Comretix Blog

Ubiquiti warnt vor einer Sicherheitslücke im selbst gehosteten Unifi Network Server des Unternehmens. Das darin klaffende Sicherheitsleck ermöglicht Angreifern das Ausweiten ihrer Rechte und gilt dem Hersteller als schwerwiegende Schwachstelle.

Anzeige

Unter dem Namen Unifi bietet Ubiquiti Router, Switches, WLAN-Access-Points sowie Überwachungskameras oder "smarte" Türklingeln an. Diese lassen sich mit Admin-Oberflächen verwalten, die entweder in der Cloud beim Hersteller oder auf einem Unifi Network Server liegen, der On-Premises gehostet wird.

Ohne genauere Details zur Schwachstelle zu nennen, beschreibt Ubiquiti die Lücke folgendermaßen: Eine lokale Rechteausweitungslücke in selbst gehosteten Unifi Network Servern (Version 8.4.62 und ältere) ermöglicht bösartigen Akteuren mit lokalem Betriebssystem-Nutzerkonto, Aktionen mit hohen Privilegien auf dem Unifi Network Server auszuführen (CVE-2024-42028, CVSS 8.8, Risiko "hoch"). Um die Schwachstelle auszunutzen, scheinen aufgrund der hohen Risikobewertung keine größeren Klimmzüge nötig zu sein. Wie Admins einen erfolgreichen Missbrauch der Lücke erkennen können, erwähnen Ubiquitis Entwickler jedoch nicht.

Die Sicherheitslücke schrammt nur knapp an der höchsten Risikostufe "kritisch" vorbei. IT-Verantwortliche mit selbst gehosteten Unifi-Network-Servern sollten daher die bereitstehende Aktualisierung zügig herunterladen und installieren. Die zugrundeliegenden Fehler korrigiert die Unifi Network Application in Version 8.5.6 oder neuer.

Um Kriminalität im Netz besser bekämpfen zu können, hält das Land Baden-Württemberg Ausschau nach mehr Experten. "Mit dem Cybercrime-Zentrum Baden-Württemberg konnten wir in den letzten Monaten bedeutende Erfolge bei der Bekämpfung komplexer Cyberkriminalität erzielen", betonte Justizministerin Marion Gentges (CDU).

Anzeige

Solche Erfolge seien nur möglich mit einer hohen fachlichen Kompetenz und außerordentlichem Engagement. Dem Ministerium zufolge wurde der IT-Bereich in dem neuen Zentrum deshalb kontinuierlich verstärkt. Doch die Gewinnung von IT-Personal sei angesichts des Wettbewerbs um qualifizierte Arbeitskräfte "besonders herausfordernd".

Das Cybercrime-Zentrum bei der Generalstaatsanwaltschaft Karlsruhe ging Anfang des Jahres an den Start. Es ist landesweit zuständig für besonders anspruchsvolle Verfahren der Cyberkriminalität, also von Straftaten, die sich gegen informationstechnische Systeme richten oder mit Computer- und Informationstechnik durchgeführt werden. An der Spitze des Zentrums steht die Leitende Oberstaatsanwältin Tomke Beddies.

Für das Zentrum sind 50,5 neue Stellen vorgesehen. Zum 1. Dezember dieses Jahres sind laut Ministerium 33 Personen dort tätig, darunter 16 Staatsanwälte und zwei IT-Referenten. Mit dem Cybercrime-Zentrum will das Land hochprofessionell agierenden Tätern geballte Kompetenz entgegensetzen.

Softwareentwickler, die mit Spring Framework arbeiten, sollten die Entwicklungsumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls können Angreifer an zwei Sicherheitslücken ansetzen und Systeme attackieren.

Anzeige

In einer Warnmeldung führen die Entwickler zwei Sicherheitslücken (CVE-2024-38819 "hoch", CVE-2024-38820 "mittel") auf. Sie geben an, die Schwachstellen in der Ausgabe 6.1.14 geschlossen zu haben. Der Support für Spring Framework 5.3.x und 6.0.x ist einem Supportbeitrag zufolge im August dieses Jahres ausgelaufen. Die kommerziellen Releases 5.3.41 und 6.0.25 sollen den Fix aber enthalten.

Spring Boot ist in den Versionen 2.7.22.2, 3.0.17.2 und 3.1.13.2 abgesichert.

Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.

Eine "kritische" Sicherheitslücke in Grafana gefährdet Systeme. Admins sollten zügig eine der abgesicherten Versionen installieren.

Anzeige

Grafana ist eine plattformübergreifende Open-Source-Anwendung, die Daten aus verschiedenen Quellen wie MySQL oder Prometheus zusammenträgt und visualisiert. Nun können Angreifer eine Schwachstelle (CVE-2024-9264) ausnutzen, um Computer zu attackieren. Klappt so eine Attacke, haben Angreifer den Grafana-Entwicklern zufolge Zugriff auf alle Dateien eines Host-PCs. Darunter können auch unverschlüsselte Passwörter sein, die Angreifer für eine weitere Ausbreitung (Network Lateral Movement) gebrauchen können.

In einer Warnmeldung geben die Entwickler an, dass davon ausschließlich die Versionszweige 11.0.x, 11.1.x und 11.2.x betroffen sind. Grafana 10.x ist von der Lücke nicht bedroht. Aufgrund von unzureichenden Überprüfungen können Angreifer im Kontext des SQL-Expressions-Experimental-Features über duckdb-Anfragen eigene Befehle einschleusen und ausführen. Wie so eine Attacke konkret im Detail ablaufen könnte, ist derzeit nicht bekannt.

Die Entwickler versichern, die Schwachstelle in den folgenden Versionen geschlossen zu haben:

Cisco hat aktuell laufende Untersuchungen zu einem IT-Sicherheitsvorfall vorangetrieben und nun eine Attacke bestätigt. Dabei sollen Angreifer Zugriff auf nicht für die Öffentlichkeit bestimmte Daten gehabt haben.

Anzeige

Das geht aus einem aktualisierten Statement zum Vorfall hervor. Erst vor wenigen Tagen sorgte der Verkauf von angeblich bei einem Hack des Netzwerkausrüsters kopierter Daten für Schlagzeilen. Darunter sollen sich unter anderem API Tokens, Geschäftsdokumente und private Schlüssel befinden. Zu diesem Zeitpunkt prüfte Cisco den Vorfall noch.

Nun bestätigt das Unternehmen, dass Angreifer sich Zugriff auf eine DevHub-Umgebung verschaffen konnten. Mittlerweile wurde die Instanz offline genommen. Wie der Zugriff vonstattengeht, bleibt unklar. Die Umgebung war dem Statement zufolge öffentlich zugänglich und enthielt für Kunden unter anderem Softwarecode und Skripte. Bei dem Sicherheitsvorfall seien aber auch Daten geleakt, die nicht für den öffentlichen Download vorgesehen seien. Darunter sollen sich aber keine Finanzdaten befinden, führt Cisco aus.

Die Untersuchungen dauern noch an und der Netzwerkausrüster gibt an, proaktiv auf betroffene Kunden zuzugehen.

Sicherheitslücken in Virenschutz-Software von Bitdefender und Trend Micro gefährden Systeme. Admins sollten die verfügbaren Sicherheitsupdates zeitnah installieren, um Attacken vorzubeugen.

Anzeige

Weil es bei Bitdefender Total Security in der HTTPS-Scanfunktion zu Problemen bei der Zertifikatsüberprüfung kommt, können sich Angreifer als Man-in-the-Middle in Verbindungen einklinken und so den Datenverkehr zwischen einem Opfer und einer Website belauschen.

Im Supportbereich der Bitdefender-Website geben die Entwickler an, in diesem Kontext insgesamt fünf Sicherheitslücken (CVE-2023-49567, CVE-2023-49570, CVE-2023-6055, CVE-2023-6056, CVE-2023-6057) mit dem Bedrohungsgrad "hoch" geschlossen zu haben. Damit so eine Attacke klappt, können Angreifer etwa über Hashkollsionen (MD5 und SHA1) Zertifikate erzeugen, die als legitim durchgewunken werden.

Die Sicherheitsprobleme sollen in der sich automatisch installierenden Total-Security-Version 27.0.25.11 gelöst sein. Ob es bereits Attacken gibt und an welchen Parametern Admins bereits attackierte Computer erkennen können, führen die Entwickler derzeit nicht aus. Unklar bleibt auch, welche Betriebssysteme von der Sicherheitsproblematik betroffen sind.

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

20 Zeichen sind sie lang und fallen durch zweisilbige Wörter und den gleichförmigen Gebrauch von Bindestrichen auf: In einem Blogpost gewährt der Leiter der Softwareentwicklung in Apples Team für die Authentication Experience, Ricky Mondello, einen Einblick, wie genau diese auf Wunsch des Nutzers generierten Passwörter zustande kommen und was Apple sich dabei gedacht hat. Mit iOS 18, iPadOS 18 und macOS Sequoia liefert Apple die Passwörter-Funktion erstmals als eigenständige System-App aus.

Anzeige

Zunächst einmal bestätigt Mondello, dass tatsächlich konsequent auf zweisilbige Wörter gesetzt werde. Bei der Entscheidung hierfür hatten die Apple-Entwickler im Sinn, dass Nutzer mitunter ihre Passwörter auch auf ungewohnten Tastaturen und ohne Zuhilfenahme der Autofill-Funktion eingeben müssen. Das Silben-Prinzip, gepaart mit einem Muster aus Konsonant-Vokal-Konsonant-Abfolge, erleichtere es, sich die Passwortbestandteile zu merken, etwa beim Ablesen aus der Passwörter-App und gleichzeitiger Eingabe auf einem Gerät.

Aus diesem Grunde dominiere bei den Passwörtern auch die Kleinschreibung, erklärte er bereits im Jahr 2018 auf einer Sicherheitskonferenz in Stockholm. Das erleichtere es, Passwörter zum Beispiel mit Game-Controllern einzugeben, bei denen das Umschalten zwischen Klein- und Großschreibung nicht so einfach ist.

Beim Plaudern aus dem Passwort-Nähkästchen verriet Mondello auch, dass Apple nicht alle möglichen Zeichen als Konsonanten betrachtet, sondern genau 19 Zeichen als solche festgelegt hat. Als Vokale werden sechs Zeichen betrachtet, die nach dem Zufallsprinzip ausgewählt werden. Um vorzubeugen, dass bei den Fantasiebegriffen mal etwas Unanständiges herauskommt, findet ein Abgleich mit einem internen Wörterbuch statt, wodurch fragwürdige Wörter aussortiert werden.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Unter bestimmten Voraussetzungen können Angreifer über mit Kubernetes erzeugte VM-Images via SSH als Root-Nutzer auf Systeme zugreifen. In so einer Position können Angreifer im Grunde alles anstellen und Computer vollständig kompromittieren. Ein Sicherheitspatch ist verfügbar, er repariert aber nicht bereits eingesetzte VM-Images.

Anzeige

Mit Google Kubernetes-System verwaltet man Container-Anwendungen. Nun warnen die Entwickler in einem Beitrag vor zwei Sicherheitslücken im Kubernetes Image Builder. Nutzt man zum Anlegen von VM-Images Nutanix oder Proxmox, weisen die Images statische Zugangsdaten auf, sodass Angreifer via SSH auf Systeme zugreifen können.

Weil diese Log-in-Daten im Fall von Proxmox direkt mit dem Image verwoben sind, gilt die Lücke (CVE-2024-9486) als "kritisch". Mit Nutanix müssten Angreifer bereits im Build-Prozess manipulierend eingreifen, sodass die Hürde für eine Attacke höher ist. Dementsprechend ist die Schwachstelle (CVE-2024-9594) mit "mittel" eingestuft.

In der Warnmeldung führen die Entwickler aus, wie man betroffene Images erkennt und mit welchem Builder diese erstellt wurden.

Der zweitägige Online-Workshop Windows 11 im Unternehmen absichern zeigt, wie Sie die Betriebssysteme Windows 11 Pro und Enterprise sicher im Unternehmensnetz betreiben. Dabei werden sowohl klassische On-Premise-Installationen von Windows 11 als auch hybride Modelle in Kombination mit Entra ID und Microsoft Endpoint Manager (Intune) berücksichtigt.

Anzeige

Anhand praktischer Demonstrationen typischer Bedrohungsszenarien lernen Sie Schwachstellen und die typischen Werkzeuge von Angreifern kennen und stellen diesen konkrete Härtungs- und Schutzmaßnahmen gegenüber. Microsoft bietet hierfür sinnvolle Sicherheitsfunktionen an, die jedoch nicht automatisch aktiv sind, sondern erst konfiguriert werden müssen. In diesem Workshop lernen Sie, wie Sie die Sicherheitsmechanismen und -tools einsetzen, um Ihre Systeme abzusichern. Dieser Workshop bietet viel Raum für Fragen und Austausch.

Referent Christian Biehler ist Experte für Informationsmanagement und IT-Sicherheit. Seine Themenschwerpunkte sind die Sicherheit von Netzwerken und Anwendungen sowohl in klassischen On-Premise-Umgebungen als auch im hybriden Windows-Umfeld.

Bei dem Anbieter brillen.de ist es offenbar zu einem größeren Datenleck gekommen. Daten von mehr als 3,5 Millionen europäischen Kunden, vorrangig aus Deutschland, Österreich und Spanien, standen offenbar frei zugänglich im Netz.

Anzeige

Das Medium Cybernews hat demnach bereits am 8. August eine Elasticsearch-Instanz von brillen.de gefunden, die keine Authentifizierung verwendet hat. Es handelte sich offenbar um einen Cluster, um größere Datenmengen zu verarbeiten. Darauf lagerten demnach 2.464.579 Datensätze aus Deutschland, 961.000 aus Spanien und 90.000 österreichischen Ursprungs.

Auf dem Elasticsearch-Cluster fanden sich den Angaben zufolge die Namen, Anschrift, E-Mail, Mobilnummer, Geschlecht, Geburtsdatum sowie detaillierte Bestellinformationen wie Rechnungsbetrag, -Datum und -Nummern der Unternehmenskunden. Nachdem die IT-Forscher den Vorfall an brillen.de gemeldet hatten, ging der Cluster am 10. August ohne weitere Reaktion seitens des Unternehmens offline.

Wie lange die Daten offen im Netz standen, ist bislang unklar. Wenn etwa Suchmaschinen auf die offenen Datenbanken stoßen, indizieren sie die Daten – diese seien dann für jeden im Netz verfügbar, gibt Cybernews zu bedenken. Cyberkriminelle suchen zudem ebenfalls ständig nach Datenbanken mit Benutzerdaten, die sich lukrativ im digitalen Untergrund verkaufen oder direkt für Identitätsdiebstahl oder gezieltes Phishing missbrauchen lassen.

Das Bundeswirtschaftsministerium (BMWK) hat ein Maßnahmenpaket für die Windindustrie vorgestellt, mit dem die IT-Sicherheit von Windkraftanlagen und auch die Wettbewerbsbedingungen in Deutschland und Europa verbessert werden sollen. Der Bundesverband Windenergie (BWE) begrüßt das Paket, es müsse nun schnell umgesetzt werden.

Anzeige

"Die Vorgabe, dass Cybersicherheitsanforderungen für alle Unternehmen gelten sollen, die eine faktische Steuerungs- und Zugriffsmöglichkeit auf eine Stromerzeugungsanlage haben, muss nun zügig gesetzlich definiert werden", unterstrich BWE-Präsidentin Bärbel Heidebroek. Ihr Verband hatte gefordert, gesetzlich zu fixieren, dass auf Energieanlagen grundsätzlich nur aus Staaten der EU zugegriffen werden dürfe. Daten und systemrelevante Informationen sollten nur innerhalb der EU gespeichert und verarbeitet werden dürfen.

Hierzu heißt es in dem Maßnahmenpaket, das BMWK und die Industrie würden eng miteinander abgestimmt umsetzbare und effektive Sicherheitsanforderungen entwickeln. Das Ministerium wolle sich dafür einsetzen, dass kritische IT-Komponenten möglichst kurzfristig auch im Energiebereich geprüft werden können. Derlei solle bereits in laufenden Gesetzgebungsvorhaben umgesetzt werden.

Der Wettbewerb auf dem Windenergie-Markt solle verbessert werden, indem beispielsweise Handelsschutzinstrumente wie Antidumping und Antisubvention konsequent eingesetzt werden. Hierbei verweist das BMWK unkonkret auf Ermittlungen zur "Foreign Subsidies Regulation", die seit gut einem Jahr möglich sind. Eine solche Untersuchung hatte EU-Kommissions-Vizepräsidentin Margrethe Vestager zu chinesischen Lieferanten von Windkraft-Turbinen für Bulgarien, Frankreich, Griechenland, Rumänien und Spanien im April dieses Jahres angekündigt.

Oracles Critical Patch Update für Oktober ist da. Der Softwarehersteller veröffentlicht Sicherheitspatches gesammelt pro Quartal. Die Entwickler haben unter anderem in Banking Cash Management, E-Business Suite und VM VirtualBox gefährliche Schwachstellen geschlossen.

Anzeige

Admins sollten die umfangreiche Liste mit betroffener Software studieren, um die für sie notwendigen Patches ausfindig zu machen und diese zügig zu installieren. In der Liste gibt es keine konkreten Hinweise auf bereits laufende Attacken. Dennoch sollten Admin schnell handeln. Außerdem sollten sie sicherstellen, dass auch die Patches aus vergangenen Quartalsupdates installiert sind. Den Großteil der Lücken haben externe Sicherheitsforscher entdeckt und an Oracle gemeldet.

Kritische Sicherheitslücken betreffen unter anderem Commerce Guided Search (CVE-2022-46337), Communications Unified Assurance (CVE-2024-45492) und Outside In Technology (CVE-2024-21216). An diesen Stellen können entfernte Angreifer ohne Authentifizierung unter anderem Schadcode ausführen. Wie das im Detail ablaufen könnte, führt Oracle derzeit nicht aus.

Viele Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. In einigen dieser Fälle kann ebenfalls Schadcode auf Systeme gelangen und Computer kompromittieren. Davon sind etwa Applications Manager, Banking Cash Management und Communications Cloud Native Core Policy betroffen.

Microsoft hat IT-Sicherheit an erste Stelle gesetzt, nachdem es in jüngerer Vergangenheit zu großen Unfällen in dem Bereich kam. Anfang bis Mitte September gab es erneut einen Sicherheitszwischenfall: Protokolldaten sind den Redmondern verloren gegangen, die für IT-Sicherheitsprüfungen eigentlich wichtig wären. Den Fehler sind die IT-Spezialisten von Microsoft angegangen, er soll sich nicht mehr auswirken.

Anzeige

Eine Analyse hat Microsoft im Microsoft-365-Message-Center veröffentlicht (hier findet sich eine Kopie im öffentlichen Netz davon). Die kurze Zusammenfassung des Problems lautet: "Teilweise unvollständige Protokolldaten aufgrund Problemen mit dem Monitoring Agent". Am 2. September hat ein Fehler in Microsofts internen Monitoring-Agents zur Fehlfunktion einiger Agents beim Hochladen von Protokolldaten zur internen Logging-Plattform, erörtert Microsoft. Das habe zu teilweise unvollständigen Protokolldateien für betroffene Microsoft-Dienste geführt.

Microsoft betont, dass das Problem die Uptime keiner Systeme oder Ressourcen betroffen habe, die Kunden nutzten. Ausschließlich die Log-Sammlung sei betroffen gewesen, und das stünde auch in keinem Zusammenhang zu etwaigen IT-Sicherheitskompomittierungen. Am 5. September sei das Problem schließlich aufgefallen. Nach der Untersuchung der Fehler hat Microsoft temporäre Gegenmaßnahmen eingeführt. Die Agents und Server wurden regelmäßig neu gestartet, um den Logging-Prozess ebenfalls neu anzustoßen. Als Ergebnis seien erheblich vollständigere Protokolldaten gesammelt worden. Einige Kunden haben dadurch jedoch erhöhte Latenzen oder Verzögerungen spüren können.

Ursache war eine Änderung, die eine Begrenzung im Logging-Dienst ändern sollte. Die führte aber dazu, dass Deadlocks aufgetreten sind, wenn Agents angewiesen wurden, den Telemetrie-Upload-Endpunkt in schneller Folge zu ändern, während eine Übertragung zum initialen Endpunkt noch auf dem Weg war. Dies führte zu einem allmählichen Deadlock in der Dispatching-Komponente, der den Agent schließlich hinderte, Telemetriedaten hochzuladen. Das habe lediglich den Agent betroffen, andere Komponenten liefen korrekt weiter, darunter auch das Sammeln und Ablegen von Daten in den lokalen dauerhaften Cache. Ein Neustart des Agents oder Betriebssystems löst diesen Deadlock und der Agent überträgt die Daten aus dem lokalen Cache beim Start. In einigen Fällen waren die protokollierten Daten jedoch größer als der Cache, wodurch die ältesten Daten überschrieben wurden. Die überschriebenen Daten sind nicht wiederherstellbar.

Geräte wie Router, Drucker und Kameras haben eine permanente Netzwerk-Anbindung und strotzen oft nur so von trivial auszunutzenden Sicherheitslücken. Patches gibt es nicht und wenn doch, dann finden sie nur selten ihren Weg auf die bereits aktiven Geräte. Das macht sie zum idealen Einfallstor oder Brückenkopf für Cybercrime. Andererseits bieten die smarten Geräte so vielfältigen Nutzen, dass sie längst zum Alltag gehören. Damit bleibt es an Admins und Sicherheitsverantwortlichen, die davon ausgehende Gefahr irgendwie in den Griff zu bekommen.

Anzeige

Dieses halbtägige heise security XXL Webinar vermittelt nicht nur das dafür nötige Wissen; die Referenten geben auch ganz konkrete, praxistaugliche Tipps und Anleitungen, wie Sie mit der Gefahr durch IoT-Geräte sinnvoll umgehen. Dabei schöpfen die beiden Referenten Dennis Heinze und Frieder Steinmetz aus ihrem Fundus langjähriger Erfahrung im Bereich Pen-Testing und IoT-Hacking.

Das Webinar zeigt die typischen Schwachstellen auf und gibt praktische Tipps, wie Sie auch ohne ausgiebiges Pen-Testing das von einem Gerät ausgehende Gefahren-Potenzial quantifizieren können. Das mündet in eine Check-Liste für das Evaluieren existierender oder demnächst anzuschaffender Geräte. Und schlussendlich stellen die Referenten die nötigen Konzepte und Architekturen vor, die einen verantwortungsbewussten Betrieb potenziell unsicherer Geräte ermöglichen und geben praxistaugliche Empfehlungen für den Umgang mit Altlasten.

Das XXL Webinar findet statt am 30. Oktober 2024 und dauert circa drei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet regulär 295 Euro. Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

Unter anderem VoIP-Adapter von Cisco sind verwundbar. Nun hat der Netzwerkausrüster Sicherheitspatches veröffentlicht.

Anzeige

Am gefährlichsten gelten acht Schwachstellen (unter anderem CVE-2024-20420 "mittel", CVE-2024-20421 "hoch", CVE-2024-20459 "mittel") in VoIP-Adaptern der ATA-190-Serie (ATA 191 Multiplatform oder on-premise, ATA 192 Multiplatform).

Diese machen aus analogen Telefonen VoIP-Geräte. Der Warnmeldung zufolge können entfernte Angreifer im schlimmsten Fall eigene Kommandos als Root ausführen. Schuld daran ist eine unzureichende Überprüfung von Eingaben im Web-Management-Interface. Außerdem können Angreifer noch unter anderem Passwörter einsehen und auf Geräten einen Neustart auslösen. Dagegen sind die Softwareversionen 11.2.5 und 12.0.2 gerüstet.

Aufgrund einer Lücke (CVE-2024-20280 "mittel") in der Backupfunktion von UCS Central können Angreifer auf eigentlich nicht einsehbare Informationen zugreifen. Schuld daran ist eine Schwäche in der Verschlüsselung der Backupfunktion. UCS Central 2.0(1v) ist gegen so eine Attacke abgesichert. Alle vorigen Ausgaben sollen verwundbar sein.

In den F5 BIG-IP-Appliances können Angreifer eine Schwachstelle ausnutzen, um ihre Rechte auszuweiten und die Konfiguration zu manipulieren. Dies könne das BIG-IP-System kompromittieren, warnt der Hersteller.

Anzeige

In der zugehörigen Sicherheitsmitteilung schreiben F5-Entwickler, dass "diese Schwachstelle authentifizierten Angreifern mit Rechten der Manager-Rolle oder höheren und Zugriff auf das Konfigurationswerkzeug oder der TMOS Shell (tmsh) ermöglicht, ihre Rechte auszuweiten und das BIG-IP-System zu kompromittieren" (CVE-2024-45844, CVSS 8.6, Risiko "hoch"). Bei der Schwachstelle handelt es sich demnach um eine fehlende Authentifizierung für eine kritische Funktion (CWE-306).

Verwundbar sind den F5-Entwicklern zufolge demnach F5 BIG-IP in den Versionen 15.1.0 bis 15.1.10, 16.1.0 bis 16.1.4 und 17.1.0 bis 17.1.1. Die betroffene Komponente respektive Funktion "Monitors" enthält die Sicherheitsfixes in F5 BIG-IP 15.1.10.5, 16.1.5 sowie 17.1.1.4. Das Unternehmen weist darauf hin, dass es lediglich Software untersucht, die noch nicht am Ende des technischen Supports angelangt ist. Ältere Software-Stände sollten daher zunächst auf noch unterstützte Fassungen aktualisiert werden.

F5 listet außerdem als nicht betroffene Produkte BIG-IP Next (all modules), BIG-IP Next Central Manager sowie BIG-IP Next SPK und CNF auf. Dazu gehören ebenfalls BIG-IQ Centralized Management, F5 Distributed Cloud, F5 Silverline, NGINX One Console, F5OS-A, F5OS-C, NGINX und schließlich Traffix SDC.