Neue Cyber-Bedrohungen : CISA warnt vor HiatusRAT und kritischen Schwachstellen
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) schlägt Alarm: Zwei neue Sicherheitslücken wurden in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen, nachdem Angreifer sie offenbar schon aktiv ausnutzen.
Lernen Sie das <kes>+ Abonnement kennen. Starten Sie jetzt Ihren 30-tägigen Test! Unverbindlich und kostenlos – es ist keine Kündigung notwendig, der Probezeitraum endet automatisch.
Der KEV-Katalog dient als zentrale Datenbank für Schwachstellen, die nachweislich von Cyberkriminellen oder staatlich unterstützten Akteuren angegriffen werden. Durch die Aufnahme in den Katalog werden Organisationen in den Vereinigten Staaten und weltweit aufgefordert, dringend Maßnahmen zu ergreifen, um betroffene Systeme abzusichern.
Hier die Details zu den neu aufgenommenen gemeldeten Sicherheitslücken:
- CVE-2024-20767 (CVSS-Wert: 7,4):
In Adobe ColdFusion wurde eine Schwachstelle bei der Zugriffskontrolle entdeckt. Sie ermöglicht es Angreifern, über ein im Internet zugängliches Administrationspanel auf geschützte Dateien zuzugreifen oder diese zu verändern. Adobe hat diese Schwachstelle im März 2024 behoben. - CVE-2024-35250 (CVSS-Wert: 7,8):
Im Microsoft Windows Kernel-Mode-Treiber gibt es eine Schwachstelle, die auf einer unsicheren Verwendung von Zeigern basiert. Diese erlaubt es lokalen Angreifern, ihre Rechte auf dem betroffenen System zu erweitern. Microsoft hat diese Sicherheitslücke im Juni 2024 geschlossen.
Beide Schwachstellen bergen erhebliche Risiken und sollten dringend durch die Installation der verfügbaren Updates behoben werden.
Das taiwanesische Cybersicherheitsunternehmen DEVCORE, das die Schwachstelle CVE-2024-35250 entdeckte und meldete, erklärte im August 2024, dass das Problem im Microsoft Kernel Streaming Service (MSKSSRV) liegt.
Es gibt derzeit keine Informationen darüber, wie die Schwachstellen in echten Angriffen ausgenutzt werden. Allerdings sind Proof-of-Concept (PoC)-Exploits sowohl für die eine als auch für die andere Schwachstelle öffentlich verfügbar.
Da es Hinweise auf eine aktive Ausnutzung gibt, hat die US-Regierung ihre zivilen Bundesbehörden (FCEB) angewiesen, bis spätestens zum 6. Januar 2025 alle notwendigen Maßnahmen zu ergreifen, um ihre Netzwerke zu schützen.
FBI warnt: HiatusRAT zielt auf Webkameras und DVRs
Das FBI warnt vor einer Ausweitung der HiatusRAT-Kampagnen, die nun neben Netzwerkgeräten auch Internet-of-Things (IoT)-Geräte wie Webkameras und DVRs von Herstellern wie Hikvision, D-Link und Dahua angreifen. Betroffen sind Geräte in den USA, Australien, Kanada, Neuseeland und dem Vereinigten Königreich.
Die Angreifer scannen gezielt nach bekannten Schwachstellen, darunter CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044 und CVE-2021-36260, sowie nach Geräten mit schwachen, werkseitig voreingestellten Passwörtern. „Viele dieser Schwachstellen sind von den Herstellern bisher nicht behoben worden“, warnt das FBI.
Im März 2024 beobachtete das FBI, dass die Angreifer Open-Source-Tools wie Ingram und Medusa einsetzen, um Schwachstellen zu scannen und Authentifizierungen mit Brute-Force-Angriffen zu knacken. Diese Entwicklung zeigt die zunehmende Bedrohung für IoT-Geräte, die oft unzureichend geschützt sind.
Ransomware-Kampagne nutzt Schwachstellen in DrayTek-Routern aus
Eine neue Warnung macht auf eine Ransomware-Kampagne aufmerksam, bei der über 20.000 DrayTek Vigor-Router zwischen August und September 2023 angegriffen wurden. Die Entdeckung stammt von Forescout Vedere Labs, unterstützt durch Informationen von PRODAFT.
Die Angreifer nutzten vermutlich eine Zero-Day-Schwachstelle aus, um Zugang zu Netzwerken zu erlangen, Anmeldeinformationen zu stehlen und Ransomware zu installieren. An der Kampagne waren drei Bedrohungsgruppen beteiligt: Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI-288) und LARVA-15 (Wazawaka). Diese arbeiteten strukturiert zusammen, um die Angriffe effizient durchzuführen.
Vorgehensweise der Angreifer
- Monstrous Mantis identifizierte die Schwachstelle und nutzte sie, um Anmeldeinformationen zu sammeln. Diese wurden dann an Partner wie Ruthless Mantis und LARVA-15 weitergegeben.
- Ruthless Mantis kompromittierte mindestens 337 Organisationen, vor allem in Großbritannien und den Niederlanden.
- LARVA-15 agierte als Vermittler und verkaufte den Zugang an andere Bedrohungsakteure.
Die Angriffe ermöglichten es den Beteiligten, seitliche Bewegungen in Netzwerken durchzuführen, Privilegien auszuweiten und verschiedene Ransomware-Familien wie RagnarLocker, Nokoyawa, RansomHouse und Qilin zu verbreiten.
Es wird vermutet, dass die Angriffe eine damals unbekannte Zero-Day-Schwachstelle in DrayTek-Geräten ausnutzten. Darauf deutet die Entdeckung von 22 neuen Schwachstellen hin, die ähnliche Ursachen wie CVE-2020-8515 und CVE-2024-41592 haben. „Das wiederholte Auftreten solcher Schwachstellen innerhalb derselben Codebasis deutet darauf hin, dass der Anbieter nach der Veröffentlichung jeder Schwachstelle keine gründliche Ursachenanalyse, keine Suche nach Varianten und keine systematische Codeüberprüfung durchgeführt hat“, so Forescout.
Strukturierte Monetarisierung
Interessanterweise hielt Monstrous Mantis den Exploit zurück, um die Kontrolle über die erste Zugriffsphase zu behalten. Partner, die von den Angriffen profitierten, mussten einen Teil ihrer Einnahmen an die Gruppe abführen. Dieses Modell unterstreicht die Professionalität und Organisation moderner Bedrohungsakteure.
Die Vorfälle verdeutlichen die Notwendigkeit regelmäßiger Sicherheitsupdates und gründlicher Codeanalysen, um ähnliche Angriffe in Zukunft zu verhindern.