-38189 die Schwerwiegendste in dieser Liste. Sie betrifft Microsoft Project und ermöglicht Angreifer:innen die entfernte Ausführung von Schadcode mittels einer speziell präparierten Microsoft Office Project-Datei.

Aufgrund der bereits erfolgenden Ausnutzung ist eine Einspielung der zur Verfügung stehenden Patches dringend empfohlen.

CrowdStrike Agent erzeugt Bluescreen of Death (BSOD) Dauer-Schleife auf Windows Systemen - Fehlerhaftes Update für Falcon Sensor

CERT.at — Fri, 19 Jul 2024 10:57:44 GMT+0100

Durch ein fehlerhaftes Update im CrowdStrike Produkt Falcon Sensor kommt es aktuell weltweit zu massiven Systemausfällen. Das Update erzeugt eine BlueScreen-Dauerschleife auf betroffenen Systemen.
CrowdStrike ist sich dem Problem bewusst und arbeitet an einer Lösung.

Update: Microsoft hat inzwischen ein Wiederherstellungstool bereitgestellt, welches den untenstehenden Workaround automatisiert.

Update: Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing im Zusammenhang mit dem Vorfall

Vorläufige Workarounds für betroffene Systeme wurden identifiziert:

Falls eine Verbindung direkt nach dem Booten (ohne VPN etc) der betroffenen Windows-Systeme mit den CrowdStrike Servern möglich ist:

Mehrmaliger Neustart der Systeme

Falls keine direkte Verbindung der betroffenen Windows-Systeme mit den CrowdStrike Servern möglich ist:

Starten Sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung (je nach Konfiguration sind Administrations-Berechtigungen notwendig)
Navigieren Sie zum Verzeichnis C:\Windows\System32\drivers\CrowdStrike
Suchen Sie die Datei, die C-00000291*.sys entspricht, und löschen Sie sie.
Booten Sie den Host normal.

Wir konnten die Workarounds nicht selber testen, haben aber positive Rückmeldungen zur Funktionalität erhalten.

Wir haben erfahren, dass bei Systemen mit aktiviertem BitLocker der Zugriff im abgesicherten Modus erschwert sein kann. Halten Sie hierfür die Wiederherstellungs-Schlüssel bereit.

Für Systeme in Public Clouds oder ähnlichen Umgebungen empfiehlt CrowdStrike:

Detach the operating system disk volume from the impacted virtual server
Create a snapshot or backup of the disk volume before proceeding further as a precaution against unintended changes
Attach/mount the volume to a new virtual server:
Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
Locate the file matching “C-00000291*.sys”, and delete it.
Detach the volume from the new virtual server
Reattach the fixed volume to the impacted virtual server

Weitere Informationsquellen:

Schwerwiegende Sicherheitslücke in Cisco Secure Email Gateway

CERT.at — Thu, 18 Jul 2024 16:12:53 GMT+0100

Cisco hat ein Advisory zu einer schweren Sicherheitslücke in Cisco Secure Email Gateway veröffentlicht. Die Schwachstelle, CVE-2024-20401, befindet sich in der Inhaltsüberprüfungs- und Nachrichtenfilterungsfunktion des Produktes. Ihre Ausnutzung könnte es nicht authentifizierten, entfernten Angreifer:innen erlauben, beliebige Dateien auf dem lokalen System zu überschreiben.

Dies würde Bedrohungsakteuren potentiell auch ermöglichen, neue Benutzer:innen mit administrativen Rechten anzulegen, beliebigen Code auszuführen oder das Gerät auf eine Art und Weise lahmzulegen, bei dem die Wiederherstellung des Betriebes Unterstützung des Herstellersupports notwendig machen würde.

Diese Sicherheitslücke betrifft Cisco Secure Email Gateway, wenn es mit einer anfälligen Version von Cisco AsyncOS betrieben wird und beide der folgenden Bedingungen erfüllt ist:

Entweder ist die Dateianalysefunktion, die Teil von Cisco Advanced Malware Protection (AMP) ist, oder die Inhaltsfilterfunktion aktiviert und einer Posteingangsrichtlinie zugewiesen ist
Die Version der Content Scanner Tools ist älter als 23.3.0.4823

Eine Anleitung um heraus zu finden ob ein System betroffen ist findet sich im verlinkten Advisory. Leider hat Cisco keine Details dazu veröffentlicht welche Versionen von Cisco AsyncOS verwundbar sind. Es ist also momentan nicht auszuschließen, dass alle veröffentlichten Versionen verwundbar sind.

Administrator:innen sind in Anbetracht der Schwere der Schwachstelle dringend angehalten, die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen.

MikroTik Router als DDoS Quellen: Zahlen für Österreich

CERT.at — Wed, 03 Jul 2024 19:24:13 GMT+0100

OVH beschreibt ausführlich in einem Blogbeitrag, dass sie es in letzter Zeit öfters mit DDoS-Angriffen zu tun hatten, die sie auf kompromittierte MikroTik Router zurückführen. Es geht hier um ernsthafte Bandbreiten und Packets/Sekunde: kein Wunder, wenn es die Angreifer geschafft haben, gute angebundene Router für ihre Zwecke einzuspannen.

Die DDoS-Quellen korrelieren mit von außen erreichbaren MikroTik Management-Interfaces (dass das eine schlechte Idee ist, wiederholen wir immer wieder), auch SNMP ist oft offen und kann abgefragt werden.

Ich habe das als Anlass genommen, mal in unserer Datenbasis (basierend auf Scans von Shadowserver) nachzuschauen, wie es um diese Geräte in Österreich bestellt ist: MikroTik Router, die per SNMP ihren Hersteller und ihre Modellnummern verraten.

In Summe sind das (Stand 7.7.2024) 468 IP-Adressen. Da Router potenziell über mehrere Adressen von außen erreichbar sind, sind es wahrscheinlich etwas weniger Geräte. Ob diese alle kompromittiert sind, wissen wir nicht – sorgfältig betrieben sind sie jedenfalls nicht. Wie verteilen sich diese auf die auf MikroTik Modelle? Schaut man sich die SNMP sysdescr an, so kommt man auf:

Aggregiert man auf die groben Produktkategorien, so ergibt sich folgendes Bild:

Wo sind diese Geräte? Wenn ich auf Autonomous Systems (BGP Routing Entities) schaue, dann schaut das so aus:

AS 8412 ist Magenta, AS 13026 ist steirerlan.at, AS 8447 gehört A1, AS 50719 mysys.at und AS 31543 myNET. Das entspricht überhaupt nicht den Marktanteilen dieser ISPs. Das ist oft ein Zeichen dafür, dass hier von manchen Akteuren (nicht notwendigerweise dem ISP) systematisch Geräte mit schlechter Konfiguration verbaut werden.

Update 9.7.2024: Ein regional tätiger ISP hat sich bei uns gemeldet: er hat diesen Blogpost als Anlass genommen, die MikroTik Router bei seinen Kunden besser abzusichern. Ich habe daher die Daten aktualisiert, sie sind jetzt auf Stand 7. Juli.

Generell: Wir schicken täglich Informationen zu offenen SNMP Devices an die Netzbetreiber. Das sollte gefixt werden, weil sich solche Geräte auch als DDoS-Reflektoren missbrauchen lassen.

regreSSHion: Remote Unauthenticated Code Execution Vulnerability (CVE-2024-6387) in OpenSSH server

CERT.at — Mon, 01 Jul 2024 14:10:00 GMT+0100

Eine kritische Schwachstelle (CVE-2024-6387) wurde im OpenSSH Server (sshd) auf glibc-basierten Linux-Systemen getestet. Diese Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer potentiell, über eine Race-Condition im Signalhandler beliebigen Code als root auf dem betroffenen System auszuführen. OpenBSD-basierte Systeme sind nicht betroffen.

Obwohl die Schwachstelle als Remote Code Execution (RCE) eingestuft wird, ist ihre Ausnutzung äußerst komplex. Sie erfordert präzises Timing und das Überwinden der Address Space Layout Randomization (ASLR). Der erfolgreiche Nachweis eines Angriffs gelang bisher nur in kontrollierten 32-bit Umgebungen und Netzwerken. Auf 64-bit Systemen oder unter realen Internet-ähnlichen Netzwerkbedingungen konnte die Schwachstelle bisher nicht ausgenutzt werden. Ein Ausnutzen der Schwachstelle erfordert zahlreiche Versuche des Angreifers und würde potentiell Stunden oder sogar Tage dauern.

Ein erfolgreicher Angriff würde einem nicht authentifizierten Angreifer die vollständige Kontrolle über das betroffene System ermöglichen. Betroffen sind OpenSSH-Versionen früher als 4.4p1, es sei denn, sie wurden gegen die Schwachstellen CVE-2006-5051 und CVE-2008-4109 gepatcht, sowie OpenSSH-Versionen von 8.5p1 bis einschließlich 9.7p1.

Das Problem wurde durch den Commit 81c1099 behoben, der die unsicheren Code-Pfade aus dem SIGALRM-Handler entfernt hat. Administratoren sollten ihre Systeme auf die neueste, nicht verwundbare Version aktualisieren. Falls ein Update nicht möglich ist, kann die Schwachstelle vorübergehend durch das Setzen von LoginGraceTime auf 0 in der Konfigurationsdatei gemindert werden. Diese Maßnahme erhöht jedoch die Anfälligkeit des OpenSSH Servers für Denial-of-Service (DoS) Angriffe.

Potentiell sind Embedded Devices stärker betroffen, da diese oft nicht einfach upgedated werden können. Dies erhöht das Risiko, dass ältere, verwundbare Versionen von OpenSSH auf solchen Geräten länger bestehen bleiben. Es ist jedoch wichtig zu beachten, dass in Embedded Devices oftmals alternative SSH Server Implementierungen zum Einsatz kommen.

CERT.at empfiehlt generell, alle Softwarekomponenten stets aktuell zu halten und automatische Updates zu aktivieren. Regelmäßige Neustarts stellen sicher, dass die neuesten Sicherheitsupdates wirksam werden. Weitere Informationen und Details finden sich im Qualys Security Advisory und im OpenSSH Commit.

Sicherheitsvorfall beim Hersteller der Fernwartungslösung TeamViewer

CERT.at — Fri, 28 Jun 2024 09:13:09 GMT+0100

Gestern Abend wurden Informationen zu einem Sicherheitsvorfall beim Hersteller der Fernwartungslösung TeamViewer bekannt. Das genaue Ausmaß der Kompromittierung ist aktuell noch unklar. Das Unternehmen selbst schreibt in einer Veröffentlichung, dass ausschließlich Systeme der internen IT betroffen seien. Daten von Kund:innen seien - aufgrund einer strikten Trennung der operativen Umgebung von der internen IT - nicht in die Hände der Angreifer:innen gelangt.

Unbestätigten Gerüchten zufolge gibt es Hinweise darauf, dass der Angriff durch einen staatlich kontrollierten Bedrohungsakteur erfolgt ist. Ob die Täter:innen weiterhin Zugriff auf die Systeme des Unternehmens haben ist ebenfalls noch unklar.

Wir beobachten die weiteren Entwicklungen in diesem Fall, sollten sich neue Erkenntnisse ergeben werden wir diese Meldung schnellstmöglich aktualisieren.

Akute Welle an DDoS-Angriffen gegen österreichische Unternehmen und Organisationen

CERT.at — Fri, 28 Jun 2024 08:52:19 GMT+0100

Seit heute Morgen sind verschiedene österreichische Unternehmen und Organisationen aus unterschiedlichen Branchen und Sektoren mit DDoS-Angriffen konfrontiert. Die genauen Hintergründe der Attacke sind uns zurzeit nicht bekannt, Hinweise für eine hacktivistische Motivation liegen jedoch vor.

Mitigation durch den ISP
Effiziente DDoS Mitigation findet nicht beim Opfer statt, sondern beim jeweiligen ISP. Kontaktieren Sie diesen bezüglich entsprechender Produkte und Services. Stellen Sie darüber hinaus sicher, dass Sie einen direkten Kontakt bei Ihrem ISP haben, mit dem Sie eventuelle weitere Vorkehrungen besprechen können und der Sie im Fall eines Angriffes unterstützen kann.

Vorbereitung auf Nicht-Verfügbarkeit
Wir empfehlen, Kontaktdaten, die im Falle eines Angriffes relevant sein können (z.B. Kontaktdaten behördlicher Stellen, Telefonnummer der Ansprechperson bei Ihrem ISP, ...), offline und direkt verfügbar zu haben.

Weiterführende Informationen
Für weiterführende Informationen zur Thematik DDoS generell, verweisen wir auf den Absatz "Abhilfe" in unserem Warning vom 14. Juni 2021 [1] sowie auf die "Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS" [2] der Direktion Staatsschutz und Nachrichtendienst.

Informationsquelle(n):
CERT Warning vom 14. Juni 2021: DDoS Angriffe gegen Unternehmen in Österreich
https://cert.at/de/warnungen/2021/6/ddos-angriffe-gegen-unternehmen-in-osterreich
Schriftenreihe Cybersicherheit Distributed Denial of Service DDoS (Quelle: BMI/DSN)
https://dsn.gv.at/501/files/Cyber_Ratgeber/Schriftenreihe_Cybersicherheit_Distributed_Denial_of_Service_DDoS_Februar_2022_BF_20220216.pdf

Supply-Chain-Angriff gegen polyfill.js

CERT.at — Wed, 26 Jun 2024 09:34:35 GMT+0100

Die populäre Javascript-Bibliothek polyfill.js, welche von Entwickler:innen verwendet wird, um alte Browserversionen zu unterstützen, wurde Opfer eines Supply-Chain-Angriffes beziehungsweise für einen solchen missbraucht. Im Februar dieses Jahres wurde das Github-Repository sowie die zur Einbettung des Codes verwendete Domain, polyfill[.]io von einem chinesischen Unternehmen gekauft. Inzwischen wird, wie Sicherheitsforscher:innen herausgefunden haben, über die Domain polyfill[.]io Schadsoftware verteilt.

Dies bedeutet in weiterer Folge, dass Besucher:innen von Webseiten, welche diesen Service nutzen, ebenfalls gefährdet sind. Laut aktuellen Berichten werden Aufrufe von Besucher:innen häufig auf Betrugswebseiten weitergeleitet. Dementsprechend ist es für verantwortliche Administrator:innen betroffener Seiten auch aus kommerzieller Sicht wichtig, rasch zu handeln - Google hat Werbungen, die auf Webshops verlinken, welche die Domain polyfill[.]io einbetten bereits deaktiviert / gesperrt.

Neben der Untersuchung auf potentiellen Schaden durch diesen Angriff sollten Entwickler:innen ebenso prüfen, ob die Notwendigkeit der Verwendung nach wie vor besteht. Für Webseiten, welche weiterhin auf die Bibliothek angewiesen sind, gibt es (neben der Möglichkeit, diese selbst zu hosten) die Option, die Angebote großer CDN zu nutzen - beispielsweise Cloudflare oder Fastly.

Microsoft Patchday Juni 2024 - CVE-2024-30080, CVE-2024-30078

CERT.at — Thu, 13 Jun 2024 12:41:31 GMT+0100

Im Rahmen des aktuellen Patchday hat Microsoft Patches für 58 Sicherheitslücken veröffentlicht. Aus der Liste stechen zwei Schwachstellen besonders hervor:

CVE-2024-30080, eine Remote Code Execution in Microsoft Message Queuing (MSMQ)
CVE-2024-30078, eine Remote Code Execution in "Windows Wi-Fi Driver"

Im Rahmen unserer Arbeit weisen wir Netzbetreiber:innen bereits seit längerer Zeit MSMQ-Instanzen hin, welche ohne Authentifizierung aus dem Netz erreichbar sind, auch weil es bereits in der Vergangenheit teils kritische Schwachstellen gab, welche MSMQ betrafen. Dementsprechend wird das Internet von verschiedensten Akteuren bereits seit Jahren aktiv nach erreichbaren MSMQ-Instanzen durchsucht. Es ist davon auszugehen, dass es bald zu ersten Ausnutzungsversuchen von CVE-2024-30080 kommen wird.

Rund um CVE-2024-30078 herrscht aktuell noch eine gewisse Unklarheit, da die generische Bezeichnung "Windows Wi-Fi Driver" keinen Aufschluss darüber gibt, welche Systemkomponente tatsächlich betroffen sein könnte. Auch die Beschreibung, wie Bedrohungsakteure die Lücke ausnützen könnten, liefert keine eindeutigen Informationen:

An unauthenticated attacker could send a malicious networking packet to an adjacent system that is employing a Wi-Fi networking adapter, which could enable remote code execution.

Aus dieser Beschreibung geht nicht klar hervor, ob sich die Angreifer:innen im selben Drahtlosnetzwerk wie das verwundbare System befinden müssen, oder ob eine physische Nähe schon ausreichend ist.

Wir hoffen, dass zu CVE-2024-30078 bald detailliertere Informationen zur Verfügung stehen. Da neben Windows 10 und 11 auch sämtliche Serverversionen seit Windows Server 2008 verwundbar sind empfehlen wir, mehr noch als im Regelfall, die zur Verfügung stehenden Sicherheitsaktualisierungen zeitnah einzuspielen. Weiters empfehlen wir, sofern keine dringenden operativen Gründe dagegengesprechen (der Betrieb eines Exchange-Servers benötigt beispielsweise seit einiger Zeit schon kein MSMQ mehr), MSMQ zu deaktivieren - oder den Netzwerkzugang zumindest signifikant zu limitieren und die Erreichbarkeit auf das Nötigste zu beschränken.

Sicherheitslücke (CVE-2024-4577) für Remote-Code Ausführung in PHP-CGI / XAMPP entdeckt

CERT.at — Fri, 07 Jun 2024 13:00:31 GMT+0100

Update: 7. Juni 16:10: Es liegen uns erste Berichte vor, nach denen bereits nach verwundbaren Systemen gescannt wird.

In PHP-CGI wurde eine Sicherheitslücke (CVE-2024-4577) entdeckt, die es Angreifern ermöglicht, aus der Ferne und ohne Authentifizierung beliebigen Code auf betroffenen Servern auszuführen. Die Schwachstelle betrifft PHP-Installationen auf Windows-Systemen und erlaubt es Angreifern, durch spezifische Zeichenfolgen den Schutz einer früheren Sicherheitslücke (CVE-2012-1823) zu umgehen und einen Argument-Injection-Angriff durchzuführen.

Relativ kritisch ist die Situation aktuell allerdings nur für Server mit den Sprach- und Regionseinstellungen Traditionelles Chinesisch, Vereinfachtes Chinesisch und Japanisch. Für diese Systeme wurde bestätigt, dass ein Angreifer direkt beliebigen Code ausführen kann. Allerdings ist unklar, ob sich die Locale-Einstellungen auf das Gesamtsystem oder nur auf den Content-Type der Anfrage beziehen. Bei anderen Sprach- und Regionseinstellungen ist eine vollständige Auflistung aller möglichen Angriffsvektoren derzeit nicht möglich.

Außerdem ist es wichtig zu beachten, dass die Kombination von PHP, CGI und Windows bei offen erreichbaren Servern eher ein Nischenszenario darstellt. Dennoch sollten Nutzer von XAMPP, bei denen diese Konfiguration standardmäßig verwendet wird, die Sicherheitslücke ernst nehmen.

Betroffen sind die PHP-Versionen 8.3 < 8.3.8, 8.2 < 8.2.20 und 8.1 < 8.1.29 auf Windows-Systemen sowie ältere, nicht mehr unterstützte Versionen. Das PHP-Team hat Updates für die unterstützten Versionen veröffentlicht, die die Schwachstelle beheben. Für XAMPP stehen aktuell noch keine Updates zur Verfügung.

Langfristig sollten Administratoren eine Migration zu sichereren Alternativen wie Mod-PHP, FastCGI oder PHP-FPM in Betracht ziehen.

Schwere Sicherheitslücke in PuTTY - CVE-2024-31497

CERT.at — Tue, 16 Apr 2024 15:59:48 GMT+0100

Sicherheitsforscher:innen haben in PuTTY, einer verbreiteten quelloffenen Software zur Herstellung von Verbindungen über Secure Shell (SSH), eine schwere Sicherheitslücke gefunden.

Die Ausnutzung von CVE-2024-31497 erlaubt es Angreifer:innen unter bestimmten Umständen, den privaten Schlüssel eines kryptographischen Schlüsselpaares wiederherzustellen. Allerdings schränken die dafür notwendigen Voraussetzungen die missbräuchliche Verwendung der Schwachstelle signifikant ein:

Betroffen sind ausschließlich 521-bit ECDSA-Schlüssel. Für gängige Anwendungsbereiche von SSH für Endnutzer:innen ist dieser Schlüsseltyp nicht verbreitet, und in vielen Fällen auch durch Software als "deprecated" gekennzeichnet.
Angreifer:innen benötigen zur Wiederherstellung des privaten Schlüssels einige Dutzend mit diesem signierte Nachrichte. Dafür reicht es nicht, SSH-Traffic auf Netzwerkebene mitzuschneiden, wie der Entwickler im Advisory zur Schwachstelle berichtet. Bedrohungsakteure müssten entweder auf mittels SSH-Schlüssel signierte Git-Commits Zugriff haben oder Benutzer:innen dazu bringen, sich mit einem speziell präparierten SSH-Server zu verbinden.

Diese Faktoren mindern die Kritikalität und das von der Sicherheitslücke ausgehende Risiko signifikant. Es ist dennoch empfehlenswert, die zur Verfügung stehenden Aktualisierungen schnellstmöglich einzuspielen.

Verzögerte Aussendung der CERT.at-Tagesberichte

CERT.at — Wed, 10 Apr 2024 10:49:10 GMT+0100

Aufgrund einer Fehlkonfiguration unserer Firewall kam es gestern, am 09.04.2024, zu einer teilweise verzögerten Aussendung unserer Tagesberichte. Wir bitten um Entschuldigung für entstandene Unannehmlichkeiten.

Farbpatronen für den Keksdieb

CERT.at — Wed, 03 Apr 2024 16:16:42 GMT+0100

Zur Absicherung von Bankomaten ist es eine üblich Strategie, dass ein gewaltsamer Einbruch eine Farbpatrone auslöst, die das Geld im Geldautomaten unbrauchbar macht. Es gibt jetzt einen Vorschlag für etwas Ähnliches, um aus Browsern gestohlene Cookies zu entwerten.

Das Thema wurmt mich schon länger, und ich bin froh, dass es endlich einen Lösungsansatz gibt.

Um was geht es? Bei Webanwendungen werden viele spannende Verfahren angewendet, um User sicher zu authentisieren (2FA, ID-Austria, FIDO2, X.509 Client-Zertifikate, ...). Aber am Ende bekommen der Browser ein Cookie und danach reicht dieses Cookie aus, um weiter Aktionen auf diesem Webservice zu autorisieren. Das hat zwei massive Problem, die in letzter Zeit immer wieder ausgenutzt werden:

Man-in-the-Middle bei der Anmeldung, etwa mittels Evilginx.
Cookie-Stealing Malware

Das grundlegende Problem ist, dass Cookies portabel sind: man kann sie kopieren und sie funktionieren auch im Browser eines Angreifers. Von Google kommt jetzt ein Vorschlag, wie man Cookies implementieren könnte, die an einen Browser gebunden sind.

Ich weiß jetzt nicht, ob das wirklich so funktioniert und ob es negative Seiteneffekte gibt, aber ich bin froh, dass es endlich Bewegung in dieser Sache gibt.

Pre-Ransomware Aktivität: Schadakteure nutzen CitrixBleed (CVE-2023-4966) noch immer und verstärkt für Initialzugriff

CERT.at — Thu, 28 Mar 2024 10:22:53 GMT+0100

Aktuell sind uns einige Ransomware-Vorfälle in Österreich bekannt, bei denen mit sehr hoher Wahrscheinlichkeit CitrixBleed (CVE-2023-4966) als primärer Angriffsvektor für den initialen Zugriff auf die Organisationsnetzwerke benutzt wurde.
Ein Patch steht seit geraumer Zeit zur Verfügung.
Wir haben bereits am 20. Oktober 2023 eine Warnung bezüglich dieser Schwachstelle veröffentlich und informieren laufend weiterhin Besitzer von verwundbaren Systemen auf den bei der IP-Adresse hinterlegtem Abuse-Kontakt.

Wir wollen daran erinnern, dass es sehr wichtig ist bei Internet-seitig erreichbaren Geräten bei Verfügbarkeit von Patches und/oder Mitigationen umgehend zu handeln. Sollten es Schwachstellen sein, die Remote Code Execution oder ähnlichen direkten Zugriff auf die Geräte beziehungsweise das Organisationsnetzwerk erlauben, empfehlen wir unabhängig von zügigem Patchen eine genauere Untersuchung der Geräte einzuleiten.

Kritische Sicherheitslücke CVE-2024-21762 in Fortinet FortiOS wird aktiv ausgenutzt

CERT.at — Mon, 18 Mar 2024 15:54:17 GMT+0100

In unserer Warnung vom 09. Februar 2024 haben wir bereits über die Sicherheitslücken CVE-2024-21762 und CVE-2024-23113 berichtet und in Folge Besitzer:innen über die für die IP-Adressen hinterlegten Abuse-Kontakten informiert.

CVE-2024-21762 wird seit kurzem nun aktiv ausgenutzt.

Unauthentifizierte Angreifer:innen können auf betroffenen Geräten beliebigen Code ausführen. Da diese Geräte auch für VPNs zum Einsatz kommen, ist auch ein Mitlesen bzw. Verändern des VPN-Verkehrs nicht auszuschließen. Des Weiteren sind alle durch das VPN erreichbaren Systeme entsprechend gefährdet.

In Österreich sind aktuell noch immer knapp über 2000 Geräte auffindbar, welche für CVE-2024-21762 anfällig sind.

Es ist wichtig, Schwachstellen in Internet-seitigen Geräten schnell zu patchen oder Mitigationen einzuleiten. Sollten Sie Besitzer:in eines aktuell noch nicht gepatchten Gerätes sein, empfehlen wir, neben dem sofortigen Einspielen der verfügbaren Patches eine forensiche Untersuchung einzuleiten.

Weitere Informationen zu Angriffen gegen ConnectWise ScreenConnect

CERT.at — Fri, 23 Feb 2024 14:52:27 GMT+0100

Sophos hat einen Überblick über Angriffe gegen ConnectWise ScreenConnect veröffentlicht. Demnach wurden bereits verschiedene Arten von Ransomware, verschiedene Information Stealer und auch unterschiedliche Remote-Access-Trojans (RATs) auf Basis der kürzlich von ConnectWise veröffentlichten Vulnerabilities in ScreenConnect deployt. Diese heterogene Bedrohungslage bedingt zur Abklärung einer bereits stattgefundenen Kompromittierung auch einen abstrahierten Blick auf etwaige eigene Installationen. Sophos beschreibt in den Kapiteln "Recommendations" und "Threat hunting information" Empfehlungen zur Vorgangsweise, selbst betriebene Instanzen auf Kompromittierungen zu untersuchen.

Wir empfehlen weiterhin, etwaige eigene Installationen von ConnectWise ScreenConnect eine genaueren Untersuchung zuzuführen - auch wenn die vom Hersteller herausgegebenen Updates bereits eingespielt wurden.