Top 25 der gefährlichsten Software-Schwachstellen 2022

cyber crime


Das CWE-Projekt hat eine Liste der 25 gefährlichsten Sicherheitslücken für das Jahr 2022 zusammengestellt. Sie soll helfen, Risiken zu minimieren.

heise security logoDas Common Weakness Enumeration-Projekt (CWE) hat die Liste für das Jahr 2022 der 25 gefährlichsten Softwareschwachstellen zusammengestellt. Die Liste soll die derzeit am meisten vorkommenden Lücken mit den gravierendsten Auswirkungen aufführen. Sie soll unter anderem Softwarearchitekten, Designern, Entwicklern, Testern, Nutzern, Projektmanagern, Sicherheitsforschern, Ausbildern und bei Standard-entwickelnden Organisationen Zuarbeitenden dabei helfen, Risiken einzudämmen. An der diesjährigen Spitzenposition findet sich ein alter Bekannter: die Fehlerkategorie Buffer Overlow.

external link https://www.heise.de/

Risse im Ökosystem der Ransomware

ransomware unternehmen


Nach dem britischen National Cyber Security Centre (NCSC) ist Ransomware die unmittelbarste Bedrohung für Unternehmen weltweit.

security insiderCybercrime rund um Ransomware ist organisiert und ausgeklügelt, mit einer Technologie, die so weit demokratisiert und zugänglich gemacht wurde, dass Ransomware zu einer eigenen Wirtschaft geworden ist. Einige Ransomware-Betreiber spielen ein Zahlenspiel, indem sie MSPs (Managed Service Provider) mit Angriffen auf die Software-Lieferkette ins Visier nehmen, die Tausende von Unternehmen betreffen. Andere, wie z. B. APT-Gruppen (Advanced Persistent Threat), haben es auf bestimmte Ziele abgesehen, um Regierungen zu destabilisieren oder hochwertige Daten zu erpressen. Im vergangenen Jahr beobachtete die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) Ransomware-Vorfälle, die 14 der 16 kritischen Infrastruktursektoren der USA betrafen. Dazu zählen Verteidigung, Lebensmittel und Landwirtschaft sowie Regierungseinrichtungen und sogar die Notdienste.

external link https://www.security-insider.de/

Ukraine-Krieg: DDoS-Angriffe auf Litauen

Cyber Attacken


Wegen beschränkten Warenverkehrs von Russland nach Kaliningrad hat eine pro-russische Cybergang Überlastungsangriffe auf litauische Webseiten gestartet.

heise security logoDas litauische Verteidigungsministerium meldete in der Nacht auf Dienstag dieser Woche auf Twitter schwere Distributed-Denial-of-Service-Attacken gegen Webseiten staatlicher Einrichtungen und privatwirtschaftlicher Unternehmen. Die schlimmsten Angriffe seien inzwischen unter Kontrolle und die Dienste wiederhergestellt. Da Litauen Transitland für Warenlieferungen von Russland in die russische Exklave Kaliningrad ist und EU-Sanktionen diese einschränken, ist das Land ins Visier russischer Cybergangs geraten.

external link https://www.heise.de/

Das zunehmende Problem mit Cyberattacken

cyber security


Unternehmen und Organisationen werden zunehmend Ziel von Cyberangriffen, wie der jüngste Fall aus Südhessen zeigt, wo ein IT-Dienstleister betroffen war. Es können enorme Schäden entstehen.

security insiderExperten raten deswegen zu strenger Hygiene in der IT-Sicherheit. Der jüngste Hackerangriff auf einen IT-Dienstleister in Südhessen lässt aufhorchen. Denn zu seinen Kunden zählen auch Energieversorger, die wiederum Teil der sogenannten kritischen Infrastruktur sind: Dazu gehört die Versorgung mit Wasser, Gas oder Strom, die aber nach Angaben der betroffenen Unternehmen nicht von der Cyberattacke betroffen war, da sie über andere IT-Systeme betrieben wird. Dennoch nehmen solche Angriffe zu, die Schäden sind beträchtlich.

external link https://www.security-insider.de/

Synology: Aktualisierte Firmware dichtet Sicherheitslecks in Routern ab

network router


In Firmware von Synology-Geräten hat der Hersteller Sicherheitslücken gefunden. Angreifer könnten unter anderem unberechtigt auf Dateien zugreifen.

heise security logoDer Netzwerkausrüster Synology warnt vor Sicherheitslücken im Router-Betriebssystem Synology Router Manager (SRM). Angreifer könnten laut Fehlerbeschreibung mehrere Schwachstellen missbrauchen, um SQL-Befehle einzuschleusen oder beliebige Dateien zu lesen und schreiben. Eine Anmeldung ist dafür erforderlich. Der Hersteller stuft die Sicherheitslücke als „Wichtig“ ein, was auf der üblichen Skala nach CVSS-Risikoeinstufung dem Schweregrad „hoch“ entspricht. In der Sicherheitsmeldung schreibt Synology, dass es keine Workarounds gebe.

external link https://www.heise.de/

Sieg für Verbraucherschützer, Weckruf für Unternehmen

EUGH


Der Europäische Gerichtshof (EuGH) hat Verbraucherschutz­verbände als Wächter bei Datenschutz­verstößen gestärkt. Die Verbraucherzentrale Bundesverband (vzbv) bekam grünes Licht aus Luxemburg, um gegen den Facebook-Mutterkonzern Meta im Falle von Datenschutzverstößen vorzugehen.

security insiderSie müssen dafür nicht von betroffenen Nutzern beauftragt werden. Was große Internetkonzerne und Social-Media-Plattformen dürfen und was nicht, ist immer wieder Gegenstand von Gerichtsentscheidungen auf EU-Ebene. Der vzbv hatte schon im Jahre 2012, damals noch gegen Facebook Irland, beanstandet, dass das Angebot kostenloser Spiele von Drittanbietern in einem App-Zentrum der Plattform gegen Datenschutzrecht und andere Regelungen verstoße. Die Unterlassungsklage der Verbraucherschützer hatte in erster und zweiter Instanz Erfolg. 

external link https://www.security-insider.de/

 

Google schließt 14 Sicherheitslücken in Chrome

chromium


Mit dem Sprung auf das 103er-Release dichtet Google im Webbrowser Chrome 14 Schwachstellen ab. Auch für Android und iOS steht die neue Version bereit.

heise security logoGoogle hat die Version 103.0.5060.53 für Linux, Mac und Windows veröffentlicht und schließt darin insgesamt 14 Sicherheitslücken – davon bewerten die Entwickler mindestens eine als kritisch. Auch für Android (103.0.5060.53) und iOS (103.0.5060.54) stehen die neuen 103er-Versionen bereit. Zudem hat der Hersteller den Browser im Extended-Stable-Channel auf den Stand 102.0.5005.134 gehievt. Da Google zum Schutz der Nutzerinnen und Nutzer Details zu den abgedichteten Sicherheitslücken für einen längeren Zeitraum unter Verschluss hält, lassen sich nur die ausgewählten Kurzbeschreibungen auswerten.

external link https://www.heise.de/

Cyber-Risiken und Geschäftsprozesse korrelieren

cyber attacks

 

Ob großes oder kleines Unternehmen: Welche Cyberrisiken welche Assets betreffen, und welchen Schaden dann bei Angriffen Geschäftsprozesse nehmen können, wissen die meisten nicht.

security insiderAlso fällt es den Firmen schwer, eine stringente Sicherheitsstrategie zu entwickeln. Diesem Problem rückt jetzt das Startup RIMIAN aus dem Allgäu zu Leibe. In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen wollen. Das Startup RIMIAN („RIMIAN“ steht für „Risk Mitigate & Analysing“), aus Füssen im Allgäu unterstützt mit seiner Lösung Lifeblood Anwender dabei, Cyberrisiken ins Verhältnis zu den davon betroffenen Geschäftsprozessen zu setzen und die möglichen Schäden hinsichtlich der Wichtigkeit für die Wertschöpfung, aber auch monetär zu bewerten.

external link https://www.security-insider.de/

Patchday Adobe: Schadcode-Lücken in InDesign, Illustrator & Co.

adobe


Mehrere Adobe-Anwendungen sind über als kritisch eingestufte Schwachstellen attackierbar. Sicherheitsupdates schaffen Abhilfe.

heise security logoWer Anwendungen von Adobe nutzt, sollte diese aus Sicherheitsgründen auf den aktuellen Stand bringen. Die meisten Lücken stuft der Softwarehersteller als „kritisch“ ein. In Illustrator haben die Entwickler insgesamt 17 Lücken geschlossen. Setzen Angreifer erfolgreich an den Schwachstellen an, könnten sie in den meisten Fällen Speicherfehler auslösen und Schadcode ausführen. Wie das im Detail funktioniert, führt Adobe in seiner Warnmeldung nicht aus. Gegen solche Attacken sind die Versionen Illustrator 2021 25.4.6 und Illustrator 2022 26.3.1 unter macOS und Windows gerüstet.

external link https://www.heise.de/

Wie verteidigt man sich gegen Cybercrime-Gruppen mit Millionenbudget?

company cyber security


Die Frage aus der Überschrift stellt sich heute wohl jede IT. Es gibt einfache Antworten: „gar nicht“, „Entnetzung / Abhängigkeit von der IT reduzieren“ und „neue Tools kaufen“.

security insiderLeider gilt hier ähnliches, wie bei vielen anderen komplexen Themen: Eine schnelle einfache Lösung („silver bullet“) gibt es nicht. Aber dafür gibt es ein bewährtes, dreistufiges Vorgehen aus dem Krisenmanagement, das sich einfach übertragen lässt. Bevor man anfängt in technischen Lösungen zu denken, ist es wichtig die eigene Gefährdungslage zu kennen. Im Fall von Cybercrime muss man dazu die Täter und die aktuell benutzten Vorgehensweisen kennen. Begriffe wie „initial compromise“, „lateral movement“, „rights elevation“, “data exfiltration” sollten einer IT ebenso geläufig sein wie „Patient Zero“ oder „double extortion scheme”. 

external link https://www.security-insider.de/