Der australische Geheimdienst Australian Signals Directorate (ASD) warnt vor der Malware „Badcandy“, die staatlich unterstützte Akteure durch eine alte Sicherheitslücke in Cisco IOS XE installieren. Die Sicherheitslücke ist seit 2023 bekannt. Cisco hat auch Softwareupdates zum Schließen davon veröffentlicht.

Die australischen Beamten erörtern, dass derzeit immer noch Angriffe auf die Sicherheitslücke (CVE-2023-20198, CVSS 10.0, Risiko „kritisch„) zu beobachten sind. Die Malware Badcandy wurde bereits seit Oktober 2023 durch die Schwachstelle auf verwundbare Cisco-Geräte verfrachtet. Erneute Aktivitäten damit waren sowohl im Jahr 2024 als auch 2025 zu beobachten.

Badcandy-Malware

Bei der Schadsoftware handelt es sich um eine Lua-basierte Web-Shell. Bösartige Akteure haben typischerweise nach solch einer Kompromittierung der Geräte durch die Schwachstelle eine nicht-persistente Version einen Patch installiert, um die Anfälligkeit der Geräte für die Sicherheitslücke zu vertuschen. Auch die Badcandy-Malware überlebt einen Geräte-Neustart nicht. Angreifer können jedoch über Zugangsdaten oder andere Formen von Persistenz verfügen und so dennoch weiterhin Zugriff auf das Netzwerk oder Geräte behalten.

Um einen erneuten Missbrauch der Schwachstelle und die Re-Infektion des Geräts zu verhindern, müssen IT-Verantwortliche den verfügbaren Softwareflicken anwenden. Allein in Australien hat der ASD in diesem Jahr mehr als 400 potenziell mit Badcandy kompromittierte Geräte gefunden, Ende Oktober waren es noch immer mehr als 150 Cisco-Geräte – der ASD hat Opfern Benachrichtigungen mit Anleitungen zum Patchen, Rebooten und Härten der Geräte geschickt.

Die Shadowserver Foundation hat nun auf Mastodon ebenfalls aktualisierte Zahlen veröffentlicht. Demnach sind weltweit noch rund 15.000 Cisco-IOS-XE-Geräte mit einer bösartigen Hintertür versehen. Ebenso seien häufige Re-Infektions-Kampagnen zu beobachten. In der Aufschlüsselung nach Ländern von der Shadowserver Foundation sind in Deutschland derzeit 90 Cisco-Geräte mit Badcandy unterwandert – damit liegt die Bundesrepublik auf Platz 33 der Liste. Dennoch ist das ein Hinweis, dass hier IT-Verantwortliche ebenfalls noch aktiv werden müssen. Möglicherweise wurde aufgrund des non-persistenten Patches das eine oder andere Gerät auch nicht als verwundbar erkannt.

Die Cisco-Schwachstelle steht bei Cyberkriminellen offenbar hoch im Kurs. Bereits Ende Juni warnten das FBI und das „Canadian Centre for Cyber Security“ davor, dass staatlich gestützte chinesische Cyberbanden die alte Sicherheitslücke noch aktiv ausnutzen. Damals sind sie konkret in ein Netzwerk eines kanadischen Telekommunikationsanbieters eingestiegen.

(dmk)

Es näselt leicht im Passwort-Podcast: Co-Host Christopher hat die herbstliche Erkältungswelle erwischt. Doch das hindert die Sicherheits-Spezis nicht daran, sich durch verschiedene Themen rund um ihr Steckenpferd zu wühlen. Und derer gibt es – wie üblich – reichlich, begonnen bei einem verräterischen Exploitverkäufer.

Gewitter in der AWS- und Azure-Cloud

Mit einem auf den ersten Blick eher untypischen Thema geht es weiter, nämlich dem folgenschweren Ausfall bei Amazons Clouddienst AWS sowie dem erst vor wenigen Tagen ausgefallenen Cloud-Loadbalancer beim Konkurrenten Microsoft. Doch wie Sylvester erläutert, gehört die Verfügbarkeit als gleichberechtigter Bestandteil ebenso zur „CIA-Triade“ wie die Vertraulichkeit und Integrität von Informationen. Doch nicht nur dieser Formalismus macht die Ausfälle zum Podcast-Thema, sondern auch, dass sie lehrbuchartig für das Schmetterlingsprinzip stehen: Ein kleiner Ablauffehler in einem automatischen Vorgang führte zu tagelangen weltweiten Verfügbarkeitsproblemen.

Mit einer aktuellen kritischen Sicherheitslücke beim weltgrößten Softwareentwickler Microsoft gehts weiter: Im WSUS-Server klafft ein Leck, das Fremden die Ausführung beliebigen Codes und womöglich die Verteilung schädlicher Updates gestattet. Exploits kursieren bereits – und die Ursache ist mal wieder schlechte Programmierpraxis. Christopher konstatiert, dass etwas RTFM den Windows-Entwicklern dieses Ungemach erspart hätte.

Mit einem gemeinen Trick macht sich ein Schädling teilweise unsichtbar, dem Sylvester nachgespürt hat. Die Malware „Glassworm“ ist Teil einer neuen Supply-Chain-Attacke auf das Javascript-Ökosystem und bedient sich der weitgehend unbekannten „Unicode Variation Selectors“, um seine Schadroutine zu verschleiern. Vim-Nutzer müssen stark sein: Ihr gottgleich verehrter Editor fällt auf den Trick herein, andere warnen hingegen unterschiedlich deutlich. Glassworm hat noch weitere schlaue Tricks auf Lager, ist jedoch nicht zu Ende gedacht, stellt Sylvester fest.

Und dann war da noch die WebPKI. Christopher hat in den vergangenen Wochen das Versagen einer kroatischen CA beobachtet (dabei an der einen oder anderen Stelle selbst etwas Öl ins Zertifikatsfeuer gegossen) und zieht ein Zwischenfazit. Wie es dazu kam, dass CDN-Riese Cloudflare einen „unakzeptablen Sicherheits-Lapsus“ konstatierte, erzählt er seinem Co-Host und dem Publikum am Ende der Folge.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)

Seit dreieinhalb Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, auf Anordnung die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten können sich im Rat bisher nicht auf eine gemeinsame Position einigen. Letzte Woche hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Euractiv hat den Vorschlag veröffentlicht. Wir veröffentlichen das Dokument ohne Wasserzeichen.

Anderer Ansatz erforderlich

Dänemark erklärt darin den bisherigen Verlauf des Gesetzgebungsverfahrens. Die EU-Staaten haben ganze 37 Mal in der Ratsarbeitsgruppe Strafverfolgung und mehrmals auf Ebene der Ständigen Vertreter verhandelt.

Einigen konnten sie sich nicht. Manche Staaten wollen eine weitreichende verpflichtende Chatkontrolle. Andere Staaten haben „Bedenken hinsichtlich des Schutzes der Grundrechte der Nutzer und der Cybersicherheit“ und „Zweifel hinsichtlich der Verfügbarkeit zuverlässiger und genauer Technologien zur Erkennung“ strafbarer Inhalte.

Deshalb ist Dänemark „der Ansicht, dass ein anderer Ansatz erforderlich ist“.

Verpflichtende Chatkontrolle streichen

Dänemark schlägt vor, im Gesetzentwurf den ganzen Abschnitt zu „Aufdeckungspflichten“ zu streichen, also Artikel 7 bis 11. Das sind die „Aufdeckungsanordnungen“, also die Verpflichtung zur Chatkontrolle.

Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation will Dänemark hingegen „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle war seit 2002 verboten, ist seit 2021 vorübergehend erlaubt, mit dem Gesetz soll sie dauerhaft erlaubt werden.

Risiko für Straftaten mindern

Internet-Dienste sollen das Risiko mindern, dass ihre Dienste für Straftaten genutzt werden. Dazu zählt unter anderem eine Altersüberprüfung. Jetzt soll auch die freiwillige Chatkontrolle als mögliche Minderungsmaßnahme gelten.

Dienste, die ein „hohes Risiko“ haben, für Straftaten genutzt zu werden, sollten „weiterhin verpflichtet werden, Maßnahmen zur Entwicklung relevanter Technologien zu ergreifen, um das Risiko des sexuellen Missbrauchs von Kindern, das auf ihren Diensten festgestellt wurde, zu mindern“.

Sprungbrett für weitere Arbeiten

Dänemark will die verpflichtende Chatkontrolle aber nicht vollständig aufgeben. Die Ratspräsidentschaft will eine „Überprüfungsklausel“ einführen. Die fordert die EU-Kommission auf, „die Notwendigkeit und Durchführbarkeit der künftigen Aufnahme von Aufdeckungspflichten unter Berücksichtigung der technologischen Entwicklungen zu bewerten“. Das kann „zu einem neuen Legislativvorschlag der Kommission führen“.

Die EU-Kommission hat die verpflichtende Chatkontrolle überhaupt erst vorgeschlagen und treibt sie unermüdlich voran. Dänemark schlägt also vor, dass die Kommission die freiwillige Chatkontrolle bewerten soll. Wenn es ihr nicht reicht, soll sie nochmal ein EU-Gesetz mit verpflichtender Chatkontrolle vorschlagen.

Die Ratspräsidentschaft bezeichnet den Kompromissvorschlag „als Sprungbrett für weitere Arbeiten zum Schutz von Kindern im Internet“.

Zustimmung nicht absehbar

Ob die EU-Staaten diesen Kompromiss mitgehen, ist bisher nicht absehbar. Im ersten Halbjahr hat die polnische Ratspräsidentschaft einen sehr ähnlichen Vorschlag gemacht. Dieser Vorschlag fand nicht genug Zustimmung, die Mehrheit der EU-Staaten beharrte auf verpflichtender Chatkontrolle.

Morgen tagen die Ständigen Vertreter der EU-Staaten erneut und diskutieren den Vorschlag.