Was ist ein DNS-Poisoning-Angriff und wie können Sie sich davor schützen?

Was ist ein DNS-Poisoning-Angriff und wie können Sie sich davor schützen?

Was ist ein DNS-Poisoning-Angriff und wie können Sie sich davor schützen?

Ein DNS-Poisoning-Angriff ist eine sehr häufig eingesetzte Form eines Hackerangriffs. Doch was verbirgt sich genau dahinter und wie kann ich mich als Unternehmen davor schützen? - Auf diese Fragen möchten wir heute näher eingehen:

DNS Poisoning, oder auch Domain Spoofing genannt, ist eine Hackertechnik, die bekannte Schwachstellen im Domain Name System (DNS) ausnutzt. Der Vorgang ist einfach: Im Grunde tauscht ein Hacker die Adresse einer gültigen Website gegen eine gefälschte aus. Wenn dies gelungen ist, ist er in der Lage den Datenverkehr von einer Website auf eine gefälschte Version umzuleiten Das Stehlen von wertvollen Informationen wie Kennwörter, Kontonummern oder die Beeinträchtigung der Verfügbarkeit der Website können die Folge sein.

Den Nutzern einer Website fällt dies meistens gar nicht auf, da die besuchte Website durch das Domain-Spoofing äußerlich keine Auffälligkeiten aufweist und auch wie gewohnt funktioniert. Anders verhält es sich, wenn der Hacker Einfluss auf die Verfügbarkeit der Website nimmt. Hier stellt der Nutzer vielleicht fest, dass die gewünschte Website nicht geladen werden kann. Auch hier kommen in der Regel keine Gedanken an einen Hackerangriff auf. Der Nutzer versucht vielleicht ein oder zwei Mal die Seite neu zu laden. Hat dies keinen Erfolg, ärgert er sich möglicherweise über das Unternehmen und besucht eine andere Website. Auch wenn in solch einem Fall kein Datendiebstahl stattgefunden hat, hat es dennoch einen negativen Einfluss auf das Unternehmensimage.

Doch nicht nur Hacker nutzen das DNS-Poisoning für Ihre Angriffe. Auch staatliche Akteure sind hier aktiv. Beispielsweise setzt die chinesische Regierung das DNS-Poisoning ein, um den Zugang zu Websites mit Inhalten zu sperren, die die Behörden für bedenklich halten. Auch hier bekommen die Benutzer nichts mit. Wenn sie die gewünschte Adresse eingeben, zum Beispiel Websites der sozialen Netzwerke, werden sie durch Spoofing zu einem völlig anderen Server weitergeleitet. Dieser Server lädt dann automatisch eine andere Website.

Unsere Handlungsempfehlungen:

- Verwenden Sie die Ende-zu-Ende-Verschlüsselung, wie z. B. Secure Sockets Layers (SSL)-Zertifikate.

- Für eine sichere sowie verschlüsselte Datenübertragung kann zudem ein VPN-Client auf jedem Rechner installiert und eingerichtet werden.

- Es existieren Tools zur Erkennung von Spoofing, die empfangene Datenpakete scannen, bevor diese versendet werden.

- Die Erhöhung der TTL-Werte (Time-To-Live) für den DNS-Cache verhindert, dass die Endnutzer/innen mit schadhaften Einträgen konfrontiert werden, da diese geleert werden, bevor sie den Endnutzer erreichen können.

-Eine solide DNS-, DHCP- und IPAM-Strategie (DDI) bestehend aus einer DNS-Strategie, einem Dynamic Host Konfiguration Protocol und einer IP-Adressenverwaltung ist unabdingbar.

Quellen:

https://www.okta.com/identity-101/dns-poisoning/

https://kinsta.com/de/blog/dns-poisoning/

Kritischer Fehler in Zyxel Firewalls und VPNs als Chance für Hacker

Kritischer Fehler in Zyxel Firewalls und VPNs als Chance für Hacker

Kritischer Fehler in Zyxel Firewalls und VPNs als Chance für Hacker

Hacker haben damit begonnen, eine kritische Sicherheitslücke (CVE-2022-30525) auszunutzen, die Zyxel Firewall- und VPN-Geräte für Unternehmen betrifft.

Die Schwachstelle wurde von Jacob Baines, leitender Sicherheitsforscher bei Rapid7, entdeckt, der in einem aktuellen technischen Bericht erläutert, wie die Schwachstelle für Angriffe ausgenutzt werden kann.

Die Schwere der Sicherheitslücke ist gravierend: Rapid7 stellte fest, dass es Angreifern möglich ist, eine Reverse Shell mit einem normalen bash GTFOBin einzurichten. Bei erfolgreicher Ausnutzung können beliebige Befehle aus der Ferne ohne Authentifizierung eingespeist werden, was die Einrichtung einer Reverse Shell nach sich ziehen kann. Zyxel hat am 12. Mai einen Sicherheitshinweis für CVE-2022-30525 (9.8 kritischer Schweregrad) veröffentlicht, in dem angekündigt wird, dass ein Fix für die betroffenen Modelle veröffentlicht wurde. Administratoren werden dazu aufgefordert, die neuesten Updates zu installieren. Auch der Direktor für Cybersicherheit der NSA, Rob Joyce, warnt Nutzer vor der Schwachstelle und fordert sie auf, die jeweils genutzte Software zu aktualisieren.

In der nachfolgenden Tabelle finden Sie eine Übersicht der betroffenen Modelle und verfügbaren Patches:

Betroffenes Modell               Betroffene Firmware-Version               Verfügbarkeit von Patches
USG FLEX 100(W), 200, 500, 700 ZLD V5.00 bis ZLD V5.21 Patch 1 ZLD V5.30

 

USG FLEX 50(W) / USG20(W)-VPN ZLD V5.10 bis ZLD V5.21 Patch 1 ZLD V5.30

 

ATP-Reihe ZLD V5.10 bis ZLD V5.21 Patch 1 ZLD V5.30

 

VPN-Reihe ZLD V4.60 bis ZLD V5.21 Patch 1 ZLD V5.30

 

 

Quellen:

https://twitter.com/Junior_Baines/status/1524750691490619392

https://www.bleepingcomputer.com/news/security/zyxel-fixes-firewall-flaws-that-could-lead-to-hacked-networks/

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/

„Five-Eyes“-Nationen warnen vor russischen Cyberangriffen auf kritische Infrastrukturen

Schwachstelle im Exiftool ermöglicht Remote-Code-Ausführung

„Five-Eyes“-Nationen warnen vor russischen Cyberangriffen auf kritische Infrastrukturen

Die "Five Eyes"-Staaten haben eine gemeinsame Cybersecurity-Information veröffentlicht, in der sie vor einer Zunahme bedrohlicher Angriffe von staatlichen russischen Akteuren und kriminellen Gruppen auf kritische Infrastrukturen inmitten der anhaltenden militärischen Belagerung der Ukraine warnen. Geheimdienstinformationen deuten darauf hin, dass die russische Regierung Optionen für potenzielle Cyberangriffe prüft, so die Behörden aus Australien, Kanada, Neuseeland, Großbritannien und den USA. Der Einmarsch Russlands in die Ukraine könnte Organisationen innerhalb und außerhalb der Region vermehrte böswillige Cyber-Aktivitäten aussetzen. Diese Aktivitäten könnten eine Reaktion auf die beispiellosen wirtschaftlichen Kosten sein, die Russland auferlegt wurden, sowie auf die materielle Unterstützung durch die Vereinigten Staaten und ihre Verbündeten und Partner.

In der Warnung wird darauf hingewiesen, dass russische, staatlich geförderte Cyber-Akteure in der Lage sind, IT-Netzwerke zu kompromittieren, sensible Daten zu stehlen sowie industrielle Kontrollsysteme zu stören und zu sabotieren.

Hinzu kommen cyberkriminelle Gruppen wie Conti (alias Wizard Spider), die sich öffentlich zur Unterstützung der russischen Regierung bekannt haben. Andere russisch ausgerichtete Cybercrime-Organisationen sind The CoomingProject, Killnet, Mummy Spider (die Betreiber von Emotet), Salty Spider, Scully Spider, Smoky Spider und das XakNet Team.

Aus diesem Grund haben wir in unserer Leitstelle die Schutzmaßnahmen erhöht und auf unseren Kunden-Sensoren neue Sicherheitsmechanismen und Use-Cases ausgerollt, die Traffic zu Systemen von bestimmten IP-Bereichen detektieren, die in Verbindung mit den aktuellen Cyberattacken aus Russland stehen.

Quellen:

https://www.cisa.gov/uscert/ncas/alerts/aa22-110a

https://www.cisa.gov/uscert/ncas/current-activity/2022/04/20/russian-state-sponsored-and-criminal-cyber-threats-critical

https://thehackernews.com/2022/03/us-government-warns-companies-of.html