Weitere News im März

Apple zieht Datenschutz-Tool nach Sicherheitsstreit mit der britischen Regierung zurück

Apple hat beschlossen, seine höchste Sicherheitsstufe, Advanced Data Protection (ADP), für Kunden im Vereinigten Königreich abzuschaffen, nachdem die britische Regierung Zugang zu den Nutzerdaten verlangt hat. ADP bietet eine Ende-zu-Ende-Verschlüsselung, die es nur Kontoinhabern ermöglicht, auf ihre gespeicherten Daten zuzugreifen. Die britische Regierung verlangte jedoch das Recht, diese Daten einzusehen.

Eine entsprechende Modifikation der Funktionalität hat Apple abgelehnt, weil diese die Sicherheit des Schutzmechanismus unterlaufen würde. Britische Apple-Nutzer können jedoch ADP nicht mehr aktivieren, und bestehende Nutzer werden den Zugang später verlieren. Damit fällt die Ende-zu-Ende-Verschlüsselung weg und Dritte, die Zugriff auf die Hintergrundsysteme haben, können prinzipiell die Kundendaten einsehen. Diese Entscheidung hat heftige Reaktionen von Datenschützern und Experten hervorgerufen, die diese Maßnahme als Schwächung der Online-Sicherheit und der Privatsphäre kritisieren.

Die Entscheidung von Apple, ADP in Großbritannien zu deaktivieren, zeigt die Spannungen zwischen Technologieunternehmen und Regierungen in Bezug auf Datenschutz und Sicherheit. Während die britische Regierung argumentiert, dass der Zugang zu verschlüsselten Daten für die Strafverfolgung notwendig sei, betonen Apple und Datenschützer die Bedeutung der Privatsphäre und die Risiken, die mit der Schaffung von „Hintertüren“ verbunden sind. Diese Entwicklung könnte als Präzedenzfall für andere Länder dienen und hat weitreichende Auswirkungen auf die globale Datensicherheit und den Schutz der Privatsphäre.

In Deutschland und der EU ist es aufgrund der strengen Datenschutzregelungen und der Unterstützung von Ende-zu-Ende-Verschlüsselung durch die DSGVO unwahrscheinlich, dass eine ähnliche Situation wie im Vereinigten Königreich entsteht.

https://www.bbc.com/news/articles/cgj54eq4vejo

https://www.heise.de/news/Vergleich-zu-China-Trump-kritisiert-Grossbritanniens-Backdoor-Anordnung-an-Apple-10302545.html

Cisco-Lücke in OpenH264 (CVE-2025-27091)

Eine Schwachstelle in den Decodierungsfunktionen der OpenH264-Bibliothek ermöglicht es einem nicht authentifizierten Angreifenden, aus der Ferne einen Heap-Überlauf auszulösen. Angreifende können einen bösartigen Bitstream in ein Video einbetten und das Opfer dazu bringen, das Video abzuspielen. Dies kann zu einem unerwarteten Absturz des Dekodier-Clients führen und möglicherweise beliebige Befehle auf dem System des Opfers ausführen.

Die betroffenen Versionen sind OpenH264 2.5.0 und vorherige.

OpenH264 sollte auf die neueste Version (2.6.0 oder höher) aktualisiert werden, um diese Schwachstelle zu beheben.

Firefox empfiehlt die Deaktivierung des H264-Features, wenn das Betriebssystem keinen Support für OpenH264 mitliefert.

https://github.com/cisco/openh264/security/advisories/GHSA-m99q-5j7x-7m9x

https://support.mozilla.org/de/kb/openh264-plugin-firefox

Herausforderungen und Chancen der neuen US-Regierung

Die neue US-Regierung unter Trump hat in den vergangenen Wochen viele Entscheidungen getroffen, die für Schlagzeilen gesorgt haben. Nach Anweisung des Secretary of Defense an das Cyber Command Ende Februar, alle Aktionen gegen Russland einzustellen, wurde dies Anfang März dementiert. Parallel arbeitete das Department of Goverment Efficiency („DOGE“) an der Entlassung des Red Teams der CISA bzw. an fragwürdigen Einstellungen ehemaliger Cyberkrimineller im Department of Homeland Security (DHS).

Neben den direkten Auswirkungen auf z. B. bestehende Konflikte sind auch die Verbündeten der USA unsicher über die weitere Zusammenarbeit. Auch die Sicherheits-Community ist von diesen Änderungen betroffen. Das Thema Threat Intelligence wurde in den letzten Jahren maßgeblich durch diese Institutionen geprägt, und bisher ist noch unklar, ob und in welcher Form Alternativen funktionieren.

https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning

https://www.politico.eu/article/france-has-trouble-understanding-us-halt-on-cyber-operations-against-russia

https://www.csoonline.com/article/3839098/the-risks-of-standing-down-why-halting-us-cyber-ops-against-russia-erodes-deterrence.html

https://www.stripes.com/theaters/us/2025-03-04/cyber-hegseth-pentagon-russia-17031715.html

Sicherheitsrisiko IoT

Die Akira-Ransomware konnte trotz vorhandener Schutzsoftware im Firmennetzwerk durch den Einsatz eines nicht gepatchten IoT-Geräts (Webcam) in das Firmennetz eindringen und dort die Rechner infizieren. Die Angreifenden nutzten eine Schwachstelle in der Software der Webcam, die nicht von der Endpoint-Detection-and-Response-Software überwacht wurde, um die Ransomware zu verbreiten und Rechner im Firmennetzwerk zu infizieren.

Um derartige Angriffe zu unterbinden, ist eine möglichst feine Segmentierung der Netzwerke sowie eine Überwachung des Datenverkehrs, insbesondere im Zusammenhang mit IoT-Geräten, empfehlenswert.

https://www.heise.de/news/Akira-Ransomware-schluepft-ueber-Webcam-an-IT-Schutzloesung-vorbei-10307987.html

https://www.golem.de/news/cyberangriff-analysiert-hacker-verschluesseln-unternehmensdaten-ueber-eine-webcam-2503-194073.html

https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr

Entwickler erstellt Schadcode für den Fall seiner Entlassung

Ein Entwickler installierte in Sorge um seine Entlassung Schadcode auf Systemen seines Arbeitgebers. Dieser Code detektierte die Entlassung bei einer Deaktivierung seines Active-Directory-Nutzers. Der Schadcode setzte Endlosschleifen ein, die darauf abzielten, Java-Virtual-Machines unbenutzbar zu machen und so den Zugriff auf Server zu unterbinden. Als sein Nutzerkonto deaktiviert wurde, führte der Schadcode dazu, dass tausende Anwendende weltweit keinen Zugriff mehr hatten, was zu erheblichen Schäden führte. Dies ereignete sich bereits im Jahr 2019 und führte nun zu einer Verurteilung des Entwicklers.

Regelmäßige Peer-Reviews und Quellcode-Audits, ggf. auch automatisierte Tests und Continuous Integration/Continuous Deployment (CI/CD)-Pipelines, die primär der Qualitätssicherung in der Softwareentwicklung dienen, hätten hier die Tat des Entwicklers vereiteln oder mindestens ihn einem erhöhten Entdeckungsrisiko aussetzen können.

https://www.heise.de/news/Zeitbombe-in-Code-versteckt-Entwickler-verurteilt-10311150.html

https://www.golem.de/news/kollegen-ausgesperrt-systeme-des-ex-arbeitgebers-mit-kill-switch-sabotiert-2503-194115.html

KI-Agenten anfällig für einfache gefährliche Angriffe

Es lässt sich eine signifikant zunehmende Verwendung von KI-Agenten in verschiedenen Bereichen zur Automatisierung von Aufgaben und zur Unterstützung bei Entscheidungsprozessen beobachten (i. d. R. mit Large Language Models – LLM). Die Kompetenz, diese KI-Systeme effektiv zu nutzen und zu steuern, gewinnt damit an Bedeutung.

Doch wie sicher sind diese KI-Agenten?

Eine aktuelle Studie mit dem Titel „Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks“ beleuchtet die Sicherheits- und Datenschutzlücken von kommerziellen LLM-Agenten und zeigt, dass diese oft anfällig für einfache, aber gefährliche Angriffe sind.

Die Autoren der Studie haben eine umfassende Taxonomie der Angriffe erstellt, die Bedrohungsakteure, Ziele, Einstiegspunkte, Sichtbarkeit des Angreifenden, Angriffstechniken und die inhärenten Schwachstellen der Agenten-Pipelines kategorisiert. Die systematische Analyse zeigt, dass die Integration von LLMs in größere Systeme neue Sicherheitsherausforderungen mit sich bringt, die über die bekannten Schwachstellen isolierter LLMs hinausgehen.

Um die praktischen Auswirkungen dieser Schwachstellen zu demonstrieren, führten die Autoren eine Reihe von Angriffen auf populäre Open-Source- und kommerzielle Agenten durch, die bemerkenswert einfach umzusetzen waren und keine speziellen Kenntnisse im Bereich maschinelles Lernen erforderten. Dies unterstreicht die Dringlichkeit, Sicherheitsmaßnahmen zu verbessern und die Robustheit dieser Systeme zu erhöhen.

https://arxiv.org/html/2502.08586v1

https://www.linkedin.com/pulse/wenn-ki-agenten-zu-komplizen-werden-roger-basler-de-roca-qnrre

Weitere News im Februar

Die Grand Challenges der Informatik 2025

Die GI (Gesellschaft für Informatik e. V.) hat die „Grand Challenges der Informatik 2025“ vorgestellt. Es sollen die größten Herausforderungen sein, denen sich die Informatik in den kommenden Jahren stellen muss. Die GI hat fünf Herausforderungen identifiziert:

Internet of Everything – Die Vernetzung aller Elemente des täglichen Lebens erfordert effiziente und belastbare Lösungen für Industrie 4.0, Smart Cities und Telemedizin.

Dezentrale KI – KI-Modelle sollen direkt dort trainiert und ausgeführt werden, wo die Daten anfallen, was neue Forschungsfragen zu Handhabung und Sicherheit aufwirft.

Digitale Selbstbestimmung – Der Schutz der Selbstbestimmung der Nutzerinnen und Nutzer und die Förderung ihrer kritischen Kompetenz sind angesichts der Datenflut und der systematischen Verwertung von zentraler Bedeutung.

Vollautomatisierte Softwareentwicklung – Die Automatisierung in der Softwareentwicklung muss zuverlässig und ethisch reflektiert erfolgen.

World Wide Metaverse – Das Metaverse soll als erweiterter digitaler Lebensraum offen, frei und sicher gestaltet werden.

https://gi.de/grand-challenges

Datenlecks

In den letzten Wochen gab es weltweit eine Reihe bedeutender Cybersicherheitsvorfälle, die verschiedene Branchen und Unternehmen betrafen. Hier sind einige Ereignisse, die es in die Presse geschafft haben, zusammengefasst.

Potenzielles Datenleck bei OpenAI

OpenAI untersucht derzeit ein mögliches Datenleck, bei dem die Daten von 20 Millionen Nutzern gestohlen worden sein sollen. Cyberkriminelle behaupten, Zugangsdaten von ChatGPT-Nutzern im Darknet zum Verkauf anzubieten. Obwohl der Wahrheitsgehalt dieser Behauptungen noch unklar ist, nimmt OpenAI die Situation ernst und führt umfangreiche Untersuchungen durch.

https://www.heise.de/news/Cyberangriff-OpenAI-untersucht-potenzielles-Leck-von-20-Millionen-Nutzerdaten-10275538.html

https://www.golem.de/news/cybersicherheit-openai-benutzerdatenbank-angeblich-gehackt-2502-193173.html

Datenleck bei Thermomix

Ein Datenleck im Rezeptforum des Thermomix-Herstellers Vorwerk hat dazu geführt, dass die Daten von mehr als einer Million deutscher Nutzer im Darknet gelandet sind. Betroffen sind E-Mail-Adressen, Telefonnummern und andere persönliche Informationen. Vorwerk hat die Sicherheitslücke inzwischen geschlossen und die betroffenen Nutzer informiert.

https://www.heise.de/news/Datenleck-bei-Thermomix-Daten-von-1-Million-deutscher-Nutzer-im-Darknet-10273696.html

https://www.golem.de/news/thermomix-forum-hacker-erbeuten-millionenfach-nutzerdaten-von-vorwerk-2502-193119.html

Sicherheitslücken bei Legaltech-Unternehmen

Sicherheitsexperten haben triviale Datenlecks bei zwei Legaltech-Unternehmen aufgedeckt. Die Unternehmen, die automatisierte Rechtsdienstleistungen anbieten, hatten ungeschützte Daten im Netz, die leicht zugänglich waren. Nach Hinweisen des Chaos Computer Clubs (CCC) haben die betroffenen Firmen die Sicherheitslücken schnell geschlossen.

https://www.heise.de/news/Sicherheitsexperten-enthuellen-triviale-Datenlecks-bei-Legaltechs-10272273.html

https://www.ccc.de/de/updates/2025/ccc-deckt-datenlecks-bei-legal-tech-plattformen-auf

Datenleck in Reha-Kliniken

Ein massives Datenleck bei den ZAR-Reha-Kliniken in Deutschland hat potenziell Hunderttausende von Patienten betroffen. Hochsensible medizinische Daten waren ungeschützt zugänglich. Die betroffenen Kliniken haben die Sicherheitslücke inzwischen geschlossen und arbeiten an weiteren Sicherheitsmaßnahmen.

https://www.heise.de/news/Datenleck-in-Reha-Kliniken-Hunderttausende-Patienten-potenziell-betroffen-10262109.html

Ransomware-Angriff auf Tata Technologies

Der indische Technologiekonzern Tata Technologies wurde Opfer eines Ransomware-Angriffs, der zum vorübergehenden Ausfall einiger IT-Dienste führte. Das Unternehmen hat die betroffenen Dienste inzwischen wiederhergestellt und führt eine detaillierte Untersuchung durch, um die Ursache des Angriffs zu ermitteln und künftige Risiken zu minimieren.

https://therecord.media/tata-ransomware-attack-report-incident

Stealer-Apps im App Store

Zum ersten Mal wurden im Apple App Store Stealer-Apps entdeckt, die Passwörter aus Screenshots stehlen. Die unter dem Namen SparkCat bekannte Malware zielt auf Android- und iOS-Benutzer ab und durchsucht deren Foto-Bibliotheken nach sensiblen Informationen wie Krypto-Wallet-Seed-Phrasen. Apple hat die betroffenen Apps mittlerweile entfernt.

https://www.heise.de/news/Klaut-Passwoerter-aus-Screenshots-Stealer-Apps-erstmals-im-App-Store-gesichtet-10273411.html

Fazit

Diese Vorfälle unterstreichen die Bedeutung robuster Cybersecurity-Maßnahmen und die Notwendigkeit, ständig wachsam zu bleiben, um Datenlecks und Cyberangriffe zu verhindern. Auch wenn der folgende Artikel schon ein paar Jahr alt ist, bringt dieser die Problematik rund um Datenlecks auf den Punkt.

https://www.ccc.de/en/updates/2022/web-patrouille-ccc

Wo Unternehmen aufgrund eines Fehlers Daten abhandenkommen, will die britische Sicherheitsbehörde auf Basis des “Investigatory Powers Act“ einen dauerhaften Datenzugriff auf Benutzerdaten erhalten.

https://www.heise.de/news/Britische-Regierung-erzwingt-Zugriff-auf-Apples-verschluesselte-Cloud-Daten-10273896.html

Menschen, die gerne mal wissen wollen, ob ihr Passwort bei einem der vielen Datenlecks betroffen ist, können Seiten wie https://haveibeenpwned.com/Passwords verwenden. Doch Vorsicht mit der Eingabe von eigenen Passwörtern auf fremden Webseiten. Im Zweifel hat man sein Passwort gerade aus der Hand gegeben.

Seitenkanalangriff des Monats

Forscher vom Georgia Institute of Technology und von der Ruhr University Bochum haben zwei neue Seitenkanal-Schwachstellen in modernen Apple-Prozessoren entdeckt, die als „FLOP“ und „SLAP“ bezeichnet werden. Beide Seitenkanalangriffe zielen auf Funktionen ab, die die Verarbeitung beschleunigen sollen, indem sie zukünftige Anweisungen erraten, anstatt auf sie zu warten, und so Spuren im Speicher hinterlassen, um sensible Informationen zu extrahieren.

FLOP (False Load Output Prediction) ist ein Problem mit Apples neuesten M3-, M4- und A17-Prozessoren, die nicht nur die Speicheradressen vorhersagen, auf die sie zugreifen werden, sondern sogar die tatsächlich im Speicher gespeicherten Werte. https://predictors.fail/files/FLOP.pdf

SLAP (Speculative Load Address Prediction) betrifft Apples M2- und A15-Prozessoren und viele der späteren Modelle. Anstelle von FLOP, bei dem es darum geht, zu erraten, welchen Wert eine Speicherladung zurückgeben wird, geht es bei SLAP um die Vorhersage der Speicheradresse, auf die als Nächstes zugegriffen wird, genannt Load Address Prediction (LAP). https://predictors.fail/files/SLAP.pdf

Die FLOP- und SLAP-Angriffe sind von Bedeutung, da sie moderne und weitverbreitete Hardware betreffen und aus der Ferne ausgeführt werden können, ohne dass physischer Zugang erforderlich ist.

Hat ein Angreifer ein Opfer auf eine bösartige Seite locken können, kann der Angreifer mit diesen Schwachstellen Daten aus Webbrowsern stehlen.

Die Forscher haben auf ihrer Webseite Videos veröffentlicht, mit denen der Angriff demonstriert wird: https://predictors.fail/

https://www.bleepingcomputer.com/news/security/new-apple-cpu-side-channel-attack-steals-data-from-browsers

Freigiebiger Datenreichtum bei VW

Die Frage der Datenhoheit, die sich aus der Erfassung und Nutzung von Daten durch Fahrzeuge ergibt, ist Gegenstand kontroverser Diskussionen. Fahrzeughersteller vertreten die Auffassung, dass diese Daten als ihr Eigentum zu betrachten sind, während Halter von Fahrzeugen der Meinung sind, dass es sich um personenbezogene Daten handelt, was die Anwendung der DSGVO impliziert.

https://www.adac.de/rund-ums-fahrzeug/ausstattung-technik-zubehoer/assistenzsysteme/daten-im-auto-eu-data-act

Der ADAC hat bereits 2016 festgestellt, dass sich aus Daten der Autosensoren und der Bewegungsdaten Rückschlüsse auf das Nutzungsprofil ziehen lassen. Im Januar 2024 wies der ADAC erneut darauf hin, dass unsere Autos mittlerweile sehr viele Daten sammeln.

https://www.adac.de/rund-ums-fahrzeug/ausstattung-technik-zubehoer/assistenzsysteme/daten-modernes-auto

Das ungewollte Offenlegen der Bewegungsdaten von Elektrofahrzeugen des Volkswagen-Konzerns kann als eine natürliche „Fruchtfolge“ von Erhebung, Verwendung und Datenpanne betrachtet werden.

Wie bereits von den Vortragenden auf dem 38C3 treffend angemerkt, lag der eigentliche Fehler darin begründet, dass die Daten überhaupt erhoben wurden.

Doch was ist passiert? Die VW-Tochter Cariad, die für die Entwicklung der betroffenen Software des Autokonzerns verantwortlich ist, betreibt eine Spring-basierte Webanwendung, die aus dem Internet erreichbar ist. Über diese Webanwendung waren mehrere API-Endpunkte ohne Passwortschutz erreichbar. Darunter auch der Spring Boot Actuator mit seinem Endpunkt Heapdump.

https://docs.spring.io/spring-boot/api/rest/actuator/heapdump.html

Ein Heapdump ist eine Momentaufnahme des Speichers (Heap) einer laufenden Java-Anwendung. Er enthält Informationen über alle Objekte, die sich zu einem bestimmten Zeitpunkt im Speicher befinden, einschließlich ihrer Referenzen untereinander.

https://www.codecentric.de/wissens-hub/blog/java-heapdumps-erzeugen-und-verstehen-4-akt

Heapdumps werden häufig zur Analyse von Speicherproblemen wie OutOfMemoryError verwendet.

https://www.baeldung.com/java-heap-thread-core-dumps

Es können aber auch gespeicherte Geheimnisse wie z. B. (API-)Schlüssel enthalten sein, welche sich mit einfachen Analysewerkzeugen extrahieren lassen. Genau dies war bei VW der Fall. Mit diesen Geheimnissen konnte dann auf einen eigentlich zugriffsgeschützten Cloud-Speicher zugegriffen werden. Und auf diesem befand sich eine sehr umfangreiche Datensammlung.

Da VW die Positionsdaten mit einer höheren Genauigkeit speicherte (10 cm) als in den AGB vorgesehen (diese spricht von „gekürzten GPS-Daten“), waren sehr genaue Auswertungen der Fahrzeughalter möglich. Böswillige Organisationen hätten mit diesen Daten den Aufenthaltsort und ggf. das Verhalten u. a. auch von Mitarbeitern sicherheitsrelevanter Behörden ermitteln können – wo geht wer zu welchen Sportaktivitäten, welcher Arzt wird wann aufgesucht, wo wird einkauft, …

Fazit: Daten, die nicht erhoben werden, können auch nicht ungewollt offengelegt werden. Datensparsamkeit darf keine leere Phrase sein.

https://spiegel.de/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027

https://heise.de/news/In-der-Cloud-abgelegt-Terabyte-an-Bewegungsdaten-von-VW-Elektroautos-gefunden-10220623.html

https://vinqo.de/vw-datenskandal-betroffene-schliessen-sich-fur-mogliche-sammelklage-zusammen/

Windows-BitLocker-Probleme

BitLocker ist die Microsoft-Implementierung der Verschlüsselung des gesamten Datenträgers. Es bietet mehrere Betriebsmodi, wobei die Secure-Boot-basierte Verschlüsselung am weitesten verbreitet ist. Diese ist bei neueren Windows-11-Installationen standardmäßig unter „Geräteverschlüsselung“ aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legitimes Windows gestartet wird. Der Benutzer muss sich lediglich mit seinem normalen Benutzerkonto anmelden. Die wenig bekannte Schwachstelle Bitpixie (CVE-2023-21563), die Microsoft seit 2022 nicht mehr gepatcht hat, kann ausgenutzt werden, um die BitLocker-Verschlüsselung auf einem brandneuen Windows-11-System mit Secure Boot durch einen Downgrade-Angriff zu umgehen.

https://media.ccc.de/v/38c3-windows-bitlocker-screwed-without-a-screwdriver

Schwachstelle öffnet Türen in mehr als 3.000 Hotels

Es mag bequem klingen: Die Zimmertür im Hotel lässt sich ganz ohne Schlüssel oder Karte vom Smartphone aus entriegeln. Doch was passiert, wenn die Logik eines solchen Systems nicht ausreichend abgesichert ist?

Zimmertüren von Hotels aus über 25 Ländern ließen sich mit einer neu entdeckten Schwachstelle öffnen. Bequem? Ja, über das Internet und ohne Zugangsdaten. Dazu konnten sämtliche Reservierungsinformationen (u. a. Name, E-Mail, Reservierungszeitraum und Raumnummer) eingesehen werden. Doch wie kam es dazu?

Zusammenfassung

Die Firma straiv ist ein innovativer und digitaler Begleiter für Hotelbranchen. Als solcher bieten sie unter anderem Online-Check-ins und digitale Türöffnungen an. Was den Sicherheitsforschern Björn Brauer, Deniz Adrian und David Mathiszik bei einem Hotelbesuch jedoch auffiel: Angreifenden wäre es dank einer fehlerhaften Zugangskontrolle in der API möglich, den Check-in und das Öffnen von Türen auch ohne Autorisierung über das Internet zu bedienen.

Im Rahmen einer vertraulichen Offenlegung (engl. Responsible Disclosure oder auch Coordinated Vulnerability Disclosure – CVD) wurden die technischen Details daraufhin direkt an den Hersteller übermittelt. straiv reagierte zeitnah und behob die Sicherheitslücke in ihrer Anwendung umgehend.


Dank ihres Software-as-a-Service-Ansatzes konnte das Unternehmen das Sicherheitsrisiko zeitgleich für alle Kunden mitigieren. Es wird daher auch keine CVE-ID für diese Schwachstelle vergeben. Die Veröffentlichung der Schwachstelle erfolgt in Abstimmung mit dem Hersteller frühestens einen Monat nach der erfolgreichen Behebung.

Die Ursache: Broken Access Control

Broken Access Control belegt aktuell Platz 1 unter den beliebtesten (lies: häufigsten) Schwachstellen in Webanwendungen (siehe: A01:2021 – OWASP Top 10). Auch hier war eine fehlerhafte Zugriffskontrolle die Ursache.

Für gewöhnlich erhalten Gäste eine E-Mail mit einem Link zu ihrer Reservierung. Über diesen werden sie auf die Webanwendung von straiv weitergeleitet. Dort können Buchungsinformationen, die Reisedaten und alle Begleiterprofile eingesehen werden. Ein weiterer Menüreiter führt zu den digitalen Zimmerschlüsseln. Darüber kann die Zimmertür während des eigenen Buchungszeitraums gesteuert werden. Dies geschieht über die API von straiv.io.

Normale API-Anfragen schienen mindestens durch einen HTTP-Header (X-Token), einen Code (cryptcode) und die Reservierungsnummer (reservation) geschützt zu werden. Wurde auch nur einer der Werte verändert, so wurde der Zugriff erwartungsgemäß verwehrt. Fehlten jedoch alle Werte gleichzeitig, wurde nur noch die Reservierungsnummer interpretiert.

In der folgenden beispielhaften Anfrage wurden sämtliche Authentifizierungsparameter, bis auf die Reservierungsnummer, leer gelassen und die API antwortete dennoch mit Informationen zur Reservierung.

POST /api/v2/auth HTTP/2
Host: start.straiv.io
X-Token:
X-Code:
X-Version: 12.3.0
Content-Type: application/json
{
    "cryptcode":"",
    "platform":"linux",
    "browser":"Firefox",
    "version":"115.0",
    "tokens":[],
    "reservation":"3XXXXX"
}

Das Ergebnis enthielt neben anderen Informationen auch einen validen token, der für weitere API-Anfragen genutzt werden konnte.

So lieferte der folgende API-Aufruf noch mehr Kundendetails:

GET /api/v2/vblo/pms/reservation?reservation_id= HTTP/2
Host: start.straiv.io
Accept: application/json, text/plain, */
X-Token: sXXXXXXXXXXXXXXXXXXXh
X-Code: XXXX
X-Version: 12.3.0

Statt die API zu verwenden, kann auch die remote_url aus der Antwort der ersten API-Anfrage verwendet werden, um bequem über die Webanwendung auf die Reservierung zuzugreifen:

HiSolutions hat keine Enumeration von Nutzerdaten durchgeführt und über das Abschätzen der Auswirkungen dieser Schwachstelle hinaus nicht mit der API oder den Buchungen interagiert. Prinzipiell standen alle Funktionalitäten des legitimen Benutzers uneingeschränkt zur Verfügung.

Mitigation

Für die Kunden von straiv bestand kein weiterer Handlungsbedarf. Die Sicherheitslücke wurde von den Entwicklern ernst genommen und umgehend geschlossen.

Grundsätzlich lassen sich Fehler dieser Art durch folgende allgemeine Empfehlungen verhindern:

  • Vertrauen Sie keinen Nutzereingaben – validieren Sie diese.
    Verlassen Sie sich nie auf die Gültigkeit von jeglichen Werten, die von den Endbenutzern beeinflusst werden können. Dazu gehören auch Cookie-Werte, Anfragenparameter und HTTP-Header. Auch auf serverseitig gespeicherte Informationen sollte nich blind in allen Kontexten vertraut werden.
  • Überprüfen Sie Gültigkeit aller Werte serverseitig. Weisen Sie leere oder ungültige Authentifizierungsinformationen zurück. Achten Sie bei der Implementierung von Tests auf eine vollständige Abdeckung aller Randszenarien (ein, mehrere oder auch alle Werte sind unerwartet, NULL, nicht definiert, vom falschen Typ, etc.).
  • Verwenden Sie starke Authentifizierungsmethoden.
    Implementationen sind stets abhängig von der Anwendung und dem Kontext. Greifen Sie, wenn möglich, auf bewährte und praxiserprobte Bibliotheken und Authentifizierungslösungen zurück. Verwenden Sie besonders in Bezug auf sensitive Informationen Zwei-Faktor-Authentifizierung. Stellen Sie zudem sicher, dass alle automatisch generierten Schlüssel, Codes und Token nicht leicht zu erraten und somit vor Brute-Force-Angriffen geschützt sind (vgl. UUID v4).
  • Durchsatzbegrenzung (engl. Rate Limiting) der API-Anfragen:
    Begrenzen Sie die mögliche Anzahl der Anfragen von einzelnen Systemen, um dem Missbrauch, wie der schnellen Enumeration von gültigen Reservierungen, vorzubeugen.

In ihrem Update hat straiv mindestens eine Anfragenbegrenzung aktiviert und Reservierungsnummern auf ein nicht-erratbares Format geändert.

Wie HiSolutions helfen kann

HiSolutions bietet spezialisierte Penetrationstests für Webanwendungen und Infrastrukturen an. Hierbei greifen wir auf langjährige Erfahrung zurück und kombinieren die Fähigkeiten modernster Scantechnologien mit manuellen Prüfverfahren, um die bestmögliche Testabdeckung zu gewährleisten.

Stellen Sie sicher, dass Schwachstellen gefunden und behoben werden, bevor Sie ausgenutzt werden können und kontaktieren Sie uns unter +49 30 533 289 0 oder dem Kontakformular für ein kostenloses Erstgespräch.

Koordinierte Veröffentlichung

  • 22.05.2024 HiSolutions sammelt Details zur Schwachstelle.
    Finder: Björn Brauer, Deniz Adrian & David Mathiszik
  • 23.05.2024 HiSolutions informiert betroffene Hotelkette und wird an straiv weitergeleitet.
  • 25.05.2024 straiv vereinbart einen Termin für die Übermittlung aller Details.
  • 04.06.2024 HiSolutions teilt alle Details mit straiv.
  • 06.06.2024 straiv veröffentlicht ein Update und HiSolutions bestätigt den Fix.

CVE-2024-24272 – DualSafe Password Manager Leaks Credentials

During an investigation, HiSolutions discovered a credential leak of a password manager that was installed as browser extension. After reporting the vulnerability, the vendor was quick to respond and implemented a fix.

Summary

The DualSafe Password Manager by iTop before version 1.4.24 leaks credentials as plaintext in a log file that can be accessed by the local user without knowledge of the master secret (CWE-532). This vulnerability was assigned CVE-2024-24272.

Update to the newest version (at least 1.4.24) as soon as possible and replace potentially leaked credentials.

Vulnerability Details

The following details were produced in a test setup with the vulnerable version 1.4.21 of the DualSafe Password Manager installed in Chrome. After storing and using several credential pairs via the blue extension icon on the top right corner, the log file started showing some entries that contain the plaintext credentials.

Logging is done via a text file in the directory of the browser extension, in this case: C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\lgbjhdkjmpgjgcbcdlhkokkckpjmedgc\000003.log (file name may vary).

The following image depicts the credential pair stored in DualSafe (right) as well as the log file that contains the same password as plaintext (left).

DualSafe password manager and its log file. Cleartext credentials are marked in the log file.
DualSafe Password Manager leaks plaintext password in log file.

One interesting thing to note is that, while the log file contains some credentials as plaintext in a structure like this one: cacheTabinfoes1_1Þ{"[...]":{"confirmItem":{"pwd":"<password>",[...], "type":"login","uname":"<user>","uri":["<url>"]}}}, there are also similar structures with the key pwd but their value is encrypted. Though the observed log events did not indicate the exact trigger for an entry with a plaintext password, passwords could already be extracted after just a few login attempts.

Usually, the password manager requires a master secret to unlock and access the stored credentials. This vulnerability allows an attacker to harvest stored credentials from the log file without knowing the master secret.

Remediation

iTop announced a fix in version 1.4.24.

Shortly after reporting the vulnerability details to iTop, a fix was implemented and rolled out across Firefox, Edge, and Chrome. Update to the newest version as soon as possible and check for potentially leaked passwords in the described location (the exact path depends on the browser).

Should passwords have been leaked this way, rotate them after updating the extension.

Responsible Disclosure Timeline

  • 04.01.2024 – HiSolutions contacts iTop
  • 30.01.2024 – HiSolutions contacts iTop again after no response
  • 31.01.2024 – iTop responds and requests vulnerability details
  • 31.01.2024 – HiSolutions provides all vulnerability details
  • 01.02.2024 – iTop announces that a fix has been implemented and will be published soon
  • 02.02.2024 – iTop requests a delay before publication to roll out the fix
  • 05.02.2024 – iTop releases 1.4.24 on Firefox and Edge
  • 15.02.2024 – iTop releases 1.4.24 on Chrome
  • 12.03.2024 – HiSolution requests green light for publication
  • 13.03.2024 – iTop accepts and states that 1.4.24 fixes the vulnerability

Credits

This vulnerability was discovered by Paula T., Joshua Z. and Pascal B. (HiSolutions AG). We also thank iTop for their swift response and remediation regarding this vulnerability.

Ivanti noch immer im Visier

Im letzten Digest haben wir Sie bereits über die Offenlegung von vier Schwachstellen in den Ivanti-Produkten Connect Secure und Policy Secure informiert. Seit Erscheinen des Newsletters hat sich noch eine weitere Schwachstelle dazugesellt. Ivanti hat seitdem auch zwei weitere Runden mit Patches veröffentlicht, um die Lücken zu schließen.

HiSolutions sieht als Incident-Response-Dienstleister immer noch neue Angriffe, die in Verbindung mit den Schwachstellen stehen. Falls es noch nicht getan wurde, sollten Sie ihre Ivanti-Produkte schnellstmöglich patchen und eine Kompromittierung mit dem Ivanti Integrity Checker überprüfen. Besonders die Schwachstelle mit der Kennung CVE-2024-21893 wird massenhaft auch durch State Actors ausgenutzt. Falls der Verdacht auf eine Infektion besteht, leiten Sie Sofortmaßnahmen ein und kontaktieren Sie uns oder einen anderen IR-Dienstleister.

Ivantis Artikel zur jüngsten Schwachstelle mit relevanten Patch-Informationen:
https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure

Aktueller Artikel auf TheHackerNews:

https://thehackernews.com/2024/02/chinese-hackers-exploiting-ivanti-vpn.html

Ivantis VPN-Software von neuen Schwachstellen heimgesucht

Der erste Blick in den Eierkorb führt uns zu Ivanti mit ihrer VPN-Software: Nachdem am 10. Januar durch den Hersteller zwei Sicherheitslücken veröffentlicht wurden, sind nun am 31. Januar zwei weitere Schwachstellen entdeckt worden. Diese werden seit geraumer Zeit aktiv ausgenutzt. Die neuen Lücken sind mit dem Patch der älteren Schwachstellen aufgetaucht und wurden mit den Updates direkt mitgeflickt.

Besonders problematisch ist die Kombination der ersten beiden Schwachstellen. Damit wird es möglich, willkürliche Kommandos auf den Systemen auszuführen. Während die erste Schwachstelle einen Authentication-Bypass in der Webkomponente von Ivanti ICS und Policy Secure ermöglicht, kann man bei der zweiten Schwachstelle eine Command-Injection in den Webkomponenten von Ivanti Connect Secure und Policy Secure vornehmen. Diese Kombination aus Rechteerlangung und Remote Execution ist äußerst problematisch.

Die durch Ivanti zur Verfügung gestellten Updates bieten vorläufige Gegenmaßnahmen für den alten Angriffsvektor sowie gegen die neu gefundenen Lücken. Patchen Sie als Kunde von Ivanti Ihre Produkte so schnell wie möglich!

Mit den weiteren gefundenen Schwachstellen kommen eine Privilege Escalation sowie eine Server Side Request Forgery dazu. Die SSRF-Schwachstelle, die Zugriff auf bestimmte Ressourcen ohne Authentifizierung erlaubt, wird bereits aktiv ausgenutzt. Das BSI erwartet eine steigende Verwendung dieser Sicherheitslücke.

Ausgenutzt werden die Schwachstellen derzeit von verschiedenen Akteuren, darunter die Gruppe UTA0178. Ziele der Angreifer sind häufig Regierungen, Telekommunikationsunternehmen, Verteidigungsunternehmen und Fortune-500-Unternehmen weltweit. Die Entdeckung dieser Vielzahl an Zero-Days, gepaart mit dem beobachteten Verhalten der Angreifer und der Wahl der Zielorganisationen lassen auf Threat-Actors schließen, die über weitreichende Ressourcen und Kenntnisse verfügen.

 Eine Prüfung auf eine Kompromittierung ist beim Einsatz der Ivanti-Produkte in allen Fällen notwendig.

Die letzte Meldung auf heise finden Sie hier:

https://www.heise.de/news/Ivanti-Neues-ausgenutztesSicherheitsleck-Updates-endlich-verfuegbar-9615184.html

Einen technischen Deep-Dive zu den Schwachstellen finden Sie hier:

https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation