Die Sicherheitslage im Cyberspace verschärft sich kontinuierlich. Ein aktueller Überblick über diese Woche zeigt beunruhigende Trends bei der Exploitabilität von Hardware und dem Missbrauch von Cloud-Infrastruktur.
KVM-Geräte unter Beschuss
Eine besonders kritische Entdeckung stammt vom Sicherheitsforschungsunternehmen Eclypsium: Neun Schwachstellen wurden in IP-KVM-Geräten von vier Herstellern identifiziert — GL-iNet, Angeet/Yeeso, Sipeed und JetKVM. Die schwerwiegendste Lücke in dem Angeet/Yeeso ES3-Modell ermöglicht es Angreifern, beliebige Dateien zu schreiben und Betriebssystembefehle auszuführen — ohne Authentifizierung. Dies ist besonders gefährlich, da KVM-Geräte auf BIOS-Ebene funktionieren und damit vollständige Kontrolle über ein System ermöglichen können, bevor das Betriebssystem überhaupt startet. Potenziell könnten Angreifer Keystrokes injizieren, das System von Wechseldatenträgern booten oder Secure Boot deaktivieren. Während JetKVM und Sipeed bereits Patches bereitgestellt haben, zeigen sich andere Hersteller weniger kooperativ — GL-iNet plant keine Fixes für zwei seiner Lücken, und Angeet/Yeeso hat sich zu keinem Zeitrahmen verpflichtet.
Größter Datenschutzverstoß bei Sears
Cybersicherheitsforscher Jeremiah Fowler deckte auf, dass drei unverschlüsselte Datenbanken von Sears Home Services 3,7 Millionen Kundendatensätze offen im Internet lagen. Die Exposition umfasste über 54.000 Chatprotokolle des KI-Chatbots „Samantha”, fast 1,4 Millionen Audioaufnahmen von Kundenanrufen und über 200.000 Tabellenkalkulationen mit persönlichen Details wie Namen, Adressen, Telefonnummern und Servicetermin-Informationen. Nach Benachrichtigung des Mutterkonzerns Transformco wurden die Datenbanken schnell gesichert.
Ransomware-Gruppe The Gentlemen
Im Bereich der Ransomware-Aktivitäten zeigt sich eine neue organisierte Gruppe namens „The Gentlemen” — ein Ransomware-as-a-Service-Kollektiv mit etwa 20 Operatoren. Die Gruppe nutzt hauptsächlich die kritische FortiOS/FortiProxy-Authentifizierungs-Bypass-Schwachstelle CVE-2024-55591, um Zugang zu Netzwerken zu erlangen. Bemerkenswert ist, dass die Gruppe eine Datenbank mit etwa 14.700 bereits kompromittierten FortiGate-Geräten verwaltet. Nach dem Eintritt in ein Netzwerk setzt die Gruppe die BYOVD-Technik (Bring-Your-Own-Vulnerable-Driver) ein, um Sicherheitstools auf Kernelebene auszuschalten.
Neue Android-Sicherheitsmaßnahmen
Google führt neue Schutzmaßnahmen gegen Betrugsschemata beim Sideloading von Android-Apps ein. Das neue System zwingt Nutzer, Developer Mode zu aktivieren, zu bestätigen, dass niemand sie anleitet, das Gerät neu zu starten und einen vollen Tag zu warten, bevor biometrische Authentifizierung erfolgt — alles Maßnahmen, um die künstliche Dringlichkeit zu durchbrechen, auf die Betrüger angewiesen sind.
Regulatorische Verschärfung in Großbritannien
Die britische Finanzaufsicht FCA hat neue Melderegeln finalisiert: Finanzunternehmen müssen schwerwiegende Cyber-Vorfälle innerhalb von 24 Stunden melden, Zahlungsdienstleister sogar innerhalb von vier Stunden. Diese strenge Regulierung könnte Vorbild für europäische Behörden sein.