Anfang Juli kündigte ein Angreifer eine Zero-Day-Schwachstelle für Citrix ADC an. Aufgrund mangelnder Informationen hielt sich das Unternehmen jedoch mit einer Reaktion auf den Beitrag des Angreifers zurück. Heute warnt Citrix die Öffentlichkeit vor einer kritischen Sicherheitslücke, die NetScaler ADC und NetScaler Gateway betrifft und die vermutlich mit der Anzeige des Angreifers von Anfang Juli zusammenhängt. Citrix hat bereits neue Software-Updates für die drei Schwachstellen veröffentlicht, die bereits bekannt waren, bevor Citrix über die Zero-Day-Schwachstelle informierte. CVE-2023-3519 ist die schwerwiegendste Sicherheitslücke mit einer Bewertung von 9,8 von 10 Punkten. Dieser Code kann von einem Angreifer jederzeit ausgeführt werden, ohne dass eine Authentifizierung erforderlich ist. Mit anderen Worten: Der Angreifer hat das infizierte Gerät als Gateway oder virtuellen Authentifizierungsserver konfiguriert, um die Sicherheitstools der Software zu nutzen. Die Schwachstelle CVE-2023-3466 hat einen Schweregrad von 8,3 und beruht auf einem Problem im Cross-Site-Scripting (XSS) des Unternehmens. Sie wird ausgenutzt, wenn ein Benutzer eine bösartige URL von einem Angreifer erhält (wenn sie sich im selben Netzwerk befinden) und diese in den Browser eingibt. Die letzte Schwachstelle, CVE-2023-3467, hat einen Schweregrad von 8. Dieses Problem ermöglicht es Angreifern, Administratorrechte zu ändern und zu erweitern.
Nachfolgend finden Sie die aktuellen Versionen, die den Zero-Day patchen:
-
- NetScaler ADC und NetScaler Gateway 13.1-49.13 und alle neueren Versionen
- NetScaler ADC und NetScaler Gateway 13.0-91.13 und spätere Versionen von 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 und spätere Versionen von 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36 und spätere Versionen von 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36 und spätere Versionen von
(Quelle: BleepingComputer)
Die Artifact Registry ist Googles Lagerhaus für alle Hosting-Software-Assets. Letzten Monat wurde Google über die Sicherheitslücke in seinem Speicher benachrichtigt und stellte einen Patch zur Verfügung. Forschern zufolge ist die Schwachstelle jedoch immer noch vorhanden, und Angreifer können die Registry-Images ändern und Malware einfügen, Denial-of-Service-Angriffe starten, Daten stehlen und vieles mehr. Die von den Forschern als Bad.Build bezeichnete Schwachstelle kann sich auf Kunden auswirken, sobald sie die mit Malware versehenen Fotos herunterladen. Die wachsende Besorgnis rührt von den Angriffen auf die MOVEit-Lieferkette her, bei denen das Ausmaß des Schadens aus erster Hand zu sehen war. Die Forscher gehen jedoch davon aus, dass es sich bei der Schwachstelle um einen Konstruktionsfehler handelt, der sich auf die Prüfprotokolle des Google Cloud Build-Dienstes bezieht. Angreifer könnten Zugriff auf alle Konten und Projektberechtigungen von Google Cloud erhalten, indem sie ein cloudbuild.builds.create-Konto imitieren.
Mit der Korrektur von Google vom Juni wurde die Protokollierungsberechtigung für Google Cloud Build gepatcht, so dass Angreifer nicht mehr auf Audit-Protokolle zugreifen können und keinen Zugriff auf alle Projekte haben. Dennoch bleibt die Google cloudbuild.builds.create-Berechtigung anfällig. Wenn Cloud Build in ein Projekt integriert wird, wird automatisch ein Dienstkonto erstellt, das dem Benutzer bei der Erstellung seines Projekts hilft. Mit dem Juni-Update hat Google die Möglichkeit des Zugriffs auf Nutzerprotokolle über den Cloud-Dienst deaktiviert. Google ist sich der Schwere der Angriffe auf die Lieferkette bewusst und arbeitet derzeit an der vollständigen Beseitigung des Risikos.
(Quelle: DarkReading)
Die Spyware-Anbieter Cytrox und Intellexa wurden von der Regierung Biden auf die schwarze Liste der Vereinigten Staaten gesetzt. Diese beiden bösartigen Unternehmen sind für die Gefährdung der Privatsphäre und der Sicherheit von Einzelpersonen und Organisationen in aller Welt verantwortlich. Die beiden Unternehmen handeln mit Exploits, um sich Zugang zu Informationssystemen zu verschaffen. Beide haben erfolgreiche Cyberangriffe auf Apple- und Android-Geräte durchgeführt, die einen Millionenwert erreichten. Cytox ist dafür bekannt, dass es Abhör-Malware auf den Telefonen von Gesetzgebern platziert hat, indem es bösartige Links mit nur einem Klick über die beliebte Messaging-App WhatsApp verschickt hat.
(Quelle: SecurityWeek)
Microsoft kündigte diese Woche an, dass sie im September die Lizenzierung ihrer Software aufgrund der Zunahme von Malware-Angriffen ändern werden. Die neuen Änderungen ermöglichen es M365-Kunden mit geringerem Leistungsumfang, kostenlos auf die wesentlichen Cloud-Sicherheitsprotokollvorgaben zuzugreifen. Microsofts plötzliche Änderung geht auf die Entdeckung der US-Regierungsbehörde für Cybersicherheit (CISA) in dieser Woche zurück, dass eine chinesische Bedrohungsgruppe es auf Regierungsbeamte und -behörden abgesehen hat. Nachdem die Behörden von dem Angriff erfahren hatten, stellte die CISA fest, dass Microsofts System für M365-Lizenzen der unteren Stufen nicht zugänglich war. Darüber hinaus räumte Microsoft diese Woche ein, dass die chinesischen Hacker einen gestohlenen Azure AD-Anmeldeschlüssel verwendeten, um Authentifizierungstoken zu fälschen und so in die Posteingänge der M365-Benutzer zu gelangen. Von dem chinesischen Angriff waren 25 Unternehmen betroffen. Das Haupthindernis bestand darin, dass M365-Kunden aufgrund fehlender aktualisierter E5/G5-Lizenzen nicht in der Lage waren, Nachforschungen anzustellen. Microsoft ändert nun seine Lizenzierung, um den Nutzern mehr Datentransparenz zu bieten. Um die Bedenken auszuräumen, werden gründlichere Protokolldaten hinzugefügt, und die Aufbewahrungsfrist für forensische Daten für Audit-Standard-Kunden wird von 90 auf 180 Tage verlängert.
(Quelle: SecurityWeek)
US-Cybersicherheits- und Nachrichtendienste haben neue Empfehlungen veröffentlicht, um 5G-Netzwerke besser zu schützen. CISA und die NSA erkennen an, dass die 5G-Bedrohungslandschaft zunehmend dynamisch und anfällig für bösartige Akteure geworden ist, insbesondere im Hinblick auf Network Slicing. Netzwerk-Slicing ermöglicht es Anbietern, ihre Netzwerke aufzuteilen, um verschiedene Nutzertypen zu bedienen. Die Architektur könnte die Nutzer jedoch einer Reihe von Angriffen aussetzen, darunter Denial-of-Service, Jamming, Identitätsdiebstahl und Adversary-in-the-Middle-Angriffe. Die neuesten Richtlinien der Behörden bauen auf den im Dezember 2022 veröffentlichten Empfehlungen auf, in denen ebenfalls davor gewarnt wurde, dass das Architekturmodell für Angreifer anfällig sein könnte.
Die jüngste Empfehlung konzentriert sich auf drei prominente Vektoren: Angriffe auf der Signalisierungsebene, Fehlkonfigurationsangriffe und "Adversary-in-the-Middle"-Angriffe. Die Agenturen raten den Nutzern, eine Null-Vertrauens-Architektur zu übernehmen, um ihre Netzwerke besser zu schützen.
(Quelle: TheHackerNews)
