Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

Unterschätzte Schwachstelle in OpenSSL-Bibliothek entdeckt

Unterschätzte Schwachstelle in OpenSSL-Bibliothek entdeckt

Unterschätzte Schwachstelle in OpenSSL-Bibliothek entdeckt

Wir raten unseren Kunden in den meisten Fällen dazu, Updates schnellstmöglich einzuspielen. Manchmal ist dies jedoch nicht der Fall, wie in einem aktuellen Beispiel, was wir Ihnen heute gerne vorstellen möchten:

Auf der neuesten Version der OpenSSL-Bibliothek vom 21.06 (Version 3.0.4) wurde kürzlich eine Schwachstelle identifiziert.  Innerhalb ausgewählter Systeme ist die neue Version anfällig für eine Remote Memory Corruption. Dieses Problem tritt  bei  x64-Systemen mit dem AVX-512-Befehlssatz auf. OpenSSL 1.1.1 sowie die OpenSSL-Forks, BoringSSL und LibreSSL sind nicht betroffen.

OpenSSL ist eine beliebte Kryptografie-Bibliothek, die eine Open-Source-Implementierung des TLS-Protokolls (Transport Layer Security) bietet. Advanced Vector Extensions (AVX) sind Erweiterungen der x86-Befehlssatzarchitektur für Mikroprozessoren von Intel und AMD.

Experten diskutieren aktuell darüber, ob es sich tatsächlich um eine Schwachstelle handelt oder eher um einen kritischen Fehler, der die Version 3.0.4 auf AVX-512-fähigen Maschinen unbrauchbar macht, da keine Beweise dafür vorliegen, dass sie ausgenutzt werden könnte. Angesichts der Schwere des Problems ist es aus unserer Sicht jedoch notwendig, die Version 3.0.5 so schnell wie möglich zu veröffentlichen.

Unsere Handlungsempfehlung:

Vermeiden Sie, wenn möglich, die Installation der OpenSSL Version 3.0.4 oder installieren Sie den veröffentlichten Fix.

Quelle:

https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/

https://github.com/openssl/openssl/pull/18626/commits/71ad6a8da3e39bd4caf5c6c767287ddd9bce8bae

Was ist ein DNS-Poisoning-Angriff und wie können Sie sich davor schützen?

Was ist ein DNS-Poisoning-Angriff und wie können Sie sich davor schützen?

Was ist ein DNS-Poisoning-Angriff und wie können Sie sich davor schützen?

Ein DNS-Poisoning-Angriff ist eine sehr häufig eingesetzte Form eines Hackerangriffs. Doch was verbirgt sich genau dahinter und wie kann ich mich als Unternehmen davor schützen? - Auf diese Fragen möchten wir heute näher eingehen:

DNS Poisoning, oder auch Domain Spoofing genannt, ist eine Hackertechnik, die bekannte Schwachstellen im Domain Name System (DNS) ausnutzt. Der Vorgang ist einfach: Im Grunde tauscht ein Hacker die Adresse einer gültigen Website gegen eine gefälschte aus. Wenn dies gelungen ist, ist er in der Lage den Datenverkehr von einer Website auf eine gefälschte Version umzuleiten Das Stehlen von wertvollen Informationen wie Kennwörter, Kontonummern oder die Beeinträchtigung der Verfügbarkeit der Website können die Folge sein.

Den Nutzern einer Website fällt dies meistens gar nicht auf, da die besuchte Website durch das Domain-Spoofing äußerlich keine Auffälligkeiten aufweist und auch wie gewohnt funktioniert. Anders verhält es sich, wenn der Hacker Einfluss auf die Verfügbarkeit der Website nimmt. Hier stellt der Nutzer vielleicht fest, dass die gewünschte Website nicht geladen werden kann. Auch hier kommen in der Regel keine Gedanken an einen Hackerangriff auf. Der Nutzer versucht vielleicht ein oder zwei Mal die Seite neu zu laden. Hat dies keinen Erfolg, ärgert er sich möglicherweise über das Unternehmen und besucht eine andere Website. Auch wenn in solch einem Fall kein Datendiebstahl stattgefunden hat, hat es dennoch einen negativen Einfluss auf das Unternehmensimage.

Doch nicht nur Hacker nutzen das DNS-Poisoning für Ihre Angriffe. Auch staatliche Akteure sind hier aktiv. Beispielsweise setzt die chinesische Regierung das DNS-Poisoning ein, um den Zugang zu Websites mit Inhalten zu sperren, die die Behörden für bedenklich halten. Auch hier bekommen die Benutzer nichts mit. Wenn sie die gewünschte Adresse eingeben, zum Beispiel Websites der sozialen Netzwerke, werden sie durch Spoofing zu einem völlig anderen Server weitergeleitet. Dieser Server lädt dann automatisch eine andere Website.

Unsere Handlungsempfehlungen:

- Verwenden Sie die Ende-zu-Ende-Verschlüsselung, wie z. B. Secure Sockets Layers (SSL)-Zertifikate.

- Für eine sichere sowie verschlüsselte Datenübertragung kann zudem ein VPN-Client auf jedem Rechner installiert und eingerichtet werden.

- Es existieren Tools zur Erkennung von Spoofing, die empfangene Datenpakete scannen, bevor diese versendet werden.

- Die Erhöhung der TTL-Werte (Time-To-Live) für den DNS-Cache verhindert, dass die Endnutzer/innen mit schadhaften Einträgen konfrontiert werden, da diese geleert werden, bevor sie den Endnutzer erreichen können.

-Eine solide DNS-, DHCP- und IPAM-Strategie (DDI) bestehend aus einer DNS-Strategie, einem Dynamic Host Konfiguration Protocol und einer IP-Adressenverwaltung ist unabdingbar.

Quellen:

https://www.okta.com/identity-101/dns-poisoning/

https://kinsta.com/de/blog/dns-poisoning/

Kritischer Fehler in Zyxel Firewalls und VPNs als Chance für Hacker

Kritischer Fehler in Zyxel Firewalls und VPNs als Chance für Hacker

Kritischer Fehler in Zyxel Firewalls und VPNs als Chance für Hacker

Hacker haben damit begonnen, eine kritische Sicherheitslücke (CVE-2022-30525) auszunutzen, die Zyxel Firewall- und VPN-Geräte für Unternehmen betrifft.

Die Schwachstelle wurde von Jacob Baines, leitender Sicherheitsforscher bei Rapid7, entdeckt, der in einem aktuellen technischen Bericht erläutert, wie die Schwachstelle für Angriffe ausgenutzt werden kann.

Die Schwere der Sicherheitslücke ist gravierend: Rapid7 stellte fest, dass es Angreifern möglich ist, eine Reverse Shell mit einem normalen bash GTFOBin einzurichten. Bei erfolgreicher Ausnutzung können beliebige Befehle aus der Ferne ohne Authentifizierung eingespeist werden, was die Einrichtung einer Reverse Shell nach sich ziehen kann. Zyxel hat am 12. Mai einen Sicherheitshinweis für CVE-2022-30525 (9.8 kritischer Schweregrad) veröffentlicht, in dem angekündigt wird, dass ein Fix für die betroffenen Modelle veröffentlicht wurde. Administratoren werden dazu aufgefordert, die neuesten Updates zu installieren. Auch der Direktor für Cybersicherheit der NSA, Rob Joyce, warnt Nutzer vor der Schwachstelle und fordert sie auf, die jeweils genutzte Software zu aktualisieren.

In der nachfolgenden Tabelle finden Sie eine Übersicht der betroffenen Modelle und verfügbaren Patches:

Betroffenes Modell               Betroffene Firmware-Version               Verfügbarkeit von Patches
USG FLEX 100(W), 200, 500, 700 ZLD V5.00 bis ZLD V5.21 Patch 1 ZLD V5.30

 

USG FLEX 50(W) / USG20(W)-VPN ZLD V5.10 bis ZLD V5.21 Patch 1 ZLD V5.30

 

ATP-Reihe ZLD V5.10 bis ZLD V5.21 Patch 1 ZLD V5.30

 

VPN-Reihe ZLD V4.60 bis ZLD V5.21 Patch 1 ZLD V5.30

 

 

Quellen:

https://twitter.com/Junior_Baines/status/1524750691490619392

https://www.bleepingcomputer.com/news/security/zyxel-fixes-firewall-flaws-that-could-lead-to-hacked-networks/

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/

„Five-Eyes“-Nationen warnen vor russischen Cyberangriffen auf kritische Infrastrukturen

Schwachstelle im Exiftool ermöglicht Remote-Code-Ausführung

„Five-Eyes“-Nationen warnen vor russischen Cyberangriffen auf kritische Infrastrukturen

Die "Five Eyes"-Staaten haben eine gemeinsame Cybersecurity-Information veröffentlicht, in der sie vor einer Zunahme bedrohlicher Angriffe von staatlichen russischen Akteuren und kriminellen Gruppen auf kritische Infrastrukturen inmitten der anhaltenden militärischen Belagerung der Ukraine warnen. Geheimdienstinformationen deuten darauf hin, dass die russische Regierung Optionen für potenzielle Cyberangriffe prüft, so die Behörden aus Australien, Kanada, Neuseeland, Großbritannien und den USA. Der Einmarsch Russlands in die Ukraine könnte Organisationen innerhalb und außerhalb der Region vermehrte böswillige Cyber-Aktivitäten aussetzen. Diese Aktivitäten könnten eine Reaktion auf die beispiellosen wirtschaftlichen Kosten sein, die Russland auferlegt wurden, sowie auf die materielle Unterstützung durch die Vereinigten Staaten und ihre Verbündeten und Partner.

In der Warnung wird darauf hingewiesen, dass russische, staatlich geförderte Cyber-Akteure in der Lage sind, IT-Netzwerke zu kompromittieren, sensible Daten zu stehlen sowie industrielle Kontrollsysteme zu stören und zu sabotieren.

Hinzu kommen cyberkriminelle Gruppen wie Conti (alias Wizard Spider), die sich öffentlich zur Unterstützung der russischen Regierung bekannt haben. Andere russisch ausgerichtete Cybercrime-Organisationen sind The CoomingProject, Killnet, Mummy Spider (die Betreiber von Emotet), Salty Spider, Scully Spider, Smoky Spider und das XakNet Team.

Aus diesem Grund haben wir in unserer Leitstelle die Schutzmaßnahmen erhöht und auf unseren Kunden-Sensoren neue Sicherheitsmechanismen und Use-Cases ausgerollt, die Traffic zu Systemen von bestimmten IP-Bereichen detektieren, die in Verbindung mit den aktuellen Cyberattacken aus Russland stehen.

Quellen:

https://www.cisa.gov/uscert/ncas/alerts/aa22-110a

https://www.cisa.gov/uscert/ncas/current-activity/2022/04/20/russian-state-sponsored-and-criminal-cyber-threats-critical

https://thehackernews.com/2022/03/us-government-warns-companies-of.html

 

Unser neuer Standort in Hannover

Unser neuer Standort in Hannover

Unser neuer Standort in Hannover

Bornheim, 31. Mai 2022. 

Um unseren bereits umfangreichen Service weiter auszubauen agieren wir nun zusätzlich auch von unserem neuen Standort in Hannover. Dort steht unseren Mitarbeitern und Kunden jeweils ein vollwertiger Leitstellenbereich als Security Operations Center (SOC) zur Verfügung.

Der Standort in Hannover wurde bewusst gewählt. Denn auch die zur TÜV AUSTRIA Gruppe gehörige CIPHRON GmbH ist hier ansässig. Mit mehr als zehn Jahren Erfahrung sind die Spezialisten der CIPHRON GmbH für die Absicherung komplexer und kritischer IT-Infrastrukturen ein optimaler Partner, um unsere Services weiter auszubauen.

Machen Sie sich hier gerne ein Bild von unseren Räumlichkeiten: