Comretix Blog

Ivanti hat Sicherheitsupdates für mehrere Produkte herausgegeben, die teils kritische Sicherheitslücken darin schließen. Administratorinnen und Administratoren sollten rasch handeln und die Aktualisierungen anwenden.

Anzeige

Am gravierendsten sind die Sicherheitslücken in der VPN- und NAC-Software von Ivanti, die die Entwickler in einer Sicherheitsmitteilung beschreiben. Sie betreffen Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC). Ein angemeldeter Angreifer aus dem Netz mit Admin-Zugang kann in Anfragen Argumente einschmuggeln und damit Schadcode einschleusen und ausführen (CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712; alle CVSS 9.1, Risiko "kritisch"). Zudem können sie das auch mit in Anfragen eingeschmuggelten Befehlen (CVE-2024-11007, CVE-2024-11006, CVE-2024-11005; alle CVSS 9.1, kritisch). Die Produkte sind von zahlreichen weiteren, als hohes Risiko eingestuften Schwachstellen betroffen.

Eine weitere Sicherheitsmitteilung von Ivanti listet Lücken im Endpoint Manager auf. Angreifer aus dem Netz können ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle zum Einschleusen von Schadcode missbrauchen (CVE-2024-50330, CVSS 9.8, kritisch). Außerdem können bösartige Akteure aus dem Netz ohne vorherige Anmeldung eine Path-Traversal-Lücke attackieren, was ebenfalls in der Ausführung von Code aus dem Netz führt. Hierfür ist jedoch eine Nutzerinteraktion nötig, was die Risikobewertung ganz knapp unter kritisch drückt (CVE-2024-50329, CVSS 8.8, hoch). Die aktualisierten Versionen schließen noch zahlreiche weitere, als hochriskant eingestufte Sicherheitslecks.

Für die Mobile-Device-Management-Software (MDM) Avalanche listet Ivanti fünf Sicherheitslücken mit einer Risikoeinschätzung als hoher Bedrohungsgrad auf. Sofern Angreifer die Lücken erfolgreich missbrauchen, können sie den Dienst für legitime Nutzer lahmlegen (Denial of Service) oder unbefugt auf sensible Informationen zugreifen. Das Problem löst Ivanti Avalanche in Version 6.4.6 oder neueren, die im Download-Portal unter der Wavelink-Domain verfügbar ist.

Hacker haben sich am Stromanbieter Tibber vergriffen und Daten geklaut. Das bestätigte das Unternehmen gegenüber heise security. Betroffen sind offenbar über 50.000 Kunden, allesamt aus Deutschland. Die Angreifer bieten ihre Beute im Darknet zum Kauf an.

Anzeige

Seit dem 11. November steht in einem populären Darknet-Forum ein Datensatz mit dem Titel "Tibber Data Breach - Leaked, Download" bereit. Einige Beispielzeilen enthalten Name, E-Mail-Adresse, Bestellbetrag und unvollständige Adressdaten.

Sie sind authentisch: Die Datensätze stammen aus einem Einbruch in den Tibber-Shop. Das gab das Unternehmen gegenüber heise security zu. In seinem Online-Laden verkauft Tibber Smart-Energy-Hardware wie den Strom-Tracker "Pulse". Ein Unternehmenssprecher betont jedoch, dass weder Zahlungs- noch Verbrauchsdaten abhanden gekommen seien, auch die genauen Adressen und Passwörter hätten die Hacker nicht erbeutet.

Der Umfang der gestohlenen Datensätze unterscheidet sich von der Darstellung der Hacker. Diese behaupten, 243.000 Datenzeilen aufgefunden zu haben, laut Tibber sind jedoch lediglich 50.000 Kunden betroffen. Die Diskrepanz könnte sich durch Mehrfachnennungen oder in mehrere Zeilen aufgeteilte Datensätze erklären.

Angreifer können Adobe After Effects, Audition, Bridge, Commerce, Illustrator, InDesign, Photoshop oder Substance 3D Painter ins Visier nehmen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen. Weiterführende Informationen zu den Sicherheitslücken und abgesicherten Versionen finden Admins in den unterhalb dieser Meldung verlinkten Warnhinweisen.

Anzeige

After Effects ist unter macOS und Windows angreifbar. Die Entwickler geben an, in den Ausgaben 24.6.3 und 25.0 sechs Sicherheitslücken geschlossen zu haben. Darunter sind mehrere Schwachstellen, über die Angreifer Schadcode auf PCs schieben und ausführen können (etwa CVE-2024-47441 "hoch"). Dafür müssen Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler (Out-of-bounds) auslösen.

Substance 3D Painter ist ebenfalls über mehrere Schadcode-Schwachstellen attackierbar. Hier schafft Ausgabe 10.1.1 für alle Plattformen Abhilfe. Illustrator ist in den Versionen 28.7.2 und 29.0.0 unter macOS und Windows gegen Schadcode-Attacken gerüstet.

Durch Lücken InDesign kann auch Schadcode auf Systeme gelangen und diese kompromittieren. Die Schwachstellen haben die Entwickler in den Ausgaben ID18.5.3, ID18.5.4 und ID20.0 geschlossen. Photoshop 2023 24.7.4 und Photoshop 25.12 sind auch gegen das Ausführen von Schadcode (CVE-2024-49514 "hoch") gerüstet.

Derzeit nutzen Angreifer zwei Sicherheitslücken in Windows aus. Weitere Sicherheitslücken sind öffentlich bekannt, sodass zusätzliche Attacken bevorstehen können. Admins sollten sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind.

Anzeige

Der Internet Explorer ist zwar Geschichte, die HTML-Rendering-Engine des Webbrowsers MSHTML ist aber nach wie vor in Windows aktiv. Darin klafft eine Schwachstelle (CVE-2024-43451, Risiko "mittel"), die Angreifer derzeit ausnutzen. Aus einer Warnmeldung von Microsoft geht aber nicht hervor, in welchem Umfang die Attacken ablaufen oder wie sie zu erkennen wären.

Im Zuge der Attacken schieben Angreifer Opfern präparierte Dateien unter. Bereits ein Klick auf diese Datei soll ausreichen, um den Angriff einzuleiten. Im Anschluss können Angreifer NTLMv2-Hashes erbeuten, mit denen sie sich dann an anderen Stellen authentifizieren können. Davon sind aktuelle und ältere Windows-Desktop- und Windows-Server-Versionen betroffen.

Die zweite ausgenutzte Schwachstelle (CVE-2024-49039, "hoch") betrifft den Windows Task Scheduler. Attacken sind einem Beitrag zufolge aber nur möglich, wenn Angreifer bereits authentifiziert sind, um eine präparierte Applikation zu starten. Ist das gegeben, kann der Angreifer aus einem AppContainer ausbrechen und Code mit unter Umständen erhöhten Rechten (Medium Integrity Level) ausführen.

Citrix hat Updates zum Schließen von Sicherheitslücken veröffentlicht. Für Angriffe verwundbar sind Citrix Netscaler ADC, Netscaler Gateway und Session Recording. Die US-amerikanische IT-Sicherheitsbehörde CISA geht davon aus, dass einige der Lücken Angreifern die Übernahme der Kontrolle von betroffenen Systemen ermöglichen.

Anzeige

In der Sicherheitsmitteilung von Citrix zu den Schwachstellen in Netscaler ADC und Netscaler Gateway erklären die Entwickler, dass es "zu Speicherschutzverletzungen kommen kann, die zu Speicherbeschädigungen und Denial-of-Service" führen können. Es sind also offenbar Zugriffe auf Speicher außerhalb vorgesehener Grenzen möglich. Konkrete Auswirkungen neben DoS nennt Citrix nicht, aber der Schweregrad legt nahe, dass dadurch Codeschmuggel möglich ist (CVE-2024-8534, CVSS 8.4, Risiko "hoch"). Zudem können authentifizierte Angreifer unbefugt auf Funktionen zugreifen, was offenbar mit einer KCDAccount-Konfiguration zusammenhängt, die auf Kerberos SSO zum Zugriff auf Backend-Ressourcen setzt (CVE-2024-8535, CVSS 5.8, mittel).

Zudem meldet Citrix Sicherheitslücken im Session Recording von Citrix Virtual Apps and Desktops. Angreifer können ihre Rechte zum NetworkService-Account ausweiten (CVE-2024-8068, CVSS 5.1, mittel) oder begrenzt Schadcode aus dem Netz mit diesen Rechten ausführen (CVE-2024-8069, CVSS 5.1, mittel). Die aktualisierten Software-Versionen sind in der Citrix-Meldung verlinkt.

Die Schwachstellen bessern die Versionen Netscaler ADC und Netscaler Gateway 14.1-29.72 und 13.1-55.34 sowie Netscaler ADC FIPS 13.1-37.207, 12.1-55.321 und 12.1-55.321 aus. Netscaler ADC und Netscaler Gateway 12.1 und 13.0 sind ebenfalls verwundbar, aber an ihrem End-of-Lifecycle angelangt und erhalten daher kein Update – Betroffene sollen ihre Appliances auf eine unterstützte Version aktualisieren. Die Cloud-Dienste von Citrix hat der Hersteller bereits gepatcht, hier müssen IT-Verantwortliche nicht weiter aktiv werden.

18 Folgen ist "Passwort" nun lang. Gibt es so was wie Episoden-Volljährigkeit? Jedenfalls nutzt der Podcast von heise security sein Erwachsenwerden prompt, um sich ins Darknet zu begeben. Konkret sehen sich die Hosts in dieser Episode das Tor-Netzwerk an. Ein Overlay-Netz, das die anonyme Nutzung von Internetdiensten ermöglicht und damit ein wichtiges Werkzeug für Dissidenten oder Journalisten darstellt – aber auch für Kriminelle aller Couleur und viele andere Betätigungsfelder.

Anzeige

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 4. bis 5. Dezember 2024 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Der Virenschutz von Gdata hat derzeit sporadisch Probleme beim Herunterladen von Antiviren-Updates. Der Hersteller bestätigt gegenüber heise online das Problem.

Anzeige

"Es hat im Verlaufe des gestrigen Tages bei uns einige Anfragen gegeben, in denen Kunden Verbindungsprobleme zu unseren Updateservern meldeten", erklärte uns eine Pressesprecherin des Unternehmens. Die bestätigten Probleme traten am Montag dieser Woche auf. Gdata habe die "eigene Infrastruktur auf Unregelmäßigkeiten geprüft, welche die geschilderten Probleme erklären könnten. Diese Prüfung förderte keinerlei Auffälligkeiten zutage".

"In einigen Fällen erhielten wir eine positive Rückmeldung auf den Rat, einmal den Router neu zu starten", ergänzte die Unternehmenssprecherin. Als Gemeinsamkeit der Kunden, die sich mit diesem Problem gemeldet haben, fand sich der Internet-Provider Telekom. Nach bisherigen Kenntnissen scheinen ausschließlich Telekom-Kunden von dem Problem betroffen zu sein.

Gdata erörterte weiter: "Wir konnten inzwischen diese Konstellation erfolgreich nachstellen und haben denselben Fehler gesehen (keine Verbindung auf Port 443 zum Update-Server). Bei einem erneuten Test funktionierte jedoch alles normal."

Neue Software-Versionen der Monitoring-Software Icinga, die als Fork aus dem Nagios-Projekt hervorging, stopfen eine kritische Sicherheitslücke. Aufgrund des Schweregrads haben die Entwickler sogar eine Vorankündigung der am heutigen Dienstag erscheinenden Updates veröffentlicht.

Anzeige

In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch"). Dadurch können Angreifer bösartig manipulierte Konfigurationen oder sogar auszuführende bösartige Befehle einschleusen, abhängig von den konfigurierten Optionen für den ApiListener. Temporäre Gegenmaßnahmen gibt es nicht, lediglich Zugriffsbeschränkungen des API-Ports mittels Firewall auf vertrauenswürdige Adressen verringere die Angriffsfläche etwas.

Das Changelog zu den neuen Versionen ist zum Meldungszeitpunkt noch nicht verfügbar. Ob die neuen Fassungen weitere Probleme ausbessern, ist daher unklar. Die Versionen 2.14.3, 2.13.10, 2.12.11 und 2.11.12 enthalten die Lücke demzufolge nicht mehr. Admins sollten sie umgehend installieren.

Zudem stellt das Icinga-Projekt aktualisierte Pakete für folgende Umgebungen bereit:

Die europäische Polizeibehörde Europol warnt aktuell davor, dass Netzwerke des organisierten Verbrechens zunehmend Minderjährige zur Ausübung krimineller Handlungen rekrutieren. Damit versuchen die Kriminellen, der Entdeckung, Gefangennahme und Verurteilung zu entgehen. Die Minderjährigen gehen sie etwa auf sozialen Medien an.

Anzeige

Grundsätzlich sei das Phänomen nicht neu, schreibt Europol in einer geheimdienstlichen Benachrichtigung. Minderjährige seien jüngsten Daten von Europol zufolge in mehr als 70 Prozent der kriminellen Märkte involviert. Die Märkte, die häufig Minderjährige ausbeuten, umfassen Cyberkriminalität und Online-Betrug, Drogenschmuggel und zugehörige Gewalt, Schleuserkriminalität und Eigentumsdelikte.

In den vergangenen Jahren habe sich dieser Trend auf mehr Länder ausgeweitet, schreibt Europol. Die Rekrutierungsmethoden würden weiterentwickelt und Minderjährige mit gewaltsamen Aufgaben wie Erpressung oder Tötung beauftragt.

Verschlüsselte Nachrichtendienste in sozialen Medien und anpassbare Privatsphäreneinstellungen ermöglichen die Erstellung anonymer Gruppen und Kanäle. Diese würden oft eingesetzt, um illegale Aktivitäten zu organisieren – mit minimalem Risiko der Entdeckung. Die Täter könnten Nachrichten zur Selbstzerstörung senden, Nachrichtenverläufe löschen und den Gruppenzugriff auf verifizierte Mitglieder beschränken. Das mache es schwierig, die Kommunikation zu überwachen, da Interaktionen ohne hinterbleibenden digitalen Fußabdruck möglich seien.

Im digitalen Untergrund stehen Daten von Angestellten großer und namhafter Unternehmen zum Kauf. Betroffen sind unter anderem Amazon, HP, HSBC, Lenovo und weitere.

Anzeige

In einem bekannten Untergrundforum stehen die Angestelltendaten namhafter Unternehmen zum Verkauf.

(Bild: Screenshot / cku)

Die Daten hat der User-Account "Nam3l3ss" am Wochenende im Breachforum eingestellt. Das hat das IT-Sicherheitsunternehmen Hudson Rock zuerst auf X gemeldet. Dort stießen die Beobachter der Malware-Szene von vx-underground auf die Datenveröffentlichung.

Fünf Sicherheitslücken gefährden Dell SmartFabric OS10. Im schlimmsten Fall können Angreifer Schadcode ausführen und Netzwerke kompromittieren.

Anzeige

Um dem entgegenzuwirken, haben die Entwickler die Lücken (CVE-2024-48837 "hoch", CVE-2024-48838 "niedrig", CVE-2024-49557 "hoch", CVE-2024-49558 "hoch", CVE-2024-49560 "hoch") in den Versionen 10.5.4.13, 10.5.5.12 und 10.5.6.6 des Netzwerkbetriebssystems geschlossen. Das geht aus einer Warnmeldung hervor.

Installieren Admins die Sicherheitsupdates nicht, können Angreifer die Schwachstellen ausnutzen und sich höhere Nutzerrechte aneignen oder sogar Schadcode ausführen. Dafür müssen sie der Beschreibung der Lücken zufolge aber bereits über niedrige Rechte verfügen und lokalen Zugriff haben. Die Entwickler führen zurzeit nicht aus, wie konkrete Angriffe ablaufen könnten.

Bislang warnt Dell nicht vor Attacken. Netzwerk-Admins sollten die Installation der Sicherheitsupdates aber nicht auf die lange Bank schieben.

SAP hat die Sicherheitsflicken zum November-Patchday veröffentlicht. Sie behandeln acht neu gemeldete Schwachstellen. Aktualisierungen gibt es zudem für zwei ältere Sicherheitsnotizen.

Anzeige

In der Patchday-Übersicht listet SAP die einzelnen Sicherheitsnotizen auf. Am schwersten wiegt eine Cross-Site-Scripting-Lücke im SAP Web Dispatcher. Angreifer können ohne vorherige Anmeldung einen bösartigen Link erstellen und veröffentlichen. Klickt ein Opfer darauf, kommen die darin übergebenen Daten in dessen Kontext zur Ausführung (CVE-2024-47590, CVSS 8.8, Risiko "hoch"). Die Einschätzung des Risikos durch die SAP-Entwickler verpasst also nur knapp den Schweregrad "kritisch". IT-Verantwortliche sollten zügig das hierfür bereitstehende Update anwenden.

Sechs weitere Sicherheitslücken in SAP-Produkten bedeuten für Betroffene ein mittleres Risiko. Eine weitere Schwachstelle ordnen die Walldorfer als niedrigen Bedrohungsgrad ein. Die beiden aktualisierten Sicherheitsnotizen betreffen zudem ein hohes Sicherheitsrisiko aufgrund fehlender Autorisierungsprüfung in SAP PDCE (am Juli-Patchday korrigiert) sowie ein niedriges Risiko bei einem gleichartigen Fehler in SAP Bank Account Management aus dem Mai.

Die einzelnen neuen Sicherheitsnotizen betreffen folgende Produkte:

Angreifer können Veeam Backup Enterprise Manager (VBEM) ins Visier nehmen und sich in Verbindungen einklinken. Ein Sicherheitspatch steht zum Download bereit.

Anzeige

Mit VBEM managen Admins die Backuplösung Backup & Replication (VBR) über eine Webkonsole. Die Managementlösung ist optional. Mit den folgenden Befehlen können Admins prüfen, ob VBEM auf ihren Systemen installiert ist:

Get-VBRServer | Out-Null
[Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List

Setzen Angreifer erfolgreich an der Schwachstelle (CVE-2024-40715 "hoch") an, können sie die Authentifizierung umgehen und Verbindungen als Man-in-the-Middle belauschen. Wie das im Detail ablaufen könnte, ist bislang nicht bekannt. In einer Warnmeldung verlinken die Entwickler die dagegen abgesicherte Version VBEM 12.2.0.334.

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München.

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Drei "kritische" Sicherheitslücken gefährden Netzwerke, in denen Admins Dell Enterprise SONiC nutzen. Angreifer können die Anmeldung umgehen und eigene Befehle ausführen. Aufgrund der Einstufung der Lücken ist nach einer erfolgreichen Attacke von einer vollständigen Kompromittierung von Systemen auszugehen.

Anzeige

Mit Dells Betriebssystems Software for Open Networking in the Cloud (SONiC) verwalten und managen Netzwerk-Admins unter anderem Switches. Die Software dient zur Konfiguration und Überwachung. Nun führt der Netzwerkausrüster in einem Beitrag drei Schwachstellen (CVE-2024-45763 "kritisch", CVE-2024-45764 "kritisch", CVE-2024-45765 "kritisch") auf und hat Sicherheitsupdates veröffentlicht. Dell warnt zurzeit nicht vor laufenden Attacken, rät Admins aber zu einem zügigen Update, um Netzwerke zu schützen.

Setzen Angreifer erfolgreich an den Lücken an, können sie die Authentifizierung umgehen. Dafür müssen sie aber aus der Ferne auf verwundbare Instanzen zugreifen können. Weil bestimmte Eingaben nicht ausreichend bereinigt werden, können Angreifer mit hohen Nutzerrechten und Zugriff auf Enterprise SONiC eigene Befehle ausführen. Wie solche Attacken im Detail ablaufen könnten, ist derzeit nicht bekannt. Unklar bleibt bislang auch, wie Admins bereits erfolgte Angriffe erkennen können.

Um Systeme gegen mögliche Attacken zu rüsten, müssen Admins Dell Enterprise SONiC Distribution 4.1.6 oder 4.2.2 installieren. Alle vorigen Ausgaben sollen bedroht sein. Eine Übergangslösung, um Systeme temporär zu schützen, gibt es derzeit nicht, sodass Admins die Patches zügig installieren müssen. Zwei der Lücken haben Sicherheitsforscher von QI-ANXIN entdeckt und an Dell gemeldet.