Unsere Sicherheitswarnungen und Handlungsempfehlungen
Major Cybersecurity Agencies Collaborate to Unveil 2022's Most Exploited Vulnerabilities
A four-year-old critical security flaw impacting Fortinet FortiOS SSL has emerged as one of the most routinely and frequently exploited vulnerabilities in 2022.
The continued weaponization of CVE-2018-13379, which was also one among the most exploited bugs in 2020 and 2021, suggests a failure on the part of organizations to apply patches in a timely manner, the authorities said.
"In 2022, malicious cyber actors exploited older software vulnerabilities more frequently than recently disclosed vulnerabilities and targeted unpatched, internet-facing systems," cybersecurity and intelligence agencies from the Five Eyes nations, which comprises Australia, Canada, New Zealand, the U.K., and the U.S., said in a joint alert.
Read more, also a list of other widely exploited flaws in this article.
Source: Article published by the "Hacker News", #1 Trusted Cybersecurity News Platform
Bedrohung durch Sicherheitslücke CVE-2023-2868 auf Servern ihres Geschäftspartners.
Die Hardware betroffener Server muss ersetzt werden!
09.06.2023
Was ist geschehen, und warum ist die Sicherheitslücke auf dem Server eines anderen Unternehmens eine Bedrohung für mein Geschäft, ich benutze keine ESG-Appliances?
Diese Sicherheitslücke ermöglicht es Hackern, Malware auf Unternehmensservern, die die ESG-Appliance Servern nutzen, zu installieren. Weitere Informationen am Ende des Artikels.
Warum ist es für Geschäftspartner wichtig, über diese Bedrohung informiert zu werden?
Da diese Schwachstelle seit mehr als 6 Monaten ausgenutzt wird, können vertrauliche Dokumente über den E-Mailversand mit diesen Unternehmen kompromittiert worden sein.
Unternehmen, die Kontakt mit Geschäftspartner hatten, die von dieser Sicherheitslücke betroffen sind, sollten ihre eigenen Systeme auf mögliche Einbruchsversuche hin untersuchen.
Wenn du wissen willst, ob Server deiner Geschäftspartner in den letzten 6 Monaten von dieser Schwachstelle betroffen waren, wende dich bitte an unseren Vertrieb.
Das Team von JOUO arbeitet daran, diese Schwachstelle automatisch zu identifizieren, um seine Kunden über Geschäftspartner zu informieren, die mit dem potentiellen Risiko konfrontiert sind, Server mit dieser Schwachstelle zu betreiben.
Malware auf Unternehmens Servern kann auch die Geschäftspartner bedrohen.
Hier sind die Gründe, warum dies geschieht:
Datenaustausch:
Unternehmen tauschen häufig sensible Daten mit ihren Geschäftspartnern aus. Wenn ein Unternehmen Opfer von Malware wird und seine Server kompromittiert sind, kann die Malware auch auf die geteilten Dokumente zugreifen. Dadurch können vertrauliche Informationen, geistiges Eigentum oder persönliche Daten der Geschäftspartner gefährdet werden.
Kommunikationssysteme:
Unternehmen nutzen oft gemeinsame Kommunikationssysteme wie E-Mails, Instant Messaging oder Videokonferenztools, um mit ihren Geschäftspartnern zu interagieren. Wenn Malware in diese Systeme eindringt, kann sie die Kommunikation abhören, verfälschen oder andere schädliche Aktivitäten durchführen. Dadurch können vertrauliche Informationen ausgetauscht und geschäftliche Transaktionen gefährdet werden.
Lieferketten:
In vielen Fällen sind Unternehmen Teil einer komplexen Lieferkette, bei der verschiedene Geschäftspartner an der Produktion und Bereitstellung von Waren und Dienstleistungen beteiligt sind. Wenn ein Unternehmen von Malware betroffen ist, kann dies Auswirkungen auf die gesamte Lieferkette haben. Die Malware kann sich über die Systeme des betroffenen Unternehmens auf die Systeme seiner Geschäftspartner ausbreiten und diese beeinträchtigen.
Vertrauen und Rufschädigung:
Wenn ein Unternehmen aufgrund von Malware-Angriffen seine Sicherheitskontrollen nicht effektiv schützen kann, kann dies das Vertrauen seiner Geschäftspartner beeinträchtigen. Geschäftspartner könnten Bedenken hinsichtlich der Sicherheit ihrer eigenen Daten haben und möglicherweise die Zusammenarbeit mit dem betroffenen Unternehmen in Frage stellen. Dadurch kann der Ruf des Unternehmens geschädigt werden und es können finanzielle Verluste entstehen.
Hier noch einige Informationen über die Tragweite des Problems und seine Historie:
Das Sicherheitsunternehmen Barracuda hat am Dienstag bekannt gegeben, dass eine kürzlich gepatchte Zero-Day-Schwachstelle in seinen Email Security Gateway (ESG)-Appliances seit Oktober 2022 von Bedrohung Akteuren missbraucht wurde, um die Geräte durch eine Hintertür zu öffnen.
Die neuesten Erkenntnisse zeigen, dass die kritische Schwachstelle mit der Bezeichnung CVE-2023-2868 (CVSS-Score: N/A) seit mindestens sieben Monaten, d.h. seit ca. Nov.22 vor ihrer Entdeckung aktiv ausgenutzt wurde.
Die Schwachstelle, die Barracuda am 19. Mai 2023 veröffentlichte, betrifft die Versionen 5.1.3.001 bis 9.2.0.006 und könnte einem Angreifer die Ausführung von Code auf anfälligen Installationen ermöglichen. Patches wurden von Barracuda am 20. und 21. Mai veröffentlicht.
Dazu diese Meldung von Barracuda
"CVE-2023-2868 wurde ausgenutzt, um unbefugten Zugriff auf eine Untergruppe von ESG-Appliances zu erhalten", so das Netzwerk- und E-Mail-Sicherheitsunternehmen in einem aktualisierten Benachrichtigung.
"Auf einer Untergruppe von Appliances wurde Malware identifiziert, die einen dauerhaften Backdoor-Zugang ermöglicht." Auf einer Teilmenge der betroffenen Appliances wurden Beweise für die Exfiltration von Daten gefunden.
Bislang wurden drei verschiedene Malware-Stämme entdeckt.
SALTWATER - Ein trojanisiertes Modul für den Barracuda SMTP-Daemon (bsmtpd), das in der Lage ist, beliebige Dateien hoch- oder herunterzuladen, Befehle auszuführen sowie bösartigen Datenverkehr zu projizieren und zu tunneln, um unter dem Radar zu bleiben.
SEASPY - Eine x64-ELF-Backdoor, die Persistenz-Fähigkeiten bietet und mit Hilfe eines magischen Pakets aktiviert wird.
SEASIDE - Ein Lua-basiertes Modul für bsmtpd, das Reverse-Shells über SMTP-HELO/EHLO-Befehle einrichtet, die über den Command-and-Control-Server (C2) der Malware gesendet werden.
Nach Angaben des zu Google gehörenden Unternehmens Mandiant, das den Vorfall untersucht, wurden Quellcode-Überschneidungen zwischen SEASPY und einer Open-Source-Backdoor namens cd00r festgestellt. Die Angriffe wurden nicht einem bekannten Bedrohungen Akteur oder einer Gruppe zugeordnet.
Barracuda gab nicht bekannt, wie viele Unternehmen betroffen waren, wies aber darauf hin, dass sie direkt kontaktiert wurden und Hinweise zur Schadensbegrenzung erhielten. Barracuda warnte außerdem davor, dass die laufende Untersuchung noch weitere Nutzer aufdecken könnte, die möglicherweise betroffen waren.