Cyberangriff – HiSolutions Research

14. September 2023Cyberwar, Schwachstelle

Was haben drei Töne mit Informationssicherheit zu tun?

Als am späten Abend des 25. August bei mehreren Zügen der polnischen Bahn PKP plötzlich eine Notbremsung ausgelöst wurde, dachten einige gleich an einen komplexen Cybervorfall. Mehr als 20 Züge wurden zum Halten gebracht, und weitere wurden anschließend aus Sicherheitsgründen gar nicht erst auf die Strecken gelassen.

Die Angreifer mussten sich nicht aufwendig über mehrere Netzgrenzen hinweg bis in die Steuerungstechnik des Bahnnetzes hacken. Der Angriff erfolgte per Funksignal. Eine Folge von drei Tönen auf einer bestimmten Frequenz reichte aus, um die Züge zu stoppen. Dahinter steckt die Sicherheitsmaßnahme (Sicherheit im Sinne von Safety) RADIOSTOP des PKP-Funksystems. Diese Funktion kann an jedem Funkgerät im Zug oder an der Strecke ausgelöst werden und sorgt dafür, dass im Gefahrenfall alle Züge im Empfangsbereich so schnell wie möglich zum Stehen kommen. Bei einem Unfall geht eine sehr große Gefahr von anderen, insbesondere entgegenkommenden Zügen aus – und diese an sichsehr hilfreiche Funktion ermöglicht es, schnell reagieren zu können.

Die Tonfolge ist wohlbekannt und steht sogar in EU-Dokumenten, und die notwendige Funktechnik ist leicht selbst zu bauen. Bei einer Analyse auf der Webseite des Technik-Magazins Wired sprach sich der Sicherheitsforscher Lukasz Olejnik daher dagegen aus, den Vorfall als Cybervorfall zu bewerten. Aber muss ein Cybervorfall sich immer um kompromittierte Computer drehen? Mit den vermutlich selbst zusammengelöteten Funkgeräten, konnten doch auch Schutzziele der Bahn verletzt werden.

Aber andersrum gefragt: Hätten Sie den analogen Zugfunk in Ihre Betrachtungen zur Informationssicherheit einbezogen? Gibt es auch in Ihrem Haus Sicherheitslösungen, die im Gefahrenfall beispielsweise Türen öffnen oder den Serverraum trotz Netzersatzanlage vom Strom trennen?

Wie das polnische Beispiel ausgeht, ist noch offen. Obwohl erste Verdächtige verhaftet und passendes Equipment gefunden wurde, gab es einige Tage lang auch in anderen Landesteilen weitere Vorfälle.

27. Juli 202310. August 2023Advisories, Cyberwar, Incidents, Schwachstelle, Zeroday

Eine 10 von 10 – Ivanti CVE-2023‑35078 – Hilfe zur Selbsthilfe

Update vom 10.08.2023:

Für Ivanti Endpoint Manager Mobile (EPMM) wurde am 03.08.2023 eine weitere Schwachstelle (CVE‑2023-35082) mit einer CVSS-Bewertung von 10.0 veröffentlicht. Die Schwachstelle ist ähnlich zu der initial veröffentlichen CVE-2023-35078. Am 07.08.2023 hat Invanti veröffentlicht, dass diese Schwachstelle alle Versionen von EPMM betrifft. Die Maßnahmen zum Schließen der Schwachstelle und einer Identifizierung eines Angriffs wurden in dem Dokument „Hilfe zur Selbsthilfe – CVE‑2023‑35078“ ergänzt.

Update vom 01.08.2023:

Auf Basis der bereits veröffentlichten Expoits konnte der String zur Identifizierung eines Angriffs genauer bestimmt werden. Diese finden Sie in dem Dokument „Hilfe zur Selbsthilfe – CVE-2023 35078“ unter dem Punkt 2.

Update vom 31.07.2023:

Seit dem Wochenende gibt es die ersten öffentlichen Proof of Concept Exploits auf GitHub. Die teilweise in Python geschriebenen Programme ermöglichen eine automatische Ausnutzung der Ivanti Schwachstelle CVE-2023-35078.

Zusätzlich wurde am 28.07.2023 von Ivanti eine weitere Sicherheitslücke (CVE-2023-35081) publiziert. Hierbei handelt es sich um eine Schwachstelle welche es dem Angreifer erlaubt als authentifizierten Administrator beliebige Schreibvorgänge auf dem EPMM-Server durchzuführen.

Am 24. Juli 2023 hat der Hersteller Ivanti Informationen zu der Sicherheitslücke CVE-2023‑35078 veröffentlicht. Die Schwachstelle betrifft die Software „Ivanti Endpoint Manager Mobile“ (EPMM), auch bekannt als MobileIron Core. Um unseren Kunden eine Möglichkeit zu geben, erste Maßnahmen zu ergreifen und ihre Systeme zu prüfen, haben wir einen Leitfaden „Hilfe zur Selbsthilfe – CVE-2023‑35078“ erstellt. Der Leitfaden kombiniert die öffentlichen Informationen der staatlichen Sicherheitsbehörden, Fach-Blogs und die Angaben des Herstellers mit der Expertise der HiSolutions.

Sollten Sie Ivanti bzw. MobileIron Core nutzen, prüfen Sie bitte anhand des Dokuments, ob Sie alle relevanten Maßnahmen ergriffen haben.

HINWEIS: Das Dokument wird laufend aktualisiert. Bitte achten Sie daher auch auf weitere Veröffentlichungen auf unserem Research-Blog. Weitere Informationen und Cybersicherheitswarnungen erhalten Sie auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) unter https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Sicherheitswarnungen/Sicherheitswarnungen_Formular.html

HiSolutions-Selbsthilfe-CVE-2023-35078-1 Herunterladen

23. März 202323. März 2023News

Angriffe im Jahresrückblick

Das Frühjahr ist auch immer die Zeit für Jahresrückblicke. Natürlich sind sie beschränkt auf den jeweiligen Wirkungsbereich und daher streng genommen nicht repräsentativ, aber sie ermöglichen doch, Trends und Gemeinsamkeiten zu erkennen.

Die Kollegen vom DFIR-Report (Digital Forensics and Incident Response) sammeln Artefakte und Berichte von realen Angriffen und haben vor kurzem ihre Sicht auf das Jahr 2022 zusammengefasst. Analog zu unseren Erfahrungen liegen die meisten Vorfälle im Bereich Ransomware. 69 % der Fälle ließen sich auf Phishing als initialen Zugriff zurückführen. Um sich dann von dem ersten System mit meist geringen Rechten weiter vorzuarbeiten, bedarf es weiterer Zugangsdaten. In den meisten Fällen (44 %) wurden sie aus dem LSASS-Speicher geholt. Wem das nichts sagt, der hat vermutlich schon von dem typischen Tool hierfür gehört: mimikatz. Das Auslesen im Browser gespeicherter Passwörter teilt sich bereits den zweiten Platz mit zwei weiteren Speicherauslese-Techniken. Für die Bewegung im Netz werden meist Standardprotokolle wie RDP und SMB genutzt (beide jeweils in 41 % der Fälle) – die nötigen Zugangsdaten sind dann ja bekannt. Spannend wird es bei den Tools, die zur späteren Steuerung hinterlassen werden (Command & Control, C2). Platzhirsch Cobalt Strike führt mit 29 %, direkt mit 8 % gefolgt von AnyDesk – einer ganz normalen Fernzugrifflösung.

Im Report sind noch mehr Zahlen und vor allem viel mehr technische Details sowie Beispiele enthalten: https://thedfirreport.com/2023/03/06/2022-year-in-review/

13. Dezember 202113. Dezember 2021Log4Shell

Log4Shell: Massive Bedrohung durch Schwachstelle in Bibliothek Log4j

Aktuell besteht eine IT-Sicherheitsbedrohung der höchsten Warnstufe: Durch eine Schwachstelle in der weitverbreiteten Java-Protokollierungsbibliothek Log4 sind sehr viele Systeme, Anwendungen und Applikationen (unvollständige, ständig wachsende Liste hier) anfällig für einen sehr einfach durchzuführende Remote Code Execution Angriff (RCE).

Ein Vielzahl von Akteuren scannt bereits das Internet nach vulnerablen Instanzen, und erste Angreifer haben bereits begonnen, Backdoors auf Systemen zu installieren. Diese könnten später etwa für Ransomware-Angriffe missbraucht werden.

Die Bibliothek ist dringend zu patchen – eine Herausforderung durch die vielen Stellen, an denen Log4j zum Einsatz kommt. Häufig sind Anwender auch auf die Zuarbeit der Hersteller angewiesen. Dabei sind beileibe nicht nur direkt aus dem Internet erreichbare Systeme betroffen.

Der IT-Sicherheitsforscher Kevin Beaumont (@gossithedog) pflegt einen Twitter-Thread mit den neusten Entwicklungen und Tipps:

Starting a new thread for log4j security vulnerability and fallout.

Spoiler: although this emerged as a Minecraft issue (lol) there is going to be impacts across a wide range of enterprise software for some time. https://t.co/s9XQIgqNQ4
— Kevin Beaumont (@GossiTheDog) December 10, 2021

5. Februar 2021News

Medientipps Januar 2021

Heute einmal nichts zu lesen. Aber zu:

Hören: DLF Kultur Feature „Datensicherheit oder Abwehr von Cyberkriminalität“

Unter anderem zu KRITIS und IT-Sicherheitsgesetz 2.0, mit Manuel Atug von HiSolutions.

https://www.deutschlandfunkkultur.de/datensicherheit-oder-abwehr-von-cyberkriminalitaet-politik.976.de.html?dram:article_id=491400

Sehen: ZDF WISO – Gestohlene Payback-Punkte

Cyberangriff auf Payback-Punkte? Banken und andere Zahlungsdienstleister wie Paypal haben aufgrund der EU-Zahlungsdiensterichtlinie PSD2 ihre Sicherheitsmaßnahmen hochfahren müssen. Dadurch ist der Druck auf Anbieter wie Payback gestiegen. Eine Recherche von ZDF WISO ging dem am 11.1.2021 von 19:25-20:15 mit der Expertise von HiSolutions auf den Grund. Nachzuschauen online (ab Minute 25’40):

https://research.hisolutions.com/2021/01/zdf-wiso-gestohlene-payback-punkte/

Meeten: Scalable Security am 17.2.2021 16-17 Uhr beim it’s.BB – Das IT-Sicherheitsnetzwerk

Zweifellos wird Informationssicherheit für alle Arten von Organisationen immer wichtiger. Während Konzerne oder Behörden sich im Wesentlichen auf die „großen“ Standards IT-Grundschutz und ISO 27001 stürzen, stellt sich für viele andere Akteure die Frage: Wo fange ich an? Was sind die ersten drei Schritte, wenn ich ein junges Startup, ein mittelgroßer Verein, eine größere NGO, ein Sportclub oder ein KMU bin? Was könnte oder sollte mein Ziel in fünf Jahren sein? Dieser Vortrag versucht, die Grundfragen und aufgaben der Security auf ein Modell herunterzubrechen, aus dem sich für jede Größe und jeden Organisationstyp eine Leiter von Reifegraden und eine Security-Roadmap ableiten lassen.

https://www.itsbb.net/kalender/its-bb-webinar-scalable-security-5-level-von-sicherheitsniveau-fuer-fast-jeden-anwendungsfall/

30. November 20208. Dezember 2020Cyberwar

Gestorben MIT, nicht AN Cyber

Im Fall der Patientin, die nach verschiedenen, auch internationalen Berichten wegen eines Cyberangriffs auf die Uniklinik Düsseldorf bedauerlicherweise verstorben war, müssten wir nun zurückrudern – wenn wir hier im Digest nicht schon im vergangenen September zur Vorsicht gemahnt hätten. Auch die Staatsanwaltschaft ist inzwischen zu dem Schluss gekommen, dass der Tod nicht ursächlich mit dem fehlgeleiteten Angriff zusammenhing, der eigentlich nur die Universität hätte treffen sollen.

Zukünftig müssen wir jedoch damit rechnen, dass Tod und Cyber immer häufiger aufeinandertreffen werden, einfach schon aufgrund der Statistik bei immer stärkerer Abhängigkeit von IT in allen Bereichen. Wie wollen wir als Gesellschaft damit umgehen?
Zwei Sichtweisen sind dabei nicht hilfreich: Zum einen das Verteufeln des Computers. Es ist richtig: Mit zunehmender Abhängigkeit von Rechnern und Netzen handeln wir uns zusätzliche Risiken ein. Sonst würden Sie diesen Digest übrigens gar nicht lesen, ich ihn vermutlich nicht schreiben. Und es ist sicher wichtig, jeden Todesfall zu analysieren und die allgemeine Entwicklung zu beobachten. Die Häufung von Todesfällen im Straßenverkehr seit den 50er Jahren hat zu Recht zu immer weiter verschärften Regeln beim Fahren geführt. Das ist jedoch nicht dasselbe, wie sensationslüstern auf die ersten Totgecyberten zu warten.

Auf der anderen Seite sollten wir der Versuchung widerstehen, das Thema kleinreden zu wollen. Das Beispiel Corona lehrt uns, dass es genug Menschen gibt, die ihre Ängste durch „Wegerklären“ zu verdrängen versuchen. Wenn innerhalb weniger Monate 150.000 US-Amerikanerinnen und Amerikaner zufälligerweise alle „mit“ Corona, aber „an“ Lungenentzündung sterben, dann ist dieses Ding möglicherweise doch nicht so „harmlos“ wie die im Übrigen auch nicht selten tödlich endende echte Grippe. Genauso muss uns eine Zunahme von Todes- und Unfällen und übrigens auch schon von near misses, bei denen der Computer zwar nicht „schuld“, aber beteiligt war, aufhorchen und die Risiken überdenken lassen.

Haben wir also, sobald wir Corona überwunden haben, in den nächsten Jahren ein ruhiges, waches Auge auf das Sterben (an und) mit Cyber. Bitte bleiben Sie gesund!

19. Juni 202019. August 2020News

Geh in den Keller, die Bären kommen: Bxx-hörden warnen vor Angriffen

BND, BfV und BSI haben eine Warnung vor gezielten Cyberangriffen unter TLP-Amber (Kenntnis nur wenn nötig) an alle KRITIS-Betreiber in den Sektoren Energie, Wasser und Telekommunikation sowie an ausgewählte Zulieferer und Partner veröffentlicht. Neben Verweisen auf US-amerikanische Dokumente, welche russische Akteure beschuldigen, enthält die Warnung auch konkrete IOCs (Indicators of Compromise) sowie Details zu TTPs (Tactics, Techniques and Procedures), wie etwa ausgenutzte Schwachstellen.

https://www.tagesschau.de/investigativ/br-recherche/hacker-angriff-infrastruktur-101.html

27. Mai 202015. Juni 2020News

Auge um Auge? Cyber-Scharmützel zwischen Israel und Iran

Die gegenseitigen Cyber-Angriffe zwischen Israel und Iran bzw. dessen Verbündeten scheinen sich aktuell in chronische Scharmützel zu verstetigen. Nachdem Iran mutmaßlich Israels Abwasseraufbereitung angegriffen und Israel nach Informationen der New York Times mit Attacken auf iranische Häfen gekontert hatte, haben iranisch beeinflusste Kreise zuletzt eine Reihe von mit Israel verbundenen Websites verschandelt (Defacement). Bisher hat keiner der Angriffe zu Schäden an menschlichem Leben oder Gesundheit geführt.

https://www.jpost.com/israel-news/cyberattack-replaces-multiple-israeli-websites-with-anti-israel-message-628787

31. März 202020. April 2020News

Zahl der Cyberangriffe steigt rapide

Bitdefender Labs veröffentlichte eine Analyse, in der unter anderem Ausmaß und Zielgruppen der aktuellen Angriffe im Zusammenhang mit dem Coronavirus beschrieben werden. Bereits zu Mitte März war im Vergleich zum Februar die Zahl der Malware-Meldungen um 475 Prozent gestiegen. Vorrangig werden der Einzelhandel, das Hotel- und Gaststättengewerbe, das Gesundheitswesen, Institutionen der Verwaltung und Bildungs- und Forschungseinrichtungen attackiert.

https://www.it-daily.net/it-sicherheit/cyber-defence/23792-fuenfmal-mehr-malware-zum-coronavirus

31. März 202020. April 2020News

Keine Gnade trotz Corona

Obwohl einige Angreifergruppen wie die Drahtzieher des Erpressungs-Trojaners „Maze“ medienwirksam verkündeten, aufgrund der Pandemie keine medizinischen Einrichtungen anzugreifen, wurde das tschechische Krankenhaus mit dem größten Corona-Testlabor des Landes durch einen Cyberangriff vorübergehend lahmgelegt. Patienten mussten verlegt und Operationen abgesagt werden.

https://www.heise.de/security/meldung/Waehrend-Coronavirus-Pandemie-Cyberangriff-legt-tschechisches-Krankenhaus-lahm-4683370.html

https://www.heise.de/newsticker/meldung/Cyber-Erpresser-versprechen-Corona-Pause-fuer-Krankenhaeuser-4686021.html

https://gblogs.cisco.com/de/wie-cyber-kriminelle-die-corona-krise-als-vehikel-nutzen

Auch in Texas wurde eine Klinik von Ransomware getroffen: Die Gruppe „Maze“ droht, über den Schaden der Verschlüsselung hinaus die Daten der behandelten Patienten zu leaken, sollte die Zahlung des Lösegeldes ausbleiben.

https://securityboulevard.com/2020/03/maze-ransomware-continues-to-hit-healthcare-units-amid-coronavirus-covid-19-outbreak/