Comretix Blog

Lenovo warnt aktuell vor Sicherheitslücken in der Firmware von Server-Enclosures. Außerdem betreffen Sicherheitslücken in Bootloadern die Recovery-Partition alter Lenovo-PCs.

Anzeige

Gleich vier Schwachstellen weisen laut Lenovos Sicherheitsmitteilung Server-Enclosures. eine Art von Barebones, aus dem Hause auf. Sie betreffen die System-Management-Module SMM und SMM2 sowie den Fan Power Controller (FPC) der Maschinen. Eine Format-String-Sicherheitslücke ermöglicht authentifizierten Nutzern, beliebige Befehle auf einem bestimmten, nicht genannten API-Endpunkt auszuführen (CVE-2023-4856, CVSS 8.8, Risiko "hoch"). Außerdem können authentifizierte bösartige Nutzer eine Authentifizierung umgehen und bestimmte IPMI-Aufrufe ausführen, die Systeminformationen preisgeben (CVE-2023-4857, CVSS 7.5, hoch).

Nutzer und Nutzerinnen mit erhöhten Rechten können zudem unbefugt Befehle über IPMI ausführen (CVE-2023-4855, CVSS 7.2, hoch). Weiterhin können Angreifer mit erhöhten Rechten bei bestimmten administrativen Funktionen Systembefehle ausführen (CVE-2024-2659, CVSS 7.2, hoch).

Betroffen sind Produkte aus der "System x"-Baureihe, im Speziellen n1200 Enclosure (NeXtScale) sowie n1200 water-cooled Enclosure (NeXtScale) und aus der "ThinkAgile"-Reihe die Modelle CP-CB-10 und CP-CB-10E, HX Enclosure Certified Node (ThinkAgile) sowie VX Enclosure (ThinkAgile). Zudem weisen aus der "ThinkSystem"-Baureihe D2 Enclosure, DA240 Enclosure und DW612 Enclosure die Sicherheitslecks auf. Die Software für die Fan Power Controller ist ab Version FHET62A-3.50 fehlerbereinigt, für die Lenovo System Management Module Firmware v1.24 steht Fassung TESM40B-1.27 oder neuer bereit. Zudem korrigiert für die Lenovo System Management Module 2 Firmware v1.05 der Softwarestand UMSM12I-1.1.3 oder neuer die Lücken. Sie lassen sich unter "Drivers & Software" nach Eingabe des Produkts in der Suche auf der Lenovo-Support-Webseite herunterladen.

Angreifer hätten an einer kritische Sicherheitslücke in der PAM-Lösung Delinea Secret Server ansetzen können. Nach erfolgreichen Attacken hätten sie sich zum Admin hochstufen können. In so einer Position sind in Firmen in der Regel weitreichende Netzwerkzugriffe möglich.

Anzeige

In einem Beitrag führen die Entwickler aus, die Schwachstelle in der On-Premises-Version 11.7.000001 geschlossen zu haben. Alle vorigen Ausgaben seien bedroht. Nutzer der Cloud-Version müssen nichts unternehmen, da Delinea diese bereits serverseitig abgesichert hat.

Für die Lücke wurde bislang keine CVE-Nummer vergeben. Sie betrifft die SOAP-API. Die REST-API sei davon nicht betroffen. Unter anderem aufgrund eines hartcodierten Schlüssels war die Authentifizierung umgehbar. Der Anbieter versichert, dass sie bislang keine Anzeichen für Attacken entdeckt haben.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Nachdem ein Bielefelder Kinderwunsch-Zentrum am 4. April Opfer eines Ransomware-Angriffs geworden ist, gibt es jetzt Entwarnung. Es sind keine Daten abgeflossen, sagt der Sicherheitsexperte Björn Hagedorn vom IT-Systemhaus hoSysteme GmbH im Auftrag des Zentrums gegenüber heise online. Derzeit arbeiten die Sicherheitsexperten an der Wiederherstellung der Systeme und zusätzlichen Sicherheitsmaßnahmen zum Schutz vor weiteren Angriffen. Eine Arbeit im Notbetrieb ist laut Hagedorn wieder möglich. Die Ermittlungen sind noch im vollen Gange, die zuständige Datenschutzbehörde ist ebenfalls informiert.

Anzeige

Der Angriff gelangte mithilfe eines Trojaners, der laut Hagedorn ein Terminal infiziert hatte – wahrscheinlich aufgrund der "Schwachstelle Mensch". Geistesgegenwärtig habe ein im Kinderwunsch-Zentrum anwesender ITler noch den Netzwerkstecker des infizierten Rechners gezogen, "dadurch konnte das schlimmste verhindert werden", sagte Hagedorn. So wurde verhindert, dass sich die Ransomware weiter ausbreitete. Verschlüsselt wurden demnach der Terminalserver, der Domain Controller und der Fileserver, aber auch vereinzelte Computer.

Die Daten der 80.000 Kunden seien aufgrund des schnellen Eingreifens nicht abgeflossen, versichert Hagedorn. Die hohe sechsstellige Summe, die die Ransomware-Gruppierung fordert, werde nicht gezahlt. Stattdessen werden alle Systeme neu aufgesetzt. Das Unternehmen sensibilisiert seine Kunden aufgrund des Bekanntwerdens des Vorfalls dennoch für mögliche Phishing-Versuche.

Derweil sind fünf Gemeinden in der Nähe des Flusses Loire an der Westküste Frankreichs von einem "großangelegten Cyberangriff" auf ihre gemeinsamen Computerserver betroffen. Die Mitarbeiter können derzeit nur eingeschränkt arbeiten und nicht auf Dokumente zuzugreifen. Zu den betroffenen Gemeinden zählen Saint-Nazaire, Montoir-de-Bretagne, Donges, La Chapelle-des-Marais und Pornichet, die zusammen eine Bevölkerung von etwa 100.000 Einwohnern haben.

Einen Online-Marktplatz, auf dem insbesondere Dienste zur Umgehung von Virenschutz angeboten wurden, hat das BKA am Dienstag dieser Woche vom Netz genommen. Die Strafverfolger haben in diesem Rahmen die Wohnung des mutmaßlichen Betreibers in Speyer (Rheinland-Pfalz) durchsucht. Dabei haben sie zahlreiche Beweismittel sichergestellt, die Rede ist von mehreren PCs und Laptops, Datenträgern und Mobiltelefonen.

Anzeige

Wer den kriminellen Online-Marktplatz aufsucht, erhält nun eine Meldung über die Beschlagnahmung der Seite.

(Bild: Screenshot)

Das BKA schreibt in einer Mitteilung, dass es auf der Plattform "AegisTools.pw" vorrangig um Dienste ging, um der Erkennung durch Antivirenprogramme zu entgehen. Sogenannte Cryptoren verschlüsseln ausführbare Dateien so, dass Virenscanner nicht mehr anschlagen, die Datei aber in der Regel ausführbar bleibt. Zum Angebot gehörte auch die Dienstleistung, die erzeugten Dateien gleich zu überprüfen, ob sie wirksam verschlüsselt und nicht mehr von Antivirensoftware erkannt wurden.

In Firewalls von Palo Alto Networks klafft eine kritische Sicherheitslücke, die bereits in freier Wildbahn angegriffen wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor und empfiehlt Admins mit Palo-Alto-Firewalls, die vom Hersteller genannten Maßnahmen zu ergreifen.

Anzeige

Das BSI warnt aktuell sogar auf X / Twitter vor der Sicherheitslücke: Es gibt noch keinen Patch, IT-Verantwortliche sollen kurzfristig handeln. In einer PDF-Datei fasst das BSI den aktuellen Stand zusammen. Demnach warnt Palo Alto Networks vor einer aktiv ausgenutzten Schwachstelle im Betriebssystem PAN-OS der Firewalls.

In der GlobalProtect-Gateway-Funktion können Angreifer eine Befehlsschmuggel-Lücke zum Unterjubeln von Befehlen missbrauchen. Das gelingt ohne vorherige Authentifizierung aus dem Internet (CVE-2024-3400, CVSS 10.0, Risiko "kritisch"). Sofern GlobalProtect Gateway und die Telemetrie-Funktion aktiviert sind, sind die Versionen vor PAN-OS 10.2.9-h1, 11.0.4-h1 respektive 11.1.2-h3 für die Attacken anfällig. Ältere PAN-OS Versionen (9.0, 9.1, 10.0 und 10.1) sowie die Cloud-Software NGFW, Panorama Appliances und Prisma Access sind demnach nicht betroffen.

Palo Alto schreiben in ihrer Sicherheitsmitteilung, dass die korrigierten Firmware-Versionen im Laufe des 14. April, also dem kommenden Sonntag, erscheinen sollen. Bis dahin sollen Administratoren und Administratorinnen, die Threat Prevention abonniert haben, die Threat-ID 95187 aktivieren. Dabei sollen sie sicherstellen, dass der Schutz für das GlobalProtect-Interface aktiviert ist.

Durch eine neu entdeckte Sicherheitslücke im Linux-Kernel können Angreifer mit Zugriff auf ein System ihre Rechte erweitern und das System übernehmen. Funktionierende Test-Exploits für die Kernels aktueller Linux-Distributionen existieren bereits – die Lücke ist derzeit noch ungepatcht.

Anzeige

In den sozialen Netzwerken kursieren bereits seit Tagen Hinweise auf eine neue Sicherheitslücke im Kernel, die eine lokale Rechteausweitung (LPE: Local Privilege Escalation) erlaube, so recht kam die öffentliche Diskussion darüber jedoch nicht in Gang. Erst nach einer Anfrage der heise-Security-Redaktion auf der Mailingliste oss-security kam am späten Donnerstagabend die Bestätigung: Wahrscheinlich handelt es sich um eine Zero-Day-Lücke, also eine nicht behobene Sicherheitslücke in allen Kernelversionen.

Der oder die Entdecker des Fehlers – zur Urheberschaft später mehr – greifen im GSM-Subsystem des Kernels eine Wettlaufsituation (Race Condition) in der Funktion gsm_dlci_config an, die mit einigem Aufwand zu einer Root-Shell führt. Bedingung: Die GSM-Funktionen des Kernels müssen ebenso wie die Unterstützung für Xen-Virtualisierung aktiviert sein – und der Angreifer muss bereits über ein Nutzerkonto auf seinem Zielsystem verfügen, etwa nach Codeeinschleusung im Webserver.

Auf einer VM mit dem aktuellen Debian 12 läuft der Exploit problemlos und verschafft dem Angreifer Root-Rechte.