12. Juni 2025
Beschreibung
CERT.at warnt vor stark zunehmenden Phishing-Kampagnen, bei denen
manipulierte SVG-Dateien (Scalable Vector Graphics) als E-Mail-Anhänge
verwendet werden. Diese Angriffsmethode wird seit mehreren Monaten
verstärkt beobachtet und stellt eine ernsthafte Bedrohung dar, da
SVG-Dateien von vielen Sicherheitslösungen nicht ausreichend geprüft
werden.
Auswirkungen
Durch das Öffnen manipulierter SVG-Dateien können Angreifer:
* JavaScript-Code auf dem System des Opfers ausführen.
* Schadsoftware nachladen und installieren.
* Phishing-Formulare direkt in der SVG-Datei anzeigen.
* Automatische Weiterleitungen zu bösartigen Webseiten auslösen.
* Zugangsdaten und andere sensible Informationen stehlen.
Technische Details
SVG-Dateien sind XML-basierte Textdateien zur Darstellung von
Vektorgrafiken. Angreifer nutzen folgende Eigenschaften aus:
* Eingebettetes JavaScript: SVG-Dateien können script-Tags enthalten,
die JavaScript-Code ausführen.
* ForeignObject-Element: Ermöglicht die Einbettung von HTML-Inhalten
und interaktiven Formularen direkt in der SVG-Datei.
* Automatische Ausführung: Beim Öffnen der SVG-Datei im Browser wird
eingebetteter Code automatisch ausgeführt.
* Geringe Erkennungsrate: Da SVG-Dateien hauptsächlich aus Text
bestehen, werden sie von vielen Antivirenprogrammen nicht als
verdächtig eingestuft.
Die Angreifer verwenden verschiedene Verschleierungstechniken wie
Unicode-Escape-Encoding und String-Verkettung, um die Erkennung weiter
zu erschweren.
Aktuelle Kampagne: Strela Stealer
CERT.at beobachtet derzeit verstärkt SVG-basierte Phishing-Kampagnen in
Österreich, die den Strela Stealer verbreiten. Diese Schadsoftware ist
speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen.
Ablauf der Infektion:
* SVG-Anhang: Opfer erhalten eine E-Mail mit einer manipulierten
SVG-Datei als Anhang (aktuell z.B. Rechnung_<xyz/Nummer>.svg).
* JavaScript-Ausführung: Das in der SVG eingebettete JavaScript wird
beim Öffnen (nach minimaler Interaktion durch das Opfer)
ausgeführt.
* ZIP-Download: Das JavaScript lädt automatisch eine ZIP-Datei
herunter.
* JScript-Loader: Die ZIP-Datei enthält eine JScript-Datei, die als
Loader fungiert.
* Payload-Download: Bei positiver Prüfung wird die eigentliche
Schadfunktionalität (aktuell Powershell-Scripts) nachgeladen.
Besonderheiten:
* Strela Stealer zielt auf Mozilla Thunderbird und Microsoft Outlook
(Authentifizierungs-Daten, potentielle Exfiltration von E-Mails)
und kann Screenshots anfertigen.
* Verwendet mehrstufige Verschleierung und Anti-Analyse-Techniken.
* Exfiltriert gestohlene Daten über HTTP POST an
Command-and-Control-Server.
Betroffene Systeme
* Alle Systeme und Anwendungen die SVG-Dateien rendern und JavaScript
ausführen können - insbesondere Webbrowser und E-Mail Clients.
Abhilfe
Sofortmaßnahmen:
* SVG-Dateien in E-Mail-Anhängen generell als verdächtig behandeln.
* E-Mail-Filter so konfigurieren, dass SVG-Anhänge blockiert oder in
Quarantäne verschoben werden. (Achtung: Da SVG-Dateien allgemein
durchaus in normaler E-Mail Kommunikation genutzt werden, ist dies
zwar eine wirksame, aber vielleicht für normale Geschäftsabläufe
hinderliche Methode, die zuvor abhängig der Organisations-Parameter
geprüft werden sollte.)
* Mitarbeiter:innen über diese Angriffsmethode informieren und
sensibilisieren.
__________________________________________________________________
Informationsquelle(n):
Blog-Artikel von IBM (Englisch):
https://www.ibm.com/think/x-force/weaponized-svgs-inside-a-global-phishing-…
Artikel von Bleepingcomputer (Englisch):
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly…
Blog-Artikel zu JS in SVGs (Englisch):
https://davidwalsh.name/javascript-in-svgs
Blog-Artikel zu einer früheren StrelaStealer Kampagne von Trustwave
(Englisch):
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive…
--
// Erik Huemer <huemer(a)cert.at> - T: +43 1 5056416 767
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
14. Mai 2025
Beschreibung
Ivanti veröffentlichte am 13. Mai Updates & Sicherheitsadvisories zu
zwei Schwachstellen in Ivanti Endpoint Manager Mobile (EPMM). Die
verkettete Ausnutzung der beiden Lücken kann zur unauthentifizierten
Ausführung von Schadcode genutzt werden. Ivanti gibt an die Ausnutzung
dieser Lücken auf einer limitierten Anzahl an Systemen, bereits vor der
Veröffentlichtung des Advisories, beobachtet zu haben.
CVE-Nummern: CVE-2025-4427, CVE-2025-4428
CVSS Score: 7.2 (Hoch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung beliebigen Code ausführen und auf sensible
Informationen zugreifen. Dies ermöglicht potenziell eine vollständige
Kompromittierung von Ivanti EPMM Systemen welche eine verwundbare
Version nutzen.
Betroffene Systeme
* Ivanti Endpoint Manager Mobile
+ 11.12.0.4 und niedriger
+ 12.3.0.1 und niedriger
+ 12.4.0.1 und niedriger
+ 12.5.0.0 und niedriger
Abhilfe
Die am 13. Mai veröffentlichten Hotfixes (Versionsnummern 11.12.0.5,
12.3.0.2, 12.4.0.2 und 12.5.0.1) beheben diese Sicherheitslücken. Es
wird dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann der Zugriff auf die
betroffenen Komponenten mithilfe der integrierten ACL-Funktionalität
oder eigener Firewall-Regeln eingeschränkt werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Security Advisory Ivanti Endpoint Manager Mobile (EPMM) May 2025:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manag…
Ivanti System Manager Guide - Access Control Lists: Portal ACLs
https://help.ivanti.com/mi/help/en_us/core/12.x/sys/CoreSystemManager/Acces…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
26. März 2025
Beschreibung
Im Kubernetes Ingress NGINX Controller, einer Kernkomponente von
Kubernetes, wurden mehrere kritische Sicherheitslücken entdeckt. Diese
ermöglichen unter anderem unauthentifizierte Remote Code Execution
(RCE) und unberechtigten Zugriff auf Secrets.
CVE-Nummern: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514,
CVE-2025-1974, CVE-2025-24513
CVSS Score: 9.8 (kritisch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung beliebigen Code ausführen und auf sensible
Informationen zugreifen. Dies ermöglicht potenziell eine vollständige
Kompromittierung von Kubernetes-Clustern, die den verwundbaren Ingress
NGINX Controller verwenden.
Betroffene Systeme
Betroffen sind vor den Versionen 1.12.1 und 1.11.5 veröffentlichte
Versionen des Ingress NGINX Controllers.
Abhilfe
Die am 25. März 2025 veröffentlichten Versionen 1.12.1 und 1.11.5 des
Ingress NGINX Controllers beheben diese Sicherheitslücken. Es wird
dringend empfohlen, das Update umgehend einzuspielen.
Als temporäre Maßnahme bis zum Update kann durch die Deaktivierung des
Validating Admission Controller Features das Risiko signifikant
reduziert werden.
* Für Installationen via Helm:
+ Neuinstallation mit dem
Parameter controller.admissionWebhooks.enabled=false
* Für manuelle Installationen
+ Löschen der ValidatingWebhookconfiguration mit dem
Namen ingress-nginx-admission
+ Bearbeiten des Ingress NGINX Controller Deployments oder
DaemonSets und Entfernen des
Parameters --validating-webhook aus der Argumentliste des
Controller-Containers
Generell sollte der Netzwerkzugriff auf den Validierungs-Webhook des
Ingress NGINX Controllers eingeschränkt werden, und nur vom Kubernetes
API-Server aus erreichbar sein. Jeder andere Zugriff sollte als nicht
vertrauenswürdig eingestuft werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Kubernetes Blog:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-CVE-2025-1974
Wiz Blog:
http://wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
20. März 2025
Beschreibung
CERT.at beobachtet weiterhin eine Welle von Ransomware-Angriffen, bei
denen Cyberkriminelle bekannte kritische Schwachstellen in FortiOS- und
FortiProxy-Geräten gezielt ausnutzen. Die Schwachstellen ermöglichen es
Angreifern, unauthentifiziert super_admin-Rechte auf verwundbaren
Geräten zu erlangen und langfristige Persistenz einzurichten.
Besonders auffällig ist, dass die Angreifer nach der erfolgreichen
Infektion und Einrichtung ihrer Persistenz die Software betroffener
Geräte selbst aktualisieren. Dies dient der Verschleierung und
verhindert, dass weitere Angreifer dieselbe Sicherheitslücke erneut
ausnutzen können. Organisationen könnten daher fälschlicherweise
annehmen, dass ihre Systeme sicher und aktuell gepatcht seien, obwohl
sie bereits kompromittiert sind.
CVE-Nummer(n): CVE-2024-55591, CVE-2025-24472
Auswirkungen
Angreifer können durch Ausnutzung der Schwachstellen vollständigen
administrativen Zugriff auf anfällige Fortinet-Geräte erlangen. In
beobachteten Angriffen erstellen die Angreifer persistente
Administrator-Accounts, laden Konfigurationsdateien herunter, erlangen
VPN-Zugang und bewegen sich lateral im Netzwerk. Das endgültige Ziel
ist die Verbreitung von Ransomware.
Die Angriffe können zu folgenden Schäden führen:
* Vollständige Kompromittierung der Netzwerk-Sicherheitsinfrastruktur
* Datendiebstahl vor der Verschlüsselung
* Verschlüsselung von kritischen Servern und Dateien
* Erpressung durch Lösegeldforderungen
Betroffene Systeme
* FortiOS-Geräte in Versionen unterhalb von 7.0.16 mit exponierten
Management-Schnittstellen, aber auch bereits gepatchte mit
Persistenz
Abhilfe
CERT.at empfiehlt dringend:
* Sofortige forensische Untersuchung aller Fortinet-Geräte, die nach
dem 27. Jänner 2025 noch verwundbar waren, auch wenn diese
inzwischen vermeintlich gepatcht erscheinen.
* Überprüfung und Löschung unbekannter Administrator- und VPN-Konten
sowie verdächtiger Automatisierungsaufgaben.
* Konsequente Beschränkung des externen Zugriffs auf
Management-Schnittstellen.
* Sofortige Aktualisierung aller FortiOS-Geräte auf Versionen, die
die Schwachstellen CVE-2024-55591 und CVE-2025-24472 beheben,
sofern nicht bereits geschehen.
Hinweis
Wir haben die Betreiber von verwundbaren Geräten erneut über die uns
bekannten Abuse-Kontakte informiert.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Blog von Forescout Research - Vedere Labs (englisch)
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vu…
Fortinet Advisory FG-IR-24-535 (englisch)
https://www.fortiguard.com/psirt/FG-IR-24-535
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
04. März 2025
Beschreibung
In VMware ESXi, Workstation und Fusion existieren mehrere kritische
Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden.
Diese ermöglichen unter anderem die Ausführung von beliebigem Code und
die Offenlegung von Informationen.
CVE-Nummer(n): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
CVSS Base Score: bis zu 9.3 (kritisch)
Auswirkungen
Die schwerwiegendste Schwachstelle (CVE-2025-22224, CVSS 9.3) ist ein
"Time of Check – Time of use" (TOCTOU)-Fehler, der zu einem
Heap-Überlauf führt. Angreifer mit Administratorrechten in einer
virtuellen Maschine können darüber Code im VMX-Prozess auf dem Host
ausführen und somit aus der VM ausbrechen.
Die zweite Schwachstelle (CVE-2025-22225, CVSS 8.2) ermöglicht
beliebige Schreibzugriffe. Mit Berechtigungen innerhalb des
VMX-Prozesses können Angreifer Kernel-Schreiboperationen auslösen und
aus der Sandbox ausbrechen.
Die dritte Schwachstelle (CVE-2025-22226, CVSS 7.1) erlaubt das
unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb
vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Damit
können Angreifer mit Admin-Rechten in einer VM Speicherinhalte aus dem
VMX-Prozess auslesen.
Betroffene Systeme
* VMware ESXi 8.0 und 7.0
* VMware Workstation Pro / Player 17.x
* VMware Fusion 13.x
* VMware Cloud Foundation 5.x und 4.5.x
* VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
* VMware Telco Cloud Infrastructure 3.x, 2.x
Abhilfe
VMware stellt für die betroffenen Produkte Sicherheitsupdates bereit,
deren umgehende Installation dringend empfohlen wird:
ESXi 8.0: ESXi80U3d-24585383 oder ESXi80U2d-24585300
ESXi 7.0: ESXi70U3s-24585291
Workstation: Version 17.6.3
Fusion: Version 13.6.3
Cloud Foundation 5.x und 4.5.x: Async Patches entsprechend der
Versionen
Telco Cloud Platform: Siehe KB389385
Der Hersteller gibt an, dass es keine Workarounds gibt, daher ist die
Installation der Sicherheitsupdates die einzige Schutzmöglichkeit.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Warnung von VMware (englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/externa…
FAQ zu den Schwachstellen (englisch)
https://brcm.tech/vmsa-2025-0004
Artikel bei Heise:
https://www.heise.de/news/Kritische-Luecke-in-VMware-ESXi-Fusion-und-Workst…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
23. Jänner 2025
Beschreibung
In SonicWall SMA1000 Appliance Management Console (AMC) und Central
Management Console (CMC) wurde eine kritische Sicherheitslücke
entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Die
Schwachstelle ermöglicht die Ausführung von beliebigem Code ohne
vorherige Authentifizierung.
CVE-Nummer(n): CVE-2025-23006
CVSS Base Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann aus der Ferne beliebige
Betriebssystembefehle auf dem betroffenen Gerät ausführen. Die
Schwachstelle wird bereits aktiv von Bedrohungsakteuren ausgenutzt.
Betroffene Systeme
SonicWall SMA1000 Version 12.4.3-02804 und älter
Hinweis: SonicWall Firewall und SMA 100 Serie sind nicht betroffen.
Abhilfe
SonicWall hat ein Update veröffentlicht, das die Schwachstelle behebt.
Betroffene Systeme sollten umgehend auf Version
12.4.3-02854 (platform-hotfix) oder höher aktualisiert werden.
Als Workaround sollte der Zugriff auf die Appliance Management Console
(AMC) und Central Management Console (CMC) auf vertrauenswürdige
Quellen beschränkt werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
SonicWall Security Advisory SNWLID-2025-0002
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
07. Jänner 2025
Beschreibung
Der Hersteller Sonicwall hat seine Kunden darüber informiert, dass
einige Geräte von Sicherheitslücken betroffen sind. Besonders
hervorzuheben ist dabei eine bereits angegriffenen Lücke bei denen
Angreifer:innen die Authentifizierung in SonicOS SSLVPN umgehen können.
CVE-Nummer(n): CVE-2024-53704
CVSS Base Score: 8.2
Auswirkungen
Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf
betroffenen Geräten unter Umständen kryptographische Token vorhersagen
und die Authentifizierung umgehen.
Betroffene Systeme
* Gen 6 / 6.5 Hardware Firewalls: SonicOS < 6.5.5.1-6n
* Gen 6 / 6.5 NSv Firewalls: SonicOS < 6.5.4.v-21s-RC2457
* Gen 7 Firewalls: SonicOS < 7.0.1-5165 und < 7.1.3.7015
* TZ80: SonicOS 8.0.0-8037
Abhilfe
Zur Zeit stehen keine Sicherheitsaktualisierungen zur Verfügung.
Administrator:innen sind angehalten SSL-VPN oder SSH-Management auf
betroffenen Geräten zu deaktivieren um eine Ausnutzung der
Schwachstelle zu verhindern.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Zero-Day-Sicherheitslücke in Sonicwall SSL-VPN wird angegriffen
https://www.heise.de/news/Zero-Day-Sicherheitsluecke-in-Sonicwall-SSL-VPN-w…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien