Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
 |
03.08.23, 09:38
|
#1
|
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Schwarzwald
Beiträge: 2.908
Bedankt: 3.327
|
Zu spät gepatcht: Digitalministerium verschläft kritisches Sicherheitsupdate
Zitat:
Zu spät gepatcht: Digitalministerium verschläft kritisches Sicherheitsupdate
Das Digitalministerium hat trotz mehrfacher Warnungen rund eine Woche lang damit gewartet, eine kritische Sicherheitslücke zu schließen.
Das Digital- und Verkehrsministerium von Bundesminister Volker Wissing (FDP) ist Medienberichten zufolge von einer bekannten Sicherheitslücke im Endpoint Manager Mobile (EPMM) von Ivanti betroffen gewesen – und hat sich trotz entsprechender Warnungen mehrere Tage Zeit gelassen, diese zu schließen. So berichtete etwa der Spiegel, ein anonymer Hacker habe die Schwachstelle ausgenutzt, um Telefonnummern aus dem System abzugreifen und diese an die Redaktion der Süddeutschen Zeitung zu übermitteln.
Erst am Montag habe das zuständige Personal die Sicherheitslücke durch ein Update geschlossen, nachdem sich die Zeitung den Hinweisen folgend an das Ministerium gewandt hatte. Demnach habe das Digitalministerium die Schwachstelle rund "eine Woche lang ignoriert", nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 25. Juli davor gewarnt hatte.
Ein Patch stand seit einer Woche bereit
Es handelte sich offenbar um die Lücke (CVE-2023-3507 , über die das Softwareunternehmen Ivanti schon am 24. Juli aufgeklärt hatte und die bereits mehreren norwegischen Ministerien zum Verhängnis geworden war. Ein Sicherheitsupdate stand seither bereit und hätte unmittelbar installiert werden können.
Mit einem CVSS von 10 erreicht die Sicherheitslücke in Ivantis EPMM, einer Verwaltungsanwendung für Mobiltelefone, das obere Ende der Skala und ist folglich als besonders kritisch eingestuft. Angreifer können dabei ohne jegliche Authentifizierung auf bestimmte API-Pfade der Software zugreifen und darüber mitunter persönliche Informationen wie Namen und Telefonnummern sowie Details zu den mobilen Geräten der Benutzer abrufen.
Auch das Zollkriminalamt war spät dran
Laut der Süddeutschen Zeitung war das Digitalministerium nicht die einzige Behörde, die sich mit dem Einspielen des Sicherheitsupdates Zeit ließ. Auch das Zollkriminalamt soll die Lücke erst am Dienstag geschlossen haben, wodurch die Daten der Mitarbeiter für mehrere Tage ungeschützt über das Internet abrufbar waren.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:45 Uhr.
().
|
Linear-Darstellung
