ComputerBase Menü
Aktuelles

News Check-Point-Lücke: Neben CDU waren noch 1.800 weitere Systeme betroffen

Andy

Andy

Tagträumer
Teammitglied
Registriert
Mai 2003
Beiträge
7.966
  • Gefällt mir
Reaktionen: cosmo45, sebish, Redundanz und eine weitere Person
Das gelte grundsätzlich für alle, die Security-Gateway-Produkte von Check Point ohne 2-Faktor-Authentifizierung nutzen. Es gebe immer noch Nutzer, die keine ausreichenden Maßnahmen ergriffen hätten.
Zum Vergrößern anklicken....

Eigentlich sollten solche fundamentalen Dinge wie 2FA oder Zertifikate doch zu den absolut selbstverständlichsten Best Practices gehören, selbst bei Minimalaufwand?!
Bei den Internetausdruckern der CDU verstehe ich ja noch, dass diese selbst mit Passwörtern überfordert sind, aber bei Betreibern von "kritischer Infrastruktur"?!
 
  • Gefällt mir
Reaktionen: flo.murr, manchae, Rockstar85 und 8 andere
Surprised-pikachu-face

Edit:
2FA ist KEIN sicherheitsfeature, und das können wir hier live miterleben: 2FA verlagert die Verantwortung für die Sicherheit vom Anbieter zum Nutzer. Mehr nicht. Und hier schiebt wie erwartet der Hersteller der unsicheren Schlangenöl-Crapware die Schuld auf die Nutzer: "Oh, ihr habt aber euer 2FA nicht angemacht/konfiguriert, da kann man nix machen #Softwareproblem". Ist wie eine "Komme aus dem Gefägniss frei Karte" aus Monopoly.
Jetzt zeigen sich noch alle bestürzt, fasseln was von nie dagewesener krimineller Energie und am Ende änfert sich genau nix.

BSI profitiert von der Pressedarstellung,
die Firmen müssen weiterhin keine sochere Software anbieten und Schlangenölhersteller bieten weiterhin sinnfreie Crapware an, die fast immer das erste Einfallstor darstellt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Evil E-Lex, LuxSkywalker, Apocalypse und 4 andere
Termy schrieb:
[...] Bei den Internetausdruckern der CDU verstehe ich ja noch, dass diese selbst mit Passwörtern überfordert sind [...]
Zum Vergrößern anklicken....
Das ist kein CDU-Phänomen, sondern ein allgemein politisches. Mehr als Worthülsen, ohne deren Bedeutung zu kennen, kommt von allen nicht. Würde mal ein Reporter fragen, was die bspw. mit Digitalisierung überhaupt meinen, würde stille herrschen und Steppenhexen durchs Bild rollen.
Eine kleine Auswahl:
„Wir müssen die Digitalisierung vorantreiben.“
„Schnelles Internet & Breitbandanschlüsse für alle.“
„Industrie 4.0“
„5G für autonomes Fahren und der Mobilität der Zukunft.“
„Smartgrid für eine sichere und erneuerbare Energieversorgung.“
 
  • Gefällt mir
Reaktionen: FeelsGoodManJPG, 9t3ndo, Apocalypse und 7 andere
Nie dagewesene kriminelle Energie!!1!elf
 
  • Gefällt mir
Reaktionen: rosenholz, 9t3ndo, Snoop7676 und 2 andere
Und mal wieder keine Erklärung was die Lücke überhaupt war / ist.
Naja, wir waren nicht betroffen, daher habe ich mich damit nicht groß auseinandergesetzt.

Aber wenn ich das hier so durchlese, dann ist das mit dem MFA mal wieder Victim Blaming.
Wer zum Henker macht bitte VPN mit MFA?
Da kommen Zertifikate zum Einsatz, doch kein MFA ...

Gut, dass die CDU mit sowas generell überfordert ist, geschenkt, die sind ja noch nicht mal aufgebrochen ins gelobte Neuland.
(Und haben dann mit Datenoffenheit eine Woche später gleich nachgelegt. XD)
 
  • Gefällt mir
Reaktionen: pmkrefeld
Unnu schrieb:
Und mal wieder keine Erklärung was die Lücke überhaupt war / ist.
Zum Vergrößern anklicken....

Da die Lücke erst vor ~2 Wochen bekannt gegeben wurde veröffentlicht man auf gar keinen Fall genaue Details. Sonst gibt es ja sofort noch mehr Angriffe von Hinz und Kunz Hackern. Von einem Patch auf allen Systemen kann man doch frühestens in Monaten, wenn nicht Jahren, ausgehen. 🤣
 
  • Gefällt mir
Reaktionen: bad_sign
Sad but true
 
1800 weitere Systeme inkl. wichtiger Infrastruktur... das ist mal kein Pappenstiel.
Und manche offenbar immer noch nicht gepatcht. :freak:
Ein System ist halt immer nur so sicher so gut wie die IT-Abteilung ist,
auch wenn einige Schlauemeier hier ja immer gern so tun als ob die CDU-Abgeordneten selber die Server administrieren würden....

Sicherheitslücke in der Netzwerk-Security-Lösung
Zum Vergrößern anklicken....
Das Meme musst echt nicht erst erfinden..... :D
fine.jpg
 
  • Gefällt mir
Reaktionen: Land_Kind
Unnu schrieb:
Wer zum Henker macht bitte VPN mit MFA?
Da kommen Zertifikate zum Einsatz, doch kein MFA ...
Zum Vergrößern anklicken....
Das ist ein Äpfel / Birnen Vergleich. Mit dem Zertifikat stellst du sicher, dass sich nur ausgewählte Geräte einwählen können. Ist was anderes als ein tatsächlicher zweiter Faktor, sprich Hardwaretoken oder Smartphone. Von daher kann ich die Aussage "MFA macht man mit VPN nicht" absolut nicht nachvollziehen. Warum sollte man das NICHT tun? Davon abgesehen, dass man natürlich einfach beides machen kann. Aber Thema MFA sehe ich durchaus als sinnvoll an, vor allem da die User sind es mittlerweile durch M365 und co. eh schon gewohnt sind.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: milamber1, kamanu, doalwa und 2 andere
Termy schrieb:
Bei den Internetausdruckern der CDU verstehe ich ja noch, dass diese selbst mit Passwörtern überfordert sind, aber bei Betreibern von "kritischer Infrastruktur"?!
Zum Vergrößern anklicken....
ich glaube es ist zu einfach hier auf die cdu einzuprügeln - der artikel verdeutlich das noch wesentlich mehr systeme betroffen sind; jedenfalls liegt es nicht spezifisch an der (in)kompetenz der cdu selbst.

aber wenn man sich ehrlich macht, wird man feststellen das so etwas immer wieder passieren kann - ungeachtet dessen dass 2fa hier nicht eingesetzt wurde, ist man ab dem zeitpunkt, ab dem für eine eingesetzte software eine zeroday lücke existiert, potentiell ein ziel.
und es dauert nunmal bis die lücke soweit publik wird, dass die nutzer davon erfahren können, der hersteller ein update/quickfix zur verfügung stellen kann und dieses auch angewendet wurde; und bis ein großteil der betroffenen systeme durchgepatch ist, vergehen nochmal wochen oder gar monate.

zum thema 2fa: ich bin inzwischen nicht mehr so vorbehaltlos ein anhänger der 2fa/mfa ansätze; die meisten laufen auf eine smartphone lösung hinaus, wodurch zum einen das smartphone ein immer relevanteres single-point-of-failure wird; bei diebstahl/verlust oder beschädigung des phones sitzt man erstmal im regen.
dazu macht es das smartphone immer öfters ebenfalls zum angriffsziel (wer hätte das gedacht?!).
jedenfalls betrachte ich 2fa mittlerweile mehr aus einer "besser-als-nichts" perspektive.

die "liebsten" 2fa system sind mir die, welche über mail-codes arbeiten und dann auf einen mail-account genutzt werden, welchen man ebenfalls per 2fa abgesichert hat...
 
  • Gefällt mir
Reaktionen: Apocalypse und Nine-tailed Fox
pmkrefeld schrieb:
2FA ist KEIN sicherheitsfeature, und das können wir hier live miterleben: 2FA verlagert die Verantwortung für die Sicherheit vom Anbieter zum Nutzer. Mehr nicht.
Zum Vergrößern anklicken....
Unabhängig davon wen es jetzt getroffen hat in dem Fall: KEIN System ist fehlerfrei. Sowas ist praktisch unvermeidbar in komplexer Software. Von daher finde ich, dass du es dir ein bisschen einfach machst mit deiner Behauptung.
Vor allem warum soll MFA nicht die Sicherheit fördern? Der Fall hat ja eindrucksvoll gezeigt, dass MFA hier potentielle Angriffe verhindert hat.
 
  • Gefällt mir
Reaktionen: milamber1
Wer sich dafür interessiert:
https://support.checkpoint.com/results/sk/sk182336

Und für mehr Details:
https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/

Checkpoint selbst sagt, dass man VPN auf keinen Fall mit Username/Passwort machen sollte. Ich weiß nicht woher dieser MFA Quark kommt (Forengeblubber vermutlich), aber CP empfiehlt klar Zertifikate. Wenn die CDU oder deren Dienstleister sich nicht daran hält - naja....

Auch wenn man keine außerordentlichen Zugriffe bemerkt haben sollte, muss man neben dem Patchen der Systeme auch unbedingt alle loklalen und LDAP Nutzer, die von den Systemen genutzt werden (darunter fällt auch das AD) ändern.
 
  • Gefällt mir
Reaktionen: LuxSkywalker, Apocalypse, raPid-81 und eine weitere Person
raPid-81 schrieb:
von einem Patch auf allen Systemen kann man doch frühestens in Monaten, wenn nicht Jahren, ausgehen. 🤣
Zum Vergrößern anklicken....
Naja, da steht ja auch, dass man den Hotfix einspielen soll ...
Also ein Patch existiert schon mal.

Aber hey, MS lässt eine Lücke mal eben 6 Monate komplett offen - und undisclosed (!) - auf ihren Azure Kisten.
Von daher kann ich die Aussage nachvollziehen
 
  • Gefällt mir
Reaktionen: Apocalypse und Zarlak
prayhe schrieb:
Die User sind es mittlerweile durch M365 und co. eh schon gewohnt.
Zum Vergrößern anklicken....
HAHAHA..der war gut.
solange die meistbenutzten passwörter immernoch "123456" und co. lauten, ein riesiger haufen leute seine passwörter noch geradezu klischeehaft auf postits unter die tastatur, mauspad und co. klebt und nichteinmal versteht was 2fa ist, ist das ein frommer wunsch.

selbst die ms-authentificator app wird bei meisten per schritt-für-schritt anleitung einmal eingerichtet und sobald es probleme gibt oder ein neues smartphone, sind diese leute maximal lost.

zum thema hw-token...in der regel eine gute lösung für systeme welche das unterstützen; was z.b. in der embedded welt und der indistrie welche solche systeme einsetzt noch gaaaaanz am anfang steht; wie den auch? manche der betroffenen systeme sind 10 der gar 20+ jahre alt und besitzen manchmal noch stupide serielle konfigutarionsintefaces ohne zugangsauthentifizierung; damit diese in dieser vernetzten welt remote verwaltet werden können, werden sie an hardwaregateways mit serielen interfaces gehängt, auf die man sich dann per ssh und co. einloggen kann - und diese sind das nur so sicher wie die admins die ssh/remote dienste abgesichtert haben...
das beste ist sowieso wenn mitarbeite solche hw-dongles am schlüsselbund oder ähnliches mit sich tragen und diese dann verlieren; wenn man dann ein unflexibles system ohne expiration/revocation funktion einsetzt, hat man riesige aufwände und kosten...
 
  • Gefällt mir
Reaktionen: Unnu
prayhe schrieb:
Von daher kann ich die Aussage "MFA macht man mit VPN nicht" absolut nicht nachvollziehen. Warum sollte man das NICHT tun?
Zum Vergrößern anklicken....
Weil dich ggf. deine User filetieren?
OK, das ist eine Risikoabwägung, allerdings reicht uns das Zert mitsamt einem Token erstmal für's VPN.
Weit kommen die ohne weitere Erlaubnisse eh nicht. Und die sind dann fast alle nur via 2tem Faktor zu erreichen, je nach Kritikalität.
Ergänzung ()

cypeak schrieb:
manche der betroffenen systeme sind 10 der gar 20+ jahre alt
Zum Vergrößern anklicken....
Note: Wir haben da draußen noch diverse Maschinen MS-DOS 2.0 rumfliegen ...
Solange die Besitzer happy sind ...
 
cypeak schrieb:
HAHAHA..der war gut.
solange die meistbenutzten passwörter immernoch "123456" und co. lauten, ein riesiger haufen leute seine passwörter noch geradezu klischeehaft auf postits unter die tastatur, mauspad und co. klebt und nichteinmal versteht was 2fa ist, ist das ein frommer wunsch.
Zum Vergrößern anklicken....
Eine ordentliche Passwortpolicy muss man an der Stelle natürlich schon durchgesetzt haben als Firma. Auch klare Regeln wo und wie Passwörter aufzubewahren sind gehört da dazu. Aber vielleicht hast du auch Recht und ich erwarte zu viel von den durchschnittlichen Firmen ;)
Ergänzung ()

Unnu schrieb:
Weil dich ggf. deine User filetieren?
OK, das ist eine Risikoabwägung,
Zum Vergrößern anklicken....
Vor einigen Jahren hätte ich dir da noch voll und Ganz zugestimmt. Mittlerweile ist das Thema MFA jedoch auch teils schon im Privatbereich präsent, sprich die Leute kennen das grundsätzliche Vorgehen. Mal ganz abgesehen von der strikten Strategie die Microsoft in dem Bereich fährt, was sich ja ebenfalls auf die Firmen und damit deren User auswirkt. Will heißen es ist nicht mehr gänzlich fremd für die meisten. Von daher bin ich der Meinung dass das Ganze nicht mehr so abwegig ist, auch wenn einige User nicht begeistert sein werden klar :D
 
Zuletzt bearbeitet:
prayhe schrieb:
Mittlerweile ist das Thema MFA jedoch auch teils schon im Privatbereich präsent, sprich die Leute kennen das grundsätzliche Vorgehen.
Zum Vergrößern anklicken....
Schon möglich, allerdings ist MFA != die AuthApp von MS. In China funktioniert die nicht, weil verboten.
MFA heißt ja nicht umsonst Multi-Faktor. Also nutzen wir für's VPN andere Methoden als die AuthApps.
;)
Auch Yubi-Keys werden eingesetzt.

Wir reden hoffentlich nicht von SMS gedöns.
und die AuthApps sollten so eingerichtet werden, dass auch Stuffing nicht funktioniert und dann irgendeiner mal genervt sein OK gibt. Das wäre dann doof.
 
@cypeak
2FA verwendet einen zweiten Faktor und ist daher immer sicherer, als "1FA".
Und das Problem beim verlorenen HW-Dongel verstehe ich auch nicht. Wenn da nicht gerade der Benutzername, das PW, die PIN für den Dongel und die Firma der Person mit Edding drauf stehen, nützt der einem doch absolut gar nichts. Und auch das PW unter der Tastatur macht es doch keinem Hacker leichter in irgendein System einzudringen...

@Unnu
Sollte nicht eher der VPN die starke Absicherung haben, als die dahinter liegenden Anwendungen/Daten? Wenn niemand in das System rein kommt, kann er auch keine kritische Anwendung starten. Und andersrum: wenn der Angreifer erstmal über VPN im Netzwerk ist, hat er doch potentiell viel mehr Möglichkeiten, auch wenn manche Sachen dann hinter einer 2FA liegen.
Aber wenn ich jetzt deinen letzten Post lese, nutzt ihr anscheinend ja z.B. Yubikeys für den VPN... das wäre nach meinem Verständnis dann ja auch 2FA. Oder ist das dann ohne Passwort?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News Check-Point-Lücke: Hacker-Angriff auf CDU gravierender als erwartet
3 4 5
Antworten
86
Aufrufe
11.018
I'llbeback
I'llbeback
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz