Sechs schwerwiegende Sicherheitslücken in Atlassian Confluence wurden den letzten Monaten bekannt, die es jetzt für Anwender dringend erfordern, ein Upgrade durchzuführen. Die gefährlichste davon wurde in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (CVE-2023-22527) aufgenommen. Die kürzlich bekannt gewordenen Schwachstellen weisen einen Schweregrad von CVSS 7.5 (hoch) bis 10 (kritisch) auf. Der Greenbone Vulnerability Manager kann alle Schwachstellen mit aktiven Prüfungen und Versionserkennungstests aufdecken, einschließlich der kritischsten, CVE-2023-22527.

CVE-2023-22527 kann von einem Angreifer ausgenutzt werden, um nicht authentifizierten Code via Remote Code Execution (RCE) auszuführen. Zu den betroffenen Produkten gehören Confluence Data Center und Server in den Versionen 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x und 8.5.0 bis 8.5.3 sowie auch die Version 8.4.5, die gemäß der Atlassian Security Bug Fix Policy keine zurückübertragenen Korrekturen mehr erhält. CVE-2023-22527 kann intern über das Jira-Portal von Atlassian (CONFSERVER-93833) und über den öffentlichen Link verfolgt werden. Die Schwachstelle wurde im Rahmen des Bug Bounty-Programms von Atlassian vom Teilnehmer m1sn0w gemeldet.

Die weiteren fünf Schwachstellen können sämtlich remote ohne Benutzeraktion ausgenutzt werden. Ihre Auswirkungen reichen von möglichen DoS-Angriffen (CVE-2023-3635) bis hin zur Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die meisten Schwachstellen, einschließlich mehrerer schwerwiegender RCE-Sicherheitslücken, wurden in Version 7.13.0 von Confluence Data Center und Server eingeführt. Kunden, die die betroffenen Produkte an öffentlich zugänglichen IP-Adressen nutzen, sind dabei einem erhöhten Risiko ausgesetzt.

Confluence erschien bereits neun Mal in CISA KEV-Warnungen. Drei Schwachstellen hat die CISA in den letzten Monaten dem KEV-Katalog hinzugefügt:

  • 24. Januar 2024: CVE-2023-22527
  • 07. November 2023: CVE-2023-22518
  • 05. Dezember 2023: CVE-2023-22515

In einem kürzlich veröffentlichten Bericht, der auf Shodan-Daten basiert, schätzt die Forschungsgruppe VulnCheck, dass mehr als 235.000 Confluence-Honeypots mit Internetanschluss an öffentlich zugänglichen IP-Adressen existieren, während die tatsächliche Anzahl der Confluence-Server mit Internetanschluss eher bei 4.000 liegt.

Zusammenfassung der Sicherheitslücken in Atlassian Confluence

Hier finden Sie eine kurze Zusammenfassung aller kürzlich bekannt gewordenen Sicherheitslücken in Atlassian Confluence:

  • CVE-2023-22527 (CVSS 10 kritisch): Eine Template-Injection-Schwachstelle [CWE-284] in älteren Versionen von Confluence Data Center und Server ermöglicht es einem nicht authentifizierten Angreifer, dort einen RCE durchzuführen. Die meisten neueren Versionen von Confluence Data Center und Server sind nicht betroffen. Nach der ersten Offenlegung hat Atlassian den CVSS-Score für CVE-2023-22527 von 9.1 auf den höchstmöglichen Score von 10 angehoben.
  • CVE-2024-21673 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Ressourcen [CWE-284] aus der Ferne freizulegen, um Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity and Availability; CIA) des Systems ohne weitere Aktionen zu beeinträchtigen. Die Schwachstelle wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.
  • CVE-2023-22526 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, beliebigen Code remote auszuführen, um ohne Benutzerinteraktion großen Schaden bei der Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu verursachen.
  • CVE-2024-21672 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, aus der Ferne beliebigen Code auszuführen, um ohne Benutzerinteraktion die CIA des Systems stark zu beeinträchtigen. Die Schwachstelle wurde in Version 2.1.0 (veröffentlicht im Dezember 2005) von Confluence Data Center und Server eingeführt, das heißt sie betrifft praktisch alle Versionen.
  • CVE-2023-3635 (CVSS 7.5 Hoch): Eine DoS-Schwachstelle in der Okio-Client-Java-Library, die in Confluence X verwendet wird. GzipSource behandelt keine Ausnahme, die beim Parsen eines fehlerhaften Gzip-Puffers ausgelöst werden könnte, was zu einem Denial of Service des Okio-Clients führen könnte, wenn ein manipuliertes GZIP-Archiv verarbeitet wird, indem die GzipSource-Klasse verwendet wird.
  • CVE-2024-21674 (CVSS 7.5 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Assets [CWE-284] remote offenzulegen, um die Vertraulichkeit ohne Aktionen der User zu beeinträchtigen, hat aber keine Auswirkungen auf Integrität oder Verfügbarkeit. Die Sicherheitslücke wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.

Entschärfung der Sicherheitslücken in Atlassian Confluence

Es sind keine Abhilfen zum Schutz vor diesen Sicherheitslücken bekannt. Die schwerwiegendste, CVE-2023-22527, wirkt sich nur auf ältere Versionen von Confluence Data Center und Server aus. Die allgemeine Empfehlung von Atlassian für alle anderen oben aufgeführten CVEs lautet, die neueste Version von Confluence Data Center und Server herunterzuladen und zu aktualisieren. Sollte dies jedoch nicht möglich sein, gibt Atlassian für jedes CVE eine andere Empfehlung zur Schadensbegrenzung.

Der Hersteller hat auch versionsspezifische Abhilfemaßnahmen für CVE-2024-21673, CVE-2023-22526, CVE-2023-3635 und CVE-2024-21674 beschrieben. Kunden, die nicht auf die neueste Version von Confluence Data Center und Server aktualisieren können, haben die Möglichkeit, auf eine kleinere Version zu aktualisieren, die bereits gepatcht wurde.

  • Kunden, die Confluence Data Center und Server 7.19 verwenden: Aktualisieren Sie auf Version 19.18 oder eine höhere 7.19.x-Version.
  • Kunden, die Confluence Data Center und Server 8.5 verwenden: Aktualisieren Sie auf Version 5.5 oder ein höheres 8.5.x-Release.
  • Kunden, die Confluence Data Center und Server 8.7 verwenden: Upgrade auf Version 7.2 oder ein höheres 8.7.x-Release.

Zusammenfassung

Im Januar 2024 wurde eine kritische Sicherheitslücke mit Auswirkungen auf Atlassian Confluence Data Center und Server bekannt gegeben, die in die Fußstapfen von fünf weiteren kürzlich bekannt gegebenen CVEs mit hoher Auswirkung tritt. Es ist bekannt, dass die kritischste Schwachstelle, CVE-2023-22527, weidlich ausgenutzt wird, sodass die Benutzer der betroffenen Produkte dringend ein Upgrade durchführen müssen. Am stärksten gefährdet sind die öffentlich zugänglichen Instanzen von Confluence mit schätzungsweise 4.000 Instanzen (Stand: 2. Februar 2024).

Eine Reihe von Schwachstellen im Connect Secure VPN von Ivanti wird von Angreifern aktiv ausgenutzt. Sowohl das deutsche BSI als auch die Cybersecurity & Infrastructure Security Agency (CISA) der US-Regierung haben eine Warnung herausgegeben. Die CISA hat sogar eine Notfallanweisung hierzu veröffentlicht, die alle Bundesbehörden der zivilen Exekutive (FCEB) auffordert, sofort Patches zu installieren.

Tausende von öffentlich zugänglichen Ivanti-Systemen weltweit sind gefährdet, viele davon in Deutschland. Die Schwachstellen werden aktiv ausgenutzt. Da die Geräte von Ivanti schon vor mehreren Jahren in die Schwachstellentests von Greenbone im Enterprise Feed aufgenommen wurden, konnten wir unsere Kunden bereits am 10. Januar warnen und haben kontinuierlich Tests für die neuesten Schwachstellen erstellt. Dennoch müssen Ivanti-Kunden wachsam sein und Maßnahmen ergreifen – die Patches von Ivanti erfordern ein Zurücksetzen der Geräte auf den Auslieferungszustand.

Remote Code Execution und Authentification Bypass

Im Dezember hatte der amerikanische Sicherheitsexperte Volexity zwei schwerwiegende Sicherheitslücken (CVE-2023-46805 und CVE-2024-21887, beide veröffentlicht am 12. Januar 2024) in Geräten mit Ivanti Connect Secure VPN gefunden. Zu den betroffenen Produkten gehören Ivanti Connect Secure (früher Ivanti Pulse Secure), Ivanti Policy Secure und Ivanti Neurons für Zero Trust Access (ZTA).

Die Schwachstellen ermöglichen es Angreifern, Authentifizierungsmechanismen zu umgehen, eigenen Code unbefugt auszuführen und die Kontrolle über Systeme zu übernehmen, heißt es in einer offiziellen Stellungnahme von Ivanti. Der Hersteller rät seinen Kunden dringend, die Workarounds zu implementieren und aktualisiert die Kommunikation laufend in einem Artikel im Forum.

Vor wenigen Tagen wurden nun Patches ausgeliefert, die auch Korrekturen für drei weitere schwerwiegende Sicherheitslücken enthielten, vor denen Ivanti Ende Januar und Anfang Februar warnen musste (CVE-2024-21893, CVE-2024-21888 und CVE-2024-22024). Diese drei Sicherheitsprobleme sind mit einem hohen Risiko behaftet und umfassen serverseitige Request Forgery, Privilege Escalation und eine XXE-Schwachstelle (XML External Entity).

Nach Angaben des Herstellers wurden am 31. Januar Sicherheitspatches für alle Schwachstellen bereitgestellt. Nutzer, die den Februar-Patch angewendet und einen Reset auf die Werkseinstellungen durchgeführt haben, sollten jetzt keinen weiteren benötigen.

Greenbone-Kunden wurden gewarnt, aber Administratoren müssen aktiv werden

Aufgrund der weiten Verbreitung von Ivanti-Geräten in Deutschland bietet Greenbone bereits seit mehreren Jahren Tests für Ivanti Connect Secure an. Während andere verfügbare Tests nur die Versionsnummern der verwendeten Software prüfen, nutzen die Schwachstellenscans von Greenbone erweiterte Funktionen und erreichen so eine deutlich höhere Genauigkeit.

Doch auch wenn unsere Produkte Greenbone-Kunden schneller und genauer vor potenziellen Schwachstellen in Avanti-Geräten warnen, müssen die Anwender weiterhin alle vom Hersteller empfohlenen Maßnahmen ergreifen. So ist es beispielsweise möglich, dass Angreifer eine Schwachstelle bereits vor ihrer Veröffentlichung ausgenutzt haben. Daher müssen alle Kunden den von Ivanti bereitgestellten Integrity Checker verwenden, um die Integrität ihrer Installation sicherzustellen.

Die fünf Schwachstellen in Ivanti VPN Gateway Appliances laut NIST:

  • CVE-2023-46805 (CVSS 8.2 Hoch): Die Schwachstelle bei der Authentifizierung [CWE-287] in der Webkomponente von Ivanti ICS 9.x, 22.x und Ivanti Policy Secure ermöglicht einem Angreifer den Zugriff auf eingeschränkte Ressourcen unter Umgehung von Kontrollinstanzen.
  • CVE-2024-21887 (CVSS 9.1 Hoch): Die Schwachstelle erlaubt das Einschleusen von Befehlen [CWE-77] in die Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) und ermöglicht es Administratoren, speziell gestaltete Anfragen zu senden und beliebige Befehle auf der Appliance auszuführen.
  • CVE-2024-21893 (CVSS 8.2 Hoch): Auf Serverseite erlaubt es die Schwachstelle, Anforderungen zu fälschen [CWE-918]. In der SAML-Komponente von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und Ivanti Neurons for ZTA ermöglicht sie es einem Angreifer, Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zu erhalten.
  • CVE-2024-21888 (CVSS 8.8 Hoch): Die Schwachstelle in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) ermöglicht einen ausgeweiteten Zugriff [CWE-265]. Mit ihrer Hilfe kann ein Benutzer seine Rechte auf die eines Administrators ausdehnen.
  • CVE-2024-22024 (CVSS 8.3 High): Die XML External Entity oder XXE-Schwachstelle [CWE-643] in den SAML-Komponenten von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und ZTA-Gateways erlaubt einem Angreifer Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung.

Sofortmaßnahmen

Die Patches wurden erstmals am 22. Januar veröffentlicht. Bis die Benutzer die offiziellen Patches von Ivanti herunterladen und installieren können, sollten sie folgende Schritte befolgen:

  • Download: Aktuelles Mitigation Release aus dem offiziellen Mitigation Advisory von Ivanti
  • Befolgen Sie die Anweisungen, um einen korrekten Import sicherzustellen, und setzen Sie das Gerät auf die Werkseinstellungen zurück, wenn Sie dazu aufgefordert werden.
  • Laden Sie das externe Integritätsprüfungs-Tool von Ivanti herunter und führen Sie es aus.

Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.

Tracking-News: Critical Vunerability in MS Sharepoint

Remote Priviledge Execution

Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.

Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.

Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.

Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.

5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können

Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.

Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.

Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:

  • CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
  • CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
  • CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
  • CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
  • CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.

Verstehen des Angriffsverlaufs

Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.

Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:

Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.

CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.

Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.

Abschwächung der jüngsten Juniper Junos-Schwachstellen

Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.

Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.

Der Jahresabschluss könnte kaum besser sein: Greenbone kann auf das erfolgreichste Jahr seiner Firmengeschichte zurückblicken. Nach 15 Jahren ist aus der Osnabrücker Firma 2023 eine erfolgreiche Aktiengesellschaft erwachsen. Greenbone ist binnen Jahresfrist von 50 auf 120 Mitarbeiter gewachsen, und die Reise ist noch lange nicht zu Ende: Nicht nur die Gesetzgebung der EU, auch diverse Kooperationen und Engagements ermöglichen einen weiteren Wachstumskurs. Wir blicken zurück auf 2023 und bedanken uns bei unseren Kunden, Partnern und der OpenVAS-Community.

Ein erfolgreiches Jahr im Überblick

Das Wachstum zeigt sich sowohl im Greenbone Blog, das 2023 zehnmal mehr Leser zu verzeichnen hatte als auch im neuen Community Portal – ein herzliches Dankeschön geht an die große Greenbone-Community!

Neben zahlreichen Berichten über Schwachstellen von VMware bis Microsoft, von Atlassian, Citrix und vielen anderen konnten wir über Projekte mit dem Center for Internet Security (CIS), dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der OSB Alliance – Bundesverband für digitale Souveränität e.V. berichten.

Wir beteiligen uns auch weiterhin an Studien renommierter Universitäten wie dem „Vergleich der Sicherheit von Open-Source-Software und Proprietärer Software“ von Dr. Marc Ohm (Rheinische Friedrich-Wilhelms-Universität Bonn).

Zero Days, Log4j, Citrix, Atlassian, Sharepoint

Wir warnten vor gravierenden Schwachstellen, die alle bereits mit geeigneten, von unseren Spezialisten entwickelten Tests in den Greenbone Enterprise Aplliances erkannt wurden – Unsere Kunden waren stets gewarnt und konnten sich in vielen Fällen auch proaktiv schützen. Ob Ransomware die Unternehmen via VMware EsXi bedrohte, oder über Outlook Zero days, die Nachwehen des Log4j-Desasters aus 2022 oder die kritischen Fehler in Citrix Netscaler, Confluence, f5 Big IP oder Sharepoint, die Greenbone-Kunden waren vorgewarnt und mit Tests versorgt.

Greenbone testet Webanwendungen …

Im Jahr 2023 haben wir auch unser Engagement in anderen Bereichen verstärkt: Wir testen jetzt auch Ihre Webanwendungen. Wir agieren dabei streng nach den Vorschriften der DSGVO, sind nach ISO 27001/9001 zertifiziert und verfügen zudem über herausragende Sicherheitsexperten. Wie bei unseren Produkten des Schwachstellenmanagements erhalten Sie auch bei den Tests für Webanwendungen ausführliche Berichte über Ihre Sicherheitssituation mit klaren Handlungsanweisungen, bei deren Umsetzung die Greenbone-Experten gerne helfen.

… und ist auf internationalen Messen, Kongressen und Panels

Ebenfalls in diesem Jahr haben wir unsere Präsenz auf internationalen Fachmessen verstärkt: Wir waren auf der ITSA, dem vom Behördenspiegel veranstalteten Kongress PITS („Public IT Security“) und der renommierten Open Source Experience 2023 (OSXP) in Paris. Auf dem PITS-Kongress war auch Greenbone-CEO Jan-Oliver Wagner als Experte geladen, um an der von Katharina Sook Hee (Nationales Cyber-Abwehrzentrum des BSI) moderierten Podiumsdiskussion „Den Finger in die Wunde legen – Schwachstellen managen oder schließen?“ sein Wissen auszutauschen.

Große Einigkeit herrschte dort, dass das “Schwachstellenmanagement immer wichtiger” werde. Das liege auch an neuer Gesetzgebung, die dazu führe, dass mehr und mehr Schwachstellen gemeldet werden, die Awareness generell steige und die Strafen drakonischer werden für Firmen, die beispielsweise Complianceregeln missachten. Der Druck wird größer, auch für Unternehmen, die nicht KRITIS sind.

Regulierung macht Schwachstellenmanagement zur Pflicht

Gleichzeitig werden die festgestellten Schwachstellen immer älter, stehen schon länger offen als früher und werden zunehmend schneller ausgenutzt, wobei Ransomware weiterhin die Top-Bedrohung bleibt.

Kein Wunder, dass sowohl Bundesregierung als auch EU die Zeichen der Zeit erkannt haben: Der Bund investiert umfassend in Cybersecurity, auch der Cyber Resilience Act der EU schreibt Maßnahmenpakete vor, die das Schwachstellenmanagement a la Greenbone in vielen Firmen zur Pflicht machen.

Gemeinsam mit dem BSI: das neue SMP-Bund-Portal

Deshalb haben wir zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Greenbone SMP-Bund-Portal eingeführt. Als zentrale Anlaufstelle für IT-Sicherheit und Schwachstellenmanagement bietet es Behörden konkrete Unterstützung bei den aktuellen Herausforderungen der IT-Sicherheit.

Das Portal bietet neben umfangreichen Informationen und einem Forum zum Austausch rund ums Schwachstellenmanagement auch direkten Zugriff auf Greenbone-Support, Kontakt zu unserem Sales-Team und exklusive Konditionen mit Greenbone-Rahmenverträgen.

2023 war ein gutes 15. Jahr für Greenbone, wir danken an dieser Stelle erneut allen Kunden, Partnern und der Community, ohne Ihr Zutun wäre all das nicht möglich.

Vielen Dank, schöne Feiertage und einen guten Rutsch!

Wir bei Greenbone freuen uns sehr, in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Greenbone SMP-Bund-Portal einzuführen. Als führender Anbieter von IT-Sicherheitslösungen sind wir stolz darauf, diese speziell auf die Bedürfnisse der Bundesbehörden zugeschnittene Plattform anbieten zu können.

Ein Portal, das Maßstäbe setzt

Das Greenbone SMP-Bund-Portal ist die zentrale Anlaufstelle für IT-Sicherheit und Schwachstellenmanagement. Es wurde entwickelt, um Behörden konkrete Unterstützung bei den aktuellen Herausforderungen der IT-Sicherheit zu bieten.

Viele Vorteile für Bundesbehörden

  1. Einfach verständliche Einblicke: Das Portal bietet klare und anwenderfreundliche Informationen zum Schwachstellenmanagement. Es ist ideal sowohl für Einsteiger als auch für Experten in der IT-Sicherheit.
  2. Exklusive Rahmenvertragskonditionen: Bundesbehörden genießen spezielle Angebote und Vorzüge. Die Ausschreibungspflicht entfällt, was Zeit und Ressourcen spart.
  3. Persönlicher Support: Das kompetente Support-Team steht unseren Kunden stets zur Seite, um Fragen zu beantworten und Unterstützung zu gewährleisten.
  4. Direkter Draht zum Behörden-Sales Team: Fachkundige Beratung unseres Teams, das sich bestens mit den spezifischen Anforderungen für Bundesbehörden auskennt. Wir freuen uns auf die weitere vertrauensvolle Zusammenarbeit mit dem BSI und stehen für Rückfragen gerne zur Verfügung.
  5. Gelegenheit zum Austausch: Nutzen Sie das gemeinsame Forum um Ihre Erfahrungen und Fragen zu teilen.

https://smp-bund.greenbone.net/

Internationale Diskussionsrunde über effektive Cybersicherheit bei der #OSXP2023

Beim renommierten #OSXP2023-Event in Paris haben wir an der Diskussionsrunde „Cybersécurité et open source“ teilgenommen. Dort diskutierten wir intensiv darüber, wie die Cybersicherheit in Unternehmen verbessert werden kann. Das Gremium, bestehend aus internationalen, bekannten Experten aus Wissenschaft und Regierung, konzentrierte sich auf diese Punkte für starke Cybersicherheit.

1. Die Einstellung zu Sicherheitsthemen

Security by Design: Eine Management-Aufgabe

  • Das Panel betonte, wie wichtig es ist, Sicherheit bereits in den Anfangsphasen der Entwicklung zu berücksichtigen. Dafür ist es nötig, dass die Unternehmensführung Sicherheit in allen Geschäftsbereichen priorisiert.

Eine Mentalität, die auf sichere und geschützte Lösungen ausgerichtet ist

  • Unternehmen sollten eine Kultur entwickeln, bei der Sicherheit ein fester Bestandteil des Denkprozesses ist. Ziel ist es, Lösungen anzubieten, die von Natur aus sicher und geschützt sind.

2. Umsetzung wichtiger Prozesse

Einhaltung von Standards und Automatisierung

  • Es wurde betont, wie wichtig es ist, sich an etablierte Cybersicherheitsstandards zu halten. Empfohlen wird, Prozesse zu automatisieren, um Konsistenz und Effizienz zu gewährleisten.

Keine Umsetzung ohne Sicherheitskonformität

  • Es wurde empfohlen, keine Umsetzungen oder Maßnahmen durchzuführen, ohne die notwendigen Sicherheitsanforderungen zu erfüllen.

3. Ressourcen: Teams stärken und Wachsamkeit erhöhen

Spezialisierte Sicherheitsteams und Schulungen

  • Entscheidend sei, spezialisierte Sicherheitsteams zu haben und regelmäßige Schulungen durchzuführen, um ein hohes Sicherheitsbewusstsein und Vorbereitung zu gewährleisten.

Wachsamkeit als kontinuierliche Aufgabe

  • Ständige Wachsamkeit wurde als Schlüsselressource hervorgehoben, um sicherzustellen, dass Sicherheitsmaßnahmen immer aktuell und wirksam sind.

4. Wesentliche Werkzeuge und Technologien

Verpflichtende Multi-Faktor-Authentifizierung (MFA)

  • Die Implementierung von MFA als obligatorische Maßnahme, um die Sicherheit von Konten erheblich zu verbessern, wurde stark empfohlen.

Schwachstellenscanner und Abhängigkeitsmanagement

  • Der Einsatz von Schwachstellenscannern und das Management von Abhängigkeiten und Konfigurationen wurden als unverzichtbare Werkzeuge bewertet. Plattformen wie GitHub Enterprise mögen ihren Preis haben, bieten aber umfassende Lösungen für diese Bedürfnisse.

Fazit: Schulungen, Achtsamkeit und der Einsatz von Open-Source-Tools

Abschließend betonte das Panel bei #OSXP2023, einschließlich unseres Experten Corentin Bardin, Spezialist für Cybersicherheit und Pentester, die Bedeutung von kontinuierlicher Weiterbildung im sich schnell entwickelnden Bereich der Cybersicherheit. Sie sprachen sich für den Einsatz von Open-Source-Werkzeugen zur Stärkung der Sicherheitsmaßnahmen aus.

Die wichtigste Erkenntnis aus der Diskussion ist das Engagement, sichere Dienstleistungen anzubieten. Es geht nicht nur um Werkzeuge und Prozesse, sondern um die Denkweise und das kontinuierliche Bestreben, wachsam und informiert zu bleiben.

Update vom 06.12.2023:

Letzte Woche berichteten wir über pro-russische Hacktivisten, die nach verwundbaren Sharepoint-Servern scannen, um eine kritische Schwachstelle (CVE-2023-29357) auszunutzen.

Neue Erkenntnisse deuten darauf hin, dass die Gruppe, die sich selbst „Zarya“ nennt, verschiedene Exploit-Versuche unternimmt, darunter Directory-Traversal und das Abzielen auf spezifische Schwachstellen in Systemen wie OpenWRT-Routern.

Die IP-Adresse 212.113.106.100, die mit diesen Aktivitäten in Verbindung steht, wurde bei mehreren unterschiedlichen Exploit-Versuchen beobachtet. Zusätzlich zu einfachen Erkundungen wurden auch spezifische Angriffe auf Konfigurationsdateien und Admin-APIs festgestellt.

Dieser Fall unterstreicht erneut die Bedeutung der Absicherung von Systemen gegen solche Bedrohungen und zeigt, wie ungeschützte oder schlecht konfigurierte Systeme Ziel solcher Angriffe werden können.


Eine kritische Schwachstelle für Sharepoint (CVE-2023-29357), wird von vermutlich pro-russischen Angreifern angegangen, die versuchen, diese Schwachstelle auszunutzen. 

Das Internet Storm Center hat entsprechende Aktivitäten auf seinen Honeypots entdeckt. Der Schweregrad für diese Schwachstelle ist kritisch (ein Wert von 9,8 von 10), und die Angriffskomplexität ist sehr gering, was diese Schwachstelle besonders gefährlich macht. Greenbone-Kunden können von der automatischen Erkennung dieser Schwachstelle in unserem Enterprise Feed profitieren. Microsoft bietet seit dem 12. Juni 2023 ein Sicherheitsupdate an, Microsoft-Kunden, die das Update verpasst haben, sollten es jetzt installieren.

Im neuesten CVE-Update für November 2023 wurden mehrere kritische Schwachstellen und Sicherheitsbedrohungen aufgedeckt. Das Internetworking Operating System (IOS) XE Software Web User Interface (UI) von Cisco wurde durch zwei aktiv ausgenutzte kritische Schwachstellen verwundbar, über die Angreifer beliebigen Code aus der Ferne ausführen können. Das Befehlszeilen-Tool Curl, das auf verschiedenen Plattformen weit verbreitet ist, wies eine schwerwiegende Schwachstelle auf, die zur Ausführung von beliebigem Code, während SOCKS5-Proxy-Handshakes führen könnte. VMware drängt auf sofortige Updates für seinen vCenter Server aufgrund einer kritischen Sicherheitslücke, die möglicherweise zur Ausführung von Remote-Code führt. Mehrere Schwachstellen wurden in Versionen von PHP 8 gefunden; eine davon ist eine besonders kritische Deserialisierungsschwachstelle im PHAR-Extraktionsprozess. Außerdem wurde SolarWinds Access Rights Manager (ARM) für mehrere kritische Schwachstellen anfällig, was die Dringlichkeit eines Updates auf Version 2023.2.1 unterstreicht. Schließlich wurden zwei F5 BIG-IP-Schwachstellen entdeckt, die aktiv ausgenutzt werden, wobei Optionen zur Schadensbegrenzung zur Verfügung stehen, die im Folgenden beschrieben werden.

Cisco IOS XE: Mehrere kritische Sicherheitslücken

Zwei aktiv ausgenutzte kritische CVSS-10-Schwachstellen wurden in Ciscos Internetworking Operating System (IOS) XE-Software Web-User-Interface (UI) entdeckt; CVE-2023-20198 und CVE-2023-20273. Zusammen ermöglichen sie es einem Angreifer, beliebigen Code als Systembenutzer aus der Ferne auszuführen. Es wird geschätzt, dass in den letzten Wochen Zehntausende von verwundbaren Geräten ausgenutzt worden sind. Greenbone hat sowohl eine Erkennung für das verwundbare Produkt nach Version [1] als auch eine weitere zur Erkennung der implantierten Konfigurationsdatei BadCandy [2] hinzugefügt. Beides sind VTs, die in Greenbone’s Enterprise Schwachstellen-Feed enthalten sind.

Cisco IOS wurde in den 1980er Jahren entwickelt und als integriertes Betriebssystem in den Routern des Netzwerkriesen eingesetzt. Heute, im Jahr 2023, ist IOS XE eine führende Softwarelösung für Unternehmensnetzwerke, die Cisco-Plattformen für Zugang, Verteilung, Core, Wireless und WAN unterstützt. IOS XE ist Linux-basiert und speziell für Netzwerk- und IT-Infrastruktur, Routing, Switching, Netzwerksicherheit und Management optimiert. Cisco-Geräte sind in der globalen IT-Infrastruktur allgegenwärtig und werden von Organisationen aller Größenordnungen eingesetzt, darunter Großunternehmen, Regierungsbehörden, kritische Infrastrukturen und Bildungseinrichtungen.

Hier sehen Sie, wie die beiden kürzlich bekannt gewordenen CVEs funktionieren:

  • CVE-2023-20198 (CVSS 10 kritisch): Ermöglicht einem entfernten, nicht authentifizierten Angreifer die Erstellung eines Kontos [T1136] auf einem betroffenen System mit Zugriff auf die Privilegstufe 15 (auch bekannt als privilegierte EXEC-Stufe) [CWE-269]. Die Privilegstufe 15 ist die höchste Zugriffsstufe auf Cisco IOS. Der Angreifer kann dann dieses Konto verwenden, um die Kontrolle über das betroffene System zu erlangen.
  • CVE-2023-20273 (CVSS 7.2 hoch): Ein normaler Benutzer, der sich bei der IOS XE-Web-UI anmeldet, kann Befehle einschleusen [CWE-77], die anschließend auf dem zugrunde liegenden System mit den Systemrechten (root) ausgeführt werden. Diese Sicherheitslücke wird durch eine unzureichende Eingabevalidierung verursacht [CWE-20]. CVE steht auch im Zusammenhang mit einem Lua-basierten Web-Shell-Implantat [T1505.003] mit der Bezeichnung „Bad Candy“. Bad Candy besteht aus einer Nginx-Konfigurationsdatei namens ‚cisco_service.conf´, die einen URI-Pfad für die Interaktion mit dem Web-Shell-Implantat einrichtet, aber einen Neustart des Webservers erfordert.

Cisco hat Software-Updates zur Abschwächung beider CVEs in IOS-XE-Softwareversionen veröffentlicht, darunter die Versionen 17.9, 17.6, 17.3 und 16.12 sowie verfügbare Software-Maintenance-Upgrades (SMUs). IT-Sicherheitsteams wird dringend empfohlen, diese zu installieren. Cisco hat außerdem zugehörige Indikatoren für die Kompromittierung (Indicators of Compromise, IoC), Snort-Regeln für die Erkennung aktiver Angriffe und eine Seite mit technischen FAQs für das TAC veröffentlicht. Die Deaktivierung der Webbenutzeroberfläche verhindert die Ausnutzung dieser Schwachstellen und kann eine geeignete Abhilfemaßnahme sein, bis die betroffenen Geräte aufgerüstet werden können. Öffentlich veröffentlichter Proof-of-Concept (PoC)-Code [1][2] und ein Metasploit-Modul erhöhen die Dringlichkeit, die verfügbaren Sicherheitsupdates anzuwenden, zusätzlich.

Kritische Sicherheitslücke im Tool Curl

Eine weit verbreitete Sicherheitslücke wurde in dem beliebten Befehlszeilen-Tool Curl, Libcurl, und den vielen Softwareanwendungen, die diese auf einer Vielzahl von Plattformen nutzen, entdeckt. Die als CVE-2023-38545 (CVSS 9.8 Critical) eingestufte Schwachstelle führt dazu, dass Curl einen Heap-basierten Puffer [CWE-122] im SOCKS5-Proxy-Handshake überlaufen lässt, was zur Ausführung von beliebigem Code führen kann [T1203]. Der Community-Feed von Greenbone enthält mehrere NVTs [1], um viele der betroffenen Softwareprodukte zu erkennen, und wird weitere Erkennungen für CVE-2023-38545 hinzufügen, sobald weitere verwundbare Produkte identifiziert werden.

CVE-2023-38545 ist eine clientseitige Sicherheitslücke, die ausgenutzt werden kann, wenn ein Hostname an den SOCKS5-Proxy übergeben wird, der die maximale Länge von 255 Byte überschreitet. Wenn ein übermäßig langer Hostname übergeben wird, sollte Curl die lokale Namensauflösung verwenden und den Namen nur an die aufgelöste Adresse weitergeben. Aufgrund der Sicherheitslücke CVE-2023-38545 kann Curl jedoch den übermäßig langen Hostnamen in den Zielpuffer kopieren, anstatt nur die aufgelöste Adresse dorthin zu kopieren. Da der Zielpuffer ein heap-basierter Puffer ist und der Hostname aus der URL stammt, führt dies zu einem heap-basierten Überlauf.

Der Schweregrad der Sicherheitslücke wird als hoch eingestuft, da sie aus der Ferne ausgenutzt werden kann und eine große Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) des zugrunde liegenden Systems hat. Die SOCKS5-Proxy-Methode ist nicht der Standard-Verbindungsmodus und muss explizit angegeben werden. Außerdem muss ein Angreifer einen SOCKS5-Handshake herbeiführen, der langsam genug ist, um den Fehler auszulösen, damit es zu einem Überlauf kommt. Alle Versionen von curl zwischen v7.69.0 (veröffentlicht am 4. März 2020) bis v8.3.0 sind betroffen. Der verwundbare Code wurde in v8.4.0 Commit 4a4b63daaa gepatcht.

VMware vCenter Server: Mehrere Sicherheitslücken

CVE-2023-34048 ist eine schwerwiegende Sicherheitslücke, die es einem böswilligen Akteur mit Netzwerkzugriff auf vCenter-Server ermöglichen könnte, einen Out-of-Bounds-Schreibvorgang [CWE-787] auszulösen, der möglicherweise zur Remotecodeausführung (RCE) führt. Die betroffene Software umfasst VMware vCenter Server Versionen 6.5, 6.7, 7.0 und 8.0. VMware hat einen Sicherheitshinweis zu beiden Schwachstellen herausgegeben, der besagt, dass es außer der Installation der bereitgestellten Updates keine bekannten Abhilfemaßnahmen gibt. Beide Schwachstellen können über den Greenbone Enterprise Vulnerability Feed [1] entdeckt werden. Der Patch für vCenter Server behebt auch CVE-2023-34056, eine Sicherheitslücke mittleren Schweregrades, die durch unsachgemäße Autorisierung entstanden ist [CWE-285].

Obwohl es keine Berichte gibt, dass CVE-2023-34048 aktiv in freier Wildbahn ausgenutzt wird, haben Angreifer bewiesen, dass sie Bedrohungsinformationen schnell in Exploit-Code umwandeln können. Untersuchungen der Bedrohungsforschungsgruppe Unit 42 von Palo Alto Networks zeigen, dass ein Exploit im Durchschnitt 37 Tage nach der Veröffentlichung eines Sicherheitspatches veröffentlicht wird.

Hier finden Sie einige kurze Details zu beiden CVEs:

  • CVE-2023-34048 (CVSS 9.8 Critical): vCenter Server enthält eine Schwachstelle in der Implementierung des DCERPC-Protokolls, die das Schreiben außerhalb der Grenzen erlaubt [CWE-787]. Ein böswilliger Akteur mit Netzwerkzugang zum vCenter-Server kann diese Schwachstelle ausnutzen, um Remotecodeausführung (RCE) zu erreichen. Das Distributed Computing Environment Remote Procedure Call (DCERPC)-Protokoll erleichtert Remote Procedure Calls (RPC) in verteilten Computerumgebungen und ermöglicht Anwendungen die Kommunikation und den Aufruf von Funktionen über vernetzte Systeme hinweg.
  • CVE-2023-34056 (CVSS 4.3 Medium): vCenter Server enthält eine Sicherheitslücke, die eine teilweise Offenlegung von Informationen ermöglicht. Ein böswilliger Akteur mit nicht-administrativen Rechten für vCenter-Server kann dieses Problem ausnutzen, um auf nicht autorisierte Daten zuzugreifen.

Mehrere Sicherheitslücken in PHP 8 entdeckt

Es wurden mehrere Sicherheitslücken in PHP 8.0.X vor 8.0.28, 8.1.X vor 8.1.16 und 8.2.X vor 8.2.3 entdeckt. Obwohl die Gruppe der Schwachstellen eine kritische und zwei hochgradig gefährliche Schwachstellen enthält, erfordern diese Schwachstellen einen bestimmten Kontext, um ausgenutzt werden zu können: Entweder die Deserialisierung von PHP-Anwendungen mit PHAR oder die Verwendung der zentralen Pfadauflösungsfunktionen von PHP bei nicht vertrauenswürdigen Eingaben. Der VT-Feed von Greenbone für Unternehmen enthält mehrere Tests zur Erkennung dieser Schwachstellen auf verschiedenen Plattformen.

Hier finden Sie kurze Beschreibungen der schwerwiegendsten aktuellen PHP-8-Sicherheitslücken:

  • CVE-2023-3824 (CVSS 9.8 kritisch): Eine PHAR-Datei (kurz für PHP-Archive) ist ein komprimiertes Paketierungsformat in PHP, das dazu dient, komplette PHP-Anwendungen in einer einzigen Archivdatei zu verteilen und bereitzustellen. Beim Lesen von Verzeichniseinträgen während des Ladevorgangs des PHAR-Archivs kann eine unzureichende Längenüberprüfung zu einem Stapelpufferüberlauf [CWE-121] führen, was eine Beschädigung des Speichers oder eine Remotecodeausführung (RCE) zur Folge haben kann.
  • CVE-2023-0568 (CVSS 8.1 hoch): Die zentrale Pfadauflösungsfunktion von PHP weist einen Puffer zu, der ein Byte zu klein ist. Bei der Auflösung von Pfaden, deren Länge nahe an der Systemeinstellung ‚MAXPATHLEN´ liegt, kann dies dazu führen, dass das Byte nach dem zugewiesenen Puffer mit dem Wert NULL überschrieben wird, was zu unbefugtem Datenzugriff oder -änderung führen kann. Die zentrale Pfadauflösung von PHP wird für die Funktionen ‚realpath()´ und ‚dirname()´, beim Einbinden anderer Dateien mit Hilfe von ‚include()‘, ‚include_once()´, ‚require()‘ und ‚require_once()‘ sowie bei der Auflösung von PHPs „magischen“ Konstanten“ wie ‚__FILE__‘ und ‚__DIR__´ verwendet.
  • CVE-2023-0567 (CVSS 6.2 Medium): Die Funktion ‚password_verify()´ von PHP kann einige ungültige Blow Fish-Hashes als gültig akzeptieren. Wenn ein solcher ungültiger Hash jemals in der Passwortdatenbank landet, kann dies dazu führen, dass eine Anwendung jedes Passwort für diesen Eintrag als gültig akzeptiert [CWE-287]. Bemerkenswert ist, dass diese Sicherheitslücke von NIST (CVSS 6.2 Medium) und der PHP-Group CNA (CVSS 7.7 High) unterschiedlich bewertet Der Unterschied besteht darin, dass die PHP-Group CNA CVE-2023-0567 als hohes Risiko für die Vertraulichkeit einstuft, während NIST dies nicht tut. CNAs sind eine Gruppe von unabhängigen Anbietern, Forschern, Open-Source-Softwareentwicklern, CERT, gehosteten Diensten und Bug Bounty-Organisationen, die vom CVE-Programm autorisiert sind, CVE-IDs zuzuweisen und CVE-Einträge innerhalb ihres eigenen spezifischen Abdeckungsbereichs zu veröffentlichen.

SolarWinds Access Rights Manager (ARM): Mehrere kritische Sicherheitslücken

SolarWinds Access Rights Manager (ARM) vor Version 2023.2.1 ist für 8 verschiedene Schwachstellen anfällig; eine kritische und zwei weitere hochgefährliche Schwachstellen (CVE-2023-35182, CVE-2023-35185 und CVE-2023-35187). Dazu gehören die authentifizierte und unauthentifizierte Privilegienerweiterung [CWE-269], Directory Traversal [CWE-22] und Remote Code Execution (RCE) auf der privilegiertesten Ebene „SYSTEM“. Greebone’s Enterprise-Schwachstellen-Feed umfasst sowohl die lokale Sicherheitsprüfung (LSC) [1] als auch die HTTP-Fernerkennung [2].

SolarWinds ARM ist eine Software für die Zugriffskontrolle in Unternehmen für Windows Active Directory (AD)-Netzwerke und andere Ressourcen wie Windows-File-Server, Microsoft-Exchange-Dienste und Microsoft SharePoint sowie für Virtualisierungsumgebungen, Cloud-Dienste, NAS-Geräte und mehr. Die weite Verbreitung von ARM und anderen SolarWinds-Softwareprodukten bedeutet, dass ihre Schwachstellen ein hohes Potenzial haben, sich auf eine Vielzahl von großen Organisationen einschließlich kritischer Infrastrukturen auszuwirken.

Diese und weitere aktuelle Schwachstellen werden in den Sicherheitshinweisen von SolarWinds bekannt-gegeben. Obwohl keine Berichte über eine aktive Ausnutzung veröffentlicht wurden, wird eine Abschwächung dringend empfohlen und ist durch die Installation von SolarWinds ARM-Version 2023.2.1 verfügbar.

F5 BIG-IP: Unauthentifizierte RCE- und authentifizierte SQL-Injection-Schwachstellen

Zwei RCE-Schwachstellen in F5 BIG-IP, CVE-2023-46747 (CVSS 9.8 Critical) und CVE-2023-46748 (CVSS 8.8 High), wurden von der CISA kurz nach der Veröffentlichung des PoC-Codes für CVE-2023-46747 als aktiv ausgenutzt beobachtet. Inzwischen wurde auch ein Metasploit-Exploit-Modul veröffentlicht. F5 BIG-IP ist eine Familie von Hardware- und Software-IT-Sicherheitsprodukten, die sicherstellen, dass Anwendungen stets sicher sind und so funktionieren, wie sie sollen. Die Plattform wird von F5 Networks hergestellt und konzentriert sich auf Anwendungsdienste, die von Zugang und Bereitstellung bis zur Sicherheit reichen. Greenbone hat die Erkennung für beide CVEs [1][2] hinzugefügt.

CVE-2023-46747 ist eine Remote-Authentifizierungsumgehung [CWE-288], während CVE-2023-46748 eine Remote-SQL-Injection-Schwachstelle [CWE-89] ist, die nur von einem authentifizierten Benutzer ausgenutzt werden kann. Bei den betroffenen Produkten handelt es sich um die zweite Nebenversion (X.1) für die Hauptversionen 14-17 von BIG-IP Advanced Firewall Manager (AFM) und F5 Networks BIG-IP Application Security Manager (ASM)

Wenn Sie eine betroffene Version verwenden, können Sie diese Sicherheitslücke durch die Installation der vom Hersteller bereitgestellten HOTFIX-Updates schließen. Der Begriff „Hotfix“ bedeutet, dass der Patch auf ein laufendes und betriebsbereites System angewendet werden kann, ohne dass ein Herunterfahren oder Neustart erforderlich ist. Wenn eine Aktualisierung nicht möglich ist, kann CVE-2023-46747 durch das Herunterladen und Ausführen eines Bash-Skripts entschärft werden, das das Attribut ‚requiredSecret´ in der Tomcat-Konfiguration hinzufügt oder aktualisiert, das für die Authentifizierung zwischen Apache und Tomcat verwendet wird. CVE-2023-46748 kann entschärft werden, indem der Zugriff auf das Konfigurationsprogramm eingeschränkt wird, um nur vertrauenswürdige Netzwerke oder Geräte zuzulassen, und indem sichergestellt wird, dass nur vertrauenswürdige Benutzerkonten existieren, wodurch die Angriffsfläche begrenzt wird.

Für gleich zwei kritische Sicherheitslücken in verbreiteter Enterprise-Software haben unsere Entwickler Schwachstellentests bereitgestellt. Innerhalb kürzester Zeit konnten so Tests auf CVE 2023-22518 und CVE 2023-46747 integriert und die Kunden des Greenbone Enterprise-Feed geschützt werden.

Fehlerhaftes Login bei Atlassian Confluence und Jira

Die Wissensmanagementtools Confluence und Jira des australischen Herstellers Atlassian sind von einer gravierenden Sicherheitslücke mit 9,8 von 10 Punkten auf der CERT-Skala betroffen. Seit dem 8. November wird die Schwachstelle CVE 2023-22518 laut Medienberichten von Angreifern aktiv ausgenutzt, die sich unberechtigten Zugriff auf Firmendaten verschaffen.

Der „Fehler in der Authentifizierung“ betrifft laut Hersteller alle Versionen von Confluence Data Center und Server, nicht aber die Cloud-Variante bei Atlassian selbst. Für alle anderen, auch Anwender von Jira, vor allem aber alle öffentlich zugänglichen Confluence-Server bestehe „großes Risiko und der Zwang zum sofortigen Handeln“, schreibt Atlassian.

Unsere Entwickler reagierten schnell und wir konnten unseren Kunden entsprechende Tests bereitstellen, bevor Ransomware-Angriffe erfolgreich sein konnten. Kunden des Greenbone Enterprise Feeds wurden gewarnt und an einen Patch via Update erinnert.

Remote Code Execution: F5 BIG-IP erlaubt „Request Smuggling“

Ebenfalls Ende Oktober fanden Sicherheitsforscher der Praetorian Labs eine gravierende Lücke (CVE-2023-46747) in den Produkten des Application-Security-Experten F5. Die Lösungen des amerikanischen Herstellers sollen eigentlich umfangreiche Netzwerke und Softwarelandschaften beschützen. Vor allem in großen Unternehmen kommt die 1997 als Load Balancer gestartete Software zum Einsatz.

Angreifer können jedoch, so die Experten, aus der Ferne Code auf den BIG-IP-Servern ausführen lassen, indem sie über manipulierte URLs beliebige Systembefehle in die Administrationswerkzeuge schleusen. Details finden sich bei Praetorian, Patches sind vorhanden. Betroffen ist eine lange Liste von BIG-IP-Produkten der Versionen 13, 14, 15, 16 und 17, sowohl in Hard- als auch in Software.

Auch hier haben wir schnell reagiert und noch am gleichen Tag in unseren Schwachstellenscannern Tests integriert, die die BIG-IP-Installationen auf verwundbare Versionen testen und gegebenenfalls auf die bei F5 gelisteten Patches hinweisen.

Unser Schwachstellenmanagement, die Greenbone Enterprise Appliances, bieten besten Schutz.

Die professionelle Verwaltung von Schwachstellen ist ein unerlässlicher Bestandteil der IT-Sicherheit. Sie ermöglicht die frühzeitige Identifizierung von Risiken und liefert wertvolle Handlungsanweisungen für ihre Beseitigung.

Der Greenbone Enterprise Feed wird täglich aktualisiert, um stets neue Schwachstellen aufdecken zu können. Deshalb empfehlen wir eine regelmäßige Aktualisierung und das Durchführen von Scans für alle Ihre Systeme. Lesen Sie dazu auch diesen Artikel über IT-Sicherheit und über die Zeitleiste gängiger Angriffsvektoren.