Erste Opfer der Moveit-Lücke in der Schweiz

16. Juni 2023 um 12:11
image
Illustration: Midjourney

Die Bande Clop hat mit der Publikation von möglichen Datendiebstählen begonnen. Progress Software gibt schon wieder eine neue, dritte Moveit-Schwachstelle bekannt.

Seit Ende Mai eine erste Schwachstelle in der Managed-File-Transfer-Lösung Moveit publik wurde, zittern weltweit Unternehmen und Organisationen. Kurz nach der Bekanntgabe der Zero-Day-Lücke erfolgten erste Drohungen der Bande Clop, diese für Datendiebstähle ausgenutzt zu haben.
Die Cyberkriminellen schrieben, dass sich Moveit-Anwender umgehend bei der Bande melden sollen. Falls sie dies nicht tun, werde ab dem 14. Juni der Firmenname von Opfern auf der Darknet-Site veröffentlicht. Nach eigenen Angaben hat die Gruppe weltweit über 230 Unternehmen und Organisationen kompromittiert. Im Gegensatz zu früheren Angriffen verschlüsselte Clop dabei keine Systeme, sondern griff angeblich "nur" Daten ab.

Krankenversicherer ÖKK bestätigt Angriff

Tatsächlich steigen die Einträge von Clop auf ihrer Website im Darknet seit dem 14. Juni rapide an. Darunter sind auch erste Namen aus der Schweiz, wie zuerst 'Watson' berichtete. Clop nennt die Krankenversicherung ÖKK und den auch hierzulande tätigen Ferienpark-Betreiber Landal.
Gegenüber 'Watson' bestätigten beide Unternehmen, von Clop angegriffen worden zu sein. "Wir gehören zu den mutmasslich vielen Betroffenen. Unser Kernsystem mit den Gesundheitsdaten ist nicht tangiert", erklärte Patrick Eisenhut, Leiter Kommunikation der ÖKK. Es seien Personendaten wie Vorname und Name betroffen. Der Krankenversicher betont: "Wir sehen aktuell keinen Anlass, auf die Forderungen (von Clop) einzugehen."
Von Seiten Landal heisst es: "Die Cyberkriminellen verschafften sich auch Zugang zu Landal Greenparks und zu den Daten der Gäste. Ob sie von diesem Zugang auch tatsächlich Gebrauch gemacht haben, wissen wir nicht."

Shell und US-Behörden unter den Opfern

Nach bereits bekannten Vorfällen bei der Fluggesellschaft British Airways, dem Ölkonzern Shell, der irischen Gesundheitsbehörde HSE und Universitäten häufen sich auch in den USA die Meldungen zu Angriffen über die Moveit-Lücke. Wie unter anderem 'Forbes' berichtet, bestätigten US-Beamte am 15. Juni, dass mehrere Regierungsbehörden, darunter das Energieministerium, getroffen wurden. Ob diese Attacken ebenfalls auf das Konto von Clop gehen, ist bis jetzt unklar.
In einem Alert schreibt Hüseyin Can Yuceel, Securityforscher bei Picus: "Da der Zweck der Drohung darin besteht, Opfer unter Druck zu setzen, damit sie das geforderte Lösegeld zahlen, wird Clop die Daten in dieser Woche möglicherweise nicht in vollem Umfang freigeben. Frühere Angriffe zeigen jedoch, dass sie nicht bluffen." Unternehmen sollten aber auf keinen Fall auf die Forderungen der Cyberkriminellen eingehen.

Und schon die dritte Moveit-Schwachstelle

Ausgenutzt für die Angriffe wurde die Schwachstelle "CVE-2023-34362". Am 9. Juni gab der Moveit-Hersteller Progress Software mit "CVE-2023-35036" eine zweite, ebenso kritische Lücke, bekannt. Für beide Lücken stehen Patches zur Verfügung. Unternehmen sollten diese sofort und dringend anwenden, empfiehlt auch das Schweizer NCSC.
Nicht mal eine Woche später hat Progress jetzt eine dritte Schwachstelle in Moveit bekannt gegeben. "Progress hat eine Schwachstelle in Moveit Transfer entdeckt, die zu erweiterten Berechtigungen und potenziell unbefugtem Zugriff auf die Umgebung führen könnte", schreibt das Unternehmen in einem Advisory.
"Angesichts der neu veröffentlichten Schwachstelle haben wir den Http-Verkehr für Moveit Cloud heruntergefahren und alle Moveit-Transfer-Kunden gebeten, ihren Http- und Https-Verkehr zu drosseln, um ihre Umgebungen zu schützen, während ein Patch erstellt und getestet wurde", so Progress. Das Unternehmen empfiehlt dringend, im Advisory erwähnte Abwehrmassnahmen sofort zu ergreifen.

Loading

Mehr erfahren

Mehr zum Thema

image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024