Comretix Blog

Eine Sicherheitslücke in einer Komponente der Windows-Version des TeamViewer-Clients gefährdet PCs. Die Entwickler versichern, dass sich das Sicherheitsupdate automatisch installiert.

Anzeige

Basierend auf einer Warnmeldung ist die Komponente TeamViewer Patch & Asset Management angreifbar (CVE-2024-12363 "hoch"). Die Komponente ist aber standardmäßig nicht installiert. Sie ist optional im Kontext des Remote-Management-Features installierbar. Wird das nicht genutzt, sind PCs auch nicht verwundbar.

Die Entwickler geben an, die Komponente in der Ausgabe 24.12 repariert zu haben. Dieser Sicherheitspatch soll sich automatisch installieren, sodass Anwender nichts unternehmen müssen.

Vor dieser Version konnten lokale Angreifer an der Lücke ansetzen und unter Windows beliebige Dateien löschen. Wie das im Detail vonstattengeht und ob es bereits Attacken gegeben hat, ist bislang nicht bekannt.

iPhone-, Mac- und iPad-Nutzer können ihre Geräte auf den neuesten Software-Stand bringen und damit eine längere Liste an Sicherheitslücken in den Apple-Betriebssystemen ausräumen. Für iPhones liegt seit Mittwochabend iOS in Version 18.2 vor, für iPads wieder iPadOS 18.2.

Anzeige

Nutzer, die noch auf iOS 17 verharren, sollten das Upgrade jetzt ebenfalls durchführen: Für das Betriebssystem gibt es offenbar keine weiteren Patches mehr, sie verharren auf Stand 17.7.2 aus dem November. Apple drängt inzwischen bereits zum Umstieg auf iOS 18.

Im Unterschied zu iOS 17 gibt es für iPadOS 17 eine frische Version 17.7.3 mit Sicherheitsfixes. Diese ist allerdings rein für iPad-Modellreihen gedacht, die sich nicht auf iPadOS 18 aktualisieren lassen. Das sind das iPad Pro 10,5", das iPad Pro 12,9" der zweiten Generation und das iPad 6. Auf allen neueren iPads muss Version 18 eingespielt werden, um die jüngsten sicherheitsrelevanten Fehlerbehebungen zu erhalten.

Ein konkretes Update-Versprechen für iOS, iPadOS und macOS gibt es bei Apple nicht. Ältere iOS-Versionen erhalten mitunter auch noch Patches, wenn sehr gravierende Schwachstellen bekannt werden – allerdings nur für Hardware, die von den neueren Betriebssystemversionen nicht mehr unterstützt wird. Sämtliche bekannten Lücken schließt Apple wohlgemerkt nur in den allerneuesten Versionen seiner Betriebssysteme.

Microsoft beendet die Unterstützung für die populären Apps Windows Kalender, Windows Kontakte und Windows Mail zum 31. Dezember dieses Jahres. Nutzerinnen und Nutzern dient Microsoft als Ersatz das neue Outlook an.

Anzeige

Ein Support-Artikel von Microsoft erklärt das Support-Ende und dessen Auswirkungen. "Die Unterstützung für Windows Mail, Kalender und Kontakte wird am 31. Dezember 2024 enden", schreibt Microsoft dort. Man sei derzeit im Prozess, bestehende Nutzerinnen und Nutzer auf das neue Outlook für Windows umzuziehen.

Nach dem 31. Dezember werden User nicht mehr in der Lage sein, mit Windows Mail und Kalender Mails zu senden oder zu empfangen. "Jede lokale E-Mail, jeder Kalendereintrag und gespeicherte Kontakte in Mail, Kalender und Kontakte bleibt exportierbar, wenn User den Schritten" der Anleitung folgten, erklärt Microsoft weiter. Daher sollen Nutzerinnen und Nutzer auf das neue Outlook umsteigen. Durch einen Schalter in den Einstellungen unter "Allgemein" - "Über Outlook" lasse sich dann bei Bedarf wieder zu Windows Mail und Kalender zurückkehren.

Das Support-Ende bedeutet jedoch auch, dass Microsoft keine Sicherheitsupdates für die Windows-Apps bereitstellen wird. Ein Wechsel auf unterstützte Anwendungen ist daher sinnvoll.

Aufgrund einer Sicherheitslücke im Epic Games Launcher können Angreifer ihre Rechte im System ausweiten. Eine Aktualisierung steht bereit, die Nutzerinnen und Nutzer von Epic-Spielen anwenden sollten. Wer Epic-Games-Spiele unter Windows nutzt, sollte den Epic Games Launcher gegebenenfalls starten und davon angebotene Updates installieren.

Anzeige

Die Sicherheitslücke wurde von Trend Micros Zero-Day-Initiave entdeckt. Der Produkt-Installer des Epic Game Launchers vergibt falsche Berechtigungen auf einen sensiblen Ordner, erklärt der CVE-Eintrag zur Schwachstelle. Dadurch können Angreifer mit niedrigen Rechten am System beliebigen Code im SYSTEM-Kontext ausführen (CVE-2024-11872, CVSS 7.8, Risiko "hoch").

Die Entwickler haben eine neue Version des betroffenen Epic Games Launchers veröffentlicht und die Schwachstelle darin ausgebessert. Version 17.2.0 soll automatisch im Hintergrund heruntergeladen werden, schreiben sie in einem Trello-Eintrag. Das Update lasse sich dann installieren, indem Nutzerinnen und Nutzer im Einstellungsmenü auf "Restart and Update" klicken. Sofern die Installation nicht manuell angestoßen wird, soll sie beim nächsten Start der Software automatisch installiert werden.

Nach dem Download des Updates könne auch ein Pop-up erscheinen. Die Aktualisierung lässt sich dann durch Klick auf die "Update"-Schaltfläche anwenden, erklären die Entwickler. Ein Missbrauch der Sicherheitslücke in freier Wildbahn ist Epic Games demnach bislang nicht bekannt.

In der modernen IT-Landschaft sind Containerisierung und deren Automatisierung mittels Kubernetes unverzichtbar. Dabei ist die Einrichtung eines Kubernetes-Clusters nur der erste Schritt. Um die komplexe Umgebung effizient und sicher zu verwalten, sind spezialisierte Kenntnisse und Fähigkeiten erforderlich.

Anzeige

Im iX-Workshop Fortgeschrittene Kubernetes-Administration werden Sie in die Feinheiten des fortgeschrittenen Applikationsmanagements eingeführt und lernen, wie Sie Service-Mesh-Technologien implementieren und verwalten können. Zudem lernen Sie Methoden und Techniken für den nachhaltigen und sicheren Betrieb von Kubernetes-Clustern. Ein besonderer Schwerpunkt liegt auf den neuesten Sicherheitstechnologien und Best Practices, die dazu beitragen, Kubernetes-Umgebungen gegen potenzielle Bedrohungen abzusichern, sowie auf dem sicheren Umgang mit sensiblen Informationen, den sogenannten Secrets.

Der Workshop ist interaktiv gestaltet. In zahlreichen Übungen können Sie die vorgestellten Konzepte und Techniken anwenden und vertiefen. Dabei geht es unter anderem um die Bereitstellung von Applikationen im Container, Zugriffsberechtigungen auf die Kubernetes API, Sicherheitseinstellungen für den Kubernetes-Cluster und den Einsatz von Service Mesh in Projekten.

Von diesem Workshop profitieren vor allem IT-Profis, die tiefer in die Administration und Konfiguration von Kubernetes einsteigen und ihre Kubernetes-Umgebung stabil und sicher betreiben möchten. Er baut auf den Grundlagen auf und ist die ideale Ergänzung für alle, die Kubernetes bereits im Einsatz haben und an ihre Grenzen stoßen.

Der Bundesrechnungshof hat Bemerkungen zur Haushalts- und Wirtschaftsführung an den Bundesrat, Bundestag und Bundesregierung geschickt. Darin bemängelt die Behörde unter anderem, dass "einsatzwichtige IT-Services" der Bundeswehr gefährdet seien.

Anzeige

Die Beamten erörtern, dass das Bundesministerium der Verteidigung (BMVg) nicht sicherstelle, "dass es wichtige Daten für militärische Zwecke verlässlich bereitstellen kann, auch im Krisenfall." Es betreibe "ein Rechenzentrum für einsatzwichtige IT-Services lediglich an einem Standort – und damit nicht georedundant", führen sie weiter aus. Da es damit "die Bedrohungslage im Falle von Cyberangriffen, Sabotageakten oder Naturkatastrophen" vernachlässige, gefährde das BMVg die Einsatzbereitschaft der Bundeswehr.

Das Verteidigungsministerium weiche zudem "von eigenen Vorgaben und denen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ab". Die Ausgabenkontrolleure erklären: "Das BSI als nationale Cyber-Sicherheitsbehörde empfiehlt eine Mindestentfernung von 100 km für Georedundanz – und damit eine belastbare Ausfallsicherheit beim Betrieb von Rechenzentren". Falle "ein Standort aus, stehen die IT-Services an einem anderen Standort identisch in kürzester Zeit bereit."

Daher müsse das BMVg "belastbar planen, wie und bis wann es den georedundanten Betrieb des Rechenzentrums sicherstellen kann", fordern die Beamten. Andernfalls riskiere das Verteidigungsministerium, dass IT-Services für Waffensysteme im Einsatzfall nicht nutzbar seien.

In einer weltweiten Zusammenarbeit haben Strafverfolger zum Jahresende eine weihnachtliche "Urlaubstradition" von Cyberkriminellen verhindert, das Starten von Distributed-Denial-of-Service-Attacken auf Webseiten (DDoS), um diese quasi Offline zu nehmen, erörtern die Europol-Beamten leicht süffisant. Das sei im Rahmen der internationalen Operation "PowerOFF" erfolgt. Insgesamt 27 der populärsten Plattformen zum Ausführen solcher Attacken haben die Behörden nun beschlagnahmt.

Anzeige

Diese Plattformen seien auch als "Booter" oder "Stresser" bekannt, erklären die Beamten. Sie ermöglichen Kriminellen und Hacktivisten, Ziele mit illegalem Traffic zu fluten, wodurch Webseiten und andere webbasierte Dienste nicht mehr erreichbar sind. Jetzt sei eine vielseitige Operation gelaufen, bei der Europol Strafverfolger aus 15 Ländern koordiniert hat, die alle Ebenen dieser kriminellen Machenschaften zum Ziel hatten.

Zu den offline genommenen Booter- und Stresser-Websites gehören zdstresser.net, orbitalstress.net und starkstresser.net. Drei Administratoren wurden zudem in Deutschland und Frankreich verhaftet. Weiterhin konnten mehr als 300 Nutzerinnen und Nutzer identifiziert werden, die Operationen auf den Plattformen planten, schreibt Europol.

Die Operation PowerOFF legt nicht nur einen Schwerpunkt auf das Auseinandernehmen von Infrastruktur, die die Angreifer nutzen, sondern arbeitet auch proaktiv an der Verhinderung weiterer Vorfälle. Die Strafverfolger starten dazu Werbekampagnen, die sich an Individuen richten, die in solche Aktivitäten verwickelt sind. Die Kampagne soll die Konsequenzen der DDoS-Attacken hervorheben und gezielt potenzielle Straftäter erreichen, wenn sie am aktivsten sind, nämlich online. Dazu setzen die Beamten auf Google- und Youtube-Werbung.

Wie verhält man sich am effektivsten, wenn sich Angreifer bereits im Firmennetzwerk ausbreiten? Wer hilft eigentlich KMUs bei der Umsetzung der NIS2-Richtlinie? Welche Rolle spielt KI im aktuellen Bedrohungsszenario? Diese und viele weitere Fragen klären die Referenten auf der secIT 2025 im kommenden März in Hannover.

Anzeige

Die secIT startet am 18. März 2025 mit Ganztagsworkshops und am 19. und 20. März ist die Messe und Konferenz geöffnet. Die Kongressmesse findet im Hannover Congress Centrum (HCC) statt. Wer bereit ist, seine Daten mit dem Veranstalter und den Partnern zu teilen, bekommt im Ticketshop ein Gratis-Ticket. Wer das nicht möchte, zahlt bis zum 15. Februar für einen Tag 79 Euro und für beide Tage 119 Euro. Danach werden 99 beziehungsweise 139 Euro fällig. Workshops muss man kostenpflichtig im Ticketshop buchen.

Ab sofort ist der Großteil des Programms online einsehbar. Den Hauptanteil der Themen und Referenten haben die Redaktionen von c't, heise security und iX ausgewählt. Diese Vorträge und Workshops sind garantiert werbefrei und vermitteln verständlich und hilfreiche Fakten, die Admins direkt in ihren Unternehmen für mehr Sicherheit umsetzen können.

Volker Kozok, Vorsitzender des Vereins „Netzwerk für Cyber Intelligence e.V.“, zeigt in seiner Abschlusskeynote aktuelle aus KI resultierende Bedrohungen auf.

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Der nächste iX-Workshop findet vom 13. bis 17. Januar 2025 per Videokonferenz in einem Remote Classroom statt. Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv: Sie haben jederzeit die Möglichkeit, dem Referenten Fragen zu stellen und sich mit den anderen Teilnehmenden auszutauschen. Damit dies gut funktioniert, ist die Gruppengröße auf maximal 12 Personen begrenzt.

Ein chinesischer Staatsangehöriger wird von den USA beschuldigt, an der Entwicklung von Exploits für Sicherheitslücken in Sophos-Produkten mitgewirkt zu haben. Der 30-Jährige wird nun steckbrieflich vom FBI gesucht, das bis zu zehn Millionen US-Dollar für Hinweise zahlt, die zu seiner Ergreifung führen. Er soll gemeinsam mit anderen Mitarbeitern einer chinesischen IT-Firma über 80.000 Sophos-Firewalls angegriffen haben.

Anzeige

Am Bezirksgericht im Norden des US-Bundesstaats Indiana erheben die Vereinigten Staaten Anklage gegen Tianfeng G., der bei "Sichuan Silence Technology Company Ltd." arbeiten soll. Die Firma entwickle und verkaufe Exploits an verschiedene chinesische Regierungseinrichtungen, so die Anklageschrift. Der Verdächtige habe zusammen mit seinen Komplizen eine Sicherheitslücke in Sophos-Geräten gefunden (CVE-2020-12271), auf über 81.000 Geräten weltweit ausgenutzt und Daten abgefischt. Auch Ransomware hätten die Angreifer eingesetzt.

Die genannte Sicherheitslücke, eine SQL Injection, ermöglichte den Angreifern, beliebige Kommandos auf Sophos-Geräten auszuführen und sie mit einer Hintertür auszustatten. Die Malware mit dem Spitznamen "Asnarök" stahl dann Zugangsdaten und VPN-Informationen von den Geräten. Ihren mythologisch anmutenden Namen verdankt die Schadsoftware einer Domain, die bei den Angriffen auftauchte und "ragnarokfromasgard.com" hieß.

Tianfeng G. wird als einziger Verdächtiger namentlich in der Anklageschrift genannt. Womöglich tauchte sein Name im Zusammenhang mit der Registrierung mehrerer Sophos-Firewalls beim Hersteller auf, denn deren Beschaffung im Februar 2020 wirft das US-Gericht ihm nun vor. Auf Hinweise zu den Tatverdächtigen und der chinesischen Exploit-Schmiede setzt das FBI eine Belohnung von bis zu zehn Millionen US-Dollar (gut 9,5 Millionen Euro) aus.

Solarwinds hat die Version 12.8.4 der Web Help Desk-Software veröffentlicht. Darin schließt der Hersteller eine Schwachstelle in der eigentlichen Software – und stopft auch teilweise kritische Sicherheitslücken in mitgelieferten Komponenten von Drittanbietern. IT-Verantwortliche sollten die Aktualisierung zügig anwenden.

Anzeige

In den Release-Notes zur neuen Web Help Desk-Version listet Solarwinds die geschlossenen Sicherheitslecks auf. Die Entwickler haben eine Lücke in Web Help Desk selbst korrigiert, durch die Dateien ausgelesen werden können, sofern die Software unter Linux und zudem in dem nicht standardmäßigen aktivierten Entwicklungs- oder Test-Modus läuft (CVE-2024-45709, CVSS 5.3, Risiko "mittel").

Die mitgelieferten Dritthersteller-Komponenten sind hingegen wesentlich problematischer: In Apache Tomcat klafft eine Sicherheitslücke, durch die Angreifer unter Umständen die Authentifizierung umgehen und so unbefugt Zugriff erhalten können (CVE-2024-52316, CVSS 9.8, kritisch). DOMPurify soll vor Cross-Site-Scripting schützen, ist jedoch selbst etwa für "mutated Cross-Site-Scripting" (mXSS) anfällig (CVE-2024-47875, CVSS 9.8, kritisch), enthält eine Prototype-Pollution-Schwachstelle (CVE-2024-48910, CVSS 9.1, kritisch) und ist für eine weitere hochriskante (CVE-2024-45801, CVSS 7.3, hoch) sowie eine mittelschwere Cross-Site-Scripting-Lücke verwundbar (CVE-2020-26870, CVSS 6.1, mittel).

Die aktualisierte Fassung 12.8.4 steht auf der Solarwinds-Webseite oder im Kundenportal von Solarwinds zum Herunterladen bereit.

Let's Encrypt, mit über 387 Millionen gültigen Zertifikaten die größte Zertifizierungsstelle, trennt sich vom Online Certificate Status Protocol (OCSP). Den konkreten Zeitplan für die Umstellung teilte die CA (Certificate Authority) nun in ihrem Blog mit. Bereits Ende Januar 2025 verweigert Let's Encrypt die Ausstellung bestimmter Zertifikate und spätestens im Mai sind die altbekannten Sperrlisten (CRL, Certificate Revocation List) wieder omnipräsent.

Anzeige

Seine Entwickler hatten OCSP als technisch fortgeschrittener Ersatz für die unhandlichen Sperrlisten entworfen. Der Zweck beider Lösungen ist derselbe: Zertifikate, die etwa wegen Verlust des Schlüsselmaterials, wegen mißbräuchlicher oder fehlerhafter Ausstellung von der CA zurückgezogen (revoked) wurden, dürfen von Browsern nicht als gültig akzeptiert werden. OCSP sah vor, dass die Webbrowser bei jedem Aufbau einer verschlüsselten Verbindung bei der CA nach dem Status des vorgezeigten Zertifikats fragten.

Das stellte die Zertifizierungsstellen nicht nur vor Lastprobleme (die OCSP-Responder galten als notorisch überlastet und instabil), sondern warf auch Datenschutzfragen auf. Durch die Auswertung der OCSP-Anfragen konnten Zertifizierungsstellen, darunter auch Behörden und staatliche Organisationen, das Surfverhalten recht genau protokollieren. Ein Protokollzusatz namens "OCSP Stapling" beseitigte diese Schwierigkeit zwar, setzte sich jedoch bei Browserherstellern nicht durch.

Die "Let's Encrypt"-CA war mit OCSP-Unterstützung gestartet und hatte ursprünglich gar nicht vor, CRLs zu unterstützen. Diese Einschätzung revidierten die Betreiber jedoch im Jahr 2022 – nun sind die Sperrlisten bald wieder das einzige Mittel der Wahl zur Statusprüfung.

Adobe schützt Acrobat, Animate, Connect, Experience Manager, InDesign, Illustrator, Media Encoder, Substance 3D Modeler, Substance 3D Painter und Substance 3D Sampler vor möglichen Attacken. Insgesamt hat der Softwarehersteller mehr als 160 Schwachstellen mit Updates für die Produkte geschlossen.

Anzeige

Der Großteil der Lücken findet sich in Experience Manager. Aufgrund von unzureichenden Prüfungen von Eingaben können Angreifer Schadcode ausführen (CVE-2024-43711, Risiko "hoch"). Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad "mittel" eingestuft, Angreifer können Stored-XXS-Attacken dadurch ausführen.

Davon sollen alle Plattformen bedroht sein, die die Software unterstützt. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben Cloud Service Release 2024.11 und 6.5.22 gelöst zu haben.

Durch mehrere Lücken (zum Beispiel CVE-2024-49530, "hoch") in Acrobat und Reader können bösartige Akteure ebenfalls Schadcode auf Systeme verfrachten. Das betrifft die PDF-Programme für macOS und Windows. Das Gleiche gilt auch für Animate.

Aufgrund von laufenden Attacken auf aktuelle Windows-Desktop- und Windows-Server-Versionen sollten Admins sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind. Weiterhin haben die Entwickler noch mehrere Lücken geschlossen, über die Schadcode auf Systeme gelangen kann.

Anzeige

Die derzeit ausgenutzte Schwachstelle (CVE-2024-49138, Risiko "hoch") betrifft einer Warnmeldung zufolge verschiedene Windows-10- und Windows-11-Ausgaben. Windows Server ist in mehreren Versionen wie 2008 und 2022 bedroht. Sind Attacken erfolgreich, verschaffen sich Angreifer höhere Nutzerrechte.

In diesem Fall sind das Microsoft zufolge System-Rechte. In so einer Position können Angreifer in der Regel weitreichenden Schaden anrichten. Oft werden solche Attacken mit weiteren Lücken kombiniert, um dann etwa Schadcode auszuführen. Microsoft gibt derzeit nicht an, wie die Attacken ablaufen. Unklar bleibt auch, im welchem Umfang die Angriffe stattfinden.

Eine "kritische" Schadcode-Lücke (CVE-2024-49112) betrifft aktuelle Windows- und Windows-Server-Ausgaben. Sie steckt im Lightweight Directory Access Protocol (LDAP). Weiterführende Informationen zum Ablauf von Angriffen oder wie Admins bereits attackierte Computer erkennen können, sind bislang nicht verfügbar. Können Admins dieses Sicherheitsupdate nicht umgehend installieren, empfiehlt Microsoft, Domain Controller vom Internet zu trennen.

Ivanti hat Sicherheitsupdates für mehrere Produkte veröffentlicht. Die damit geschlossenen Schwachstellen stellen teils ein kritisches Risiko dar. Admins sollten die verfügbaren Aktualisierungen daher rasch anwenden.

Anzeige

Am schlimmsten hat es Ivantis Cloud Services Application (CSA) getroffen. Angreifer aus dem Netz können ohne vorherige Anmeldung die Authentifizierung an der Admin-Web-Console umgehen und so administrativen Zugang erhalten (CVE-2024-11639, CVSS 10.0, Risiko "kritisch"). Angemeldete Nutzer aus dem Netz können zudem beliebigen Code aufgrund einer Befehlsschmuggel-Lücke einschleusen (CVE-2024-11772, CVSS 9.1, kritisch) oder beliebige SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle absetzen (CVE-2024-11773, CVSS 9.1, kritisch). Ivanti CSA 5.0.3 korrigiert diese Fehler.

Auch in Ivanti Connect Secure (ICS) und Ivanti Policy Secure (IPS) klaffen kritische Sicherheitslücken. Angemeldete Nutzer aus dem Netz können Argumente in ICS und in der Folge beliebigen Code einschleusen (CVE-2024-11633, CVSS 9.1, kritisch) oder selbiges aufgrund einer Befehlsschmuggel-Schwachstelle erreichen (CVE-2024-11634, CVSS 9.1, kritisch). Die Updates auf ICS 22.7R2.4 und IPS 22.7R1.2 schließen diese und drei weitere, als hochriskant eingestufte Schwachstellen. Teils sind auch die Versionszweige 9.1Rx von den Lücken betroffen – hierfür stellt Ivanti jedoch keine Patches bereit, da der Support dafür zum 31. Dezember ausläuft.

Nur knapp an der Risikoeinstufung "kritisch" schrammt eine Lücke in Ivanti Sentry vorbei. Aufgrund unsicherer Rechtevergabe können lokale authentifizierte Nutzer "sensible App-Komponenten" verändern (CVE-2024-8540, CVSS 8.8, hoch). Die Versionen 10.1.0, 10.0.2 und 9.20.2 beheben die sicherheitsrelevanten Fehler. Weiterhin bessert Ivanti Desktop and Server Management (DSM) 2024.3.5740 eine Schwachstelle aus, die Angreifern das Löschen beliebiger Dateien erlaubt (CVE-2024-7572, CVSS 7.1, hoch). Eine gleichartige Sicherheitslücke im Ivanti Patch SDK (CVE-2024-10256, CVSS 7.1, hoch) stopfen die Versionen

Die zwanzigste Folge des heise-security-Podcasts steht an – wie schnell die Zeit vergeht. Doch mit Sentimentalitäten halten die Hosts sich nicht auf, denn es gilt, ein spannendes Thema zu bearbeiten. In der aktuellen Folge verschlägt es Sylvester und Christopher zwischen die Fronten des Cyberkriegs zwischen dem Sicherheitsunternehmen Sophos und mutmaßlich chinesischen Exploit-Entwicklern.

Anzeige

Sophos glaubte nach einer jahrelangen Recherche- und Verteidigungsaktion nämlich, APT-Akteure aus dem Reich der Mitte dingfest gemacht zu haben. Der Vorwurf: Die Angreifer nutzten die Security-Appliances des britischen Herstellers zur Entwicklung von Malware, darunter tückische Schadsoftware für die Firmware der Geräte. Und nach jahrelanger Nachforschung gingen die Briten zum Gegenangriff über: Sie verwanzten kurzerhand die eigenen Geräte und beobachteten so die Programmierer bei der Arbeit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung vor vermehrt auftretenden Brute-Force-Angriffen auf Citrix Netscaler Gateways veröffentlicht. Die IT-Sicherheitsbehörde hat demnach verstärkt Meldungen "aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern" erhalten.

Anzeige

Die Warnung des BSI datiert auf den Dienstag dieser Woche. Darin konkretisiert die Behörde: "Die aktuellen Angriffe heben sich aktuell lediglich in ihrer berichteten Menge von üblichen Angriffen dieser Art heraus." Bei den Brute-Force-Angriffen versuchen die Täter, sich mit schwachen, erratenen oder aus Sammlungen im Netz stammenden Zugangsdaten an den Diensten anzumelden. Nach erfolgreichen Angriffen verstetigen die bösartigen Akteure in der Regel den Zugriff etwa durch Einrichtung von Backdoors und versuchen, von dort aus weitere interne Systeme zu kompromittieren.

Zwar seien den aktuellen Berichten zufolge Citrix-Gateways Ziel der Angriffe. "Jedoch ist diese Cyber-Sicherheitswarnung für alle exponierten Systeme, insbesondere VPN-Gateways, relevant", ergänzt das BSI.

Da "Zugriffsversuche auf exponierte Systeme" ständig erfolgten, sie somit "ein normales "Hintergrundrauschen" im Internet" seien, gehöre der Schutz vor Brute-Force-Angriffen eine der notwendigsten Basis-Maßnahmen, erklärt das BSI im PDF-Dokument. Die Behörde beobachte jedoch, dass dieser Schutz in der Praxis teils vernachlässigt werde. "CERT-Bund erhält regelmäßig Kenntnis von Vollkompromittierungen, die in dieser Art des Angriffs Ihren Ursprung haben. Erfolgreiche Brute-Force-Angriffe sind für Angreifer ein typisches Einfallstor in interne Netze", erklärt die IT-Sicherheitsbehörde.