Felix Bauer – IT-Security Blog

Cisco warnt seine Benutzer vor einem ernsthaften Sicherheitsproblem, das bestimmte Modelle von Switches für Rechenzentren betrifft. Es besteht die Gefahr, dass Angreifer auf verschlüsselten Datenverkehr zugreifen und diesen verändern können.

Die Sicherheitslücke mit der Kennung CVE-2023-20185 wurde bei internen Sicherheitstests der ACI Multi-Site CloudSec Verschlüsselungsfunktion in Cisco-Switches entdeckt. Die Sicherheitslücke betrifft die Modelle Cisco Nexus 9332C, 9364C und 9500 Spine. Voraussetzung ist, dass diese im ACI-Modus betrieben werden, Teil einer Multi-Site-Topologie sind, die Verschlüsselungsfunktion CloudSec aktiviert haben und die Firmware 14.0 oder höher verwenden.

Eine erfolgreiche Ausnutzung dieser Sicherheitslücke ermöglicht es Unbefugten, verschlüsselten Datenverkehr zwischen verschiedenen Standorten aus der Ferne zu lesen oder zu manipulieren.

Bislang hat Cisco noch kein Software-Update zur Behebung der Sicherheitslücke veröffentlicht. Kunden, die die betroffenen Switches einsetzen, werden gebeten, die betroffene Funktion zu deaktivieren und sich mit dem Support in Verbindung zu setzen, um alternative Lösungen zu finden.

Das Product Security Incident Response Team (PSIRT) von Cisco hat bisher keine Hinweise darauf gefunden, dass öffentlicher Exploit-Code existiert, der diese Schwachstelle ausnutzt.

Es ist nicht das erste Mal, dass Cisco mit Sicherheitsproblemen zu kämpfen hat. Erst im Mai wurden vier kritische Remote-Execution-Schwachstellen behoben, die mehrere Switches der Small Business Series betrafen.

Google hat Sicherheitsupdates für sein Betriebssystem Android veröffentlicht, um insgesamt 46 Sicherheitslücken zu schließen. Es wird vermutet, dass einige dieser Schwachstellen (CVE-2023-26083, CVE-2021-29256 und CVE-2023-2136) bereits aktiv ausgenutzt werden.

Die Sicherheitslücke CVE-2023-26083, ein Speicherleck mittleren Ausmaßes, befindet sich im Arm Mali-GPU-Treiber für die Bifrost-, Avalon- und Valhall-Chipsätze. Diese Schwachstelle wurde bereits in einer Angriffskette ausgenutzt, die im Dezember 2022 zur Installation von Spionagesoftware auf Samsung-Geräten führte. Aufgrund der potenziellen Schwere dieser Sicherheitslücke ordnete die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) im April 2023 die sofortige Schließung der Sicherheitslücke an.

Eine weitere Sicherheitslücke ist CVE-2021-29256, die als hochriskant eingestuft wurde und die unautorisierte Offenlegung von Informationen sowie die Ausweitung von Root-Privilegien ermöglicht. Sie betrifft auch bestimmte Versionen der Bifrost- und Midgard Arm Mali-GPU-Kerntreiber.

Die Sicherheitslücke CVE-2023-2136 wird mit 9,6 von 10 Punkten als kritisch eingestuft. Sie resultiert aus einem Integer-Überlauf-Fehler in Skia, Googles Open-Source-2D-Grafikbibliothek, die auch in Chrome verwendet wird. Für Chrome wurde der Fehler bereits im April behoben.

Im Rahmen der Sicherheitsupdates hat Google auch die kritische Schwachstelle CVE-2023-21250 behoben. Eine Ausnutzung dieser Schwachstelle könnte zur Remote-Ausführung von Code ohne Benutzerinteraktion oder zusätzliche Ausführungsrechte führen, warnt Google.

Der Update-Prozess folgt einem standardisierten System, das Patches in zwei Schritten bereitstellt – einen für grundlegende Android-Komponenten und einen für Kernel und herstellerspezifische Komponenten. Dies ermöglicht den Geräteherstellern eine gezielte Aktualisierung.

Die aktuellen Sicherheitsupdates betreffen die Android-Versionen 11, 12 und 13. Ältere Betriebssystemversionen, die nicht mehr unterstützt werden, können jedoch ebenfalls von den genannten Sicherheitslücken betroffen sein. Nutzer dieser Systeme sollten den Umstieg auf ein neueres Gerätemodell in Erwägung ziehen oder eine Android-Distribution eines Drittanbieters installieren, die Sicherheitsupdates für ältere Geräte bereitstellt – wenn auch mit einer gewissen zeitlichen Verzögerung.

Sicherheitsexperten warnen vor einer wachsenden Gefahr für Photovoltaik (PV)-Überwachungs- und Diagnosesysteme. Zehntausende solcher Systeme, die unter anderem zur Fernüberwachung der Leistung, zur Fehlerdiagnose und zur Systemoptimierung eingesetzt werden, sind über das Internet zugänglich und damit potenzielle Ziele für Cyber-Angriffe.

Die Bedrohungsanalysten von Cyble haben eine umfassende Internetrecherche durchgeführt und dabei über 134.000 exponierte PV-Systeme verschiedener Anbieter identifiziert. Darunter befinden sich Produkte von Firmen wie Solar-Log, Danfoss Solar Web Server, SolarView Contec und anderen.

Es ist jedoch zu beachten, dass die bloße Präsenz dieser Systeme im Internet nicht zwangsläufig eine Gefährdung darstellt. Eine unsachgemäße Konfiguration oder Schwachstellen, die es Angreifern ermöglichen, mit den Systemen zu interagieren, sind nicht zwangsläufig vorhanden.

Die Untersuchungen von Cyble haben jedoch gezeigt, dass unbefugte Benutzer in der Lage sind, Informationen und Einstellungen zu sammeln, die potenziell für einen Angriff genutzt werden können. Zudem wurde festgestellt, dass für mehrere der identifizierten Produkte Schwachstellen existieren und bereits gemeldet wurden. Für einige dieser Produkte gibt es sogar Hinweise darauf, dass sie bereits ausgenutzt wurden. Diese Erkenntnis erhöht das Risiko von Angriffen auf Systeme mit veralteter Firmware.

Darüber hinaus weist Cyble auf die Gefahr von Malware hin, die darauf abzielt, Zugangsdaten zu PV-Steuerungssystemen zu stehlen. Selbst wenn diese Systeme ausreichend gesichert sind, bleibt dieses Risiko bestehen.

Jüngste Fälle zeigen, dass Hacker aktiv nach verwundbaren Geräten suchen, um diese in Botnetze zu integrieren. Untersuchungen von Cyble haben ergeben, dass insbesondere SolarView-Geräte weltweit betroffen sind. VulnCheck hat im gleichen Produkt eine Remote Code Execution Schwachstelle mit der Kennung CVE-2023-23333 entdeckt, für die bereits mehrere Exploits existieren.

Ein wichtiger Aspekt in diesem Zusammenhang ist die mangelnde Wartung und Aktualisierung dieser Systeme. Eine Vernachlässigung in diesen Bereichen eröffnet Angreifern gute Erfolgschancen, insbesondere wenn sie relativ neue Schwachstellen ausnutzen.

Die Experten raten daher, bei der Fernverwaltung solcher PV-Systeme strenge Sicherheitsmaßnahmen zu ergreifen. Starke, eindeutige Anmeldeinformationen und die Aktivierung der Multi-Faktor-Authentifizierung, sofern verfügbar, sind nur einige der empfohlenen Maßnahmen. Darüber hinaus sollte auf eine aktuelle Systemwartung und die Trennung der Geräte in separate Netzwerke geachtet werden, um eine zusätzliche Sicherheitsebene zu schaffen.

Microsoft hat kürzlich Behauptungen der Hacktivistengruppe „Anonymous Sudan“ entschieden zurückgewiesen, sie sei erfolgreich in die Server des Technologieunternehmens eingedrungen und habe Anmeldeinformationen von rund 30 Millionen Kundenkonten erbeutet.

Die Gruppe Anonymous Sudan, eine selbsternannte Verbündete von pro-russischen Hacktivisten wie Killnet, ist für ihre verheerenden DDoS-Angriffe auf westliche Einrichtungen bekannt. Im vergangenen Monat verursachte die Gruppe mehrere Ausfälle und Störungen bei Microsoft. Betroffen waren unter anderem Azure, Outlook und OneDrive.

In ihrer neuesten Behauptung gab Anonymous Sudan an, Microsoft erfolgreich gehackt und Zugang zu einer umfangreichen Datenbank mit über 30 Millionen Microsoft-Konten inklusive E-Mails und Passwörtern erhalten zu haben. Die Hacktivisten bieten diese Datenbank angeblich für 50.000 Dollar zum Verkauf an und fordern potenzielle Käufer auf, sich über ihren Telegram-Bot mit ihnen in Verbindung zu setzen.

Als angeblichen Beweis für den erfolgreichen Hack stellte die Gruppe 100 Login-Daten zur Verfügung. Die Herkunft dieser Daten konnte bisher jedoch nicht verifiziert werden. Es ist unklar, ob es sich um alte Daten, das Ergebnis eines Hacks durch Dritte oder tatsächlich um aktuell gestohlene Daten aus Microsoft-Systemen handelt.

Auf Nachfrage von BleepingComputer wies ein Microsoft-Sprecher die Behauptungen von Anonymous Sudan zurück: „Wir haben keine Anzeichen dafür gefunden, dass unsere Kundendaten abgegriffen oder kompromittiert wurden.“

Ob die Untersuchungen von Microsoft bereits abgeschlossen sind oder noch andauern, ist unklar.