VMware Schwachstelle - Patch
Vectra und Tenable kommentieren Ubiquiti-Breach
Insider-Informationen zum Ubiquiti-Breach
Es gibt ein Update über den Ubiquiti-Breach, bei dem das Unternehmen im Januar gehackt und Informationen dazu an alle Kunden gesendet wurden, um sie über die Sicherheitsverletzung zu informieren. Ein Whistleblower, ein Sicherheitsexperte bei Ubiquiti, hat nun Details an die Medien weitergegeben und mitgeteilt, dass sie tatsächlich einen „katastrophalen“ Vorfall heruntergespielt haben, um ihre Aktienkurse zu schützen.
Laut dem Whistleblower "war der Verstoß massiv, Kundendaten waren gefährdet, der Zugriff auf Kundengeräte, die in Unternehmen und Privathaushalten auf der ganzen Welt eingesetzt wurden, war gefährdet." Der Insider berichtet auch, dass die Hacker vollen Lese- / Schreibzugriff auf Ubiquiti-Datenbanken bei AWS erhielten.
Andreas Müller, Director DACH beim IT-Sicherheitsanbieter Vectra AI kommentiert die neuen Informationen:
„Der Whistleblower der Ubiquiti-Datenschutzverletzung liefert eine präzise Beschreibung des Ausmaßes und der Wucht des Angriffs. Laut dem Whistleblower hat der Angreifer „mehrere virtuelle Linux-Maschinen“ eingerichtet. Dies ist eine sehr ungewöhnliche Angriffsmethode, aber eine sehr einfache Möglichkeit, innerhalb einer Organisation Fuß zu fassen. Die Folgen dieses Angriffs ähneln denen des „Sunburst“ -Angriffs. Sobald der Täter Zugriff auf die Infrastruktur und die Netzwerkverwaltungskonsole hat, kann er tun, was er will. Angreiferr versuchen zunehmend, auf Cloud-Dienste von Anbietern zuzugreifen, um Zugang zu einer großen Anzahl von Unternehmen zu erhalten.
Aus diesem Grund werden Erkennungs- bzw.Warnfunktionen auf der Management-Ebene von Cloud-Infrastrukturen zu einem Muss. Wir erwarten einen starken Anstieg dieser Arten von Angriffen, da viele Unternehmen umgezogen sind oder auf AWS / Azure / GCP-Clouds umsteigen werden. Dieser Angriff unterstreicht das allgemeine Risiko der Verwendung von SaaS-Angeboten und die Bedeutung von Zertifizierungen wie der SOC2-Typ2-Konformität.
AWS ist sich sehr klar über das von ihnen bereitgestellte Modell der geteilten Verantwortung. AWS ist aber nicht dafür verantwortlich, den Zugang zu ihrem Dienst zu sichern, Ubiquiti ist hier in der Pflicht. Der Mangel an Verantwortung von Ubiquiti und die bisherige Antwort stellen vermutlich das Vertrauen in Frage, das Kunden in ihren Service setzen werden.“
VMware veröffentlicht Details zu Sicherheitslücke
Gestern hat VMware Details zu zwei neu bekannt gewordenen Sicherheitslücken in VMware vRealize Operations veröffentlicht.
Satnam Narang, Staff Research Engineer bei Tenable , kommentiert hierzu:
„Security-Analysten haben einige Sicherheitslücken in VMwares vRealize Operations (vROPs) aufgedeckt. Bei der schwerwiegendsten Sicherheitslücke, CVE-2021-21975, handelt es sich um eine Server-seitige Request Forgery (SSRF)-Sicherheitslücke in der vROPs Manager-API. Ein nicht authentifizierter, entfernter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er eine speziell gestaltete Anfrage an den anfälligen vROPs Manager-API-Endpunkt sendet. Bei erfolgreicher Ausnutzung würde der Angreifer administrative Anmeldeinformationen erhalten.
VMware hat außerdem CVE-2021-21983 gepatcht, eine Sicherheitslücke für das Schreiben beliebiger Dateien in der VROPs Manager-API, die dazu verwendet werden kann, Dateien in das zugrundeliegende Betriebssystem zu schreiben. Diese Sicherheitslücke tritt nach der Authentifizierung auf, d. h. ein Angreifer muss sich mit administrativen Zugangsdaten authentifizieren, um diese Sicherheitslücke auszunutzen.
Für sich genommen scheinen diese Sicherheitslücken nicht so schwerwiegend zu sein wie CVE-2021-21972, eine Sicherheitslücke für Remotecodeausführung in VMwares vCenter Server, die im Februar gepatcht wurde. Wenn Angreifer jedoch sowohl CVE-2021-21975 als auch CVE-2021-21983 miteinander verketten, könnten sie ebenfalls Remotecode-Ausführungsrechte erlangen.
VMware hat Patches für beide Sicherheitslücken in den vROPs Manager-Versionen 7.5.0 bis 8.3.0 bereitgestellt. Außerdem wurde ein temporärer Workaround bereitgestellt, der Angreifer daran hindert, diese Sicherheitslücken auszunutzen. Der Workaround sollte nur als vorübergehende Zwischenlösung verwendet werden, bis Unternehmen in der Lage sind, die Anwendung der Patches zu planen.“
