22.06.2020 18:57

Aktuelles zum 22.6.2020

Wie unser Jahresbericht dokumentiert, verarbeiten wir viele Quellen, die uns täglich Informationen über Probleme in Österreich informieren. Wir bekommen aber auch immer wieder einzelne Listen, die wir dann als "one-shot" Report aussenden. In den letzten Wochen waren das:

  • 3.6.2020: VMware vCenter, 20 IP-Adressen in 5 Mails
  • 4.6.2020: Exim, 431 IP-Adressen in 64 Mails (das war leider unscharf, da nur auf den Version-Strings basierend)
  • 16.6.2020: Emotet, 296 IP-Adressen in 19 Mails (leider nicht eher alte Daten)
  • 16.6.2020: Apache Tomcat, 37 IP-Adressen in 18 Mails

An Schwachstellen gibt es dieses mal nichts herausragendes zu berichten. Spannend könnte aber noch Ripple20 werden, da es deutlich schwieriger ist, im embedded Kontext Patches breitflächig ins Feld zu bringen. Aktuell sehe ich noch wenig Gefahr, aber das Thema wird uns lange begleiten. 

Aus aktuellem Anlass will ich auch darauf hinweisen, dass cloudbasierte Datenbanken und Speicher (u.a. Amazon S3 Buckets, Redis, Elasticsearch, MongoDB) von Angreifern systematisch gesucht, schnell entdeckt und anschließend ausgenutzt werden können. Daher wird bei ihrem Einsatz dringend zu einer effektiven Absicherung gegen unbefugten Zugriff geraten.

Viel "Spass" haben derzeit unsere Kollegen am anderen Ende der Welt: aus Australien werden Angriffswellen gemeldet. Den Empfehlungen des Australian Cyber Security Centre (ACSC) können wir uns anschließen:

  1. Zeitnahe (ACSC empfiehlt max. 48h nach Patchverfügbarkeit) Updates aller Systeme, die direkt aus dem Internet erreichbar sind. In Australien waren die folgenden relevant: Telerik UI (eine Komponente von Web-Applikationen), IIS (insb. Deserialisierungen / CVE-2020-0688), Sharepoint und Citrix.
  2. Sicherstellung, dass neben den produktiven Services auch Entwicklungs-, Test- und eigentlich schon abgelöste Systeme geschützt sind.
  3. Absicherung aller extern erreichbarer Services mittels Multifaktor Authentication. Insbesondere gilt das für Webmail, Kollaborationsplatformen, VPNs, Remote Desktop (RDP, Citrix) und Instant Messaging.