Die Cybergang cl0p bleibt umtriebig und stiehlt weiter Daten bei vielen Unternehmen und Einrichtungen. Jetzt sind die namhafteren Carglass.de, Fluke.com und die britische Gesundheitsverwaltung NHS dazugekommen.

Die Bande cl0p ist dafür bekannt, durch Schwachstellen etwa in Datenübertragungssoftware Daten bei Unternehmen abzuzweigen und sie im Anschluss damit um Geld zu erpressen. Wer nicht zahlt, dessen Daten landen dann im Darknet. Es ist unklar, auf welchem Wege cl0p nun an die Daten gekommen sein will. Zuletzt scheint jedoch öfter eine Sicherheitslücke in Oracles E-Business-Suite (EBS) als Einfallstor gedient zu haben.

Datenabfluss bislang unbestätigt

Auf den Webseiten der nun betroffenen Einrichtungen finden sich keine Hinweise zu den Datenabflüssen. Carglass ist eine bekannte deutsche Werkstatt-Kette mit Spezialisierung auf Reparaturen von Steinschlägen in Autoscheiben. Sie war am Freitagnachmittag telefonisch nicht erreichbar, und auf die diesbezügliche E-Mail-Anfrage haben alle drei betroffenen Organisationen noch nicht umgehend reagiert.

Fluke ist einer der größten und renommiertesten Messegerätehersteller aus den USA. Der NHS England ist der dortige nationale Gesundheitsdienst. Gegenüber The Register wollte der NHS weder bestätigen noch abstreiten, dass es zu einem solchen IT-Vorfall gekommen ist. Ein Sprecher des NHS sagte dem Medium jedoch: „Wir sind uns bewusst, dass der NHS auf einer Website für Cyberkriminalität als von einem Cyberangriff betroffen aufgeführt wurde, aber es wurden keine Daten veröffentlicht. Unser Cybersicherheitsteam arbeitet eng mit dem National Cyber Security Centre zusammen, um dies zu untersuchen.“ Das steht jedoch im Widerspruch zu einem BitTorrent-Link, den cl0p inzwischen veröffentlicht hat, der zum Download der gestohlenen Daten führen soll.

Derzeit ist unklar, ob tatsächlich sensible Daten abgeflossen sind und wer alles davon betroffen ist. Ende Februar hatte die kriminelle Vereinigung cl0p insgesamt 230 neue Einträge zu Datendiebstählen bei Unternehmen aufgelistet, darunter auch bekanntere Unternehmen wie HP und HPE.

(dmk)

IT-Sicherheitsforscher haben aus ihrem Honeypot Exploit-Code gefischt, der offenbar eine bislang unbekannte Sicherheitslücke in Fortinet-Web-Application-Firewalls angreift. Die attackierte Schwachstelle erinnert an eine, die Fortinet bereits 2022 mit einem Update geschlossen hatte.

In einem Blog-Beitrag auf pwndefend erörtert der Autor, dass er zusammen mit einem befreundeten IT-Sicherheitsforscher Daten aus einer neuen Honeypotumgebung ausgewertet und dabei Schadcode, der gegen FortiWeb-Firewalls wirkt, bemerkt hat. Erste Untersuchungen ergaben laut einem X-Beitrag von dem Freund, dass der Schadcode auf Virustotal von keinem Malware-Schutz erkannt wurde. Es scheint sich um eine Schwachstelle des Typs Path Traversal zu handeln. Sie erinnert die IT-Forscher an die Fortinet-Schwachstelle CVE-2022-40684 (CVSS 9.8, Risiko „kritisch„), bei der Angreifer die Authentifizierung auf dem Admin-Interface umgehen und mit manipulierten Anfragen ansonsten Admins vorbehaltene Aktionen ausführen können.

Angriffe im Netz

Zum Schutz potenzieller Opfer will der Autor nicht zu sehr in die Details der entdeckten Payload gehen. Die Angreifer senden den Schadcode mittels HTTP-Post-Anfrage an den Endpunkt „/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi“. Darin eingebettet ist eine Befehlssequenz zum Anlegen eines Nutzerkontos. Im Blog-Beitrag liefert der Autor noch Indizien für eine Kompromittierung (Indicators of Compromise, IOCs); die Liste umfasst IP-Adressen, von denen beobachtete Attacken ausgingen, sowie einige Usernamen- und Passwort-Kombinationen, die die analysierte Malware anlegen wollte.

Die IT-Forensiker von watchTowr zeigen auf X in einem kurzen Film, wie der Exploit gegen eine FortiWeb-Firewall ausgeführt wird und dabei ein Admin-Konto anlegt. Sie bestätigten damit die Funktionsfähigkeit des Zero-Day-Exploits. Außerdem haben sie ihn ihrem ‚Detection Artefact Generator‘ hinzugefügt. Von Fortinet gibt es bislang noch keine Hinweise – das letzte Sicherheitsupdate für ein Produkt datiert auf der Webseite auf den 3. November. Als Gegenmaßnahme sollten Admins von FortiWeb-Firewalls sicherstellen, Zugriffe zumindest vorerst auf vertrauenswürdige IP-Adressen zu beschränken, insbesondere dann, wenn das Admin-Interface im Netz zugänglich sein sollte.

(dmk)

Wenn Autodesk 3ds Max bestimmte Dateien verarbeitet, kann es zu Speicherfehlern kommen. In so einem Kontext können Angreifer oft Schadcode auf PCs schieben und ausführen. Nun haben die Entwickler zwei derartige Sicherheitslücken geschlossen.

PCs absichern

Wie aus dem Sicherheitsbereich der Autodesk-Website hervorgeht, können Angreifer das Fehlverhalten durch präparierte JPG- (CVE-2025-11795 „hoch„) oder DWG-Dateien (CVE-2025-11797 „hoch„) auslösen.

Davon ist die Version 2026 bedroht. Die Entwickler versichern, die Schwachstellen in der Ausgabe 2026.3 geschlossen zu haben. Auch wenn es noch keine Attacken gibt, raten die Entwickler zu einem zügigen Update.

(des)