21.09.2020 12:55

Rückblick auf das zweite Drittel 2020

Mai

Anders als das erste Jahresdrittel, begann das zweite wesentlich weniger dramatisch, was IT-Sicherheit angeht.

Vorfälle und Aussendungen

Neben Citrix, dem auch im 2. Jahresdrittel unsere erste anlassbezogene Aussendung zu verdanken war, kam auch eine andere alte Schwachstelle zu neuem “Ruhm".

Citrix ShareFile StorageZones Controller

Am 5. Mai gab Citrix bekannt, dass mehrere Schwachstellen (CVE-2020-7473, CVE-2020-8982, CVE-2020-8983) in der Software des ShareFile StorageZones (alternativ auch “storage zones") Controller dafür sorg(t)en, dass AngreiferInnen Zugriff auf die dort gespeicherten Daten erhalten können – ganz ohne Authentifizierung.

Daran war vor allem unangenehm, dass ein einfaches Update nicht ausreichte, um sich zu schützen, da das Problem in den von verwundbaren Geräten erstellen Storage Zones selbst lag, d.h. auch aktualisierte Server, die alte Storage Zones verwendeten, waren weiterhin anfällig.

Wir identifizierten mithilfe von shodan.io potentiell für diese Lücken anfällige Geräte in Österreich und kontaktierten deren BetreiberInnen.

QNAP NAS

In der zweiten Maihälfte wurde ein Exploit zu einer Schwachstelle in diversen QNAP NAS Geräten veröffentlicht, die es ermöglichte, sämtliche Dateien auf dem Gerät zu lesen und zu schreiben sowie beliebigen Code auszuführen; und all das ganz ohne lästige Authentifizierung. Das Update von QNAP stand zwar bereits seit November 2019 bereit, war allerdings vielfach nicht eingespielt worden, sodass einer Schätzung zufolge im Mai 2020 immer noch bei etwa 312.000 Geräte, die aus dem öffentlichen Internet erreichbar waren, die Lücke nicht behoben war.

Wiederum suchten wir mittels shodan.io nach potentiell betroffenen Geräten in Österreich und verschickten E-Mails mit der Bitte um möglichst zeitnahe Updates.

Projekte und Konferenzen

Im Mai fand das erste virtuelle TF-CSIRT Meeting statt, an dem Sebastian Wagner und Aaron Kaplan teilnahmen. Eine Zusammenfassung findet sich unter https://connect.geant.org/2020/06/01/virtual-tf-csirt.

Außerdem nahm im Mai das Projekt MeliCERTes an Fahrt auf. Dieses hat zum Ziel, eine gemeinsame "Toolbox", die wo immer möglich aus Open Source Projekten besteht, für nationale CERTs/CSIRTs in der EU zu schaffen. Dadurch soll nicht nur neuen CERTs/CSIRTs der Einstieg erleichtert werden, sondern auch die Entwicklung der Open Source Lösungen gefördert werden. Details zum Projekt finden sich auf https://cert.at/de/ueber-uns/projekte/#melicertes-smart-2018-2014.

Juni

Auch der Juni wartete mit einigen Schwachstellen auf und brachte wieder erste Erinnerungen an die seit Februar 2020 verdächtig ruhige Emotet-Schadsoftware.

Vorfälle und Aussendungen

VMWare vCenter Server

Im Juni machte eine Aussendung zu VMWares vCenter Server den Anfang. Dieser hatte bereits im April mit CVE-2020-3952 eine glatte 10.0 auf der CVSS 3.0 Skala hingelegt, aber auch direkt ein Update erhalten. Die Schwachstelle ermöglicht(e) es AngreiferInnen, sensible Daten, wie etwa das Passwort eines Administrations-Accounts über das Netzwerk und ohne Authentifizierung auszulesen.

Während bereits im April ein Proof of Concept zum Ausnützen der Lücke veröffentlicht worden war, erschien am 1.6. ein “richtiger" Exploit dazu.

Wir nahmen das zum Anlass, um nach öffentlich erreichbaren vCenter Server Instanzen in Österreich zu scannen und informierten Betroffene.

Exim

Auch Exim hatte schon im September 2019 mehrere kritische Schwachstellen (CVE-2019-10149, CVE-2019-15846, CVE-2019-16928) geschlossen, die eine Remote Code Execution mit root-Rechten ermöglichten.

Es stellte sich aber heraus, dass die notwendigen Updates vielfach nicht eingespielt worden waren und weltweit etwa 1 Million verwundbare Exim-Instanzen via shodan.io identifiziert werden konnten (vgl. den Artikel auf Heise.de).

Wir filterten die potentiell anfälligen Exim-Installationen in Österreich aus den Ergebnissen heraus und kontaktierten die BetreiberInnen.

Apache Tomcat: Ghostcat

Bereits im Februar hatten wir von einem befreundeten CERT Informationen zu von der Ghostcat getauften Schwachstelle betroffenen Geräten in Österreich erhalten und ausgeschickt.

Im Juni erhielten wir erneut eine Liste von Instanzen, die nach wie vor nicht auf dem aktuellen Stand waren und wiederholten den Vorgang.

Emotet Returns (not yet)

Außerdem erhielten wir von einem befreundeten CERT eine Liste von mit Emotet infizierten Geräten in Österreich. Die Informationen waren zwar schon etwas älter und um die Schadsoftware war es zu diesem Zeitpunkt einige Monate sehr ruhig geworden, aber wir kontaktierten natürlich trotzdem die BetreiberInnen und baten um eine rasche Bereinigung im eigenen Interesse – vor allem, wenn es noch zu keinen weiteren Schritten der Kriminellen gekommen war.

Projekte und Konferenzen

Projekte

Mitte Juni nahmen wir einen Feed der Firma Bitsight in unsere Aussendungen auf, der Informationen über mit Malware oder Adware befallene Geräte enthält. Nähere Informationen finden sich im damals veröffentlichten Blogpost.

Eine Woche später erschienen mit IntelMQ 2.1.3 und 2.2.0 ein Maintenance- und ein Feature-Release der von uns betreuten Open Source Software. Wiederum gibt es auf unserem Blog eine genauere Übersicht dazu, was die neuen Versionen jeweils umfassten.

Außerdem veröffentlichten wir Ende Juni die Tools, mit denen wir Certificate Transparency Logs bearbeiten auf Github. Dabei monitoren das Austrian Energy CERT (AEC) und GovCERT Austria, welche neuen TLS-Zertifikate für Webseiten der jeweiligen Constituency ausgestellt werden, und informieren die betroffenen Sicherheitsabteilungen.

Diese können dann sofort überprüfen, ob es sich um ein legitimes Zertifikat handelt, oder aber ein potentieller Angriff vorliegt.

Konferenzen

Nach anfänglichen Absagen von Konferenzen aufgrund der Reise- und Versammlungsbeschränkungen, wurde mit der Zeit und nach Möglichkeit auf Online-Formate umgestellt. Im Juni hatten sich langsam alle daran gewöhnt und auch CERT.at nahm an einigen Remote-Veranstaltungen teil.

Sebastian Wagner und Otmar Lendl nahmen am 11. CSIRTs Network Meeting teil, das von 2020-06-03 – 2020-06-04 stattfand.

Am 22. Juni gab es ein virtuelles EGC (European GovCERT Group) Meeting, bei dem Otmar Lendl dabei war.

Während die FIRST Conference 2020 wegen COVID-19 auf November verschoben wurde, wurde der geplante FIRST-CTF dennoch abgehalten; diesmal eben online. Von CERT.at nahmen Dimitri Robl und Sebastian Wagner teil und erreichten gemeinsam Platz 42 von etwa 200 Teams.

Juli

Nachdem wir also bereits im Vormonat wieder erste Berührungspunkte haben durften, kehrte Emotet im Juli in voller Stärke zurück und spammte was das Zeug hielt.

Vorfälle und Aussendungen

Citrix-Shitrix

Auch wenn die “Shitrix" getaufte Schwachstelle zu Beginn des Jahres viel Aufmerksamkeit bekommen hatte, war sie offensichtlich nicht allen bekannt geworden: Wir erhielten Anfang Juli eine Liste von nach wie vor potentiell verwundbaren Geräten in Österreich und schickten die Informationen an die Betroffenen weiter.

Palo Alto PAN-OS

Ende Juni wurde in Palo Altos PAN-OS mit CVE-2020-2021 eine kritische Schwachstelle mit einem CVSSv3 Score von 10.0 behoben.

Wir bekamen Anfang Juli eine Liste von in Österreich betroffenen Geräten und schickten eine Warnung an die BetreiberInnen aus.

Emotet Returns (for real)

Und dann kam Emotet zurück – mit neuem Code, neuen Tricks und neuen Pannen.

Die Kriminellen hinter der Schadsoftware dürften die Monate seit Februar für eine ausgiebige Überarbeitung des Codes und dem Hinzufügen neuer Optionen genutzt haben.

Eine neue Fähigkeit der Malware war nun, dass sie nicht nur auf gestohlene E-Mails antwortete, um glaubwürdiger zu erscheinen, sondern auch gestohlene E-Mail Anhänge zweckentfremdete, wie unter anderem Bleeping Computer berichtete. Dabei werden legitime Anhänge zusätzlich zu den bösartigen an E-Mails angehängt.

Aber wie auch bei anderer Software, lief (in diesem Fall erfreulicherweise) nicht alles glatt beim neuen "Release". Eine unbekannte Person fand relativ schnell eine Lücke in der Infrastruktur von Emotet und ersetzte die Malware durch ungefährliche GIF-Dateien wie z.B. golem.de berichtete.

Projekte und Konferenzen

Projekte

Im Juli stellten wir das Projekt tag2domain in einem Blogpost vor. Dabei handelt es sich um einen Versuch, eine Taxonomie zu entwickeln, nach der DNS-Domains basierend auf Tags klassifiziert und darauf basierend Statistiken erstellt werden können – beispielsweise welche Domains in welchen Wirtschaftszweig fallen.

Diese Taxonomie muss einerseits flexibel sein, um die Einbindung neuer Kategorien zu ermöglichen, darf aber andererseits nicht in Massen an Kategorien untergehen, damit sinnvolle statistische Abfragen möglich bleiben. Angelehnt wurde sie an jene von MISP.

Ein anderes Projekt, das im Juli große Fortschritte zu verzeichnen hatte, war SIRF, das Security Incident Response Framework.

Seit Juli wird CERT.at außerdem von Clemens Moritz aus der R&D Abteilung der nic.at bei der Umsetzung eines Webcrawlers für das Project “Enhancing Cybersecurity in Austria" (2018-AT-IA-0111) unterstützt.

August

Auch der August war gefüllt mit Emotets Umtrieben.

Vorfälle und Aussendungen

Emotet soweit das Auge reicht

Im August lief Emotet auf Hochtouren. Anfang des Monats wurde öffentlich bekannt, dass eine bis dahin in IT-Sicherheitskreisen kursierende Lücke namens "EmoCrash", die die Schadsoftware zum Absturz brachte, mit einem neuen Update des Schädlings nicht mehr funktionierte. Bis zu diesem Zeitpunkt wurde diese "Impfung" unter der Hand weitergegeben, um nicht die Aufmerksamkeit der Kriminellen zu erregen und dennoch möglichst viele Menschen vor den Angriffen zu schützen. Am 6.8. war damit leider Schluss, vgl. den Blogpost von BinaryDefense.

CERT.at machte im Verlauf des Augusts drei Emotet-bezogene Aussendungen, die sich an BesitzerInnen infizierter Geräte bzw. spammender E-Mail-Accounts wandten.

Ein neuer Feed: Accessible Ubiquiti Service Discovery

Mit dem Open Ubiquiti Report1 von Shadowserver kam im August auch ein neuer Feed zu unsere Aussendungen hinzu. Dieser enthält erstmals auch Einträge, die unter die Taxonomie “intrusions" zu zählen sind, da bei manchen der Geräte klar ersichtlich ist, dass sie bereits gehackt wurden.

Eine genauere Beschreibung des Feeds findet sich auf unserer Webseite.

Projekte und Konferenzen

Im August wurde endgültig beschlossen, eine neue Version des Constituency-Portals zu entwickeln, weil sich im Verlauf des Projekts herausstellte, dass die zugrundeliegende Struktur den Anforderungen nicht entspricht. Die aktuelle Version befindet sich im Maintenance Mode, d.h. sie wird nicht mehr weiterentwickelt.

Außerdem gaben wir Ende August den zweiten Interimsreport zu “Enhancing Cybersecurity in Austria" (2018-AT-IA-0111) ab.


  1. Nein, die Inkohärenz in der Benennung ist uns nicht entgangen – die kommt direkt von der Quelle selbst, da die Webseite ihn als "Open Ubiquiti Report" bezeichnet, die E-Mail Reports aber von "Accessible Ubiquiti Service Discovery" schreiben.

Verfasst von: Dimitri Robl