News | CERT@VDEhttp://cert.vde.com/en/blog/2022-01-27T09:13:42+00:00 Log4Shell / Log4J overview2022-01-13T13:00:00+00:002022-01-27T09:13:42+00:00CERT @VDEhttp://cert.vde.com/en/blog/author/admin/http://cert.vde.com/en/blog/log4shell-log4j-overview/<p><em>Disclaimer: This page contains information about the products of <a href="mailto:CERT@VDE">CERT@VDE</a> partners. For the information offered here, there is no claim to completeness, relevance and correctness. </em></p>
<p><strong>Last update: January, 27th 2022</strong></p>
<p>Log4J / Log4Shell affected products</p>
<table>
<tbody>
<tr>
<td><b>Vendor</b></td>
<td><strong>Category or Products</strong></td>
<td><b>State</b></td>
<td><strong>Last Update</strong></td>
</tr>
<tr>
<td>WAGO</td>
<td>Smart Script</td>
<td><a href="https://cert.vde.com/en/advisories/VDE-2021-060/" target="_blank"><i class="fas fa-exclamation-circle"></i> fix available</a></td>
<td>17.12.2021</td>
</tr>
<tr>
<td>WAGO</td>
<td>other products</td>
<td><a href="https://www.wago.com/de/automatisierungstechnik/psirt" target="_blank"><i class="fas fa-check-circle"></i> not affected</a></td>
<td>17.12.2021</td>
</tr>
<tr>
<td>Phoenix Contact</td>
<td>Cloud Services</td>
<td><a href="https://dam-mdc.phoenixcontact.com/asset/156443151564/1a0f6db6bbc86540bfe4f05fd65877f4/Vulnerability.pdf" target="_blank"><i class="fas fa-exclamation-circle"></i> fixed or not affected</a></td>
<td>06.01.2022</td>
</tr>
<tr>
<td>Phoenix Contact</td>
<td>Physical products containing firmware</td>
<td><a href="https://dam-mdc.phoenixcontact.com/asset/156443151564/1a0f6db6bbc86540bfe4f05fd65877f4/Vulnerability.pdf" target="_blank"><i class="fas fa-check-circle"></i> not affected</a></td>
<td>06.01.2022</td>
</tr>
<tr>
<td>Phoenix Contact</td>
<td>Software products</td>
<td><a href="https://dam-mdc.phoenixcontact.com/asset/156443151564/1a0f6db6bbc86540bfe4f05fd65877f4/Vulnerability.pdf" target="_blank"><i class="fas fa-check-circle"></i> not affected</a></td>
<td>06.01.2022</td>
</tr>
<tr>
<td>Pepperl+Fuchs</td>
<td>all products</td>
<td><a href="https://www.pepperl-fuchs.com/global/en/29079.htm" target="_blank"><i class="fas fa-check-circle"></i> not affected</a></td>
<td>27.01.2022</td>
</tr>
<tr>
<td>Trumpf</td>
<td>all products</td>
<td><a href="https://www.trumpf.com/filestorage/TRUMPF_Master/Corporate/Security/TRUMPF-Security-Information-TSI-2021-1.pdf" target="_blank"><i class="fas fa-check-circle"></i> not affected</a></td>
<td>18.01.2022</td>
</tr>
</tbody>
</table>
<p></p>Mehrere Schwachstellen in Moxa NPort W2x50A products2018-11-30T10:07:00+00:002020-02-12T13:18:53+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/mehrere-schwachstellen-in-moxa-nport-w2x50a-products/<p>Moxa NPort W2x50A products with firmware version 2.1 Build_17112017 or lower are vulnerable to several authenticated OS Command Injection vulnerabilities (incl. PoC)</p>
<p><br/>Maxim Khazov via Fulldisclosure:</p>
<p><em>Moxa NPort W2x50A products with firmware version 2.1 Build_17112017 or lower are vulnerable to several authenticated OS</em><br/><em>Command Injection vulnerabilities:</em></p>
<p><em>#1 Authenticated OS Command Injection in web server ping functionality</em></p>
<p><em>Reserverd CVE ID: CVE-2018-19659</em></p>
<p><em>A specially crafted HTTP POST request to /goform/net_WebPingGetValue can result in running OS commands as the root</em><br/><em>user. Exploitation required authentication. This is similar to CVE-2017-12120.</em><br/><em>......</em></p>
<p><a href="https://seclists.org/fulldisclosure/2018/Nov/64" target="_blank" title="Link to the complete advisory">Link to the complete advisory</a></p>Mehrere Schwachstellen in SIGLENT TECHNOLOGIES SDS 1202X-E DIGITAL OSCILLOSCOPE (Update A)2018-11-30T08:37:00+00:002020-02-12T13:26:55+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/mehrere-schwachstellen-in-siglent-technologies-sds-1202x-e-digital-oscilloscope-update-a/<p>Das digitale Oszilloskop SDS 1202X-E der Firma SIGLENT TECHNOLOGIES ist von mehreren Schwachstellen (u.a. "Hardcoded Backdoor Account") betroffen.<br/>Die Firma SEC Consult hat dazu <a href="https://r.sec-consult.com/siglent" target="_blank">ein Advisory veröffentlicht</a>.</p>
<p><strong>Update A, 5.12.2018<br/></strong></p>
<p>SIGLENT TECHNOLOGIES hat nach Veröffentlichung des Advisories folgende Response dazu abgegeben:</p>
<p><em>Siglent Technologies is fully committed to providing its customers with safe and secure firmware for all of its test and measurement products. While most test instruments, such as oscilloscopes, are connected to small localized networks and not accessible from the outside, we realize the growing trend for internet connected devices opens up new risks that are being addressed within our engineering and product development process. Siglent’s team of engineers is constantly developing firmware updates to address advanced technology features, as well as internet security updates to prevent the risk of network attacks. Siglent prides itself in being a global leader for hardware and software development in the test and measurement industry. We will continue to support our customers with firmware updates to stay ahead of potential security risks as they emerge in a time where vulnerability is becoming increasingly prevalent.</em></p>
<p><em>Please contact Siglent directly if you have any concerns about the security or your Siglent test instrument. www.siglenteu.com/contact-us</em></p>
<p><em>Thank you</em></p>
<p><em><strong> </strong></em></p>
<p></p>
<p></p>Malware BlackEnergy, GreyEnergy & TeleBots2018-10-18T11:32:00+00:002020-02-12T13:28:36+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/malware-blackenergy-greyenergy-telebots/<p>Ein paar aktuelle & weiterführende Links zur "GreyEnergy" - Malware inkl. IOCs:</p>
<p><br/><strong>15.06.2018</strong> How dangerous (and innovative) is the newly discovered power grid malware? <br/><a href="https://www.fifthdomain.com/home/2017/06/15/how-dangerous-and-innovative-is-the-newly-discovered-power-grid-malware/" target="_blank">https://www.fifthdomain.com/home/2017/06/15/how-dangerous-and-innovative-is-the-newly-discovered-power-grid-malware/</a></p>
<p><strong>17.10.2018</strong> GreyEnergy: A successor to BlackEnergy<br/><a href="https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf" target="_blank">https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf</a></p>
<p><strong>17.10.2018</strong> GreyEnergy: Updated arsenal of one of the most dangerous threat actors<br/><a href="https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/" target="_blank">https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/</a></p>
<p><strong>17.10.2018</strong> GreyEnergy IOCs by ESET<br/><a href="https://github.com/eset/malware-ioc/blob/master/greyenergy/README.adoc" target="_blank">https://github.com/eset/malware-ioc/blob/master/greyenergy/README.adoc</a></p>
<p></p>TRISIS/TRITON/HATMAN ICS Malware2018-01-08T12:27:00+00:002020-02-12T13:07:54+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/trisistritonhatman-ics-malware/<p>Am 13.12.2017 berichteten die Security-Researcher von Dragos von einer neuen Malware namens "TRISIS", die sich gegen Triconex Controller der Firma Schneider Electric richtet. Seit dem 24.12.2017 ist diese zu einem Großteil öffentlich verfügbar.<br/>Wir möchten an dieser Stelle eine aktualisierte Timeline bereitstellen:</p>
<p>13.12.2017: Meldung von <a href="https://dragos.com/blog/trisis/TRISIS-01.pdf" target="_blank" title="Dragos">Dragos</a>, Malware-Codename: TRISIS</p>
<p>14.12.2017: Meldung von <a href="https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html" target="_blank" title="Fireeye">Fireeye</a>, Malware-Codename: TRITON</p>
<p>18.12.2017: <a href="https://ics-cert.us-cert.gov/sites/default/files/documents/MAR-17-352-01%20HatMan%E2%80%94Safety%20System%20Targeted%20Malware_S508C.pdf" target="_blank" title="Analyse">Analyse</a> des US-CERT, Malware-Codename: HATMAN</p>
<p>24.12.2017: Veröffentlichung des decompilierten Codes und der Original Samples auf mehreren Websites.</p>Meltdown und Spectre2018-01-05T08:35:00+00:002020-02-12T13:07:39+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/meltdown-und-spectre/<p>Gestern sind zwei kritische Schwachstellen in nahezu allen modernen Prozessoren allgemein bekanntgeworden. Welche Auswirkungen hat dies für die Zielgruppe des CERT@VDE?<br/>Vorab die gute Nachricht: die Schwachstellen haben zwar kritische Auswirkungen auf die Sicherheit von Mehrbenutzersystemen und besonders auch von Cloud-Anwendungen, die meisten ICS-Komponenten können jedoch nicht durch diese Schwachstellen allein kompromittiert werden.</p>
<p>Bei beiden Schwachstellen wird über einen sogenannten Side-Channel-Angriff der Schutz von Kernel-Daten ausgehebelt, wodurch ein Prozess Informationen bekommt, auf die er normalerweise keinen Zugriff hätte. Es ist jedoch für einen erfolgreichen Angriff notwendig, beliebigen Code auf dem jeweiligen Prozessor ausführen zu können. Solange ein Benutzer dies nicht kann, weil er keinen Shell-Zugriff auf das System hat, kann der Angriff nicht durchgeführt werden (siehe hierzu auch die Meldung bei <a href="https://www.heise.de/security/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html" target="_blank" title="Heise">Heise</a>).</p>
<p>CERT@VDE rät daher allen Anwendern, ihre eigenen Clients (sei es ein Laptop, ein Tablet oder ein Smartphone) auf dem aktuellen Patchlevel zu halten und vor allem auch <a href="https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html" target="_blank">den eingesetzten Browser zu aktualisieren</a>. Systemadministratoren sollten vor allem Server, auf denen Benutzer Shell-Zugriff haben, mit hoher Priorität patchen. Wenn Sie Cloud-Dienste einsetzen, dann erkundigen Sie sich bei Ihrem Anbieter, welche Schritte dieser unternimmt!</p>
<p>Wir beobachten die Lage aufmerksam. Zum Zeitpunkt der Veröffentlichung dieser Meldung lagen uns keine Hinweise zu ICS-Komponenten vor, die aufgrund von Meltdown oder Spectre unmittelbar für Angriffe anfällig sind. Sollte sich dies ändern, werden wir zu gegebener Zeit entsprechende Advisories veröffentlichen.</p>
<p></p>KRACK: WPA2-Protokoll kompromittiert2017-10-16T16:33:00+00:002020-02-12T13:05:18+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/krack-wpa2-protokoll-kompromittiert/<p>Forscher haben kritische Lücken im WLAN-Sicherheitsstandard WPA2 entdeckt.<br/>Mehrere Sicherheitslücken im Handshake des WPA2-Protokolls bedrohen die Sicherheit von WLAN-Netzen. Bei Verwendung von AES-CCMP können Pakete entschlüsselt werden (wodurch es z.B. möglich ist, TCP-SYN-Pakete zu belauschen, um eine Verbindung zu übernehmen). Wird das veraltete Protokoll TKIP verwendet, sind die Auswirkungen deutlich schwerwiegender, da sich zusätzlich auch gefälschte Pakete einschleusen lassen. Für Clients, die Android 6.0 oder wpa_supplicant unter Linux verwenden, sind die Auswirkungen katastrophal, da hier ein Schlüssel erzwungen werden kann, der nur aus Nullen besteht. Abfangen und Manipulieren des Traffics eines solchen Clients wird dadurch trivial.</p>
<p>Die Schwachstellen mit der Bezeichnung Key Reinstallation Attacks (KRACK) wurden unter<span> </span><a href="https://www.krackattacks.com/" target="_blank" title="www.krackattacks.com">www.krackattacks.com</a><span> </span>veröffentlicht. Bei Heise findet sich<span> </span><a href="https://www.heise.de/security/meldung/WPA2-Forscher-entdecken-Schwachstelle-in-WLAN-Verschluesselung-3862379.html" target="_blank" title="eine deutschsprachige Meldung">eine deutschsprachige Meldung</a><span> </span>zum Thema.</p>Zugangsdaten für IoT-Geräte geleakt2017-08-29T09:46:00+00:002020-02-12T13:04:31+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/zugangsdaten-f%C3%BCr-iot-ger%C3%A4te-geleakt/<p>"<em>Im Internet schwirrte eine Liste mit IP-Adressen inklusive Zugangsdaten von IoT-Geräten mit aktiviertem Fernzugriff herum.</em>" - <a href="https://heise.de/-3813771" target="_blank" title="heise.de">heise.de</a></p>
<p>Ein Unbekannter hat auf Pastebin eine Liste mit 8233 IP-Adressen nebst gültigen Nutzernamen und Passwörtern von IoT-Geräten wie Routern veröffentlicht, <a href="https://twitter.com/ankit_anubhav/status/900803406914347008" target="_blank" title="warnt der Sicherheitsforscher Ankit Anubhav">warnt der Sicherheitsforscher Ankit Anubhav</a>.</p>
<p>Die Aufstellung soll seit Juni online gewesen und regelmäßig gepflegt worden sein. Seitdem es Berichte über diese Liste gibt, sollen die Zugriffszahlen von 700 auf über 13.000 angestiegen sein. <a href="https://heise.de/-3813771" target="_blank" title="mehr...">mehr...</a></p>Warnung an "M.E.Doc"-Anwender2017-07-10T14:24:00+00:002020-02-12T13:04:17+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/warnung-an-medoc-anwender/<p>Das BSI warnt alle Firmen, die in den letzten Monaten die Buchhaltungssoftware „M.E.Doc“ verwendet haben.<br/>Laut dem BSI ist die Bedrohungslage, die durch den <a href="http://localhost/blog/malware-notpetya/" title="Ausbruch von NotPetya">Ausbruch von NotPetya</a> bekannt wurde, <a href="https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Update_Cyber_Angriffswelle_Petya_07072017.html" target="_blank" title="größer als bislang angenommen">größer als bislang angenommen</a>. Die Updatefunktion der ukrainischen Buchhaltungssoftware „M.E.Doc“ soll bereits seit Mitte April 2017 zur Verbreitung von Schadsoftware verwendet worden sein.</p>
<p>Das BSI warnt daher, dass Firmen, die diese Software eingesetzt haben, unbemerkt mit Spionagesoftware infiziert worden sein können, auch wenn sie nicht direkt vom Ausbruch von NotPetya betroffen waren. Varianten der mittels der Updatefunktion verbreiteten Schadsoftware ermöglichen nach Analysen von IT-Sicherheitsforschern das Ausspähen von Daten in den betroffenen Firmennetzwerken.</p>
<p>Das BSI empfiehlt daher neben dem dringenden Einspielen des Patches <a href="https://technet.microsoft.com/de-de/library/security/ms17-010.aspx" target="_blank" title="MS17-010">MS17-010</a> eine Reihe weiterer Maßnahmen. Unter anderem sollten Rechner, auf denen „M.E.Doc“ eingesetzt wurde oder die von solchen Rechnern aus erreichbar sind, auf mögliche Infektionen untersucht werden. Infizierte Rechner sollten neu aufgesetzt und alle verwendeten Passwörter geändert werden. Auch Backups, die nach dem 13. April erstellt wurden, sollten als potentiell kompromittiert betrachtet werden. Im Zweifel sollten laut BSI externe Fachkräfte hinzugezogen werden.</p>
<p>Das BSI bittet betroffene Firmen um Meldung unter <a href="mailto:meldestelle@bsi.bund.de" target="_blank" title="meldestelle@bsi.bund.de">meldestelle@bsi.bund.de</a>.</p>Malware "NotPetya"2017-06-29T09:09:00+00:002020-02-12T13:03:56+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/malware-notpetya/<p>Der Trojaner, der sich <a href="https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html" target="_blank" title="am Dienstag rasant verbreitete">am Dienstag rasant verbreitete</a>, ähnelt dem bereits im Jahr 2016 aufgetretenen Trojaner „<a href="https://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt-den-gesamten-Rechner-ab-3150917.html" target="_blank" title="Petya">Petya</a>“. Sicherheitsforscher stufen ihn aber als neuen Trojaner ein und nennen ihn daher meist „<a href="https://www.heise.de/security/meldung/Alles-was-wir-bisher-ueber-den-Petya-NotPetya-Ausbruch-wissen-3757607.html" target="_blank" title="NotPetya">NotPetya</a>“. Obwohl der Trojaner zunächst den Anschein erweckte, als handele es sich um Ransomware wie „<a href="http://localhost/blog/ransomware-wannacry/" title="WannaCry">WannaCry</a>“, ist das Ziel offenbar nicht, bei den Betroffenen ein Lösegeld zu erpressen. <a href="https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/" target="_blank">Die Angreifer sind gar nicht in der Lage, die Daten wieder zu entschlüsseln</a>. Daher hat sich mittlerweile der Verdacht erhärtet, dass es bei „NotPetya“ hauptsächlich darum geht, Firmen lahmzulegen und möglichst viel Schaden anzurichten.</p>
<p>Die Verbreitung erfolgt unter anderem über die <a href="https://technet.microsoft.com/de-de/library/security/ms17-010.aspx" target="_blank" title="Schwachstelle im SMB-Protokoll">Schwachstelle im SMB-Protokoll</a>, die bereits von „WannaCry“ verwendet wurde. Es wurden jedoch weitere Verbreitungswege hinzugefügt. Nachdem er das erste System in einem Netzwerk infizieren konnte, sucht der Trojaner als nächstes Ziel einen Domain Controller. Dort sammelt er eine Liste von Systemen im Netzwerk, die er danach ganz gezielt infiziert. Dabei verwendet er auch Admin-Passwörter, die er zuvor auf dem Domain Controller zu erbeuten versucht.</p>
<p>Für die derzeit beobachtete Version von „NotPetya“ wurde mittlerweile <a href="https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/" target="_blank" title="ein Mechanismus gefunden">ein Mechanismus gefunden</a>, durch den eine Infektion unterbunden werden kann. Der Trojaner prüft, ob bestimmte Dateien existieren, und bricht in diesem Fall die Ausführung ab. Diese Dateien vorsorglich anzulegen, mindestens auf den Domain Controllern und allen besonders gefährdeten Systemen, könnte Firmen daher vor Schaden bewahren. Hierfür kann <a href="https://download.bleepingcomputer.com/bats/nopetyavac.bat" target="_blank" title="diese Datei">diese Datei</a> verwendet werden.</p>
<p>Es kann natürlich jederzeit eine neue Variante in Umlauf gebracht werden, die nicht länger auf das Vorhandensein dieser Dateien reagiert, weshalb dies nicht die einzige Maßnahme bleiben sollte. IT-Verantwortliche sollten auf jeden Fall auch überprüfen, ob auf allen Domain Controllern sämtliche Sicherheitsupdates von Microsoft eingespielt wurden, und ob angemessene Maßnahmen zu deren Härtung ergriffen wurden.</p>Ransomware "WannaCry"2017-05-15T08:31:00+00:002020-02-12T13:03:40+00:00CERT USERhttp://cert.vde.com/en/blog/author/certuser/http://cert.vde.com/en/blog/ransomware-wannacry/<p>Seit Freitag wird über weltweite IT-Sicherheitsvorfälle mit hoher Schadenswirkung berichtet, die durch die Ransomware "WannaCry" ausgelöst werden. Auch deutsche Unternehmen sind betroffen.<br/>Die Infektion kann über eine E-Mail mit einem komprimierten Dateianhang erfolgen. Antivirus-Filter auf Mailservern filtern die Schadsoftware meist nicht aus. Sobald erst einmal ein System in einem Netzwerk infiziert ist, nutzt die Schadsoftware eine Schwachstelle in Microsoft Windows, um sich ohne Zutun der Benutzer weiter im Netzwerk auszubreiten.</p>
<p>Durch Zufall wurde ein Weg gefunden, die Verbreitung der Schadsoftware vorerst einzudämmen, indem eine Domain registriert wurde, die als eine Art „Killswitch“ funktioniert. Um hiervon zu profitieren, ist es unbedingt erforderlich, dass die Domain <span class="code">iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com</span> erreichbar ist und Traffic dorthin nicht durch einen Proxy oder durch Virenschutzsoftware gefiltert wird.</p>
<p>Es sind jedoch bereits neue Varianten gesichtet worden, bei denen dieser „Killswitch“ keine Wirkung zeigt. Daher sollte als wichtigste Gegenmaßnahme das Microsoft-Sicherheitsupdate <a href="https://technet.microsoft.com/de-de/library/security/ms17-010.aspx" target="_blank" title="MS-17-010">MS-17-010</a> unbedingt schnellstmöglich auf allen Geräten mit Windows-Betriebssystem eingespielt werden. Microsoft hat auch Updates für ältere Versionen von Windows veröffentlicht, inklusive Windows XP.</p>
<p>Allgemeine Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI in einem Dossier zusammengefasst, das auf der <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.html" target="_blank" title="BSI-Webseite">BSI-Webseite</a> heruntergeladen werden kann. Über die etablierten Kanäle von <a href="https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/certbund_node.html" target="_blank" title="CERT-Bund">CERT-Bund</a>, <a href="http://www.kritis.bund.de/" target="_blank" title="UP KRITIS">UP KRITIS</a> und <a href="https://www.bsi.bund.de/ACS/DE/Home/startseite.html" target="_blank" title="Allianz für Cyber-Sicherheit">Allianz für Cyber-Sicherheit</a> stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.</p>
<p><strong>Update 2017-05-18</strong> </p>
<p>Das <a href="https://www.us-cert.gov" target="_blank" title="US-CERT">US-CERT</a> hat ein <a href="https://www.us-cert.gov/sites/default/files/FactSheets/ICS-CERT_FactSheet_WannaCry_Ransomware_S508C.pdf" target="_blank" title="Fact Sheet zu WannaCry">Fact Sheet zu WannaCry</a> veröffentlicht.</p>