Sie sehen gerade einen Platzhalterinhalt von Spotify. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenGetränke-Empfehlung
Jens: Cola
Martin: FuzeTea
Gehackte Unternehmen
Klinikum Esslingen
Beim Angriff über einen „Fernzugang“ konnten der oder die Angreifer Schäden auf Servern – vor allem im Bereich Radiologie anrichten. Sehr wahrscheinlich kamen die Angreifer über die als Citrix Bleed bezeichnete Schwachstelle auf die Server des Klinikums. Angreifergruppe ist unklar – wobei in letzter Zeit insb. Lockbit durch das Ausnutzen der Citrix Bleed Schwachstelle aufgefallen ist.
Quellen:
- https://www.borncity.com/blog/2023/11/30/cyber-angriff-auf-klinikum-esslingen-citrix-bleed-ausgenutzt/
- https://www.heise.de/news/Nach-Cyberangriff-auf-Klinikum-Esslingen-Analyse-laeuft-auf-Hochtouren-9546201.html
Deegenbergklinik
Klinik in Bad Kissingen, es sind 110 GB an Daten abgeflossen. Hier ist eine neue „Angreifergruppierung“ in Erscheinung getreten – Hunters International. Aktuell sind (ggf.) geleakte Daten nicht aufzufinden – wir bleiben hier dran und schauen ob und wo die Daten in welchem Umfang veröffentlicht werden.
Quelle:
SCHEIDT GmbH & Co. KG
Die SCHEIDT GmbH & Co. KG baut Trafostationen, Schalthäuser und ist seit 100 Jahren am Markt mit ca. 200 Mitarbeitern. Gehackt durch die 8 Base Gruppe – in 2023 eine sehr aktive Gruppe. Mit 11 % aller Angriffe durchaus in derselben Größenordnung wie Lockbit (~18 % aller Angriffe – jeweils weltweit).
Quelle:
Bauwerk Boen
Norwegisch / Deutsch / Internationale Gruppe zum Thema “Parkett”. Auch hier eine „neue“ Angreifergruppe in unserem Podcast, die „Akira-Gruppe“.
Quelle:
Gräbener, Grimme Landmaschinentechnik, Automobilzulieferer aus Süddeutschland, CDTI
Viele weitere Unternehmen ebenfalls betroffen – an dieser Stelle nicht nur kleine Unternehmen. Zu den genannten Unternehmen liegen uns noch keine Details vor, was Angriffspfad und Umfang angeht. Den Sachverhalten müssen wir in den nächsten Wochen nachgehen.
Quellen:
- https://www.graebener.com/de/blog/datenschutzvorfall-bei-graebener
- https://www.om-online.de/wirtschaft/grimme-von-hacker-angriff-betroffen-180711
- https://grimme.com/de/news/it-systeme-der-grimme-gruppe-von-hackerangriff-betroffen
Wirtschaftsdaten von Black Basta
Die Black Basta Gruppe hat seit Anfang 2022 mehr als 100 Mio € Umsatz erzielt. Umgerechnet als ~50 Mio. Euro pro Jahr. Für uns eine Wahnsinnssumme – insb. wenn man bedankt das sehr wahrscheinlich nur eine Minderheit aller Unternehmen zahlt. „Nicht“ zu zahlen ist und bleibt auch unsere Empfehlung. Für die nächste Folge wollen wir einen Fall reinnehmen der 3 Mal von derselben Angreifergruppe gehackt wurde – obwohl er gezahlt hat.
Quelle:
Schwachstellen
iOS, MacOS, …
Für iOS und MacOS gibt es Notfallupdates [iOS 17.1.2]. Es werden zwei Schwachstellen – out-of-bounds und Ausführung von „beliebigem“ Code – durch die Schwachstellen ermöglicht. Apple pusht die Updates auf die Geräte – für Geräte, die zentral verwaltet werden, sollten die Verantwortlichen prüfen, ob die entsprechenden Updates verteilt werden.
- CVE-2023-42916, CVE-2023-42917
- Quellen
Android
An der Schwachstelle sollen entfernte Angreifer ohne spezielle Nutzerrechte ansetzen können. Für eine erfolgreiche Attacke müssen Opfer (anscheinend) nicht mitwirken – nicht einmal der Klick auf einen präparierten Link soll nötig sein. Klappt ein Angriff, kann Schadcode auf Geräte gelangen. Wie so eine Attacke ablaufen könnte, ist derzeit nicht bekannt.
Hier können Angreifer auf eigentlich abgeschottete Informationen zugreifen oder sich höhere Nutzerrechte verschaffen.
- CVE-2023-40088, CVE-2023-40077, CVE-2023-40076
- Quelle
VMWare Cloud Director
In der VMWare Cloud Director Appliance gibt es eine Schwachstelle die es ermöglicht die Authentisierung auszuhebeln. Betroffen sind hier insb. VMWare Cloud Director Installationen, die mittels Upgrade (im Gegensatz zu Neuinstallation) auf die aktuelle Version gehoben wurden.
Ursächlich ist hier die unterliegende Bibliothek „sssd“ die im Photon OS nicht aktualisiert wurde im Upgrade-Pfad.
- CVE-2023-34060
- CVSS: 9.8
- Quellen:
SPECTRE (neu: SLAM) für neue Prozessorvarianten
Der für bisher existierende Prozessorvarianten bereits bekannte SPECTRE – Angriff ist nun auch für neue und kommende Prozessorgenerationen nachgewiesen. SPECTRE nutzt die in modernen Prozessoren vorhandenen „Vorhersagemechanismen“ aus und „zwingt“ den Prozessor Programmcode auszuführen, der eigentlich nie durchlaufen wird.
Für ihren „Proof of Concept“ mussten die Informatiker deshalb auf eine LAM-Softwareemulation zurückgreifen. Mit dieser gelingt es ihnen, innerhalb weniger Sekunden als normaler Linux-Nutzer eine Zeile der Datei /etc/shadow aus dem Speicher auszulesen – die Datei ist nur für den Administrator-Nutzer root zugänglich.
Heise
Quelle:
Atlassian (Confluence, Jira und Bitbucket)
Die On-Premise Installationen von Confluence, Jira und Bitbucket (wieder) mit Schwachstellen – und wieder kritischen. Wir diskutieren im Podcast den mittelbaren „Zwang“ den Atlassian (auch) mit solchen Schwachstellen auf Administratoren ausübt in die Cloud – Instanzen zu wechseln (die nicht betroffen ist).
- CVE-2022-1471 / CVSS: 9.8
- CVE-2022-22523 / CVSS: 9.8
- CVE-2022-22524 / CVSS: 9.6
- CVE-2022-22522 / CVSS: 9.0
- Quelle:
Chrome
Viele Informationen gibt es derzeit nicht. Klar ist, dass Angreifer durch das Auslösen von Speicherfehlern etwa in Media Stream eigenen Code auf Systemen ausführen können.
- CVE-2023-6508, CVE-2023-6509
- Quelle: