mysticfoxde
Goto Top

Schwachstelle bei CHECK POINT für den jüngsten CDU Hack mitverantwortlich

Moin Zusammen,

so wie es aussieht, wahr wohl eine Schachstelle in den Next Generation Firewall's von CHECK POINT, für den jüngsten und leider erfolgreichen Cyber-Angriff mitverantwortlich.

https://www.mdr.de/nachrichten/deutschland/panorama/hackerangriff-cdu-so ...

"Derzeit wird davon ausgegangen, dass sich die Täter wohl 14 Tage lang in den Netzen der CDU bewegen konnten."
๐Ÿ˜”

"Ende vergangener Woche waren noch fünf Zugänge aktiv ausnutzbar. In Sachsen-Anhalt war vor allem die Uni Halle mit ihrem Standort in Wittenberg betroffen. Die Uni bestreitet allerdings, dass sie "Check Point"-Produkte nutzt."
๐Ÿ™ƒ

Weitere Infos:
https://www.borncity.com/blog/2024/06/02/cyberangriff-auf-das-cdu-netzwe ...
https://www.borncity.com/blog/2024/06/05/digitalkompetenz-und-cybersecur ...

Aber ja, dass grösste Problem bei diesem Hack, sass wahrscheinlich vor dem Bildschirm und hat lange Zeit nur Däumchen gedreht. ๐Ÿ˜”

Ich sage nur SIT. ๐Ÿ˜ญ

Gruss Alex

Content-Key: 52685359342

Url: https://administrator.de/contentid/52685359342

Printed on: July 14, 2024 at 17:07 o'clock

Member: Trommel
Trommel Jun 12, 2024 updated at 08:25:31 (UTC)
Goto Top
"Unsere Sicherheitsbehören @bsi_bund und das Bundesamt für Verfassungsschutz sind intensiv damit befasst, den Angriff abzuwehren...".

Die Abwehr: https://chaos.social/@andre_meister/112445611511137161 face-wink

Trommel
Member: commodity
commodity Jun 12, 2024 at 08:54:11 (UTC)
Goto Top
Leicht redundanter Tread (hier schon vor einiger Zeit Thema) aber hierzu full ACK:
Aber ja, dass grösste Problem bei diesem Hack, sass wahrscheinlich vor dem Bildschirm und hat lange Zeit nur Däumchen gedreht.
Nach derzeitigem Sachstand konnte die Lücke nur in Verbindung im Zusammenspiel mit Credential-Phishing/Bruteforce ausgenutzt werden. 2FA (von CP dringend empfohlen), hätte das verhindert.
Aber: Auch unglaubliche Schlamperei von CP, wenn der Webserver mit Root-Rechten läuft... Wieder mal ein schönes Beispiel, wie die Schlangenöl-Branche die IT unsicherer macht.

Bei der CDU ist man aber ganz offenbar mehr damit beschäftigt, Sicherheitsforschende anzuzeigen, als sich um die Sicherheit der IT zu kümmern.

Da freut man sich als ITler schon auf die nächste Regierung face-big-smile

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE Jun 12, 2024 updated at 09:08:32 (UTC)
Goto Top
Moin @Trommel,


๐Ÿ˜ฏ ... ja natürlich, warum ist mir das nicht selber eingefallen, dass ich doch dem angreifenden Server ja auch einfach eine Mail mit einer Abschaltbitte oder gar einem Abschaltbefehl zuschicken könnte. ๐Ÿ˜ฌ (Schande über mein Haupt. ๐Ÿ˜”)

Moment, ich habe da doch die Tage erst eine Liste mit über 25000 schadhaften IP's erstellt. ๐Ÿค”

Ähm, was meint ihr, soll ich in den Betreff der Mail besser "Bitte alles Löschen und danach Abschalten" oder eher gleich "format c: & shutdown -s -t 0" eintippen? ๐Ÿคช

Gruss Alex
Member: Bingo61
Bingo61 Jun 12, 2024 at 11:40:19 (UTC)
Goto Top
Zitat von @Trommel:

"Unsere Sicherheitsbehören @bsi_bund und das Bundesamt für Verfassungsschutz sind intensiv damit befasst, den Angriff abzuwehren...".

Die Abwehr: https://chaos.social/@andre_meister/112445611511137161 face-wink

Trommel

Man sollte das auch nicht wortwörtlich nehmen. face-smile
Wenn jemand sagt, ich werfe mich vor lachen weg, wird da auch angenommen, dass der sich von Brücke stürzt?
Hackback hat man dem BSI und dem BKA ja untersagt.
Was der BND macht ... wird er sicher nicht öffentlich kundtun.
Member: MysticFoxDE
MysticFoxDE Jun 13, 2024 updated at 05:41:38 (UTC)
Goto Top
Moin @Bingo61,

Man sollte das auch nicht wortwörtlich nehmen. face-smile

ähm, wäre Herr Gerhard Schindler der Präsident des BND's im 20ten Jahrhundert gewesen, dann hätte ich ihm diese Aussage auch durchgehen lassen, er hatte dieses Amt jedoch vom 01.01.2012 bis zum 30.06.2016, also schon während des digitalen Zeitalters und angesichts dessen, hätte er eine solche Aussage niemals treffen dürfen, zumindest dann nicht, wenn er von der entsprechenden Materie wirklich etwas verstehen würde. ๐Ÿ˜”

Hackback hat man dem BSI und dem BKA ja untersagt.

Ja ... leider. ๐Ÿ˜”๐Ÿ˜ญ

Was der BND macht ... wird er sicher nicht öffentlich kundtun.

Ja, das ist so ... nur sagt mir meine Kristallkugel, dass wenn der BND seine IT-Security-Experten genau so gut bezahlt wie der BSI, dabei nicht wirklich so viel rauskommen kann und selbst wenn der BND das doppelte des BSI bezahlen würde, würde er damit noch lange nicht an das herankommen, was heutzutage die Privatwirtschaft für einen guten IT-Security-Experten bezahlt. ๐Ÿ˜”

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jun 13, 2024 updated at 06:25:37 (UTC)
Goto Top
Moin @commodity,

Leicht redundanter Tread (hier schon vor einiger Zeit Thema) aber hierzu full ACK:

nicht so ganz, denn bei dem von dir angesprochenen Beitrag, geht es ja nur um die Lücke selbst und dieser Beitrag sollte zeigen, was schon innerhalb kürzester Zeit passieren kann, wenn man solche Warnungen nicht wirklich ernst nimmt.

Nach derzeitigem Sachstand konnte die Lücke nur in Verbindung im Zusammenspiel mit Credential-Phishing/Bruteforce ausgenutzt werden. 2FA (von CP dringend empfohlen), hätte das verhindert.

Tja, das beweist nur, dass wohl bei sehr vielen Behörden, 2FA weitestgehend wohl noch ein Fremdwort ist.
Auch der verehrende Angriff auf die SIT, währe mit 2FA so wahrscheinlich nicht möglich gewesen. ๐Ÿ˜”

Hier ist übrigens eine gute Seite, die viele auf deutsche Unternehmen und Behörden verübte Cyber-Angriffe auflistet.

https://konbriefing.com/de-topics/hackerangriff-deutschland.html

Schau dir mal den 31 Mai 2024 mal an. ๐Ÿ˜ฌ๐Ÿ˜ญ๐Ÿ˜ฑ

Aber: Auch unglaubliche Schlamperei von CP, wenn der Webserver mit Root-Rechten läuft... Wieder mal ein schönes Beispiel, wie die Schlangenöl-Branche die IT unsicherer macht.

Na ja, wenn das jetzt nur die einzige unglaubliche Schlamperei von CP der wenigstens letzten paar Monate gewesen währe, könnte man ja noch etwas darüber hinwegsehen, weil bei CP auch nur Menschen arbeiten.

Aber, bei den ganzen Schlampereien die sich CP in den letzten Monaten geleistet hat, bin ich mir nicht mehr wirklich so sicher, ob die auch tatsächlich genug über IT-Security verstehen, respektive, diese wirklich ernst genug nehmen. Die letzte Aussage gilt übrigens nicht nur für Fortinet, sondern insbesondere auch für Cisco!

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Fortinet
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Cisco
๐Ÿคฎ๐Ÿคฎ๐Ÿคฎ

Bei der CDU ist man aber ganz offenbar mehr damit beschäftigt, Sicherheitsforschende anzuzeigen, als sich um die Sicherheit der IT zu kümmern.

๐Ÿ˜ฏ ... nice, dass die Lilith die CDU App hops genommen hat, habe ich noch gar nicht mitbekommen, dabei ist das Ganze schon 3 Jahre her, Schande über mein Haupt. ๐Ÿ˜ฌ
Dabei hat die gute Lilith die CDU auch nicht wirklich gehackt, sondern lediglich eine Sicherheitslücke in deren App gefunden. ๐Ÿ™ƒ
Und dann machen die auch noch so einen Affenzirkus daraus ... ๐Ÿ™ˆ ... na ja, Politiker eben.

Gruss Alex
Member: commodity
commodity Jun 13, 2024 at 22:18:35 (UTC)
Goto Top
Die letzte Aussage gilt übrigens nicht nur für Fortinet, sondern insbesondere auch für Cisco!
Du hast vergessen, Sophos zu erwähnen face-big-smile

Das Problem betrifft alle schlangenöligen Wollmilchsäue. Sie vermehren die Angriffsfläche.

hat die gute Lilith
hätte jetzt nicht erwartet, dass Ihr zwei auf einer Linie seid. Aber umso besser face-big-smile

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE Jun 14, 2024 updated at 05:27:23 (UTC)
Goto Top
Moin @commodity,

Du hast vergessen, Sophos zu erwähnen face-big-smile

ähm, nö, da Sophos im Vergleich zu den beiden anderen, in letzter Zeit bei weitem nicht so viele Patzer hatte.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Sophos

Wie du siehst, hatte Sophos dieses Jahr noch keinen einzigen CVE Eintrag. ๐Ÿ˜‰

Das Problem betrifft alle schlangenöligen Wollmilchsäue. Sie vermehren die Angriffsfläche.

Das ist meiner Ansicht nach wiederum eine etwas übertriebene Aussage, zumindest pauschal gesehen. Denn wenn man mit einer Wollmilchsau korrekt umgehen kann, dann mach die schon weitestgehend auch das was man möchte. ๐Ÿ™ƒ

hätte jetzt nicht erwartet, dass Ihr zwei auf einer Linie seid. Aber umso besser face-big-smile

Na ja, auf einer Linie ist glaube ich etwas übertrieben, aber ja, wir kämpfen auf derselben Seite, jedoch mit sehr unterschiedlichen Taktiken. ๐Ÿคช

Gruss Alex
Member: commodity
commodity Jun 14, 2024 at 07:03:19 (UTC)
Goto Top
da Sophos ... in letzter Zeit ... nicht so viele Patzer hatte
Da drücken wir dann mal die Daumen face-big-smile

Viele Grüße, commodity