Sicherheitsmeldungen (21.3.2020)

Publiziert am 21. März 2020 von Günter Born

Zum Wochenabschluss möchte ich in einem Beitrag noch einige Sicherheitsmeldungen zusammenfassen, die mir die letzten Stunden unter die Augen gekommen sind. Von einer Ransomware-Infektion bei einem Fintech-Unternehmen bis hin zu Botnetzen, die Überwachungskameras angreifen, ist wieder einmal alles dabei.

Anzeige

Botnetze greifen 0-Day-Schwachstellen in LILIN-Systemen an

LILIN ist ein Hersteller von Überwachungskameras die auch in Deutschland eingesetzt werden. Der Hersteller bietet auch digitale Video Recorder (DVR) zur Aufzeichnung der Videobilder.

Dem obigem Tweet entnehme ich, dass mindestens drei Botnetzbetreiber mehr als sechs Monate lang heimlich drei Zero-Day-Schwachstellen in den digitalen Videorekordern (DVRs) von LILIN ausgenutzt haben, bevor der Anbieter im Februar 2020 die Fehler endlich gepatcht hat. Seit dem 30. August 2019 beobachtet das 360Netlab Threat Detection System mehrere Angreifer, die LILIN DVR-Modelle 0-day-Schwachstellen ausnutzen, um die Firmware der Geräte zu infizieren und die Botnets Chalubo, FBot sowie Moobot zu verbreiten. Eine detaillierte Analyse findet sich in diesem 360.com-Blog-Beitrag. Bei ZDNet fasst dieser Artikel die Sachlage zusammen. 

Ransomware befällt britisches Fintech-Unternehmen Finastra

Finastra ist (laut Wikipedia) das drittgrößte Finanztechnologieunternehmen der Welt. Das Unternehmen wurde Ende 2017 durch die Zusammenführung von D+H und Misys gegründet. Das Unternehmen hat Niederlassungen in 42 Ländern und erzielt einen Umsatz von 2,1 Milliarden US-Dollar. Das Unternehmen beschäftigt über 10.000 Mitarbeiter und hat über 9.000 Kunden in 130 Ländern. Der Sitz der Zentrale ist in London.

Über obigen Tweet von Bleeping Computer bin ich darauf aufmerksam geworden, dass dieses Finanzunternehmen Opfer eines Ransomware-Angriffs geworden ist. Das Unternehmen hat seine Server heruntergefahren. Zum 21. März 2020 hat COO des Unternehmens diese Stellungnahme (gelöscht) veröffentlicht:

During the period immediately prior to March 20th, 2020, the Finastra IT security and risk teams actively detected, through our own monitoring, that a bad-actor was attempting to introduce malware into our network in what appears to have been a common ransomware attack. Unfortunately, this type of malware and criminal activity is increasingly common in today's environment and is targeted at companies across many sectors, not only those involved in technology.

Immediately we detected this attack, we began work to neutralize it. We brought in an independent, leading cyber security firm, with whom we have an existing relationship, to assist us in investigating, containing and eliminating the threat. At around 7am GMT / 3am EST on Friday March 20th, 2020, we made the decision that it was necessary to voluntarily take our servers offline. We took this step to contain the threat, secure our network and protect our clients' data.

At this time, we do not have any evidence that any customer or employee data was accessed or exfiltrated, nor do we believe our clients' networks were impacted. No customers running software in their own environments are affected. We are confident that by moving rapidly and taking these proactive measures we successfully contained the threat, secured our network and protected our clients' data.

We are now working to resolve the issue as quickly and diligently as possible and our cross functional teams are working relentlessly on the planned sequence of events to bring systems back online. We will only move through each of the stages in that sequence when we are sure it can take place in a controlled and secure manner. 

We have an industry-standard security program in place, and we are conducting a rigorous review of our systems to ensure that our customer and employee data continues to be safe and secure.

We have also informed and are cooperating with the relevant authorities and we are in touch directly with any customers who may be impacted as a result of disrupted service.

Finastra takes security very seriously, and we have committed to updating our stakeholders regularly about our progress towards the resumption of normal services and providing more information as our investigation into, and remediation of, this matter continues.

In Kurzfassung: Man setzt Standard Sicherheitssoftware auf seinen Systemen ein, die einen Angriff auf das Firmennetzwerk bemerkt hat. Auf Grund dieses Vorfalls hat man Freitag Früh die Server heruntergefahren und versucht mit Unterstützung einer Sicherheitsfirma die Systeme wieder flott zu bekommen. Bleeping Computer hat hier noch einige Informationen zusammen getragen. Dort findet sich die Information, dass wohl Schwachstellen in Citrix-Servern und Pulse Secure VPNs das Einfallstor gewesen sein könnten.

Angreifer missbrauchen das .NET-Framework

Microsofts .NET-Framework wird mit Compilern für C# und andere Sprachen geliefert, mit denen sich Quellcode in ausführbare .NET-Anwendungen übersetzen lässt. Habe ich 2003 sogar in Büchern zu .NET-Framework und Visual Basic genutzt, um über Software-Entwicklung ohne Visual Studio zu schreiben.

Anzeige

Aber auch Cyber-Kriminellen sind diese Ansätze bekannt. Die nutzen den C#-Compiler, um zur Laufzeit Quellcode für Schadfunktionen von Servern herunterzuladen und dann zu ausführbaren Programmen zu compilieren. Die Details lassen sich im Trend Micro Blog-Beitrag nachlesen.

Play Protect in Advanced Protection-Programm verpflichtend

Bereits 2017 kündigte Google ein sicherheitsorientiertes Programm namens Advanced Protection an. Dieses soll Google-Konten schützen, die möglicherweise anfälliger für Phishing-Taktiken sind. Dieses Programm ist seit 2019 allgemein verfügbar und basiert auf drei wichtigen Sicherheitskomponenten:

  • es bietet Phishing-Schutz, indem es einen physischen Sicherheitsschlüssel für den Zugriff auf ein Google-Konto über eine Zwei-Faktor-Authentifizierung (2FA) erfordert;
  • es schränkt die Möglichkeiten von Drittanbieter-Anwendungen für den Zugriff auf Google-Anwendungen ein;
  • und es erfordert zusätzliche Überprüfungsschritte, um die Chancen zu verringern, dass jemand durch Imitation Zugang zu einem Konto erhält.

Seit der Markteinführung wurde der erweiterte Schutz auf die nativen iOS-Anwendungen von Apple und den Chrome-Browser ausgeweitet. Google hat diese Woche eine Handvoll Android-bezogener Sicherheitsfunktionen angekündigt. Damit versucht das Unternehmen, kritische Lücken in seinem Android Betriebssystem zu schließen. Ziel ist es, die am meisten "gefährdeten" Google-Konten von Aktivisten, CEOs, Journalisten, Politikern und anderen besser vor bösartigen Apps zu schützen. Dazu gehört auch, dass Google Play Protect bei Konten aus dem Advanced Protection-Programm verpflichtend ist. Play Protect ist zwar unter Android generell verfügbar und standardmäßig aktiviert. Aber der Benutzer kann es bei normalen Android-Systemen deaktivieren. Im Advanced Protection-Programm wird das nun gesperrt. Details hat Venturebeat hier zusammen getragen. Ein deutschsprachiger Beitrag findet sich bei heise.

Ist Google Play Protect bloß Schlangenöl?

Allerdings stellt sich die Frage, ob Play Protect nicht so was wie Schlangenöl ist? Als Kontrastprogramm zu obigem Loblied über das Advanced Protection-Programm stelle ich daher mal den folgenden Tweet dagegen.

Googles Play Protect Android-System zum Schutz vor mobilen Bedrohungen ist im deutschen Antiviren-Testlabor AV-Test in realen Tests durchgefallen und hat nach einer sehr schwachen Leistung bei der Erkennung von Malware null von maximal sechs Punkten erreicht. Bleeping Computer hat hier einige Informationen zusammen getragen.

Cisco SD-WAN-Schwachstelle durch Update schließen

In Cisco-Software SD-WAN-Systemen gibt es Schwachstellen, für die der Hersteller Sicherheitsupdates veröffentlicht hat. Administratoren, die vBond, vEdge, vManage und vSmart-Produkte von Cisco verwenden, sollten dringend patchen. Details hat heise in diesem Beitrag zusammen getragen.

Betrug über Schlupflöcher in Facebook und PayPal

Betrüger nutzen Schlupflöcher aus, um Opfer über Facebook und PayPal um Millionen zu erleichtern. Der nachfolgende Tweet ist mir bereits vor einigen Tagen aufgefallen. 

Die Masche: Ein Facebook-Freund überweist dem Opfer einen Geldbetrag auf dessen PayPal-Konto. Dieser bittet, den gleichen Betrag per Banküberweisung auf sein PayPal-Konto zu überweisen – also auf den ersten Blick ein Nullsummenspiel. Kommt das Opfer dieser Bitte nach, wird es geschröpft. Vom PayPal-Konto des Opfers wird der überwiesene Betrag vom vermeintlichen Facebook-Freund wieder zurückgebucht. Und der per Überweisung auf das PayPal-Konto des vermeintlichen Facebook-Freund transferierte Geld ließ sich nicht zurückholen. Quellen auf der Blackhat-Hacker-Community gehen davon aus, dass 10-30 Hacker die Masche durchziehen und täglich pro Kopf etwas 2.000 Pfund täglich einnehmen.

Yubico Sicherheitshinweis

Yubico, der Hersteller des Yubico-Sicherheits-Keys, hat einen obskuren Sicherheitshinweis zum 3. März 2020 veröffentlicht und diesen zum 13. März 2020 aktualisiert.

Ich wurde über obigen Tweet von Hector Martin auf diese Sache aufmerksam. Am 6. März 2020 hat yubico ein Sicherheitsupdate für den YubiKey Validation Server ausgerollt. Am 12. März erhielt Yubico eine Meldung, dass es eine SQL-Injection-Schwachstelle im Zusammenhang mit diesem Update gibt. Yubico erhielt einen Bericht von LinkedIn Information Security, der darauf hinweist, dass das Open-Source-Projekt für den YubiKey Validation Server nicht ausreichend validiert ist.

Das yubico-Team hat die aktualisierte Codebasis erneut überprüft und ist der Ansicht, dass es keine bekannten, ungemilderten SQL-Injection-Schwachstellen im Zusammenhang mit dem Sicherheitsupdate gibt. Der Hersteller konzentriert sich nach wie vor auf die Bereitstellung eines modernen Open-Source-Projekts, das das aktuelle Projekt mit einer voraussichtlichen Verfügbarkeit im Juli 2020 ersetzen soll. Was soll man dazu sagen, außer dass yubico ein Sicherheitsanbieter ist.

Schwachstelle CVE-2020–9380 in IPTV Smarters

In IPTV Smarters gibt es eine Schwachstelle mit der CVE-Nummer CVE-2020–9380. Darauf weist nachfolgender Tweet hin.

IPTV Smarters ist ein Softwareunternehmen, das sich auf White-Label-IPTV-Lösungen konzentriert. Eines ihrer Produkte ist ein WebTV-Player, der es den Kunden ermöglicht, über ihre Browser wie Chrome und Firefox fernzusehen. Die Schwachstelle ermöglicht einem Angreifer beliebige Dateien auf eine Produktseite hochzuladen und dort Code auf dem Server auszuführen. Der Server kann durch das Hochladen einer Web-Shell kompromittiert werden. Dies ermöglicht die Ausführung von Befehlen wie Verzeichnisauflistung, Herunterladen von Dateien und mehr.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.