Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorfälle (19. Juni 2023)

Aktuell dürften einige Firmen auf heißen Kohlen sitzen, weil sie Opfer der MOVit-Schwachstelle geworden sind und die Clop-Ransomware-Gruppe nun die erbeuteten Daten öffentlich macht. Die Zurich Insurance Group, das Vergleichsportal Verivox und weitere Namen wie PwC finden sich unter den Opfern. Bei HP gibt es eine Sicherheitslücke in Drucker und ASUS weist Kunden an, dringend ein Firmware-Update bei bestimmten Routern durchzuführen, um diese abzusichern. Microsoft hat Azure-Tools gepatcht, weil darüber Informationen aus der Cloud abgegriffen werden konnten, und, und, und. Hier ein Abriss des täglichen Cyber-Security-Wahnsinns.

ASUS-Firmware-Update installieren

ASUS hat eine neue Firmware veröffentlicht, die Schwachstellen in mehreren Router-Modellen behebt. Kunden werden gewarnt, ihre Geräte sofort zu aktualisieren oder den WAN-Zugang einzuschränken, bis die Firmware installiert ist. Die beiden schwerwiegendsten Sicherheitslücken und CVE-2018-1160 werden als kritisch eingestuft. Bei CVE-2022-26376 handelt es sich um eine kritische Schwachstelle in der Asuswrt-Firmware für Asus-Router, die es Angreifern ermöglicht, Denial-of-Services-Zustände auszulösen oder Codeausführung zu erlangen. CVE-2018-1160 ist ein fast fünf Jahre alter Bug in Netatalk, der auch ausgenutzt werden kann, um auf ungepatchten Geräten beliebigen Code auszuführen. ASUS hat das Ganze auf dieser Sicherheitsseite bekannt gegeben; die Kollegen von Bleeping Computer haben das Ganze in diesem Artikel aufbereitet.

Kritische Schwachstelle in HP MFC-Druckern

HP hat eine Warnung vor einer kritischen Schwachstelle CVE-2023-1329 (CVE-Wert 9.8) veröffentlicht, die mehr als 50 HP Laserjet MFP-Druckern (Multi Function Printer) im Enterprise-Segment betrifft. Ein Pufferüberlauf im Netzwerk ermöglicht eine Codeausführung auf den Geräten. Zur Behebung der Schwachstelle muss eine HP Workpath-Lösung auf dem Gerät ausgeführt werden. heise hat die Details in diesem Beitrag zusammen getragen.

Malwarebyte-Fix für Chrome-Problem

Sicherheitslösungen wie Malwarebytes Exploit-Schutz verhindern den Start des Chrome-Browsers unter Windows 11 22H2, wenn dort das kumulative Update KB5027231 installiert ist (siehe Windows 11 22H2: Update KB5027231 lässt Google Chrome abstürzen oder in Malwarebytes hängen). Nun hat Malwarebytes einen Fix für diesen Bug veröffentlicht, so dass Chrome wieder startet.

Ergänzung: Ein Blog-Leser wies mich auf Facbook darauf hin, dass es auch mit Trellix/McAfee und Data Loss Prevention sehr ähnliche Probleme unter Windows 11 gebe. Ein Fix ist mir nicht bekannt.

CVE-2023-32412 in iOS

In iOS gibt es die Schwachstelle CVE-2023-32412 im SIP-Parser, die über ein ein (unseriöses) Mobilfunknetzwerk ausnutzbar wäre. Details finden sich im Chromium-Projekt, wo jemand einen Bug-Report eingereicht hat.

Cyberangriffe auf Firmen

Die letzten Tage und Wochen gab es Cyberangriffe auf Medien und Firmen. Hier einige Fundsplitter, die mir gerade untergekommen sind.

Europäische Investment-Bank gehackt

Pro-russische Hacktivisten haben europäische Bankinstitute angegriffen und die European Investment Bank (EIB) als eines ihrer Opfer genannt. CyberNews hat die Details in diesem Artikel zusammen getragen.

General-Anzeiger Bonn GmbH offline

Zum Wochenende hat es die Mediengruppe Rheinische Post mit einem Cyberangriff getroffen (siehe mein Beitrag Rheinische Post Mediengruppe nach Cyberangriff offline – eine Reihe Zeitungen mussten Montag als Notausgabe erscheinen. Nun lese ich auf Twitter, dass der General-Anzeiger Bonn GmbH wegen einer technischen Störung offline ist und die Zeitung als Notausgabe erscheint – klingt wie die Meldung zur Rheinischen Post.

Dienstleister der BARMER gehackt

Die Ärztezeitung berichtet hier, dass ein Dienstleister der BARMER-Krankenkasse bereits am 31. Mai 2023 Opfer eines Hackerangriffs geworden sei. Dienstleister unterstütze die Kasse bei der Umsetzung ihres Bonusprogramms. Es wird geprüft, ob auch Daten von BARMER-Versicherten abgeflossen seien – zwischen den Zeilen lese ich beim Datum 31. Mai heraus, dass der Dienstleister Opfer der nachfolgend thematisierten MOVEit-Schwachstelle geworden ist.

Clop-Angriff auf Zurich Insurance Group Ltd

Laut nachfolgendem Tweet wurde die Zurich Insurance Group Ltd (wohl zurich.com) Opfer der Clop-Ransomware-Gruppe. Es handelt sich um einen großen, international agierenden Versicherer.

Ob das Ganze sich auf die nachfolgende MOVit Transfer Sicherheitslücke bezieht, weiß ich nicht. Aktuell finden sich noch keine weiteren Informationen im Netz.

Trend Micro hat diesen Artikel zur Clop-Gruppe und deren Aktivitäten veröffentlicht. So ganz passend zum Thema: Die Bundesverwaltung der Schweiz, Schweiz Tourismus oder der Rüstungskonzern Ruag waren in den letzten Tagen u.a. Ziel von Hackerattacken. Eine Cyber-Sicherheitsfirma hat Zehntausende schwerwiegende Sicherheitsmängel in der Schweiz entdeckt. Zurich To Day hat in diesem Artikel die Zahl von 106.000 Schwachstellen in Schweizer IT-Systemen genannt.

Opfer der MOVEit-Schwachstelle

Seit die Clop-Ransomware-Gruppe die Liste ihrer Opfer veröffentlicht hat (siehe auch Das MOVEit-Desaster: Proof of Concept; Clop-Gang veröffentlicht Opferdaten), werden langsam die langen Schatten der auch hier im Blog thematisierten MOVEit Transfer-Schwachstelle sichtbar. Gegenüber Bleeping Computer hat der Sicherheitsanbieter Norton Life Lock eingestanden, dass man Opfer der Schwachstelle wurde und Daten von Mitarbeitern abgezogen wurden.

heise berichtet in diesem Artikel, dass das Vergleichsportal Verivox ebenfalls Opfer der MOVEit-Schwachstelle geworden sei und Clop wohl Daten abgezogen habe. Auf der Verivox-Seite heißt es nun:

Ausführliche Kundeninformation: Datenschutzinformation gemäß Art. 34 DSGVO (Stand 16.06.2023)

Liebe Nutzerinnen und Nutzer von Verivox,

Verivox ist Opfer einer Cyber-Attacke geworden, von der weltweit mehrere Tausend Unternehmen und Organisationen betroffen sind. Ziel der Attacke war eine kritische Sicherheitslücke der Dateiübertragungssoftware MOVEit Transfer. Wir haben diese externe Anwendung zur sicheren Übermittlung von Informationen mit unseren Partnern genutzt.

Uns ist die Sicherheit der Daten unserer Nutzerinnen und Nutzer sehr wichtig. Deshalb machen wir den Vorgang auf diesen Seiten umfassend transparent. Wir bedauern den Vorfall sehr und werden alles tun, um Ihre Daten bestmöglich zu schützen.

Was ist passiert?

Am 31.05.2023 informierte uns MOVEit Transfer über eine kritische Sicherheitslücke in ihrer Anwendung. Wir haben daraufhin umgehend die MOVEit-Umgebung bei Verivox vom Netz genommen. Bei der anschließenden Forensik haben wir festgestellt, dass vor der Abschaltung der MOVEit-Umgebung bei Verivox unerlaubt Daten über diese kritische Schwachstelle entwendet wurden. Dies betrifft auch personenbezogene Daten von unseren Nutzerinnen und Nutzern.

Wir haben die Behörden umgehend über den Datenverlust in Kenntnis gesetzt und aktuell erfolgt eine umfassende forensische Prüfung des Vorfalls sowie der entwendeten Daten mithilfe externer Spezialisten. Den betroffenen Server haben wir ohne die Dateiübertragungssoftware MOVEit Transfer komplett neu aufgesetzt und unsere strengen Sicherheitsmaßnahmen nochmals verstärkt.

Welche Daten sind betroffen?

Wir arbeiten mit Hochdruck daran, den Sachverhalt vollumfänglich aufzuklären. Dies wird aber noch einige Zeit beanspruchen. Um den Vorgang zu beschleunigen, haben wir externe Forensiker zur Unterstützung eingeschaltet.

Was wir zum jetzigen Zeitpunkt wissen, ist, dass vor allem personenbezogene Daten, die eine E-Mail-Adresse enthalten, betroffen waren (Name, Adresse, E-Mail-Adresse). In bestimmten Fällen waren auch Bankverbindungsdaten betroffen (Name, Adresse, E-Mail-Adresse, IBAN).

Da hat es wohl voll ins Kontor gehauen. Auch die Oak Ridge Associated Universities ist wohl Opfer der Clop-Bande über die MOVEit-Schwachstelle geworden, wie ich in diesem Tweet gesehen habe. Und in diesem Artikel findet sich die Information, dass die Beratungsfirmen PwC und EY ebenfalls zu den Opfern gehören.

Weitere Hacks, Erpressungen, Leaks, Insides

Hier noch einige Informationen zu weiteren Hacks, Erpresserdrohungen, Datenlecks und Insides zu Hacks, die ich für interessierte Leserinnen und Leser mal verlinke.

BlackCat/Alphv droht Reddit-Daten zu veröffentlichen

Die Ransomware-Gruppe BlackCat/Alphv drohte mit der Veröffentlichung von 80 GB an Daten, die angeblich vom Social-Media-Giganten Reddit gestohlen wurden, falls kein Lösegeld in Höhe von 4,5 Millionen Dollar gezahlt würde. The Record Media hat in diesem Artikel einige Informationen dazu zusammen getragen.

Anonymous Sudan Infrastruktur

Die Hacktivisten von Anonymous Sudan wurden ja durch ihren DDoS-Angriff auf Microsofts Cloud-Dienste bekannt (siehe u.a. Cloud-Ausfälle: Microsoft verrät Details zum DDoS-Angriff durch Anonymous Sudan/Storm-1359). Die Gruppe greift aber auch Institutionen und Firmen in Australien an. Die Seite CyberCX wirft im Artikel A bear in wolf's clothing: Insights into the infrastructure used by Anonymous Sudan to attack Australian organisations einen Blick auf die Infrastruktur der Hacktivisten.

Amazon S3-Bucket für Angriff auf npm-Pakete missbraucht

Bei Angriffen auf npm-Pakete wurden gekaperte Amazon S3-Buckets verwendet. Die Cyberkriminellen nutzen nicht mehr verwendete AWS-Speicher-Tool zur Verbreitung von Malware. Details finden sich in diesem The Register-Artikel.

Phishing-Kampagne über Dienste

Check Point Research (CPR) hat eine laufende Phishing-Kampagne entdeckt, die legitime Dienste für das Sammeln von Anmeldeinformationen und die Datenexfiltration nutzt, um der Entdeckung zu entgehen. Details lassen sich in diesem Artikel nachlesen.

100.000 ChatGPT-Zugänge gestohlen

Der Zugang zu ChatGPT ist nur über ein (kostenpflichtiges) Benutzerkonto zugänglich. Die Kollegen von Bleeping Computer berichten hier, dass eine Info-Stealer-Malware im letzen Jahr 100.000 ChatGPT-Konten kompromittiert und die Zugangsdaten gestohlen habe – läuft offenbar.

Microsoft fixt kritische Azure-Schwachstellen

Microsoft hat kürzlich zwei Schwachstellen in Azure-bezogenen Tools behoben, die es Hackern ermöglicht hätten, auf die Daten eines Opfers zuzugreifen und Änderungen an dessen virtueller Umgebung vorzunehmen. Forscher von Orca Security haben die Cross-Site-Scripting (XSS) Schwachstellen in Azure Bastion und Azure Container Registry entdeckt. The Record Media hat das Ganze in diesem Artikel aufgegriffen.

Debakel Deutsch-französischer Freundschaftspass

Junge Leute sollten mit einem Ticket Züge in Frankreich bzw. in Deutschland grenzübergreifend nutzen können. Die Ticketbuchung scheiterte wegen überlasteter Server. Aber das Debakel lässt sich steigern, denn es gibt eine weit offene Hintertür und ein gewaltiges Datenleck beim deutsch-französischen Freundschaftspass, wie netzpolitik.org hier schreibt. Ergänzung: Das Kollektiv Zerforschung hat hier den betreffenden Artikel dazu veröffentlicht.

Bürgerrechtsorganisationen gegen ID Wallet der EU

Die EU plant eine sogenannte ID Wallet (European Digital Identity) für die Bürger der EU einzuführen. Diese digitale Brieftasche soll von uns Bürgern bei Verwaltungsgängen, Bankgeschäften, Arztbesuchen, Alterskontrollen oder beim Internet-Shopping eingesetzt werden, um die Identität nachzuweisen. In diesem Artikel hat netzpolitik.org die Kritik von Bürgerrechtsorganisationen, Wissenschaftlern und Forschungseinrichtungen aufgegriffen, die die geplante ID-Wallet, die derzeit auf EU-Ebene diskutiert wird, kritisieren. Sie fordern von EU-Rat, der EU-Kommission und dem EU-Parlament Korrekturen bei Datenschutz und Privatsphäre.

KeePassXC Schwachstelle CVE-2023-35866

Die KeePassXC Sicherheitslücke CVE-2023-35866 ermöglicht Angreifern die Änderung des Master-Passworts und der Einstellungen für die Second-Factor-Authentifizierung. Haut mal wieder voll rein, diese Schwachstelle im Passwort-Verwaltungstool. Details lassen sich hier nachlesen.

PoC für CVE-2023-29343 in Sysmon

Über einen Tweet von Sicherheitsforscher Nicolas Krassas habe ich mitbekommen, dass es eine Privilege Escalation-Schwachstelle CVE-2023-29343 im Windows SysInternals Tool Sysmon gibt. Nun hat jemand ein Proof of Concept dazu veröffentlicht. Details lassen sich in diesem Artikel nachlesen. Microsoft hatte am 9. Mai 2023 einen Fix dazu veröffentlicht.

#1: Discord-Klippen, sollte man kennen

Blog-Leser Thomas B. hat mich Anfang der Woche per Mail über eine "verstörende Beobachtung" auf Discord informiert. Dazu schrieb er mir:

Hallo Günter,

sehr merkwürdiger Zwischenfall auf Discord.

Jemand hat unter meinem Benutzer Postings in den Rubriken gemacht, in denen ich bereits in der Vergangenheit Postings gemacht hat. Auf jedem Server, auf dem ich Mitglied bin.

Habe das an den Discord Security Support gemeldet. Bin mal gespannt was da zurück kommt, denn für die Anmeldung verwende ich MFA.

Ob das ggf. mit der Umstellung der Benutzernamen zu tun hat?

Beste Grüße,

Tom

Ich hatte Tom gebeten, mich diesbezüglich auf dem Laufenden zu halten. Mir war noch nichts zu Ohren gekommen, aber Tom schrieb, dass er einen weiteren Fall gesehen habe. Heute hat sich Tom zurückgemeldet, und folgende Antwort, basierend auf den Informationen des Discord Security Support, geliefert.

Hallo Günter,

der Discord Security Support hat mir erklärt, dass ich wahrscheinlich einen Link angeklickt habe, und dadurch auf einen automatischen Bot gelaufen bin, der unter meinem Kontext, Postings durchführt. Nämlich genau so ein Posting, bei dem ich geklickt habe. Die Postings sind auch nur erfolgt, in den Themenbereichen und bei den Benutzern, wo ich in der Vergangenheit bereits Postings hinterlassen habe. Mittlerweile sind alle diese Postings wieder verschwunden, meine hatte ich sowieso gleich gelöscht.

Das zeigt mir, das man bei Discord ganz schön aufpassen muss und ein Posting nicht unbedingt von dem stammen muss, der der vermeintliche Benutzer sein will.

Beste Grüße,

Tom

Wirft natürlich ein besonderes Licht auf diese Plattform. Ist jemand von euch so etwas schon untergekommen?

#2: Discord und Twitter von Script-Kiddies für Phishing missbraucht

Und noch eine Meldung: Schulkinder haben Discord und Twitter genutzt, um NFTs im Wert von Millionen von Dollar zu stehlen und dafür Roblox-Skins zu kaufen. Das Ganze lässt sich in diesem Artikel nachlesen.

Datenleck bei Square Yards: 350 Millionen Datensätze

Square Yards ist ein großes Immobilientechnologieunternehmen, das auf Datenanalyse und VR-Tools setzt, um Kunden bei der Recherche, dem Kauf, dem Verkauf und der Verwaltung von Immobilien zu unterstützen. Es soll die größte integrierte Plattform für Immobilien und Hypotheken in Indien sein. Sicherheitsforscher von Cybernews sind über ein falsch konfiguriertes Bucket auf ein Datenleck mit fast 350 Millionen Dateien bei dieser Plattform gestoßen. Die Datensätze enthalten sehr persönlichen und sensible Daten von Mietvertragsparteien, Mietern, aktuellen Mitarbeitern des Unternehmens und Bewerbern. Mit darunter Passkopien, Kontoauszüge/Gehaltsabrechnungen, die Bildungshistorie und Universitätsdiplome. Zeigt, wo die Reise auch in der EU hingehen wird. Details lassen sich in diesem Artikel nachlesen.