Top Thema
When #Shitrix hits the Fan – Massenhafte Hacks via NetScaler
Reihenweise Unternehmen und Behörden fallen aktuell einer Lücke zum Opfer, die den besonders „schönen“ Spitznamen #Shitrix (offiziell CVE 2019-19781) erhalten hat. Benannt ist dieser nach dem amerikanischen Netzwerk-Ausrüster Citrix, der das Debakel durch einen Schusselfehler im weitverbreiteten Enterprise-Gateway ADC (Application Delivery Controller) ausgelöst hat – vielen auch bekannt unter dem Namen NetScaler. Bereits seit der ersten Januarhälfte erreichen die HiSolutions-Hotline immer neue Fälle, da teilweise Administratoren noch nichts von der Lücke gehört haben.
Ein erfolgreicher Angriff hat neben der Übernahme des Gateways selbst weiterhin zur Folge, dass nicht nur die klassischen Zugangsdaten wie SSH-Keys oder Klartext-Passwörter in Konfigurationsdateien als kompromittiert gelten müssen, sondern auch verschlüsselte LDAP-Passwörter in der NetScaler-Konfiguration, wodurch weitere Angriffe ins Netzwerk hinein möglich werden.
Patches sind inzwischen verfügbar, ansonsten schlägt Cisco einen Workaround vor, der nicht ganz trivial und auch nicht immer voll effektiv ist. Das größte Problem bei #Shitrix ist – wenn nicht offensichtlich Folgeschäden wie Ransomware entstehen –, dass zunächst nicht klar ist, wie weit der Angriff gegangen ist. Allein die Analysen nehmen Zeit und Ressourcen in Anspruch. Nicht selten fahren Betroffene in der Zeit Teile ihrer Infrastruktur herunter, wie zuletzt mehrere Kommunen in Brandenburg.
Derweil scheinen sogenannte „NOTROBIN“-Robin-Hood-Hacker die Lücke auszunutzen, um sie zu schließen – leider nicht ohne vorher noch eine Backdoor zu installieren.
https://research.hisolutions.com/2020/01/when-shitrix-hits-the-fan/
Neuigkeiten
We are the Champions, leider: Cyber weltweites Top Risk
Versicherer müssten es wissen: Im jährlichen Allianz Risk Barometer ist „Cyber“ erstmalig zum weltweiten Top-Risiko aufgestiegen. Hatte sich unser aller Lieblingsthema in den letzten Jahren in einer rasanten Aufholjagd bis auf Platz 2 hinter dem Platzhirsch „Betriebsunterbrechung“ vorgeschoben, gelang in der 2020er-Version des Berichts, der neben Daten der Versicherung auch Experteninterviews mit einbezieht, die Entthronung, mithin der Sprung auf Platz 1. Außer in Deutschland: Hierzulande wird die handelsübliche Betriebsunterbrechung noch ein Quäntchen mehr gefürchtet als das böse C-Wort. Allerdings zählen IT-Vorfälle wiederum global zu den wichtigsten Gründen für Ausfälle, insofern: Die Weltherrschaft steht kurz bevor. Wir „freuen“ uns schon auf das Risk Barometer 2021, welches mit großer Wahrscheinlichkeit den finalen Cyber-Triumph vermelden wird. Oder aber wir strengen uns alle ein bisschen mehr an, um genau das zu vermeiden.
https://www.allianz.com/de/presse/news/studien/200115_Allianz-Risk-Barometer-2020.html
Passend dazu hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Aufsichtsschwerpunkte für 2020 veröffentlicht. An erster Stelle stehen auch hier Digitalisierungs- und Cyberrisiken: „Dies gilt insbesondere, da der überwiegende Teil der IT-Sicherheitsvorfälle bei Finanzmarktteilnehmern auf hausinterne Schwächen der Unternehmen zurückzuführen ist – und nur zu einem kleineren Teil auf externe Angriffe.“
HiSolutions Research-Blog
In unserem HiSolutions-Research-Blog finden Sie neben aktuellen News, Hinweisen und Kommentaren, wie Sie sie auch aus diesem Digest kennen, spannende und informative Beiträge über unsere Arbeit an der und für die Informationssicherheit von morgen: Forschung, Einordnungen, Interpretationen, Analysen sowie Advisories zu von HiSolutions entdeckten Schwachstellen. Schauen Sie gerne vorbei!
https://research.hisolutions.com
Firmen, Politiker, Privatleute, Sondereinsatzkommandos: Datenleak bei Autovermieter
Autos mieten (fast) alle. Insofern trifft es auch eine beachtliche Menge von Personengruppen, wenn drei Millionen Kundendatensätze einer großen deutschen Autovermietung versehentlich ungeschützt als SMB-Share im Internet stehen. Genau das geschah beim Anbieter Buchbinder, der zur Europcar-Gruppe gehört und diverse Tochterfirmen sein Eigen nennt. Private Adressen und Telefonnummern von Politikern konnten ebenso abgerufen werden wie Fahrtenprofile von Firmenvertretern und Spezialeinsatzkommandos, Unfallprotokolle und Informationen über angeordnete Blutproben. Zwar wurde das Problem von Sicherheitsforschern entdeckt, da das Scannen nach offenen SMB-Shares jedoch ein Kinderspiel ist, scheint es unwahrscheinlich, dass niemand sonst zugegriffen hat. Auf das Datenschutzbußgeld dürfen wir jedenfalls gespannt sein.
Datenschutz made in USA: NIST Privacy Framework und CCPA
Die amerikanische Standardisierungsbehörde NIST hat Version 1.0 ihres „Privacy Frameworks“ veröffentlicht. Es stellt keinen verpflichtenden Standard wie die DSGVO dar, ist jedoch insofern bemerkenswert, als dass sich sogar die föderale Ebene in den USA inzwischen langsam in Richtung Datenschutz bewegt. Im progressiven Kalifornien wurde bereits 2018 eine Regulierung beschlossen, die in einer Reihe von Punkten der europäischen ebenbürtig ist. Nun ist der CCPA (California Consumer Privacy Act) am Jahresanfang in Kraft getreten.
https://www.nist.gov/privacy-framework
https://datenschutz-generator.de/california-consumer-privacy-act-ccpa-dsgvo/
C5v2: BSI stellt aktualisierten C5-Katalog vor
Das BSI hat den 2016 veröffentlichten „Cloud Computing Compliance Criteria Catalogue" einer umfassenden Revision unterzogen. Der „C5“ wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Die Aktualisierungen betreffen sowohl Formalia als auch die Kriterien, die an den aktuellen Stand der Technik angepasst wurden. Er enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.
Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht.
Vor der eigenen Garage kehren: Microsoft-Parkhäuser im Internet
Auch der beste SDL (Security Development Lifecycle), Rolling Updates in den aktuellen Betriebssystemen und noch so viele Patch Tuesdays bewahren anscheinend nicht davor, dass der eigene Dienstleister versagt: Die Parkhaussteuerung am Microsoft-Firmensitz sollte normalerweise nicht aus dem Internet erreichbar sein. Trotzdem konnte man auf die Server in Redmond problemlos zugreifen. Immerhin war das Problem schnell behoben.
Am Pulse der Unzeit: SSL-Gateway nicht Secure
Eine Schwachstelle, die auf der international gebräuchlichen Skala CVSS einen Score von 10 erreicht – den Höchstwert –, sieht man nicht alle Tage. Inzwischen wird die seit April letzten Jahres bekannte und (im Idealfall) gepatchte Schwachstelle der von Juniper ausgegründeten SSL-Gateways von PulseSecure aktiv zur Verbreitung von Ransomware ausgenutzt. Das CERT-Bund hatte zuletzt im August öffentlich gewarnt, trotzdem finden sich immer noch ungepatchte Gateways im Internet.
Prominentestes Opfer ist die Firma Travelex, die es jüngst hart traf. Dabei hatten Sicherheitsforscher die Firma schon Mitte September vor ihren ungepatchten SSL-VPNs gewarnt.
Toter als tot: SHA1
Der immer noch viel zu häufig eingesetzte Hash-Algorithmus SHA1 gilt schon seit Jahren als theoretisch gebrochen und deutlich geschwächt. Bisher waren praktische Angriffe für die meisten Akteure jedoch außer Reichweite. Nun konnten Forscher die Kosten für eine sogenannte Kollisionsattacke und vor allem für die wesentlich gefährlichere „Chosen-Prefix Kollisionsattacke“, mit der sich etwa digitale Signaturen fälschen lassen, noch einmal entscheidend auf wenige 10.000 Euro senken, Tendenz fallend.
Höchste Zeit, den diversen Empfehlungen (u. a. des BSI) zu folgen und SHA1 durch modernere Algorithmen wie SHA2 oder SHA3 zu ersetzen.
Lesetipps
Wissen: NCSC Cyber Body of Knowledge
Das britische National Cyber Security Centre (NCSC) hat versucht, in einem Dokument das derzeit aktuelle Wissen zum Thema Cybersicherheit zusammenzutragen. Der „Cyber Security Body of Knowledge“ kann für einige der Themen durchaus ein guter Startpunkt sein.
https://www.ncsc.gov.uk/blog-post/full-version-of-the-cyber-security-body-of-knowledge-published
Modellieren: MITRE ATT&CK Framework
Weniger zum Lesen, sondern viel mehr zum Ausprobieren: Das MITRE ATT&CK Framework hat sich zu einem mächtigen Tool entwickelt, wenn es um die Modellierung von Angreiferverhalten („Tools, Tactics, Procedures – TTP“) geht.
https://attack.mitre.org/resources/getting-started/
Mit dem Navigator lässt sich direkt im Browser herumspielen, um etwa zu schauen, welche Angriffsvektoren man noch nicht auf dem Schirm hatte.
https://mitre-attack.github.io/attack-navigator/enterprise/
Cheaten: OWASP im neuen Gewand
Ebenfalls einen Blick lohnt die neue Website des OWASP-Projekts, bekannt vor allem für die „Top 10“ der Schwachstellen bei Webapplikationen, aber auch für eine große Sammlung brauchbarer Security-Cheat-Sheets, welche nun einfacher zu finden sind.
Aufgeben: Undercover in den 2020ern
Gerade Geheimdienste haben es schwer angesichts der immer allgegenwärtigeren personenbezogenen Daten und Überwachungstechniken. Über den vergeblichen Kampf, heute noch undercover zu sein:
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Februar 2020.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!