Angreifer attackieren mehrere Sicherheitslücken in freier Wildbahn, warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Am gefährlichsten sind laufende Angriffe auf die Fernwartungsfirmware in AMI MegaRAC, die etwa in Servern von Asus, Asrock Rack, HPE oder Lenovo steckt. Zudem laufen Angriffe auf Sicherheitslecks in D-Links DIR-859-Routern sowie auf eine uralte FortiOS-Firmware-Hintertür.

In einer Sicherheitsmeldung warnt die CISA vor den laufenden Attacken und erklärt, sie dem „Known Exploited Vulnerabilities“-Katalog, kurz KEV, hinzugefügt zu haben. Für US-Behörden ist das ein Handlungsbefehl, aber auch für IT-Verantwortliche in Deutschland, Österreich und der Schweiz sollte das ein Weckruf sein, Gegenmaßnahmen wie Firmware- und Software-Updates auszuführen.

Angegriffene Fernwartungs-Firmware-Lücke

Die bereits attackierte Sicherheitslücke in der Fernwartungsfirmware AMI MegaRAC wurde Mitte März bekannt. Diese Firmware läuft auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo. Sie hat den maximalen CVSS-Wert 10.0 von 10 erreicht, gilt daher als höchst kritisches Risiko. Sie steckt dort in einem Modul für die Fernwartungs-API Redfish und wurde daher als „Redfish Authentication Bypass“ bezeichnet: Es lässt sich die Anmeldung der Fernwartung umgehen (CVE-2024-54085 / EUVD-2024-54252, CVSS 10.0, Risiko „kritisch„). AMI hat den Serverherstellern Informationen und Patches bereitgestellt, diese mussten sie jedoch erst in ihre Firmwares einbauen und Admins die Aktualisierungen schließlich auch anwenden.

Das ist offenbar zumindest in Teilen nicht geschehen, sodass Server-Systeme mit AMI MegaRAC auch jetzt noch verwundbar sind. Möglicherweise haben Admins auch die „Best Practices“ ignoriert oder übersehen, dass die BIOS-Einstellungen die Fernwartung standardmäßig aktivieren und zugleich Zugriff über die für Nutzdaten gedachten Netzwerkbuchsen aktivieren, anstatt sie lediglich für ein separates Wartungsnetzwerk einzuschränken. Diese sind zudem in vielen Fällen sogar im Internet exponiert.

Außerdem steht eine Schwachstelle in den D-Link-Routern DIR-859 unter Beschuss, die der Hersteller abweichend vom CVSS-Wert Anfang 2024 als kritisch eingestuft hat (CVE-2024-0769 / EUVD-2024-16557, CVSS 5.3, Risiko „mittel„). Sicherheitslücken in diesen Routern wurden jedoch bereits Mitte 2023 attackiert, vom Mirai-Botnet. Erschreckende Erkenntnis: Bereits damals waren die Geräte am End-of-Life angelangt und sollten durch noch vom jeweiligen Hersteller unterstützte Hardware ersetzt werden. Offenbar setzen einige Organisationen sie aber immer noch ein.

Das können beobachtete Angriffe auf eine Fortinet-FortiOS-Schwachstelle aber noch übertreffen: Bereits seit 2019 war bekannt, dass ein hartkodierter kryptografischer Schlüssel sensible Daten in Konfigurations-Backups verschlüsselt, wodurch Angreifer diese leicht mit Kenntnis des Schlüssels entschlüsseln können – und dadurch an Nutzer-Passwörter (außer dem des Admins), Passphrasen für private Schlüssel sowie High-Availability-Passwörter gelangen (CVE-2019-6693 / EUVD-2019-16251, CVSS 6.5, Risiko „mittel„). Firmware-Updates, die das korrigieren, stehen seit November 2019 bereit.

Die CISA erläutert keine Details zu den Angriffen, etwa über Art und Umfang. Dennoch sollten IT-Verantwortliche prüfen, ob sie möglicherweise die nun attackierten Systeme in ihrer Organisation im Betrieb haben und gegebenenfalls Gegenmaßnahmen ergreifen.

(dmk)

Linus Torvalds hat durchblicken lassen, die experimentelle Unterstützung für das noch junge Dateisystem Bcachefs bei Linux 6.17 entfernen zu wollen. Ob es tatsächlich so kommt, bleibt noch abzuwarten; sicher ist aber, dass nach zahlreichen Reibereien mit dem Bcachefs-Entwickler Kent Overstreet jetzt eine neue, beim Linux-Kernel in der Form extrem seltene Eskalationsstufe erreicht wurde.

Neues Feature gegen den ausdrücklichen Willen von Torvalds

Der Linux-Erfinder und leitende Entwickler erwähnte die Intention zum Rauswurf in einer Antwort auf einen Merge Request von Overstreet für Linux 6.16. Diese Version befindet sich derzeit in der Stabilisierungsphase, in der Entwickler nur Fehlerkorrekturen und keine neuen Features zur Aufnahme an Torvalds einsenden sollen. Dennoch enthielten die von Overstreet eingereichten Änderungen neben Korrekturen auch Code, der eine neue und noch rudimentäre Mount-Option für Notfall-Reparaturen nachrüstet.

Torvalds hatte das schon eine Woche zuvor als neues Feature bezeichnet und die Aufnahme rigoros abgelehnt. Nach einer teilweise auf nicht-öffentlichen Mailinglisten geführten Diskussion zeigte sich Overstreet uneinsichtig und sandte den Code jetzt ein zweites Mal ein. Torvalds nahm ihn diesmal an, sagte dabei: Ich glaube, unsere Wege werden sich bei 6.17 trennen.

Wiederholte Schwierigkeiten

Sehr ähnliche Reibereien hatte es vor einigen Monaten schon mal zwischen Torvalds und Overstreet gegeben, wobei der Rauswurf damals noch nicht in Reichweite kam. Darüber hinaus war Overstreet schon zuvor mehrfach Entwickler aus anderen Bereichen des Kernels unschön oder gar rüpelhaft angegangen; dabei hatte er zahlreiche Leute verschreckt, die vorher gewillt waren, ihm zu helfen. In einem Fall beleidigte Overstreet jemanden so stark, dass er wegen Code-of-Conduct-Verletzung für einen Entwicklungszyklus suspendiert wurde – ein Novum. Auch im Umfeld der eigentlichen Bcachefs-Entwicklung kam es mehrfach zu Zank, durch die Mitentwickler das Handtuch warfen.

All das dürfte größere Unternehmen und Linux-Distributionen verschreckt haben, die vielleicht mit dem Einstieg in die Entwicklung und dem Einsatz von Bcachefs geliebäugelt haben. Aber es wurde mehr und mehr deutlich, dass hier eine kooperative Zusammenarbeit unmöglich ist – eben die, wie sie sonst beim Linux-Kernel üblich ist und ihn samt seines Dateisystemcodes oft erheblich verbessert hat. Wie überall im Leben kam und kommt es natürlich auch dabei immer wieder zu Meinungsverschiedenheiten sowie hin und wieder auch zu kleineren Machtspielen; diese waren aber längst nicht so krass und häufig wie bei Bcachefs.

Rauswurf wäre normalerweise nicht drin

Ein Entfernen eines Features wie Bcachefs liegt normalerweise gar nicht im Bereich des Denkbaren, denn „keine Rückschritte, die Workflows der Nutzer kaputt machen“ ist eine der wichtigsten Regeln bei der Entwicklung des Linux-Kernels. Im Fall von Bcachefs greift die aber nicht, denn der Anfang 2024 bei Linux 6.7 angenommene Code gilt als hochexperimentell.

(dmk)

RTL will Sky Deutschland kaufen. Das hat die Mediengruppe am Freitagmorgen mitgeteilt. Man habe mit Sky eine verbindliche Vereinbarung unterzeichnet, heißt es in der Mitteilung. Als Kaufpreis werden 150 Millionen Euro genannt. Zudem stehen Comcast weitere Zahlungen zu, wenn der Börsenwert von Sky auf bestimmte Werte steigt. Eine behördliche Zustimmung für den geplanten Deal steht noch aus. RTL rechnet damit, dass die Übernahme bis 2026 abgeschlossen ist. Bis dahin sollen RTL und Sky wie gehabt unabhängig voneinander operieren.

Durch die Vereinbarung übernimmt die RTL Group die Sky-Geschäfte in Deutschland, Österreich und der Schweiz. RTL übernimmt also nicht die komplette Sky Group, die weiterhin Comcast gehören wird. Das US-Unternehmen hatte 2018 umgerechnet 33 Milliarden Euro für Sky gezahlt. Auch wenn RTL nun nur einen Teil der Sky Group kauft, ist der Preis für den Deal gemessen an der 2018 von Comcast gezahlten Summe sehr niedrig.

RTL will sich mit dem Deal als Streaming-Großmacht etablieren. In seiner Mitteilung betont die Mediengruppe, mit den Abonnenten von Sky und RTL+ zusammengerechnet steige man zur Nummer 3 hinter Netflix und Prime Video auf. RTL spricht von „über 6 Millionen Abonnenten“ bei RTL+, gemeinsam mit Sky komme man auf eine Gesamtabonnentenzahl von 11,5 Millionen. RTL erwirbt neben den Inhalten auch die Marke Sky und das Streaming-Angebot Wow.

„Einzigartiges Angebot“

„Der Erwerb von Sky Deutschland ist für RTL eine einmalige Gelegenheit: Wir bringen zwei große europäische Medienmarken zusammen und schaffen eine führende Streaming- und TV-Plattform“, kommentiert RTL-Deutschlandchef Stephan Schmitter den Deal. „Wir schaffen ein in Europa einzigartiges Angebot, das wir gemeinsam weiterentwickeln werden – von Free bis Premium, von linearem TV bis Streaming. Für unser Publikum bedeutet das: Noch mehr Content-Auswahl – auf allen Kanälen und Endgeräten.“

Für die kommende Bundesliga-Saison hat sich Sky ein erweitertes Rechtepaket für die Fußball-Bundesliga gesichert: Neben den bisher bereits verfügbaren Samstagsspielen werden künftig auch die Freitagsspiele live zu sehen sein. Die Sonntagsspiele kann man nach dem Abpfiff nachträglich anschauen. Anlässlich des aufgestockten Pakets hat Sky zuletzt die Preise seines Streaming-Abos Wow erhöht. Neben Fußball und anderen Sportarten wie der Formel 1 sind bei Sky zudem Serien und Filme zu sehen. Unter anderem bietet Sky in Deutschland die Inhalte von HBO an.

(dahe)