mysticfoxde
Goto Top

Schwachstelle bei CHECK POINT für den jüngsten CDU Hack mitverantwortlich

Moin Zusammen,

so wie es aussieht, wahr wohl eine Schachstelle in den Next Generation Firewall's von CHECK POINT, für den jüngsten und leider erfolgreichen Cyber-Angriff mitverantwortlich.

https://www.mdr.de/nachrichten/deutschland/panorama/hackerangriff-cdu-so ...

"Derzeit wird davon ausgegangen, dass sich die Täter wohl 14 Tage lang in den Netzen der CDU bewegen konnten."
😔

"Ende vergangener Woche waren noch fünf Zugänge aktiv ausnutzbar. In Sachsen-Anhalt war vor allem die Uni Halle mit ihrem Standort in Wittenberg betroffen. Die Uni bestreitet allerdings, dass sie "Check Point"-Produkte nutzt."
🙃

Weitere Infos:
https://www.borncity.com/blog/2024/06/02/cyberangriff-auf-das-cdu-netzwe ...
https://www.borncity.com/blog/2024/06/05/digitalkompetenz-und-cybersecur ...

Aber ja, dass grösste Problem bei diesem Hack, sass wahrscheinlich vor dem Bildschirm und hat lange Zeit nur Däumchen gedreht. 😔

Ich sage nur SIT. 😭

Gruss Alex

Content-ID: 52685359342

Url: https://administrator.de/knowledge/schwachstelle-bei-check-point-fuer-den-juengsten-cdu-hack-mitverantwortlich-52685359342.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

Trommel
Trommel 12.06.2024 aktualisiert um 10:25:31 Uhr
Goto Top
"Unsere Sicherheitsbehören @bsi_bund und das Bundesamt für Verfassungsschutz sind intensiv damit befasst, den Angriff abzuwehren...".

Die Abwehr: https://chaos.social/@andre_meister/112445611511137161 face-wink

Trommel
commodity
commodity 12.06.2024 um 10:54:11 Uhr
Goto Top
Leicht redundanter Tread (hier schon vor einiger Zeit Thema) aber hierzu full ACK:
Aber ja, dass grösste Problem bei diesem Hack, sass wahrscheinlich vor dem Bildschirm und hat lange Zeit nur Däumchen gedreht.
Nach derzeitigem Sachstand konnte die Lücke nur in Verbindung im Zusammenspiel mit Credential-Phishing/Bruteforce ausgenutzt werden. 2FA (von CP dringend empfohlen), hätte das verhindert.
Aber: Auch unglaubliche Schlamperei von CP, wenn der Webserver mit Root-Rechten läuft... Wieder mal ein schönes Beispiel, wie die Schlangenöl-Branche die IT unsicherer macht.

Bei der CDU ist man aber ganz offenbar mehr damit beschäftigt, Sicherheitsforschende anzuzeigen, als sich um die Sicherheit der IT zu kümmern.

Da freut man sich als ITler schon auf die nächste Regierung face-big-smile

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE 12.06.2024 aktualisiert um 11:08:32 Uhr
Goto Top
Moin @Trommel,


😯 ... ja natürlich, warum ist mir das nicht selber eingefallen, dass ich doch dem angreifenden Server ja auch einfach eine Mail mit einer Abschaltbitte oder gar einem Abschaltbefehl zuschicken könnte. 😬 (Schande über mein Haupt. 😔)

Moment, ich habe da doch die Tage erst eine Liste mit über 25000 schadhaften IP's erstellt. 🤔

Ähm, was meint ihr, soll ich in den Betreff der Mail besser "Bitte alles Löschen und danach Abschalten" oder eher gleich "format c: & shutdown -s -t 0" eintippen? 🤪

Gruss Alex
Bingo61
Bingo61 12.06.2024 um 13:40:19 Uhr
Goto Top
Zitat von @Trommel:

"Unsere Sicherheitsbehören @bsi_bund und das Bundesamt für Verfassungsschutz sind intensiv damit befasst, den Angriff abzuwehren...".

Die Abwehr: https://chaos.social/@andre_meister/112445611511137161 face-wink

Trommel

Man sollte das auch nicht wortwörtlich nehmen. face-smile
Wenn jemand sagt, ich werfe mich vor lachen weg, wird da auch angenommen, dass der sich von Brücke stürzt?
Hackback hat man dem BSI und dem BKA ja untersagt.
Was der BND macht ... wird er sicher nicht öffentlich kundtun.
MysticFoxDE
MysticFoxDE 13.06.2024 aktualisiert um 07:41:38 Uhr
Goto Top
Moin @Bingo61,

Man sollte das auch nicht wortwörtlich nehmen. face-smile

ähm, wäre Herr Gerhard Schindler der Präsident des BND's im 20ten Jahrhundert gewesen, dann hätte ich ihm diese Aussage auch durchgehen lassen, er hatte dieses Amt jedoch vom 01.01.2012 bis zum 30.06.2016, also schon während des digitalen Zeitalters und angesichts dessen, hätte er eine solche Aussage niemals treffen dürfen, zumindest dann nicht, wenn er von der entsprechenden Materie wirklich etwas verstehen würde. 😔

Hackback hat man dem BSI und dem BKA ja untersagt.

Ja ... leider. 😔😭

Was der BND macht ... wird er sicher nicht öffentlich kundtun.

Ja, das ist so ... nur sagt mir meine Kristallkugel, dass wenn der BND seine IT-Security-Experten genau so gut bezahlt wie der BSI, dabei nicht wirklich so viel rauskommen kann und selbst wenn der BND das doppelte des BSI bezahlen würde, würde er damit noch lange nicht an das herankommen, was heutzutage die Privatwirtschaft für einen guten IT-Security-Experten bezahlt. 😔

Gruss Alex
MysticFoxDE
MysticFoxDE 13.06.2024 aktualisiert um 08:25:37 Uhr
Goto Top
Moin @commodity,

Leicht redundanter Tread (hier schon vor einiger Zeit Thema) aber hierzu full ACK:

nicht so ganz, denn bei dem von dir angesprochenen Beitrag, geht es ja nur um die Lücke selbst und dieser Beitrag sollte zeigen, was schon innerhalb kürzester Zeit passieren kann, wenn man solche Warnungen nicht wirklich ernst nimmt.

Nach derzeitigem Sachstand konnte die Lücke nur in Verbindung im Zusammenspiel mit Credential-Phishing/Bruteforce ausgenutzt werden. 2FA (von CP dringend empfohlen), hätte das verhindert.

Tja, das beweist nur, dass wohl bei sehr vielen Behörden, 2FA weitestgehend wohl noch ein Fremdwort ist.
Auch der verehrende Angriff auf die SIT, währe mit 2FA so wahrscheinlich nicht möglich gewesen. 😔

Hier ist übrigens eine gute Seite, die viele auf deutsche Unternehmen und Behörden verübte Cyber-Angriffe auflistet.

https://konbriefing.com/de-topics/hackerangriff-deutschland.html

Schau dir mal den 31 Mai 2024 mal an. 😬😭😱

Aber: Auch unglaubliche Schlamperei von CP, wenn der Webserver mit Root-Rechten läuft... Wieder mal ein schönes Beispiel, wie die Schlangenöl-Branche die IT unsicherer macht.

Na ja, wenn das jetzt nur die einzige unglaubliche Schlamperei von CP der wenigstens letzten paar Monate gewesen währe, könnte man ja noch etwas darüber hinwegsehen, weil bei CP auch nur Menschen arbeiten.

Aber, bei den ganzen Schlampereien die sich CP in den letzten Monaten geleistet hat, bin ich mir nicht mehr wirklich so sicher, ob die auch tatsächlich genug über IT-Security verstehen, respektive, diese wirklich ernst genug nehmen. Die letzte Aussage gilt übrigens nicht nur für Fortinet, sondern insbesondere auch für Cisco!

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Fortinet
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Cisco
🤮🤮🤮

Bei der CDU ist man aber ganz offenbar mehr damit beschäftigt, Sicherheitsforschende anzuzeigen, als sich um die Sicherheit der IT zu kümmern.

😯 ... nice, dass die Lilith die CDU App hops genommen hat, habe ich noch gar nicht mitbekommen, dabei ist das Ganze schon 3 Jahre her, Schande über mein Haupt. 😬
Dabei hat die gute Lilith die CDU auch nicht wirklich gehackt, sondern lediglich eine Sicherheitslücke in deren App gefunden. 🙃
Und dann machen die auch noch so einen Affenzirkus daraus ... 🙈 ... na ja, Politiker eben.

Gruss Alex
commodity
commodity 14.06.2024 um 00:18:35 Uhr
Goto Top
Die letzte Aussage gilt übrigens nicht nur für Fortinet, sondern insbesondere auch für Cisco!
Du hast vergessen, Sophos zu erwähnen face-big-smile

Das Problem betrifft alle schlangenöligen Wollmilchsäue. Sie vermehren die Angriffsfläche.

hat die gute Lilith
hätte jetzt nicht erwartet, dass Ihr zwei auf einer Linie seid. Aber umso besser face-big-smile

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE 14.06.2024 aktualisiert um 07:27:23 Uhr
Goto Top
Moin @commodity,

Du hast vergessen, Sophos zu erwähnen face-big-smile

ähm, nö, da Sophos im Vergleich zu den beiden anderen, in letzter Zeit bei weitem nicht so viele Patzer hatte.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Sophos

Wie du siehst, hatte Sophos dieses Jahr noch keinen einzigen CVE Eintrag. 😉

Das Problem betrifft alle schlangenöligen Wollmilchsäue. Sie vermehren die Angriffsfläche.

Das ist meiner Ansicht nach wiederum eine etwas übertriebene Aussage, zumindest pauschal gesehen. Denn wenn man mit einer Wollmilchsau korrekt umgehen kann, dann mach die schon weitestgehend auch das was man möchte. 🙃

hätte jetzt nicht erwartet, dass Ihr zwei auf einer Linie seid. Aber umso besser face-big-smile

Na ja, auf einer Linie ist glaube ich etwas übertrieben, aber ja, wir kämpfen auf derselben Seite, jedoch mit sehr unterschiedlichen Taktiken. 🤪

Gruss Alex
commodity
commodity 14.06.2024 um 09:03:19 Uhr
Goto Top
da Sophos ... in letzter Zeit ... nicht so viele Patzer hatte
Da drücken wir dann mal die Daumen face-big-smile

Viele Grüße, commodity