14 Oracle-Lücken mit sehr hohem Risiko patchen

4. November 2020, 12:32
  • security
  • lücke
  • oracle
  • channel
  • cert
image

Das aktuellste Critical Patch Update Advisory von Oracle hat es in sich.

Mandiant, die Ermittlungseinheit der Security-Firma FireEye, hat kürzlich Details über einen neuen Angreifer veröffentlicht, den sie UNC1945 nennt. Die Sicherheitsfirma sagt, der oder die Angreifer hätten eine Zero-Day-Lücke im Betriebssystem Oracle Solaris genutzt, um in Firmennetzwerke einzudringen.
"UNC1945 zielte auf Oracle Solaris-Betriebssysteme ab, setzte verschiedene Tools und Dienstprogramme gegen Windows- und Linux-Betriebssysteme ein, lud und betrieb benutzerdefinierte virtuelle Maschinen und setzte Techniken ein, um der Erkennung zu entgehen", so Mandiant.
Man habe Oracle über die Lücke CVE-2020-14871 informiert und der Konzern habe im Oktober mit einem Critical Patch Update reagiert.
Allerdings ist dies nur eine kritische Lücke unter mehreren, die das BSI, das deutsche CERT, basierend auf dem Mandiant-Bericht und dem Oracle-Advisory mit der höchsten Risikostufe 5 einschätzt.
Die Liste umfasst nun folgende, zu patchende sehr kritische Lücken: CVE-2018-3693, CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, CVE-2019-18348, CVE-2020-10108, CVE-2020-12243, CVE-2020-13630, CVE-2020-14754, CVE-2020-14758, CVE-2020-14759, CVE-2020-14818, CVE-2020-14871 und CVE-2020-3909.
Der Zero-Day war eine Schwachstelle im Solaris Pluggable Authentication Module (PAM), die es UNC1945 ermöglichte, Authentifizierungsverfahren zu umgehen und eine Hintertür namens SLAPSTICK auf internetfähigen Solaris-Servern zu installieren.
Mandiant schreibt, dass die Hacker dann diese Backdoor als Einstiegspunkt nutzten, um "Aufklärungsoperationen" innerhalb von Unternehmensnetzwerken zu starten und sich seitlich zu anderen Systemen zu bewegen.
Um nicht entdeckt zu werden, hätten die Hacker eine virtuelle QEMU-Maschine mit einer Version des Tiny-Core-Linux-Betriebssystems heruntergeladen und installiert, so die Security-Firma.

Loading

Mehr zum Thema

image

Talkeasy Schweiz wird liquidiert

Am 14. Dezember 2022 wurde Talkeasy aufgelöst. Der Schweizer Telco war für seine aggressive Kundenbindung bekannt.

publiziert am 27.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023