Stand: 03.05.2024

In der Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben.

Kritische Schwachstelle bei Microsoft-Exchange-Server in Deutschland

Im Februar wurde eine weitere kritische Schwachstelle in Exchange bekannt. Diese Schwachstelle wird aber nicht mit einem Patch geschlossen, sondern kann stattdessen durch die Aktivierung der „Extended Protection for Authentication (EPA)“ verhindert werden. Problematisch ist diese Schwachstelle für solche Server, die auf den nicht mehr unterstützten Versionen 2010 oder 2013 laufen, denn für diese gibt es die genannte Extended Protection gar nicht und die Situation ist hochkritisch. Das genannte Sicherheitspaket gibt es bereits seit dem Cumulative Update 14 für Exchange 2019, das die Extended Protection standardmäßig aktiviert. Allerdings ist dieses Update nur auf ca. 15 % der Server in Deutschland installiert.

Kritische Backdoor in XZ für Linux

Ende März gab der Open-Source Anbieter Red Hat bekannt, dass in den Versionen 5.6.0 und 5.6.1 der „xz“-Tools und -Bibliotheken maliziöser Code entdeckt wurde, der es ermöglicht, die Authentifizierung in sshd über systemd zu umgehen. Diese Schwachstelle wurde mit dem höchstmöglichen CVSS_Score mit 10 von 10 Punkten als kritisch eingestuft.

Folgende Betriebssystemversionen enthalten kompromittierte xz-Pakete:

  • Alpine: Edge mit xz-Paketen in den Versionen 5.6.1-r0 und 5.6.1-r1 (Stable Releases nicht betroffen)
  • Arch: Versionen, in denen das Paket xz 5.6.0-1 installiert ist
  • Debian: Lediglich testing, unstable (sid) und experimental Releases mit xz-Paketen in den Versionen xz-utils 5.5.1alpha-0.1 (vom 1. Februar 2024) bis einschließlich 5.6.1-1
  • Fedora: 40, 41 und Rawhide Releases mit xz-Paketen in den Versionen xz-5.6.0- und xz-5.6.1- (Stable Releases nicht betroffen)
  • Gentoo: Versionen mit den Paketen xz-utils 5.6.0 und xz-utils 5.6.1. Eine Ausnutzung ist aufgrund der fehlenden OpenSSH-Konfiguration jedoch nicht möglich
  • Kali: Versionen, in denen zwischen dem 26. und 29. März das Paket xz-utils 5.6.0-0.2 installiert wurde
  • OpenSuse: Tumbleweed Releases mit den xz-Paketen xz-5.6.0 und xz-5.6.

Es reicht für eine Kompromittierung aber noch nicht aus, dass ein solches Paket vorhanden ist, da der SSH-Daemon ist nicht direkt mit der manipulierten Bibliothek verbunden ist, jedoch systemd für die Authentifizierung, welches wiederum xz Komponenten verwendet, nutzt.

Ausnutzung einer ungepatchten Schwachstelle in den Palo Alto Networks Firewalls

Mitte April veröffentlichte das Unternehmen Palo Alto Networks ein Advisory zu einer bereits ausgenutzten Schwachstelle, die als hochkritisch eingestuft wurde. Genau handelt es sich um eine OS Command Injection im GlobalProtect Gateway Feature, die es einem unauthentifizierten Angreifenden aus der Ferne ermöglicht, Code mit Root-Rechten auf der Firewall auszuführen.

Betroffen von der Schwachstelle CVE-2024-3400 sind Firewalls mit

  • PAN-OS 11.1 mit Version < 11.1.2-h3
  • PAN-OS 11.0 mit Version < 11.0.4-h1
  • PAN-OS 10.2 mit Version < 10.2.9-h1

und mit konfiguriertem GlobalProtect Gateway und aktiviertem Telemetrie-Feature.

Im ersten Schritt wurden bereits Hotfixes veröffentlicht und im zweiten Schritt wurde das Advisory angepasst. Neben physischen Geräten von Palo Alto können allerdings auch Produkte anderer Hersteller betroffen sein, wenn diese die verwundbaren PANOS Versionen (beispielsweise als virtuelle Maschine) integriert und Global Protect konfiguriert haben.

Schwachstelle ermöglicht Datenabfluss bei CrushFTP

Mitte April warnte das Unternehmen CrushFTP seine Kunden vor einer Schwachstelle in der Datenübertragungssoftware. Durch diese Schwachstelle kann es nicht authentifizierten Angreifern gelingen, an vertrauliche Daten zu gelangen, indem sie aus dem virtuellen Dateisystem ausbrechen und Systemdateien herunterladen. Problematisch ist dies für alle Produktversionen, die nicht auf CrushFTP 10.7.1 oder 11.1.0 aktualisiert worden sind. Betroffen sind nach aktuellem Stand aber auch Kunden die DMZ Server vor einer CrushFTP Instanz einsetzen.

Derzeit findet eine breite Ausnutzung ungepatchter CrushFTP Instanzen statt – ein schnelles Absichern der Systeme ist erforderlich. Ein Proof-of-Concept Exploit sowie technische Details zur Schwachstelle sind inzwischen öffentlich verfügbar.

Aktiv ausgenutzte Schwachstellen bei Cisco ASA geschlossen

Ende April veröffentlichte der Hersteller Cisco drei Advisories für Schwachstellen in seinem Produkt Cisco ASA (Adaptive Security Appliance). Zwei Schwachstellen wurden bereits in gezielten Attacken verwendet. Eine Schwachstelle ermöglicht es einem lokalen Angreifenden mit hohen Berechtigungen Code ausführen zu können. Es wurde bereits die Platzierung von persistenten Webshells durch die Täter entdeckt. Die zweite Schwachstelle ermöglicht Denial-of-Service Attacken aus der Ferne und wurde ebenfalls bereits genutzt. Für eine dritte Schwachstelle bei der Command-Injection wurde noch keine Ausnutzung festgestellt. Es sollten dringend die zur Verfügung stehenden Patches installiert und die Systeme auf eine mögliche Kompromittierung geprüft werden.

Bedrohung durch „Smishing“ immer noch hoch

Das BSI warnt immer noch vor SMS-Phishing, kurz Smishing. Bei dieser Betrugsmethode versuchen Cyberkriminelle über SMS-Nachrichten Smartphone-Nutzer mit betrügerischen SMS entweder zur Übermittlung persönlicher Daten zu verführen oder Schadsoftware auf den Geräten zu installieren. Um ihr Ziel zu erreichen, platzieren die Kriminellen in den SMS-Nachrichten meist einen Link.

Folgendes ist hierbei zu beachten:

  • nicht auf den Link klicken
  • Absender/in sofort in den Kontakten sperren
  • über Mobilfunk-Anbieter die sogenannte Drittanbietersperre aktivieren
  • neue Apps ausschließlich über die offiziellen App-Stores herunterladen
  • bei Geräten mit Android-Betriebssystem den Download von Apps aus unbekannten Quellen in den Einstellungen des Geräts deaktivieren
  • regelmäßige Installation aller angebotenen Updates für Ihre mobilen Geräte

Neue Bedrohungen durch „Quishing“

Aktuell warnt das BSI zusätzlich noch vor einer neuen Variante des Onlinebetrugs, dem sogenannten „Quishing“. Bei dieser Form des Betrugs handelt es sich um Phishing über QR-Codes. Bisherige Sicherheitslösungen scannen Anhänge und URLs in E-Mails. Auf diese Weise werden bereits viele Phishing-Links herausgefiltert. Beim „Quishing“ versagen diese Schutzmechanismen allerdings, da QR-Codes als Bilder und nicht als Texte verarbeitet werden. Die aktuellen Fälle finden vor allem im Zusammenhang mit dem Cloud-Service Microsoft 365 statt. Hierbei versuchen Cyberkriminelle zunächst Nutzerdaten für diesen Dienst zu erbeuten. In einem zweiten Schritt werden die Opfer auf eine täuschend echt aussehende, aber gefälschte Login-Seite für Microsoft 365 geleitet.

Um nicht in diese Falle zu tappen, sollte folgendes beachtet werden:

  • E-Mails vor dem Öffnen stets auf Plausibilität prüfen
  • bei Verdacht auf eine Phishing-Nachricht
    • keine Anhänge öffnen
    • keine Links klicken
    • keine QR-Codes scannen