Seit einigen Tagen ist die SQL-Injection-Schwachstelle CVE-2023-34362 in der Managed File Transfer (MFT)-Lösung MOVEit bekannt und wir wissen, dass dies seit "einiger Zeit" (u.a. von der Clop-Gruppe) ausgenutzt wird. In Deutschland sind über hundert Firmen und Organisationen betroffen. So wurden Daten (u.a. von Abonnenten) der Maizer Verlagsgruppe VRM abgezogen. Verwirrung herrscht aktuell, ob die AOKs in zehn Bundesländern bereits durch Datenabfluss von sensiblen Patientenakten betroffen sind.
Anzeige
MOVEit-Schwachstelle CVE-2023-34362
Es hat das Potential, zu einem richtig großen Fall zu werden: Die Schwachstelle CVE-2023-34362 in der Software MOVEit. Bekannt ist, dass diese SQL-Injection-Schwachstelle bereits seit einiger Zeit durch Cyberkriminelle für die Entwendung von Informationen ausgenutzt zu wird. Hier ein schneller Überblick.
Was ist MOVEit?
MOVEit ist eine Managed File Transfer (MFT)-Software, die eine Übertragung von Dateien zwischen verschiedenen Rechnern ermöglicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist häufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Geschäftspartnern per Internet auszutauschen. Dabei werden Uploads über die Protokolle SFTP, SCP und HTTP unterstützt, um die Dateien sicher zu übertragen.
Die Schwachstelle CVE-2023-34362
Die Schwachstelle CVE-2023-34362 steckt in der Webanwendung von MOVEit, die zum Transfer von Daten benutzt wird. Es handelt sich um eine SQL Injection-Schwachstelle, die es einem Angreifer ermöglicht, die Privilegien über die Managed File Transfer (MFT)-Lösung MOVEit auszuweiten und auf die den Betroffenen von MOVEit zugewiesenen SQL-Datenbank zuzugreifen.
So erhalten nicht authentifizierte Angreifer die Möglichkeit, alle über MOVEit ausgetauschten Daten einzusehen. Der Anbieter der Software, das US-Unternehmens Progress Software Corporation hat zum 31. Mai 2023 einen Sicherheitshinweise zur Schwachstelle veröffentlicht. Die Schwachstelle gilt als kritisch, Sicherheitsbehörden warnen weltweit und es gibt entsprechend erste Betroffene, da die Ausnutzung bereits einige Zeit passiert.
Ich hatte im Blog-Beitrag Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle über diese Schwachstelle und die BSI-Warnung berichtet. Die Kollegen von Bleeping Computer schreiben hier, dass die US-Sicherheitsbehörde CISA die US-Behörden aufgefordert hat, die Schwachstelle bis zum 23. Juni 2023 zu patchen. Das erscheint mir zu langsam – Administratoren müssen sofort reagieren und vor allem die MOVEit-Umgebung auf Kompromittierung prüfen (siehe den verlinkten Blog-Beitrag sowie den Sicherheitshinweis von Progress Software).
Ausnutzung durch Lace Tempest/Clop
Microsoft hat nun darauf hingewiesen, dass die Hacker von Lace Tempest, die die Ransomware-Seite von Clop betreiben, diese Schwachstelle ausnutzen. Ich hatte dies im Blog-Beitrag Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362 angesprochen.
Da lauert wohl ein großes Risiko, so einigen Unternehmen dürfte noch nicht klar sein, dass sie u.U. demnächst mit Erpresserschreiben konfrontiert werden, weil Clop vertrauliche Daten abziehen konnte.
Anzeige
Ergänzung: Diesem Artikel zufolge gibt es die Vermutung, dass die Clop-Ransomware-Gang bereits seit 2021 über die Schwachstelle Bescheid wusste.
Über 100 Betroffene in Deutschland
Die Kollegen von heise haben zum 6. Juni 2023 in diesem Artikel eine kurze Auswertung der Suchmaschine Shodan veröffentlicht. Weltweit wurden über 2.500 Instanzen verwundbarer MOVEit-Nutzer gefunden.
Shodan-Auswertung MOVEit-Schwachstelle
Der Schwerpunkt liegt zwar auf den USA, aber auch in Deutschland werden 111 Treffer ausgewiesen. Ob alle Instanzen bereits kompromittiert sind, ist unklar – die betreffenden Administratoren müssten reagieren und patchen sowie die log-Dateien auswerten, um Klarheit zu haben. Aber einen prominenten Fall gibt es mit zehn deutschen AOK-Ortskrankenkassen bereits. Und auch die Maizer Verlagsgruppe VRM ist betroffen.
Mainzer Verlagsgruppe VRM betroffen
Ich bin die Nacht auf nachfolgenden Tweet von Dennis Kipker gestoßen, der erwähnt, dass Daten der Maizer Verlagsgruppe VRM abgezogen wurden.
CSOnline hat es in diesem Artikel aufbereitet, die Verlagsgruppe VR hat "eine Software des IT-Anbieters Progress Software verwendet, die eine kritische Sicherheitslücke aufwies. Beim Wiesbadener Kurier heißt es:
Der Cyberangriff wurde am Mittwoch, 31. Mai 2023, festgestellt. Wir haben sofort alle datensichernden Maßnahmen ergriffen und stehen in engem Austausch mit unseren Cyber-Security-Experten und Datenschutzbeauftragten. Die Datenschutzbehörde wurde gemäß DSGVO informiert. Eine forensische Untersuchung hat ergeben, dass keine weiteren IT-Systeme der VRM kompromittiert wurden.
Nach unseren bisherigen Erkenntnissen befinden sich unter den unberechtigt heruntergeladenen Dateien auch personenbezogene Daten unserer Abonnenten, wie Name und Adresse. Sensiblere Daten, z. B. Bankverbindungen, sind jedoch nicht betroffen.
Da hat es also voll reingehauen – dass keine Bankverbindungen betroffen sind, ist in meinen Augen nur ein schwacher Trost.
Österreich: Finanzaufsicht (FMA) betroffen
Ergänzung: Auf Facebook wies mich ein Leser darauf hin, dass es in Österreicht die Finanzaufsicht (FMA) getroffen habe. Details hat die FMA in diesem Beitrag veröffentlicht und schreibt zum 5. Juni 2023
Finanzmarktaufsichtsbehörde FMA von „MOVEit"-Hacker-Angriff betroffen. Sehr heterogene Datensätze gestohlen, datenschutzrechtliche Relevanz begrenzt.
Im Zuge eines weltweiten zeitgleichen Hacker-Angriffs auf eine bis dahin unbekannte Sicherheitslücke in der Progress-Software „MOVEit" wurden auch Datensätze der österreichischen Finanzmarktaufsichtsbehörde (FMA) kopiert und gestohlen.
Die FMA konnte diese Sicherheitslücke in der auch von ihr verwendeten „Secure-File-Transfer"-Plattform unter Beiziehung externer Spezialisten unverzüglich schließen und arbeitet seither mit Hochdruck an der Begrenzung und Behebung des Schadens.
Die gestohlenen Datensätze wurden bereits identifiziert und datenschutzrechtlich analysiert. Da es sich bei der gehackten Software um ein Datentransfer-Tool handelt sind die betroffenen Datensätze zufällig ausgewählt und von sehr heterogener Struktur.
Die Anzahl der von diesem Datendiebstahl indirekt betroffenen Personen ist entsprechend der datenschutzrechtlichen Analyse begrenzt, weshalb diese von der FMA direkt informiert werden.
Selbstverständlich wurden auch bereits die zuständigen Behörden, insbesondere jene für die strafrechtlichen Ermittlungen, informiert und eingeschaltet.
Datenabfluss bei AOK-Ortskrankenkassen?
Aktuell gibt es aus meiner Sicht etwas Verwirrung, ob es bereits zum Abfluss vertraulicher Patientendaten von zehn AOK-Ortskrankenkassen gekommen ist. Der AOK-Bundesverband hat in dieser Pressemitteilung vom 6.6.2023 bestätigt, das MOVEit on den AOKs Baden-Württemberg, Bayern, Bremen/Bremerhaven, Hessen, Niedersachsen, Rheinland-Pfalz/Saarland, Sachsen-Anhalt und PLUS (Sachsen und Thüringen) sowie vom AOK-Bundesverband eingesetzt wurde.
Man betont, dass die Schwachstelle in der von der AOK eingesetzten Software "MOVEit Transfer" inzwischen geschlossen sei und ein sichere Datenaustausch zwischen externen Partnern und den jeweiligen AOKs wieder möglich sei. Die spannendere Frage ist aber: Konnten unbefugte Dritte bereits Daten abgreifen. Laut obiger Pressemitteilung schreibt der Bundesverband:
Die betroffenen Partner werden informiert. Dies betrifft Leistungserbringer und Sozialversicherungsträger wie die Agentur für Arbeit, Firmenkunden sind nach aktuellen Erkenntnissen nicht direkt betroffen.
Parallel wird weiter geprüft, ob die Sicherheitslücke einen Zugriff auf die Sozialdaten von Versicherten ermöglicht hat. Sobald diese Prüfung abgeschlossen ist und valide Ergebnisse vorliegen, wird die AOK-Gemeinschaft darüber informieren.
Verwirrung schafft aber nachfolgendem Tweet, der auf diesen Artikel des Handelsblatts verweist. Das Handelsblatt schreibt nicht nur, dass die Schwachstelle die AOKs von 19 Millionen Versicherten betraf, sondern titelt auch über einen "bestätigten Datenabfluss".
Gehe ich den Text des Handelsblatts durch, kann ich nichts von einer Bestätigung lesen – dort heißt es nur, dass die AOKs "prüfen", ob Daten abgeflossen sind. Das deckt sich auch mit der AOK-Pressemitteilung und dem zeitlichen Verlauf (Artikel stammt vom 6. Juni 2023).
Andererseits gibt es obigen Tweet von Martin Tschirsich, der gleich zwei Sachverhalte thematisiert. Einmal wird Jürgen Klöckner zitiert, der angibt, dass das BSI "von einem bestätigten Datenabfluss warnt" – wobei sich dies nicht auf die AOK-Fälle beziehen muss. Die Einbeziehung des Handelsblatts deutet aber in die Richtung, dass deren Titel für den Beitrag "missverständlich" sein könnte.
Einsatz von MOVEit Transfer fahrlässig
Der gravierendere Punkt ist aber die Aussage von Tschirsich, dass MOVEit Transfer seit Jahren durch vergleichbar Mängel aufgefallen sei und dass SQL-Injections nicht mehr vorkommen dürften. Tschirsich sieht den Einsatz von MOVEit Transfer als fahrlässig an und schließt nicht aus, dass der Schaden größer als bisher angenommen ist.
Datentransfer im Gesundheitswesen
Unabhängig von diesem Sachverhalt zeigt der Vorfall, wie wackelig der gesamte Vorgang ist. Nur zur Erinnerung: Die Krankenkassen sollen bis Ende 2024 die elektronische Patientenakte (ePA) für die gesetzlich Krankenversicherten einführen. Zur Kommunikation mit Ärzten wird zwar die gematik TI-Infrastruktur (KIM) verwendet. Wie aber später der Austausch vertraulicher Patientendaten mit anderen Stellen erfolgen soll, steht auf einem anderen Blatt.
Ich will es noch thematisieren – mir liegen auch Informationen vor, dass zumindest eine AOK für bestimmte Kommunikationsvorgänge mit Ärzten nicht die KIM-Lösung der gematik sondern ein Transportportal von kubus IT mit "E-Mail-Link-Lösung" einsetzt. Dort erfolgt der Transfer aber verschlüsselt und über Cryptshare. kubus IT wurde 2008 gegründet und stellt den IT-Betrieb für 17.000 AOK-Anwender in den Bundesländern Bayern, Sachsen und Thüringen sicher. Das Leistungsspektrum reicht laut eigener Webseite "vom kompletten Betrieb der technischen Systeme, über Anwendungsbetreuung und Support, bis hin zu Beratungs- und Entwicklungsleistungen". Schöne Aussichten.
Bald wird es lustig
Kleine Ergänzung: Auf Twitter bin ich auf nachfolgenden Tweet von John Hammond gestoßen. Die cl0p-Ransomw-Gruppe hat sich auf ihrer Dark-Web/Tor Hidden Services .onion-Leak-Site gemeldet.
Die Gruppe bekennt sich zum Missbrauch von MOVEit Transfer. Zudem hat man den Opfern eine Frist bis zum 14. Juni 2023 gesetzt. Wer nicht zahlt, muss mit der Offenlegung von Dokumenten rechnen.
Ähnliche Artikel:
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362
2015
Ja, schöne bittere Aussichten: Im Auftrag eines Angehörigen habe ich vergangene Woche mit einer Betriebskrankenkasse telefoniert, die von dem Bitmarck-Hack im April betroffen war – und ist. Die Angelegenheit, um die es ging, war telefonisch schnell geklärt, zum Schluss des Gesprächs wies mich die Mitarbeiterin aber darauf hin: Per E-Mail sei die BKK nach wie vor nicht erreichbar, nur postalisch, telefonisch oder per FAX. – Man ist sprachlos. Das deutsche Gesundheitswesen bekommt es aktuell nicht mal hin, die bestehende IT-Infrastruktur sicher zu betreiben. Das zeigt auch der AOK-Vorfall überdeutlich. Wie soll das mit der elektronischen Patientenakte funktionieren? Das ist ja noch mal eine ganz andere Liga, was den Umfang, die Komplexität und den Grad der Vernetzung betrifft. Da hängen ja quasi alle mit drin, von den Ärzten, Krankenversicherungen, Krankenhäusern – bis hin zu den Patienten und Patientinnen, die alles schön über ihre total (un)sicheren Android-Smartphones verwalten sollen …. Was passiert eigentlich, wenn die ePA mal für ein paar Wochen ausfällt? Bricht dann das totale Chaos aus?
"Bricht dann das totale Chaos aus?"
–> Nach Jahren als Mitarbeiter beim IT Dienstleister würde Ich sagen also alles wie immer ;)