Kritische OpenSSH-Sicherheitslücke „regreSSHion“ entdeckt, „Velvet Ant“ nutzt Cisco-Zero-Day-Sicherheitslücke aus: Ihr Cybersecurity-Roundup

Banner mit Neuigkeiten zur Cybersicherheit, das auf die neuesten Schwachstellen hinweist

Kritische OpenSSH-Sicherheitslücke „regreSSHion“ entdeckt, die Millionen von Linux-Systemen betrifft

Eine neu entdeckte Schwachstelle in der weit verbreiteten OpenSSH-Serversoftware mit dem Codenamen „regreSSHion“ (CVE-2024-6387) hat Schockwellen durch die Internet-Sicherheit Community. Dieser kritische Fehler, der eine nicht authentifizierte Remote-Codeausführung auf anfälligen Linux-Systemen ermöglicht, könnte Angreifern möglicherweise vollen Root-Zugriff gewähren und es ihnen ermöglichen, Firewalls zu umgehen.

Experten erkennen zwar die Schwere der Schwachstelle an, betonen jedoch, dass die Ausnutzung nicht einfach ist und bestimmte Bedingungen erfüllt sein müssen. Der Fehler ist auf ein Timing-Problem zurückzuführen, eine Regression einer zuvor gepatchten Schwachstelle, die 2020 erneut eingeführt wurde. Der Angriff erfordert einen anhaltenden Aufwand und dauert oft Stunden oder sogar Wochen, bis er erfolgreich ausgeführt wird.

Trotz der Schwierigkeit der Ausnutzung gibt die Verbreitung von OpenSSH in der digitalen Infrastruktur Anlass zur Sorge über das Potenzial Einfluss auf dieser Schwachstelle. Schätzungsweise sind etwa 14 Millionen OpenSSH-Serverinstanzen dem Internet ausgesetzt und damit potenzielle Ziele für böswillige Akteure.

Die OpenSSH-Betreuer haben Sicherheitsupdates veröffentlicht, um das Risiko zu verringern. Benutzern wird dringend empfohlen, ihre Systeme umgehend zu patchen. Zusätzliche Sicherheitsmaßnahmen, wie die Beschränkung des SSH-Zugriffs und die Durchsetzung der Netzwerksegmentierung, können das Risiko eines unbefugten Zugriffs und einer lateralen Bewegung verringern.

Microsoft warnt vor kritischen Sicherheitslücken in Rockwell Automation PanelView Plus,

Die Sicherheitsforscher von Microsoft haben vor zwei kritischen Schwachstellen entdeckt in PanelView Plus von Rockwell Automation, einer weit verbreiteten Mensch-Maschine-Schnittstelle (HMI) in industriellen Umgebungen. Die Schwachstellen, identifiziert als CVE-2023-2071 und CVE-2023-29464, könnten von böswilligen Akteuren ausgenutzt werden, um Code aus der Ferne auszuführen oder Denial-of-Service-Angriffe (DoS) zu initiieren, was möglicherweise zu erheblichen Störungen industrieller Prozesse und Infrastrukturen führen könnte.

CVE-2023-2071, bewertet mit 9.8 von 10 auf der CVSS-Schweregradskala, ist eine Sicherheitslücke bei der Eingabevalidierung, die es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebigen Code auf dem Zielgerät auszuführen. Dies könnte zu einer vollständigen Kompromittierung des Systems führen und dem Angreifer ermöglichen, vertrauliche Daten zu stehlen, zusätzliche Malware zu installieren oder Sabotageakte durchzuführen.

CVE-2023-29464 ist zwar mit einem CVSS-Score von 8.2 weniger schwerwiegend, stellt aber dennoch ein ernstes Risiko dar. Diese Schwachstelle, die ebenfalls auf eine unsachgemäße Eingabevalidierung zurückzuführen ist, könnte ausgenutzt werden, um Daten aus dem Speicher zu lesen oder einen DoS-Zustand auszulösen, wodurch das Gerät nicht mehr reagiert und industrielle Prozesse gestört werden.

Rockwell Automation hat bereits im September bzw. Oktober 2023 Patches zur Behebung dieser Schwachstellen veröffentlicht. Die jüngste Ausnutzung einer ähnlichen Schwachstelle im HTTP-Dateiserver unterstreicht jedoch, wie wichtig es ist, diese Updates umgehend anzuwenden. Ungepatchte PanelView Plus-Geräte bleiben anfällig für Angriffe, wodurch kritische Infrastrukturen anfällig für Kompromittierungen werden.

Brasilien verbietet Meta aus Datenschutzgründen die Verwendung von Benutzerdaten für KI-Training

Die brasilianische Datenschutzbehörde ANPD hat Meta vorübergehend verboten, die persönlichen Daten seiner Nutzer für KI-Trainingszwecke zu verwenden. Diese Entscheidung folgt auf die jüngste Aktualisierung der Bedingungen von Meta, die es dem Unternehmen erlaubte, öffentliche Inhalte von Facebook, Instagram und Messenger zum Trainieren seiner KI-Algorithmen zu verwenden. Die ANPD stellte fest, dass die aktualisierten Bedingungen gegen das Allgemeine Datenschutzgesetz Brasiliens verstoßen, und verwies auf Bedenken hinsichtlich mangelnder Transparenz, unzureichender Rechtsgrundlage und potenzieller Risiken für Kinder und Jugendliche. 

Dieser Schritt Brasiliens ist kein Einzelfall. Meta ist in der Europäischen Union auf ähnlichen Widerstand gestoßen, was das Unternehmen dazu veranlasste, seine KI-Trainingspläne in der Region ohne ausdrückliche Zustimmung der Benutzer auszusetzen. Der Präsident für globale Angelegenheiten des Unternehmens kritisierte die Haltung der EU als Hindernis für Innovationen. 

Mittlerweile hat Cloudflare ein neues Tool auf den Markt gebracht, das KI-Bots daran hindern soll, Inhalte für LLM-Schulungen abzugreifen, was die wachsenden Bedenken hinsichtlich Datenschutz und KI-Entwicklung weiter unterstreicht.

Chinesische Spionagegruppe „Velvet Ant“ nutzt Cisco-Zero-Day-Sicherheitslücke für ausgeklügelten Cyberangriff

Das Cybersicherheitsunternehmen Sygnia hat einen gezielten Angriff der staatlich geförderten chinesischen Spionagegruppe Velvet Ant aufgedeckt, bei dem eine bislang unbekannte Schwachstelle in Ciscos NX-OS-Software ausgenutzt wurde. Dieser Zero-Day-Fehler mit der Bezeichnung CVE-2024-20399 wurde in Cisco Nexus-Switches gefunden, wichtigen Komponenten der Netzwerkinfrastruktur.

Die Schwachstelle ermöglicht es authentifizierten Angreifern, beliebige Befehle mit Root-Rechten auszuführen, was ihnen umfassende Kontrolle über kompromittierte Geräte verschafft. Velvet Ant nutzte diese Schwachstelle aus, um benutzerdefinierte Malware zu verbreiten, die Fernzugriff, Datei-Uploads und Codeausführung auf den Ziel-Switches ermöglichte.

Sygnias Entdeckung erfolgte im Rahmen einer größeren forensischen Untersuchung der Aktivitäten von Velvet Ant und enthüllte ein Muster ausgeklügelter Cyber-Spionagetaktiken, die von der Gruppe eingesetzt wurden. Cisco wurde im April 2024 auf die Schwachstelle aufmerksam gemacht und hat seitdem Patches veröffentlicht, um das Problem zu beheben.

 

Die Ausnutzung dieser Zero-Day-Schwachstelle unterstreicht das anhaltende Katz-und-Maus-Spiel zwischen Cybersicherheitsexperten und staatlich geförderten Akteuren. Es unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen, insbesondere für kritische Netzwerkgeräte wie Switches, die oft als potenzielle Einstiegspunkte für Angreifer übersehen werden. 

Darüber hinaus unterstreicht der Vorfall, wie schwierig es ist, böswillige Aktivitäten auf Netzwerkgeräten zu erkennen und zu untersuchen, da es an Überwachung und zentraler Protokollierung mangelt. Da sich Cyberbedrohungen ständig weiterentwickeln, müssen Unternehmen wachsam bleiben und proaktive Maßnahmen ergreifen, um ihre Infrastruktur und Daten zu schützen.