Monat: September 2018

MikroTik-Router angreifbar | heise Security

Spionage und Krypto-Mining: MikroTik-Router angreifbar


Alert!

05.09.2018 12:34 Uhr
Fabian A. Scherschel

Spionage und Krypto-Mining: MikroTik-Router angreifbar

In der Firmware von Routern des lettischen Herstellers MikroTik stecken mehrere kritische Sicherheitslücken.

(Bild: MikroTik)

Sicherheitslücken aus dem Spionage-Fundus der CIA machen RouterOS-Geräte des Herstellers MikroTik zum Risiko, denn deren Nutzer können überwacht werden.

Tausende Router des lettischen Herstellers MicroTik sind über Sicherheitslücken im Betriebssystem RouterOS angreifbar. Zwei Sicherheitslücken aus dem Vault-7-Fundus der CIA erlauben das Auslesen von Daten und das Ausführen von beliebigem Schadcode über Management-Software für RouterOS namens Winbox und Webfig. Eine der Sicherheitslücken (CVE-2018-14847) ist seit mindestens Anfang August unter Beobachtung, Angreifer missbrauchen sie allerdings schon seit geraumer Zeit für Angriffe auf RouterOS-Geräte. Verwundbare Geräte haben mehrere offene Ports, über die Angreifer die Geräte kapern können.

Krypto-Mining und Spionage (der CIA?)

Wie die chinesische Sicherheitsfirma 360 Netlab berichtet, versuchen Angreifer auf den verwundbaren Routern die Mining-Software Coinhive zu installieren. Den Anwendern des Routers werden Fehlermeldungen angezeigt, die den Coinhive-Code nachladen, der dann verdeckt Kryptogeld schürft. Allerdings funktioniert dieser Angriff momentan wohl eher schlecht als recht, weil die unbekannten Hacker einen Fehler bei der Umsetzung gemacht haben.

Gravierender sind Angriffe auf die verwundbaren MikroTik-Router, bei denen bestimmte Ports überwacht werden und deren sämtlicher Traffic mit dem Sniffer-Protokoll TZSP an unbekannte Angreifer weitergeleitet wird. Diese können also den kompletten Traffic des Routers auf von ihnen voreingestellten Ports sehen. Überwacht wird hier wohl vor allem FTP- und E-Mail-Verkehr der Nutzer. Ob diese Überwachung der in den Vault-7-Leaks beschriebenen Horchaktion “Cherry Blossom” der CIA entspringt, oder ob andere Angreifer im Spiel sind, ist zu diesem Zeitpunkt nicht klar.

Welche Firmware ist sicher?

Von den Sicherheitslücken betroffen sind laut 360 Netlab alle MikroTik-Router mit RouterOS bis Version 6.42 – ob das die aktuelle Version 6.42.7 einschließt, ist unklar. Weder in den Changelogs der Version 6.42.7 noch der aktuellen Entwicklungsversion 6.43rc66 werden die von 360 Netlab entdeckten Sicherheitslücken erwähnt. Lediglich mehrere ähnlich Lücken, die im August von der Sicherheitsfirma Tenable gemeldet wurden, sind von MikroTik behoben worden. So oder so sollten Anwender schnellstmöglich die Software der Geräte auf den aktuellen Stand bringen und dort auch halten. Firmware-Updates für die Router, die vor allem in kleinen Firmen und bei Privatanwendern im Einsatz sind, finden sich auf einer Support-Seite des Herstellers.

(fab)

Source

Categories: Sicherheit

Netzwerk-Sniffer Wireshark für DoS-Angriffe anfällig | heise Security

Netzwerk-Sniffer Wireshark für DoS-Angriffe anfällig

Update


Alert!

Stand: 04.09.2018 15:44 Uhr
Dennis Schirrmacher

Netzwerk-Sniffer Wireshark für DoS-Angriffe anfällig

(Bild: geralt)

Es gibt wichtige Sicherheitsupdates für das Netzwerkanalysetool Wireshark. Keine der Lücken gilt als kritisch.

Wer Wireshark für die Analyse von Datenverkehr in Netzwerken einsetzt, sollte sicherstellen, dass die aktuelle Version installiert ist. Verschiedene Komponenten sind für DoS-Angriffe anfällig und Angreifer könnten die Anwendung ohne Authentifizierung aus der Ferne lahmlegen. Netzwerkausrüster Cisco stuft das Risiko der drei Lücken jeweils als “hoch” ein.

Dafür müsste er aber Zugriff auf ein Netzwerk haben, um Wireshark dort präparierte Pakte unterjubeln zu können. Daran kann sich das Tool verschlucken und abstürzen. In den Versionen 2.2.17, 2.4.9 und 2.6.3 sind die Lücken mit den Kennungen CVE-2018-16056, CVE-2018-16057, CVE-2018-16058 geschlossen.

Bedrohte Ausgaben

Den Entwicklern zufolge sind die Versionen 2.2.0 bis 2.2.16, 2.4.0 bis 2.4.8 und 2.6.0 bis 2.6.2 für Angriffe empfänglich. Aus den Sicherheitswarnungen geht nicht hervor, welche Betriebssysteme von den Lücken bedroht sind. Das Open-Source-Tool gibt es beispielsweise für verschiedene Linux-Distributionen und Windows.

[UPDATE, 04.09.2018 16:35 Uhr]

Abschnitt mit Abstürzen im Fließtext präzisiert.

(des)

Source

Categories: Sicherheit

Tags:

Sicherheitslücke in den Türschlössern des Firmensitzes | heise Security

Google: Sicherheitslücke in den Türschlössern des Firmensitzes


Alert!

04.09.2018 16:46 Uhr
Fabian A. Scherschel

Google

Die smarten Türschlösser von Googles Gebäuden in Sunnyvale, unweit der Firmenzentrale, haben eine ziemlich gravierende Sicherheitslücke.

(Bild: dpa, Marcio Jose Sanchez/AP/dpa)

Die iStar-Ultra-Türschlösser in Googles Gebäuden in Sunnyvale waren kein Hindernis für Angreifer mit Zugang zum internen Netz.

Nicht nur Privatpersonen haben mit der Sicherheit ihres Smart Homes zu kämpfen, auch große Tech-Firmen können Opfer von Sicherheitslücken in verbauter Hardware werden. Das musste Google im Juli feststellen, als es ein Mitarbeiter schaffte, die Sicherheit der Türschlösser in Googles Büros in Sunnyvale zu umgehen. Das Problem lag bei den RFID-Kartenlesern für die Türschlösser des Bürokomplexes. Die Verschlüsselung der Datenpakete, die die Geräte über das interne Google-Netzwerk verschickten, war offenbar so schlecht, dass ein Angreifer mit Zugriff auf das Netzwerk nach Belieben Türen hätte öffnen oder schließen können. Und das ohne eine gültige Zugangskarte zu besitzen. Außerdem hätte er Mitarbeitern mit gültigen Karten den Zugang verwehren können.

Lücke endgültig nur mit Hardware-Austausch zu schließen

Google hat vor Bekanntwerden der Lücke Schritte unternommen, um seine Büros vor solchen Angriffen zu schützen. Hierfür wurden anscheinend interne Netzwerkbereiche stärker voneinander getrennt, damit die verwundbaren Schlösser nicht im allgemeinen internen Netz der Firma erreichbar sind – das legt ein Bericht von Forbes nahe, der die Sicherheitslücke zuerst öffentlich gemacht hatte. Außerdem hat der Hersteller der Hardware wenigstens TLS-Transportverschlüsselung für den Netzwerk-Traffic einiger seiner Komponenten aktiviert. Endgültig geschlossen werden kann die Sicherheitslücke allerdings erst, wenn der Hersteller der Türschlösser die Hardware ausgetauscht hat – die Geräte haben einfach nicht genug Speicher verbaut, um wirklich sichere Verschlüsselung zu verwenden.

Betroffen sind Schließgeräte der Typen iStar Ultra und IP-ACM von der Firma Software House, einer Tochter des Konzerns Johnson Controls. Kunden, die ähnliche Geräte des Herstellers einsetzen, sollten sich mit diesem in Verbindung setzen, um herauszufinden, wie sie die Sicherheitslücke zumindest teilweise absichern können. Vor allem in Verbindung mit einem unsicheren internen WLAN könnte sie sonst sehr unangenehme Folgen für die Sicherheit der betroffenen Gebäude haben.

Unzulängliche Verschlüsselung, fest eingestellte Schlüssel

Der Google-Mitarbeiter hatte die Schwachstelle entdeckt, da die vermeintlich verschlüsselten Datenpakete der Schließautomaten im internen Netz der Firma alles andere als pseudozufällig aussahen. Erkennt man Muster in verschlüsselten Daten, ist das immer ein schlechtes Zeichen, welches auf ungenügende Verschlüsselung hindeuten kann. In diesem Fall entdeckte der Google-Mitarbeiter einen fest eingebauten Schlüssel, mit dem die Türschlösser ihre Daten verschlüsselten. Dieser Schlüssel kann darüber hinaus auch nicht besonders gut gewählt gewesen sein oder es lagen andere Dinge bei der Verschlüsselung im Argen, denn sonst wären trotzdem keine Muster im Inhalt der Datenpakete erkennbar gewesen. Auf letzteres deutet vielleicht auch die Tatsache hin, dass der Hersteller die Hardware upgraden muss, bevor darauf sichere Verschlüsselung umgesetzt werden kann. So oder so sind die Kunden, bei denen die Smart-Schlösser verbaut sind, nun wohl zum Handeln gezwungen.

(fab)

Source

Categories: Sicherheit

Tags:

Nvidia Geforce Experience als Einfallstor für Angreifer | heise Security

Sicherheitsupdate: Nvidia Geforce Experience als Einfallstor für Angreifer


Alert!

04.09.2018 13:43 Uhr
Dennis Schirrmacher

Sicherheitsupdate: Nvidia Geforce Experience als Einfallstor für Angreifer

(Bild: geralt)

Unter gewissen Umständen könnten Angreifer PCs mit Nvidia-Grafikkarten lahmlegen.

Nvidias Einstellungssoftware Geforce Experience für Grafikkarten aus gleichem Haus ist unter Windows verwundbar. Darin klaffen drei Sicherheitslücken mit den Kennungen CVE-2018-6257, CVE-2018-6258 und CVE-2018-6259 – das Angriffsrisiko gilt insgesamt als “hoch”. Computer sind aber nur angreifbar, wenn man die Option “Gamestream” in den Einstellungen aktiviert hat. Darüber kann man Spiele beispielsweise auf den Nvidia-Mediaplayer Shield streamen.

Ist diese Option aktiviert, könnten Angreifer Computer via DoS-Attacke lahmlegen, Informationen mitschneiden oder sich höhere Rechte verschaffen. Wie Angriff im Detail vonstatten gehen, führt Nvidia in der Sicherheitswarnung nicht aus. Bei zwei Lücken ist die Rede davon, dass ein Angreifer bereits Zugriff auf ein System haben muss.

Die Version 3.14.1 von Gefroce Experience ist abgesichert. Alle vorigen Ausgaben sind Nvidia zufolge bedroht.

(des)

Source

Categories: Sicherheit

Tags: