Tag Attack.Sony.com

Kurzinfo

Geräte die versuchen die Dienste von SONY zu beeinträchtigen oder Accounts von SONY Kunden zu kompromittieren.

Treffsicherheit

Die E-Mail Reports von SONY haben sich als sehr treffsicher erwiesen.

Account Takeover Attempt

Beschreibung

Die in den Reports genannten Geräte versuchen Konten von Kunden des SONY Playstation Networks zu übernehmen. SONY erkennt die Angriffe anhand nicht weiter erläuterter Zugriffsmuster auf diese hosts über den TCP port 443:

• account.sonyentertainmentnetwork.com
• auth.np.ac.playstation.net
• auth.api.sonyentertainmentnetwork.com
• auth.api.np.ac.playstation.net

Diese hosts werden über das Akamai Netzwerk lastverteilt und haben folglich wechselnde IP Adressen.

Erfahrungen

Account Takeover Attempts Attacken wurden vor allem in folgenden Fällen beobachtet und bestätigt:

• Infizierte Heimnetzwerk Router (siehe Links) in Studentenheimen.
• Infizierte Software auf Windows PCs.

Bei Untersuchungen infizierter Router wurde festgestellt, dass in einzelnen Fällen die Firmware erfolgreich aktualisiert und bereinigt werden konnte. In einigen Fällen hat eine Sanierung aber trotz verfügbarem Update nicht funktioniert. Die meisten infizierten Geräte mussten aus dem Verkehr gezogen werden und wurden nach Anweisung des Heim Admins durch die Studierenden durch andere Modelle (ein konkretes Modell haben wir als aconercert nicht empfohlen) ersetzt.

Neben Attacken auf das SONY Playstation Network wurden die infizierten Routern auch als SPAM Quellen identifiziert bzw. sind durch Attacken auf WordPress Instanzen (Ziel: phpMailer Lücke - "wp-login.php") aufgefallen.

Links

https://www.heise.de/security/meldung/Netgear-Luecke-dramatischer-als-angenommen-erste-Sicherheits-Updates-3569299.html

https://www.golem.de/news/router-bsi-warnt-vor-sicherheitsluecke-in-60-netgear-modellen-1701-125745.html

http://derstandard.at/2000049819772/Netgear-Router-N300-mit-massiver-Sicherheitsluecke