Comretix Blog

Kurz vor Weihnachten hat Google eine Änderung seiner Policy bezüglich der Benutzung von Fingerprinting-Technik für Werbezwecke angekündigt. Bisher verbietet diese Policy das Fingerprinting:

Anzeige

You must not use device fingerprints or locally shared objects (e.g., Flash cookies, Browser Helper Objects, HTML5 local storage) other than HTTP cookies, or user-resettable mobile device identifiers designed for use in advertising, in connection with Google's platform products. This does not limit the use of IP address for the detection of fraud.

Diese Klausel entfällt in der neuen Version, die ab dem 16. Februar in Kraft treten soll.

(Device) Fingerprinting ist der Oberbegriff für eine Reihe von Techniken, die Geräte zum Beispiel für Werbetreibende wiedererkennbar machen. Browser lässt man zum Beispiel im Hintergrund für den Nutzer unsichtbar Objekte rendern. Aus den Unterschieden der Ergebnisse kann man eine Art Fingerabdruck generieren, der den Browser wiedererkennbar macht. Eine aktuelle Untersuchung zeigt, dass man auf ähnliche Weise mit CSS Nutzer per E-Mail tracken kann.

Zwei Sicherheitslücken im WordPress-Plug-in Fancy Product Designer gefährden Onlineshops. Ein Sicherheitsupdate ist bislang nicht verfügbar. Sind Attacken erfolgreich, können Angreifer Shops vollständig kompromittieren. Mit dem Plug-in können Onlineshopbetreiber unter anderem Produkte für ihren Shop gestalten.

Anzeige

Davor warnen Sicherheitsforscher von Patchstack in einem Beitrag. Die zwei Schwachstellen (CVE-2024-51919, CVE-2024-51818) sind als "kritisch" eingestuft. Sind Attacken erfolgreich, können Angreifer über die defekte Uploadfunktion Hintertüren installieren oder manipulierend auf Datenbanken zugreifen. Bislang gibt es keine Hinweise auf Attacken.

Die Forscher führen aus, die Lücken bereits im März 2024 an den Anbieter des Plug-ins gemeldet zu haben. Seitdem gab es ihnen zufolge mehrere Kontaktaufnahmen, sie haben aber bislang keine Antwort erhalten. Die aktuelle Ausgabe 6.4.3 soll nach wie vor verwundbar sein. Ob und wann ein Patch erscheint, bleibt weiterhin unklar. Bis dahin sollte man das Plug-in aus Sicherheitsgründen nicht nutzen.

Ivanti warnt vor aktiven Angriffen auf eine kritische Sicherheitslücke in der VPN-Software Ivanti Connect Secure (ICS). Diese und eine weitere Sicherheitslücke betreffen zudem auch Ivanti Policy Secure und Ivanti ZTA Gateways. Für ICS stehen Aktualisierungen bereit, für die anderen beiden Produkte hat Ivanti Updates lediglich angekündigt.

Anzeige

In einer Sicherheitsmitteilung erörtert Ivanti Details zu den Schwachstellen. Angriffe hat das Unternehmen auf einen Stack-basierten Pufferüberlauf entdeckt, der den bösartigen Akteuren ohne vorherige Anmeldung das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-0282, CVSS 9.0, Risiko "kritisch"). Wie genau die Angriffe aussehen, erörtert Ivanti nicht. Eine zweite Schwachstelle besteht ebenfalls in einem Stack-basierten Pufferüberlauf, der angemeldeten Nutzern die Ausweitung der eigenen Rechte erlaubt (CVE-2025-0283, CVSS 7.0, hoch). Diese Lücke wird laut Ivanti derzeit jedoch nicht missbraucht.

Angriffsdetails von Mandiant

Googles Tochter Mandiant stellt in einem eigenen Blog-Beitrag eine erste Analyse der Angriffe vor. Die Angreifer haben Malware aus dem von Mandiant Spawn genannten Ökosystem nach erfolgreichen Angriffen installiert, aber auch Dryhook und Phasejam genannte Malware-Familien. Die Exploits für die Schwachstelle sind versionsspezifisch für die einzelnen Patch-Levels von ICS. Die Malware stellt dann am Ende Tunnel bereit, Webshells, unterbindet Updates, greift Zugangsdaten ab und kann weiteren Schaden anrichten. Mandiant verortet die Angreifer UNC5337 als Untergruppe von UNC5221 in China, es handelt sich demnach um eine Spionage-Gruppe.

Ivanti spricht davon, von einer begrenzten Anzahl an angegriffenen Kunden zu wissen. Mandiant erklärt, die Angriffe haben Mitte Dezember 2024 angefangen. Die Analysen dauern noch an, die bisherigen Ergebnisse sind noch vorläufig. Mandiant listet am Ende des Beitrags noch Hinweise für Infektionen (Indicators Of Compromise, IOCs) sowie hilfreiche YARA-Regeln auf, mit denen Admins ihre IT untersuchen und sich vor Angriffen warnen lassen können.

In Unternehmen haben Mitarbeiter im vergangenen Jahr fast dreimal so häufig auf Phishing-Links geklickt als noch 2023, wie aus Zahlen des Sicherheitsunternehmens Netskope hervorgeht. Über 0,8 Prozent der Angestellten folgte demnach einem solchen Link, im Vorjahr lag der Anteil bei unter 0,3 Prozent. Insbesondere Cloud-Speicher waren dabei die Ziele der Angreifer.

Anzeige

Ein Großteil der Unternehmen schult seine Mitarbeiter im Umgang mit Phishing. Dass sie dennoch gefälschte Links anklicken, führen die Forscher auf kognitive Ermüdung durch die hohe Anzahl der Phishing-Versuche und die Kreativität der Angreifer zurück. Nachgeahmte Websites seien inzwischen schwieriger zu erkennen als zuvor. Da das Bewusstsein für Phishing in E-Mails inzwischen hoch ist, stammen die meisten Klicks auf Links aus anderen Quellen.

Fast jeder fünfte Klick auf einen Phishing-Link erfolgte von einer Suchmaschine. Dort schalteten Cyberkriminelle Werbeanzeigen oder nutzten die Suchmaschinenoptimierung aus, damit die gefälschten Websites in den Suchergebnissen möglichst weit oben auftauchen. Shopping-Websites machten zehn Prozent der Klicks aus. Andere Quellen von Phishing-Links waren Technologie-, Geschäfts- und Unterhaltungswebsites. Hier versteckten Angreifer ihre Links in Werbung und Kommentaren. Mit KI versuchen Browser-Anbieter vor Phishing-Seiten zu schützen.

Mehr als ein Viertel der angeklickten Phishing-Links führten auf gefälschte Login-Seiten von Cloud-Diensten. Für Angreifer sind die Zugänge wertvoll, da sie den Zugriff auf unternehmensinterne Daten ermöglichen und eventuell weitere Opfer erreichbar machen. Das häufigste Ziel unter den Cloud-Anwendungen war Microsoft mit über 42 Prozent der Phishing-Klicks. Dahinter lagen die Adobe-Cloud mit einem Anteil von 18 Prozent und DocuSign mit 15 Prozent.

In einer Untersuchung der Effektivität von automatisch mit großen Sprachmodellen (Large Language Models, LLMs) erzeugten Phishing-Angriffen sind Forscher zu dem Ergebnis gekommen, dass die Künstliche Intelligenz ebenso effizient ist wie von Menschen personalisiertes Phishing. Gegenüber beliebigen, nicht gezielt erzeugtem Phishing sehen sie eine 3,5-fach höhere Effizienz.

Anzeige

Die Studie findet sich auf arxiv.org. Die Forschergruppe hauptsächlich eines Instituts der Harvard-Universität hat die Phishing-Angriffe mit 101 Teilnehmern getestet. Es ging dabei darum herauszufinden, wie gut es LLMs schaffen, personalisierte Phishing-Attacken – sogenanntes Spear-Phishing – auszuführen.

Die Ergebnisse überraschen. Die 101 Teilnehmer wurden in vier Gruppen eingeteilt. Die Kontrollgruppe erhielt beliebiges, nicht personalisiertes Phishing. Eine Gruppe bekamm von LLMs erzeugte Phishing-Mails zu sehen. Von Menschen gezielt erstellte Phishing-Mails gingen an eine dritte Gruppe und schließlich gab es noch eine Gruppe, die Spear-Phishing erhielt, bei dem Menschen Feinschliff an den von der KI erzeugten Mails vornahmen.

Die Forscher haben gemessen, wie oft auf Links in diesen Mails geklickt wurde. Das beliebige Phishing kam auf eine Klickrate von 12 Prozent. Links in voll automatisiert erzeugten KI-Phishing-Mails wurden in 54 Prozent der Fälle geklickt – genau so oft wie bei gezielten, von Menschen erstellten Phishing-Mails. Sofern Menschen noch mal Hand an das KI-Phishing legten, konnte eine leichte Steigerung der Klickrate auf 56 Prozent beobachtet werden.

In den USA startet mit dem "U.S. Cyber Trust Mark" ein Anlauf zur Einführung eines freiwilligen IT-Sicherheitskennzeichens. Verbraucher sollen daran erkennen können, dass internetverbundene "smarte" Geräte sicher sind.

Anzeige

Das erinnert an das seit 2022 verfügbare IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit Inkrafttreten des Cyber Resiliance Acts (CRA) in der EU wird jedoch im hiesigen Wirtschaftsraum ein Mindestmaß an Cybersicherheit Pflicht, das US-Label bleibt hingegen zumindest vorerst freiwillig. Während für das ebenfalls freiwillige BSI-Zertifikat Unternehmen lediglich Antragsformulare ausfüllen müssen, über die das BSI eine Plausibilitätsprüfung vornimmt, sieht der "U.S. Cyber Trust Mark" eine Prüfung der Geräte vor.

Das Weiße Haus teilt mit, dass insgesamt elf Unternehmen derartige Prüfungen vornehmen dürfen: CSA America Testing & Certification, LLC; CTIA Certification LLC; DEKRA Certification Inc.; Intertek Testing Services NA, Inc; ioXt Alliance; Palindrome Technologies; SGS North America Inc; Telecommunications Industry Association; TÜV Rheinland of N.A.; TÜV SÜD America sowie UL LLC. Letztere Firma, auch als UL Solutions bekannt, hat dabei die administrative Führungsrolle (Lead Administrator) für das "U.S. Cyber Trust Mark".

Das "U.S. Cyber Trust Mark" hat ein Logo, das Hersteller für erfolgreich getestete Geräte nutzen können.

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

In der Business-Software IBM Cognos Controller und IBM Controller klaffen Sicherheitslücken. Die stopft der Hersteller nun mit aktualisierten Paketen. IT-Verantwortliche sollten sie zeitnah installieren.

Anzeige

In der zugehörigen Sicherheitsmitteilung erklärt IBM, dass insbesondere mitgelieferte Software von Drittherstellern, darunter Open-Source-Komponten, Sicherheitslücken enthalten. Insgesamt schließt das Update zehn Sicherheitslecks. Um die Schwachstellen abzumildern, gibt es laut IBM keine temporären Gegenmaßnahmen – Aktualisieren ist daher mandatorisch.

Während acht der Schwachstellen einen mittleren Bedrohungsgrad darstellen, stuft IBM zwei davon als hohes Risiko ein. Aufgrund einer unzureichenden Zertifikatsprüfung können unbefugte Nutzerinnen und Nutzer Zugriff auf geschützte Ressourcen erlangen (CVE-2024-40702, CVSS 8.2, Risiko "hoch"). Wie bösartige Akteure diese Schwachstelle missbrauchen können und wie das erkennbar wäre, erörtert IBM nicht.

Der mitgelieferte Axios-Client ist anfällig für eine Server-Side Request Forgery (SSRF) aufgrund eines Fehlers, bei dem Anfragen für "Path relative" URLs als "Protocol relative URLs" verarbeitet werden (CVE-2024-39338, CVSS 7.5, hoch).

Die Aktion für Gratis-Tickets zur Teilnahme an der IT-Security-Kongressmesse secIT 2025 wurde verlängert. Das Zugpferd der secIT sind die redaktionell kuratierten Inhalte. Diese Vorträge und Workshops sind werbefrei und locken mit hilfreichen Fakten und Vorgehensweisen, um Unternehmen effektiv vor Cyberangriffen zu schützen. Es gibt aber auch viele Hilfestellungen, wenn sich Angreifer bereits im Netzwerk befinden.

Anzeige

Die von c't, heise security und iX ausgewählten Referenten vermitteln ihr Fachwissen kompetent und verständlich, sodass Teilnehmer das Gelernte direkt in ihren Firmen für mehr IT-Sicherheit umsetzen können.

Dabei stehen Themen wie die Umsetzung der NIS2-Richtlinie oder die Sicherheit von Windows und Microsoft-Diensten wie M365 im Vordergrund. Es gibt aber auch viele Erkenntnisse und Maßnahmen gegen aktuelle Angriffsmuster und Ransomware-Attacken. Zusätzlich geht es um Supply-Chain-Attacken und den Schutz von Cloud-Umgebungen. Das Programm ist auf der Website der Veranstaltung abrufbar.

Neben den Vorträgen und Workshops findet eine Ausstellung in mehreren Hallen statt. Dort kann man sich Produkte für den Schutz von IT-Infrastrukturen anschauen und mit Anbietern von Schutzlösungen ins Gespräch kommen.

Derzeit haben Angreifer PCs im Visier, auf denen Mitel MiColab oder Oracle WebLogic Server installiert ist. Im schlimmsten Fall können Angreifer Systeme vollständig übernehmen. Sicherheitspatches stehen zum Download bereit. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Anzeige

Wie aus einer Warnung der US-Sicherheitsbehörde CISA hervorgeht, sind zwei Lücken (CVE-2024-41713 MiColab, CVE-2020-2883 WebLogicServer) mit dem Bedrohungsgrad "kritisch" eingestuft.

Eine weitere Schwachstelle (CVE-2024-55550) ist zwar nur mit dem Bedrohungsgrad "mittel" versehen, aber Sicherheitsforscher watchTowr Labs beschreiben in einem Beitrag, dass Angreifer Lücken miteinander kombinieren können, um Dateien auf Servern einsehen zu können.

In einer Warnmeldung gibt Mitel an, dass MiCollab 9.8 SP2 (9.8.2.12) gegen die erwähnte Kombi-Attacke geschützt ist.

Google und Mozilla haben Updates für die Webbrowser Chrome und Firefox veröffentlicht. Sie schließen teils als hohes Risiko eingestufte Sicherheitslücken. Nutzerinnen und Nutzer sollten sicherstellen, die aktuelle Fassung einzusetzen.

Anzeige

Während Google in Chrome vier Sicherheitslecks abdichtet, schließt Mozilla in Firefox elf Sicherheitslücken. Mit Details zu den Schwachstellen hält Google sich wie üblich zurück. Lediglich zu einer der vier Lücken gibt es überhaupt eine kurze Information, es handelt sich um eine Type Confusion in der Javascript-Engine V8. Laut Versionsankündigung von Google ist das Risiko der Lücke hoch, sie brachte dem Melder 55.000 US-Dollar Belohnung ein – ein ungewöhnlich hoher Betrag, es könnte sich um einen Tippfehler handeln. Die Lücke ermöglicht wahrscheinlich das Einschleusen von Schadcode beim Anzeigen von sorgsam präparierten Webseiten, was der Schweregrad nahelegt.

Firefox 134 dichtet eine Sicherheitslücke in der Android-Version des Browsers aus, durch die sich die Adressleiste mit einem ungültigen Protokoll-Schema fälschen ließ (CVE-2025-0244, kein CVSS, Risiko "hoch"). Dazu kommen noch zwei Advisories zu Sicherheitslücken, die auf Fehler in der Speicherverwaltung zurückzuführen sind (CVE-2025-0242, CVE-2025-0247, kein CVSS, hoch). Derartige speicherbasierte Sicherheitslücken ermöglichen in der Regel ebenfalls, Code durch manipulierte Webseiten einzuschleusen und auszuführen. Die restlichen acht Lücken stufen die Mozilla-Entwickler als mittleres Risiko ein.

Für die ESR-Versionen 128.6 und 115.19 liefert Mozilla eigene Sammelmeldungen, die jedoch im Wesentlichen einige Lücken auflisten, die in der Version 134 geschlossen wurden und die älteren Fassungen ebenfalls betreffen.

Admins von Moxa-Routern sollten ihre Geräte zügig auf den aktuellen Stand bringen. In aktuellen Firmwareversionen haben die Entwickler zwei Sicherheitslücken geschlossen. Darüber sind Root- und Schadcode-Attacken möglich.

Anzeige

Die Router des Herstellers werden im Industrieumfeld, etwa im Energiesektor, genutzt. Demzufolge können erfolgreiche Attacken schwerwiegende Folgen haben. In einer Warnmeldung gibt Moxa an, dass die Entwickler zwei Schwachstellen (CVE-2024- 9138 "hoch", CVE-2024-9140 "kritisch") geschlossen haben.

Setzen Angreifer an der ersten Lücke an, können sie sich aufgrund von hartkodierten Zugangsdaten unbefugt Zugang mit Root-Rechten verschaffen. In so einer Position können sie Geräte vollständig kompromittieren. Es ist davon auszugehen, dass sich Angreifer von dort weiter in Netzwerken ausbreiten können.

Über die zweite Schwachstelle kann aufgrund von unzureichenden Überprüfungen von Eingaben Schadcode auf Geräte gelangen. In einer Warnmeldung listen die Entwickler die betroffenen Modelle und verwundbaren Firmwareversionen auf. Die Ausgabe 3.14 ist gegen die geschilderten Attacken abgesichert.

Admins sollten prüfen, ob die HCL BigFix-Server-Automation-Installationen auf dem aktuellen Stand sind. Ist das nicht der Fall, können Angreifer Systeme attackieren.

Anzeige

In einer Warnmeldung schreiben die Entwickler, dass sie in der Ausgabe 9.5.70 drei Schwachstellen geschlossen haben. Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem Traffic auf von ihnen kontrollierte Websites umleiten (CVE-2024-26159 "hoch") oder unberechtigt Zugangsdaten einsehen (CVE-2024-28849 "mittel").

Bislang gibt es keine Informationen, dass Angreifer die Lücken bereits ausnutzen. Admins sollten aber nicht zu lange zögern und das Sicherheitsupdate zügig installieren.

Die Internationale Zivilluftfahrtorganisation (ICAO) der Vereinten Nationen untersucht einen möglichen Sicherheitsvorfall, der auf Angreifer zurückzuführen sein könnte, die gezielt internationale Organisationen attackieren. Das teilte die UN-Sonderorganisation auf ihrer Homepage mit und versicherte, dass die Angelegenheit "sehr ernst" genommen würde. Verschiedene Sicherheitsmaßnahmen seien unverzüglich eingeleitet worden, die Untersuchung laufe jetzt. Laut der Nachrichtenagentur Reuters folgt die Mitteilung auf Behauptungen, dass der ICAO tausende Aufzeichnungen entwendet worden seien.

Anzeige

Einen Hinweis auf den angeblichen Angriff gibt es bei dem Cybersicherheitsunternehmen SOCRadar. Dessen Team für die Überwachung von Aktivitäten im Dark Web hat am Wochenende einen Beitrag in einem Forum gefunden, in dem von einem Leak der ICAO die Rede ist. Angeblich seien dort 42.000 Dokumente mit personenbezogenen Daten erbeutet worden. Es gehe um Namen, Geburtstage, das Geschlecht, Adressen, Telefonnummern, mehrere E-Mail-Adressen sowie den Bildungsstand und Angaben zum Arbeitsverhältnis, die bei der ICAO vorgehalten wurden. Um welche Personengruppe es dabei geht, wird aber nicht ausgeführt. Die ICAO hat das gegenüber der Nachrichtenagentur Reuters nicht erklärt. Die ICAO hat weniger als 1000 Angestellte.

Die ICAO gibt es seit über 70 Jahren, ihr Auftrag ist es, die zivile Luftfahrt weltweit zu standardisieren. Ihren Sitz hat die Organisation im kanadischen Montreal. 2016 war die ICAO Ziel eines verheerenden Cyberangriffs, den für die Gegenwehr verantwortliche Manager vertuschen wollte, hat die kanadische Rundfunkanstalt CBC vor sechs Jahren berichtet. Damals war es den mutmaßlich chinesischen Angreifern gelungen, über die Infrastruktur der Organisation andere Akteure der Luftfahrtbranche anzugreifen. Außerdem war der E-Mail-Server der ICAO kompromittiert worden, um tausende Dokumente zu damaligen und ehemaligen Angestellten abzugreifen. Ganz aufgeklärt wurde der Angriff nie.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sonicwall hat seine Kunden in E-Mails darüber informiert, dass am Dienstag dieser Woche Updates für die Firewalls erscheinen. Sie schließen unter anderem eine Sicherheitslücke, die bereits in freier Wildbahn im SSL-VPN von SonicOS angegriffen werden. Zum Meldungszeitpunkt stehen sie jedoch noch nicht bereit.

Anzeige

Ein Sonicwall-Kunde hat die E-Mail auf reddit veröffentlicht. Wir haben zudem entsprechende Leserhinweise mit Auszügen aus dem Mailtext erhalten. Demnach wird eine Sicherheitslücke in Sonicwall-Firewalls derzeit bei Kunden missbraucht, die SSL-VPN oder SSH-Management aktiviert haben. Durch das Aktualisieren auf die jüngste Firmware, die im Laufe des 7. Januars erscheinen soll, wird die Sicherheitslücke geschlossen.

Ein Screenshot zeigt eine Tabelle mit vier Schwachstelleneinträgen, die das Update SNWLID-2025-0003 ausbessern soll. Derzeit ist es noch nicht veröffentlicht, wird aber nach üblicher Namenskonvention hier erscheinen. Bei der derzeit angegriffenen Lücke handelt es sich offenbar um eine Umgehung der Authentifizierung in SonicOS SSLVPN – Details nennt der Hersteller jedoch nicht (CVE-2024-53704, CVSS 8.2, Risiko "hoch"). Aufgrund eines kryptografisch schwachen Pseudo-Zufallszahlengenerators, der bei vom SonicOS SSLVPN Authentifizierungstoken-Generator zum Einsatz kommt, lassen sich in einigen Fällen die Token vorhersagen und die Authentifizierung ebenfalls umgehen (CVE-2024-40762, CVSS 7.1, hoch).

Zudem gibt es eine Rechteausweitungslücke zu "root" in den Gen7 SonicOS Cloud NSv SSH Config-Funktionen (CVE-2024-53706, CVSS 7.8, hoch). Schließlich findet sich noch eine Schwachstelle im SSH-Management, die eine Server-Side-Request-Forgery (SSRF) ermöglicht. Sie erlaubt Angreifern aus dem Netz TCP-Verbindungen zu einer IP-Adresse auf jedem Port, sofern der Nutzer an der Firewall angemeldet ist (CVE-2024-53705, CVSS 6.5, mittel).

In einer aktuellen Malware-Kampagne versuchen Kriminelle, arglose Opfer auf Phishing-Seiten zur Installation einer gefälschten Telegram-Premium-App zu verleiten. Allerdings landet auf den Android-Smartphones der Infostealer "Firescam".

Anzeige

In einer detaillierten Analyse beschreiben die IT-Forscher von Cyfirma die Malware. "Firescam" wird als gefälschte "Telegram Premium App" auf einer auf der github.io-Domain gehosteten Phishing-Seite angeboten, die die Optik von RuStore imitiert – einem App-Store aus dem russischen VK-Kosmos. Anstatt von Premium-Funktionen in Telegram gibt es jedoch einen umfangreichen Datenabfluss.

Laut der Analyse liefert die Phishing-Seite zunächst einen Installer mit dem Dateinamen "GetAppsRu.apk" und einer Dateigröße von rund 5 MByte aus. Der installiert ein Paket mit dem Namen "ru.store.installer". Ein Programmsymbol mit dem Namen "GetAppsRu’" wird außerdem angelegt. Durch Antippen startet der Dropper, der anbietet, Telegram Premium mit dem Antippen einer Schaltfläche "Install" zu installieren. Nach der Sicherheitsfrage, ob Nutzer diese als "Telegram Premium" angezeigte App installieren wollen, wird die Firescam-Malware installiert. Ein Installationspaket "Telegram Premium.apk" mit etwa 3 MByte Größe wird dafür ausgeführt.

Firescam kontaktiert einen Command-and-Control-Endpunkt auf Firebase und hört dort auf Firebase Cloud Messaging (FCM)-Benachrichtigungen. Außerdem schickt die Malware abgegriffene Daten dorthin. Unter anderem initial nach der Installation die Gerätedaten des infizierten Android-Smartphones. Die Malware überwacht dann etwa die Messages-App und leitet die Inhalte von Textnachrichten weiter, ebenso das Aktivieren und Abschalten des Handy-Bildschirms. Bestimmte Benachrichtigungen, etwa als Konversation oder Alarmierung gekennzeichnete, schickt Firescam an den Kontrollserver; insbesondere Nachrichten aus den Apps Telegram, WhatsApp, Viber und VK stehen auf der Liste des Infostealers. Die Überwachung auf infizierten Geräten ist äußerst umfangreich, auch die Zwischenablage steht unter Beobachtung, genauso wie E-Commerce-Transaktionen. Die Malware kann weitere Schadfunktionen nachladen.

Angreifer können Smartphones und Tablets mit Android attackieren und Geräte im schlimmsten Fall über das Ausführen von Schadcode kompromittieren. Nun sind für bestimmte Geräte dagegen gerüstete Android-Ausgaben erschienen.

Anzeige

Wie aus einem Beitrag hervorgeht, stuft Google eine Schwachstelle im System als besonders gefährlich ein. Insgesamt haben die Entwickler fünf "kritische" Schadcode-Lücken (CVE-2024-43096, CVE-2024-43770, CVE-2024-43771, CVE-2024-43747, CVE-2024-4349748) im System geschlossen. In allen Fällen sollen Attacken aus der Ferne möglich sein.

Wie Angriffe vonstattengehen könnten, ist bislang nicht bekannt. Bislang gibt es keine Informationen, dass Angreifer Schwachstellen bereits ausnutzen.

In der Summe haben die Entwickler Lücken im Framework, Media Framework und System geschlossen. Nach erfolgreichen Attacken können sich Angreifer unter anderem höhere Nutzerrechte verschaffen und DoS-Zustände erzeugen.

Schwarze Schwäne sind sehr selten. Aber es gibt sie. Als "Black Swan"-Event wird ein Ereignis bezeichnet, das sehr unerwartet ist, aber erhebliche Auswirkungen hat. Man kann beispielsweise das CrowdStrike-Fiasko vom vergangenen Sommer als ein solches Ereignis bezeichnen. Ein fehlerhaftes Update legte Flughäfen, Unternehmen und Krankenhäuser lahm. Das Magazin Politico hat einige Experten befragt, welche unvorhersehbaren Momente es 2025 geben könnte. Künstliche Intelligenz ist gleich für zwei Autoren ein großes Risiko.

Anzeige

Gary Marcus ist KI-Experte und emeritierter Professor für Neurowissenschaften an der New York University. Er gilt als großer Kritiker des aktuellen Hypes um generative KI. Obwohl er die Möglichkeiten von KI grundsätzlich für beschränkt hält, schreibt Marcus in seinem Beitrag, vor allem Cyberkriminelle könnten die Technik nutzen und so großen Schaden anrichten. Es sei das "perfekte Werkzeug für Cyberangriffe". Gemeint sind KI-generierte Texte, die für Phishing-Attacken genutzt werden, aber auch Deepfakes, mit denen Menschen in die Irre geführt werden können. Ein Mitarbeiter einer Hongkonger Bank soll bereits auf ein solches Video hineingefallen sein und Betrügern 25 Millionen US-Dollar geschickt haben.

Large Language Models sind aber auch anfällig für Angriffe wie Jailbreaking und Prompt Injections. Dabei werden die KI-Modelle dazu gebracht, vom Anbieter unerwünschtes Verhalten auszuführen. Chatbots könnten so im harmlosen Fall Fragen beantworten, die sie nicht beantworten sollen, schlimmer wäre der Diebstahl von Kontodaten. Vorstellbar sind aber durchaus auch schlimmere Szenarien.

Marcus warnt auch, generative KI-Werkzeuge würden von Entwicklern beim Coden eingesetzt. Diese verstünden manchmal nicht, was die KI gemacht hat, sie kontrollierten aber auch teilweise einfach nicht allen Code. Das könne Sicherheitslücken mit sich bringen. Große Sorge macht Marcus auch, dass die US-Behörden eher deregulierend agieren.