Der kalifornische Hersteller Fortinet, bekannt für sichere Firewall-, VPN- und Intrusion-Detection-Geräte steht seit Jahren im Fokus der Öffentlichkeit aufgrund schwerwiegender Sicherheitsprobleme. Auch im Februar 2024 musste der Cybersecurity-Experte mehrere höchst kritische Sicherheitslöcher bekanntgeben. Wer sich in solchen Fällen proaktiv gegen Angriffe schützen will, muss sich informieren und zeitnah Patches einspielen.

Produkte wie Greenbones Enterprise Appliances spielen dabei eine zentrale Rolle und helfen den Admins. Für alle in diesem Blogpost genannten Schwachstellen gibt es Tests im Enterprise Feed: Aktive Verfahren prüfen, ob die Lücke besteht und ein Exploit möglich ist, aber auch der Erfolg des Patch Managements lässt sich mit Versionstests unter die Lupe nehmen.

87.000 Passwörter ausgelesen: Fortinet hat die „Schwachstelle des Jahres 2022“

2019 erlaubte es CVE-2018-13379 (CVSS 9.8), über 87.000 Passwörter für das Fortinet-VPN aus den Geräten auszulesen. In den folgenden Jahren wurde diese Schwachstelle so erfolgreich ausgenutzt, dass sie 2022 den fragwürdigen Titel der „am meisten ausgenutzten Schwachstelle 2022“ verliehen bekam. Auch die US-Behörden reagierten und mahnten bei den Anwendern mehr Problembewusstsein an. Aber dass es überhaupt so weit kommen konnte, lag für die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) auch daran, dass viele Kunden nicht zeitnah Patches einspielten. Das, so die Agencies, hätte viele der erfolgreichen Angriffe verhindert.

2023: Unerwünschte Gäste in kritischen Netzen

Dass die Fortinet-Geräte meist in sicherheitskritischen Bereichen eingesetzt werden, macht die Situation noch kritischer: Ungepatcht und mit gravierenden Schwachstellen bestückt, rückten solche Devices in den vergangenen Jahren immer mehr in den Fokus von Angreifern, insbesondere von staatlichen Akteuren. So hatten chinesische Hackergruppen 2023 erfolgreich Netzwerke des niederländischen Militärs infiltriert – über eine bereits ausgebesserte Schwachstelle im FortiOS SSL-VPN vom Dezember 2022 (CVE-2022-42475, CVSS 9.3).

Auch wenn das Netzwerk dem Military Intelligence and Security Service (MIVD) zufolge nur für Forschung und Entwicklung diente, machten die Anfang Februar veröffentlichten Angriffe deutlich, wie einfach es für Angreifer ist, in ansonsten hochgeschützte Netzwerke einzudringen. Die entsprechende Backdoor „Coathanger“ erlaubt es Angreifern dabei sogar, dauerhaften Zugang auf einmal gehackten Geräten zu erreichen, alles dank der Schwachstelle 2022-42475, die das Ausführen beliebigen Codes erlaubt.

Februar 2024: Warnungen vor weiteren Lücken, maximaler Schweregrad

Damit leider nicht genug: Ebenfalls Anfang Februar 2024 musste Fortinet erneut eine gravierende Schwachstelle einräumen: CVE-2024-21762 (CVSS score: 9.6) erlaubt es unauthorisierten Angreifern, über speziell angepasste Requests beliebigen Code auszuführen. Betroffen sind eine lange Liste von Versionen des Fortinet-Betriebssystems FortiOS und des FortiProxy. Der Hersteller rät zum Upgrade oder zum Deaktivieren des SSL-VPNs und warnt sowohl vor der Schwere der Schwachstelle als auch davor, dass sie bereits massiv von Angreifern ausgenutzt werde. Ebenso schlimm sind auch CVE-2024-23108 und CVE-2024-23109, nur wenige Tage später veröffentlicht. Auch sie erlauben es nicht authentifizierten Angreifern, beliebigen Code auszuführen.

Doch ob das so stimmt, ist fraglich: Dass zwei CVEs vom gleichen Hersteller am gleichen Tag auf der Skala der Schwere der Bedrohung eine 10.0 erhalten haben, dürfte einzigartig sein – ebenso wie die verwirrende, wenig Vertrauen erweckende Kommunikation des Herstellers oder die gleichzeitig in Massenmedien berichtete DDOS-Angriffsvariante via Zahnbürste, von denen ein Fortinet-Mitarbeiter erzählte.

Fatale Kombination – Schwachstellenmanagement kann helfen

Wie immer veröffentlichte Fortinet zeitnah Patches, die die Kunden aber auch installieren müssen. Wie katastrophal die Kombination aus schweren Sicherheitslücken, mangelnder Awareness und dem Ausbleiben von Patches wirken kann, zeigte einige Tage später die US-Regierung in einem weiteren Advisory von CISA, NSA und FBI: Volt Typhoon, eine staatliche chinesische Hackergruppe, habe sich auch über derlei Schwachstellen schon seit vielen Jahren dauerhaft in der kritischen Infrastruktur von US-Behörden eingenistet – die damit verbundenen Gefahren dürften nicht unterschätzt werden, so die Warnung.

Zu der dort geforderten „Security by Design“ gehört auch das konstante Überwachen der eigenen Server, Rechner und Installationen mit Schwachstellentests wie denen der Greenbone Enterprise Appliances. Wer seine Netzwerke (nicht nur die Fortinet-Geräte) permanent mit den Vulnerability Tests eines modernen Schwachstellenscanners überwacht, kann seine Administratoren schnellstens informieren, wenn bekannte CVEs in einer Infrastruktur auf Patches warten – und verringert damit die Angriffsfläche.

Im Februar 2024 hat Microsoft eine Warnung für insgesamt 73 Sicherheitslücken veröffentlicht – darunter 6 kritische Probleme, 52 Schwachstellen mit hohem und 15 mit mittlerem Schweregrad. Bei 30 davon handelt es sich um Remote Code Execution [T1210] und bei 16 um die Ausnutzung von Privilegien [TA0004]. Aus dieser Gruppe stechen drei CVEs hervor, die aktiv ausgenutzt werden: CVE-2024-21410 (CVSS 9.8 Critical), CVE-2024-21412 (CVSS 8.1 High) und CVE-2024-21351 (CVSS 7.6 High).

15 der 73 Schwachstellen betrafen den Microsoft WDAC OLE DB-Provider für SQL, 8 wurden in Microsoft Dynamics gemeldet, einem Cloud-Dienst zur Strukturierung von Unternehmensprozessen, der mit Microsoft 365 integriert ist. Für den Windows-Kernel wurden 6 CVEs gemeldet und gepatcht. Die vollständige Liste der Sicherheitslücken steht im offiziellen Microsoft-Bericht für Februar 2024.

Aktiv ausgenutzt: CVE-2024-21410 in Exchange

Bei der Sicherheitslücke CVE-2024-21410 (CVSS 9.8 Critical) handelt es sich um einen Authentifizierungs-Wiederholungsangriff [CWE-294] auf Microsoft Exchange Server, der das Net-NTLMv2-Protokoll verwendet. Die Schwachstelle ermöglicht es Angreifern, die Net-NTLMv2-Anmeldeinformationen eines Opfers abzufangen, um die Privilegien auf dem System für einen nicht authentifizierten Zugriff zu erweitern. Da CVE-2024-21410 eine Pass-the-Hash [CWE-836]-Schwachstelle ist, gilt sie als wenig komplex und kann von jedem Angreifer mit gestohlenen Anmeldeinformationen ausgenutzt werden. Daher stellt CVE-2024-21410 ein hohes Risiko dar für die Vertraulichkeit und Integrität der internen E-Mail-Kommunikation sowie für die in einer Exchange Server-Instanz enthaltenen Daten wie Kontaktlisten, gemeinsame Ressourcen oder Zeitpläne.

CVE-2024-21410 wird in der KEV-Datenbank (Known Exploited Vulnerabilities) der CISA als aktiv ausgenutzt gemeldet. Obwohl die jüngsten Angriffe nicht offiziell zugeordnet werden können, haben Insider festgestellt, dass der von Russland unterstützte Akteur APT28 aktiv NTLM ausnutzt und für Angriffstechniken wie Access Token Manipulation [T1134] und Token Impersonation/Theft [T1134.001] bekannt ist, um unbefugten Zugang zu E-Mail-Servern zu erhalten.

28.500 Microsoft Exchange Server wurden als verwundbar identifiziert, wobei ein Bericht der Security-Experten von Shadowserver sogar schätzt, dass bis zu 97.000 IPs potenziell betroffen sind. Greenbone bietet sowohl einen lokalen Sicherheitscheck (LSC) als auch Remote-Versionsprüfungen zur Identifizierung von Microsoft Exchange-Servern, die von CVE-2024-21410 betroffen sind.

So wird CVE-2024-21410 ausgenutzt:

CVE-2024-21410 (CVSS 9.8 Kritisch): Ein Angreifer könnte einen Net-NTLMv2-Client wie Outlook von einem kompromittierten Endpunkt aus mit einem Credential-Leak-Exploit über einen kompromittierte Position im Netzwerk mit einem Tool wie Responder oder über eine AiTM-Position (Adversary in the Middle) angreifen, indem er unverschlüsselten Netzwerkverkehr abfängt. Die erhaltenen Anmeldeinformationen können dann an den Exchange Server weitergegeben werden, um die Rechte des Opfers zu erlangen und um in seinem Namen Aktionen auf dem Exchange-Server durchzuführen. Für CVE-2024-21410 muss der erfasste Net-NTLMv2-Hash nicht geknackt werden, da er direkt wiedergegeben werden kann.

Was ist das NTLM-Authentifizierungsprotokoll?

Das Authentifizierungsprotokoll NTLM (NT LAN Manager) ist ein von Microsoft entwickeltes proprietäres Protokoll, das auf das 1993 veröffentlichte Betriebssystem Windows NT zurückgeht. NTLM wurde als Standard-Authentifizierungsprotokoll in Windows 2000 durch Kerberos ersetzt. Die Protokolle Net-NTLMv1 und Net-NTLMv2 verwenden das Basispasswort des Benutzers, das als Hash (NTHash genannt) in einem Challenge-Response-Authentifizierungs-Handshake gespeichert wird, um einen autorisierten Benutzer zu verifizieren. Eine detaillierte Beschreibung der Algorithmen, die in Net-NTLMv1 und Net-NTLMv2 verwendet werden, ist auf der Medium-Plattform zu finden.

Net-NTLMv2 (NT LAN Manager Version 2) ist eine Verbesserung des älteren NTLM-Protokolls und bietet bessere Sicherheitsfunktionen gegen bestimmte Arten von Angriffen. Net-NTLMv2 wird immer noch von verschiedenen Microsoft-Produkten und -Diensten in Windows-basierten Netzwerken unterstützt. Aufgrund des Potenzials für einfache Replay-Angriffe mit gestohlenen Anmeldeinformationen [CWE-294] wurde NTLM jedoch bereits direkt eine CVE (CVE-2021-31958) zugewiesen, und seine Verwendung stellt ein ernsthaftes Sicherheitsrisiko über unbefugten Zugriff dar. In Anbetracht der Tatsache, dass Microsoft die Sicherheitsrisiken von NTLM im Jahr 2021 offiziell anerkannt hat, sollte es allgemein als anfälliges Protokoll betrachtet und durch eine sicherere Authentifizierung mit öffentlichen Schlüsseln ersetzt werden, wo immer es verwendet wird.

Zu den wichtigsten Produkten, die die Verwendung von Net-NTLMv2 noch unterstützen, gehören alle Windows-Betriebssysteme, Active Directory (AD), Microsoft Exchange Server, Microsoft SQL Server, Internet Information Services (IIS), SMB-Protokoll, Remote Desktop Services und andere Anwendungen von Drittanbietern.

Behandlung von CVE-2024-21410

Das kumulative Update 14 (CU14) für Exchange Server 2019 wurde von Microsoft veröffentlicht (2024 H1) und ermöglicht es Betreibern der betroffenen Versionen, ihr gefährdetes Produkt zu patchen. Das CU14-Update aktiviert standardmäßig den erweiterten Schutz für die Authentifizierung (EPA), der sonst manuell eingerichtet werden müsste.

Falls die Installation von CU14 nicht möglich ist oder für Administratoren von Exchange Server 2016, können die Exchange Extended Protection-Dokumentation und das ExchangeExtendedProtectionManagement.ps1-Skript verwendet werden, um EPA für Exchange Server zu aktivieren. Microsoft verweist auch auf eigene Workarounds zur Abschwächung von Pass-the-Hash-Angriffen in Bezug auf die Abschwächung des Risikos von CVE-2024-21410.

Basis für weitere Exploits: Von CVE-2024-21410 auf CVE-2024-21378

Angreifer, die sich unbefugten Zugang zu einem anfälligen Microsoft Exchange-Server verschaffen, können ihre Exploit-Kette fortsetzen, indem sie eine andere Schwachstelle ausnutzen, die in der Februar-2024-Gruppe offengelegt wurde: CVE-2024-21378 (CVSS 8.0 High), um starke Auswirkungen auf Endpunkte zu erzielen, auf denen Microsoft Outlook 2016-Client oder Microsoft Office 365 (2016 Click-to-Run) läuft. CVE-2024-21378 ist eine Schwachstelle für Remote Code Execution (RCE), die eine Benutzerinteraktion erfordert. Eine Voraussetzung für die Ausnutzung von CVE-2024-21378 ist ein authentifizierter Zugriff auf einen Microsoft Exchange-Server oder einen anderen Microsoft LAN-Dienst, der es einem Angreifer ermöglicht, Benutzer auf demselben Domain-Controller durch die Bereitstellung von Schadcode zu kompromittieren. Darüber hinaus kann CVE-2024-21378 einfach durch eine Vorschau des Codes ausgenutzt werden.

Greenbone kann Systeme, die von CVE-2024-21378 betroffen sind, mit lokalen Sicherheits-Checks für Microsoft Outlook 2016 und Microsoft Office 365 (2016 Click-to-Run) identifizieren.

CVE-2024-21351: Windows SmartScreen

CVE-2024-21351 (CVSS 7.6 High) ist eine RCE-Schwachstelle im Security-Feature Windows SmartScreen. Die Ausnutzung von CVE-2024-21351 könnte sensible Daten offenlegen und die Integrität und Verfügbarkeit von Dateien gefährden, erfordert aber menschliche Interaktion. Das Opfer muss klicken, um eine vom Angreifer bereitgestellte bösartige Datei zu öffnen. CVE-2024-21351 wurde am 13. Februar 2024 zusammen mit CVE-2024-21412 in den CISA-KEV-Katalog aufgenommen.

CVE-2024-21412: Internet Shortcut Files

CVE-2024-21412 (CVSS 8.1 High) ist eine Schwachstelle im Security-Feature der Internet Shortcut Files, die es einem nicht authentifizierten Angreifer ermöglicht, Dateien zu verbreiten, mit denen sichtbare Sicherheitsmaßnahmen umgangen werden können. Der Angreifer kann einen Benutzer nicht dazu zwingen, auf Inhalte unter seiner Kontrolle zuzugreifen, er muss den Benutzer aber nur dazu bringen, aktiv auf den Dateilink zu klicken, um den Angriff zu starten.

Behandlung von CVE-2024-21351 und CVE-2024-21412

CVE-2024-21351 und CVE-2024-21412 können durch die Installation von Microsofts kumulativem Patch vom Februar 2024 unter Kontrolle gebracht werden. Bekannt als „Patch Tuesday“, veröffentlicht Microsoft kumulative Patches am zweiten Dienstag eines jeden Monats. Da die Unterstützung von Microsoft für Windows 7 abgelaufen ist, werden keine Patches zur Behebung dieser Sicherheitslücken mehr veröffentlicht. Zu den betroffenen Versionen von Microsoft Windows, die Patches erhalten werden, gehören:

  • Microsoft Windows Server 2022 & 2019
  • Microsoft Windows 11 Version 21H2, 22H2 & 23H2 für x64-basierte Systeme
  • Microsoft Windows 10 Versionen 1809, 21H2 & 22H2 für 32-bit und x64-basierte Systeme

Sechs schwerwiegende Sicherheitslücken in Atlassian Confluence wurden den letzten Monaten bekannt, die es jetzt für Anwender dringend erfordern, ein Upgrade durchzuführen. Die gefährlichste davon wurde in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (CVE-2023-22527) aufgenommen. Die kürzlich bekannt gewordenen Schwachstellen weisen einen Schweregrad von CVSS 7.5 (hoch) bis 10 (kritisch) auf. Der Greenbone Vulnerability Manager kann alle Schwachstellen mit aktiven Prüfungen und Versionserkennungstests aufdecken, einschließlich der kritischsten, CVE-2023-22527.

CVE-2023-22527 kann von einem Angreifer ausgenutzt werden, um nicht authentifizierten Code via Remote Code Execution (RCE) auszuführen. Zu den betroffenen Produkten gehören Confluence Data Center und Server in den Versionen 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x und 8.5.0 bis 8.5.3 sowie auch die Version 8.4.5, die gemäß der Atlassian Security Bug Fix Policy keine zurückübertragenen Korrekturen mehr erhält. CVE-2023-22527 kann intern über das Jira-Portal von Atlassian (CONFSERVER-93833) und über den öffentlichen Link verfolgt werden. Die Schwachstelle wurde im Rahmen des Bug Bounty-Programms von Atlassian vom Teilnehmer m1sn0w gemeldet.

Die weiteren fünf Schwachstellen können sämtlich remote ohne Benutzeraktion ausgenutzt werden. Ihre Auswirkungen reichen von möglichen DoS-Angriffen (CVE-2023-3635) bis hin zur Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die meisten Schwachstellen, einschließlich mehrerer schwerwiegender RCE-Sicherheitslücken, wurden in Version 7.13.0 von Confluence Data Center und Server eingeführt. Kunden, die die betroffenen Produkte an öffentlich zugänglichen IP-Adressen nutzen, sind dabei einem erhöhten Risiko ausgesetzt.

Confluence erschien bereits neun Mal in CISA KEV-Warnungen. Drei Schwachstellen hat die CISA in den letzten Monaten dem KEV-Katalog hinzugefügt:

  • 24. Januar 2024: CVE-2023-22527
  • 07. November 2023: CVE-2023-22518
  • 05. Dezember 2023: CVE-2023-22515

In einem kürzlich veröffentlichten Bericht, der auf Shodan-Daten basiert, schätzt die Forschungsgruppe VulnCheck, dass mehr als 235.000 Confluence-Honeypots mit Internetanschluss an öffentlich zugänglichen IP-Adressen existieren, während die tatsächliche Anzahl der Confluence-Server mit Internetanschluss eher bei 4.000 liegt.

Zusammenfassung der Sicherheitslücken in Atlassian Confluence

Hier finden Sie eine kurze Zusammenfassung aller kürzlich bekannt gewordenen Sicherheitslücken in Atlassian Confluence:

  • CVE-2023-22527 (CVSS 10 kritisch): Eine Template-Injection-Schwachstelle [CWE-284] in älteren Versionen von Confluence Data Center und Server ermöglicht es einem nicht authentifizierten Angreifer, dort einen RCE durchzuführen. Die meisten neueren Versionen von Confluence Data Center und Server sind nicht betroffen. Nach der ersten Offenlegung hat Atlassian den CVSS-Score für CVE-2023-22527 von 9.1 auf den höchstmöglichen Score von 10 angehoben.
  • CVE-2024-21673 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Ressourcen [CWE-284] aus der Ferne freizulegen, um Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity and Availability; CIA) des Systems ohne weitere Aktionen zu beeinträchtigen. Die Schwachstelle wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.
  • CVE-2023-22526 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, beliebigen Code remote auszuführen, um ohne Benutzerinteraktion großen Schaden bei der Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu verursachen.
  • CVE-2024-21672 (CVSS 8.8 Hoch): Ermöglicht es einem authentifizierten Angreifer, aus der Ferne beliebigen Code auszuführen, um ohne Benutzerinteraktion die CIA des Systems stark zu beeinträchtigen. Die Schwachstelle wurde in Version 2.1.0 (veröffentlicht im Dezember 2005) von Confluence Data Center und Server eingeführt, das heißt sie betrifft praktisch alle Versionen.
  • CVE-2023-3635 (CVSS 7.5 Hoch): Eine DoS-Schwachstelle in der Okio-Client-Java-Library, die in Confluence X verwendet wird. GzipSource behandelt keine Ausnahme, die beim Parsen eines fehlerhaften Gzip-Puffers ausgelöst werden könnte, was zu einem Denial of Service des Okio-Clients führen könnte, wenn ein manipuliertes GZIP-Archiv verarbeitet wird, indem die GzipSource-Klasse verwendet wird.
  • CVE-2024-21674 (CVSS 7.5 Hoch): Ermöglicht es einem authentifizierten Angreifer, eingeschränkte Assets [CWE-284] remote offenzulegen, um die Vertraulichkeit ohne Aktionen der User zu beeinträchtigen, hat aber keine Auswirkungen auf Integrität oder Verfügbarkeit. Die Sicherheitslücke wurde in Version 7.13.0 (veröffentlicht im August 2021) von Confluence Data Center und Server eingeführt.

Entschärfung der Sicherheitslücken in Atlassian Confluence

Es sind keine Abhilfen zum Schutz vor diesen Sicherheitslücken bekannt. Die schwerwiegendste, CVE-2023-22527, wirkt sich nur auf ältere Versionen von Confluence Data Center und Server aus. Die allgemeine Empfehlung von Atlassian für alle anderen oben aufgeführten CVEs lautet, die neueste Version von Confluence Data Center und Server herunterzuladen und zu aktualisieren. Sollte dies jedoch nicht möglich sein, gibt Atlassian für jedes CVE eine andere Empfehlung zur Schadensbegrenzung.

Der Hersteller hat auch versionsspezifische Abhilfemaßnahmen für CVE-2024-21673, CVE-2023-22526, CVE-2023-3635 und CVE-2024-21674 beschrieben. Kunden, die nicht auf die neueste Version von Confluence Data Center und Server aktualisieren können, haben die Möglichkeit, auf eine kleinere Version zu aktualisieren, die bereits gepatcht wurde.

  • Kunden, die Confluence Data Center und Server 7.19 verwenden: Aktualisieren Sie auf Version 19.18 oder eine höhere 7.19.x-Version.
  • Kunden, die Confluence Data Center und Server 8.5 verwenden: Aktualisieren Sie auf Version 5.5 oder ein höheres 8.5.x-Release.
  • Kunden, die Confluence Data Center und Server 8.7 verwenden: Upgrade auf Version 7.2 oder ein höheres 8.7.x-Release.

Zusammenfassung

Im Januar 2024 wurde eine kritische Sicherheitslücke mit Auswirkungen auf Atlassian Confluence Data Center und Server bekannt gegeben, die in die Fußstapfen von fünf weiteren kürzlich bekannt gegebenen CVEs mit hoher Auswirkung tritt. Es ist bekannt, dass die kritischste Schwachstelle, CVE-2023-22527, weidlich ausgenutzt wird, sodass die Benutzer der betroffenen Produkte dringend ein Upgrade durchführen müssen. Am stärksten gefährdet sind die öffentlich zugänglichen Instanzen von Confluence mit schätzungsweise 4.000 Instanzen (Stand: 2. Februar 2024).

Eine Reihe von Schwachstellen im Connect Secure VPN von Ivanti wird von Angreifern aktiv ausgenutzt. Sowohl das deutsche BSI als auch die Cybersecurity & Infrastructure Security Agency (CISA) der US-Regierung haben eine Warnung herausgegeben. Die CISA hat sogar eine Notfallanweisung hierzu veröffentlicht, die alle Bundesbehörden der zivilen Exekutive (FCEB) auffordert, sofort Patches zu installieren.

Tausende von öffentlich zugänglichen Ivanti-Systemen weltweit sind gefährdet, viele davon in Deutschland. Die Schwachstellen werden aktiv ausgenutzt. Da die Geräte von Ivanti schon vor mehreren Jahren in die Schwachstellentests von Greenbone im Enterprise Feed aufgenommen wurden, konnten wir unsere Kunden bereits am 10. Januar warnen und haben kontinuierlich Tests für die neuesten Schwachstellen erstellt. Dennoch müssen Ivanti-Kunden wachsam sein und Maßnahmen ergreifen – die Patches von Ivanti erfordern ein Zurücksetzen der Geräte auf den Auslieferungszustand.

Remote Code Execution und Authentification Bypass

Im Dezember hatte der amerikanische Sicherheitsexperte Volexity zwei schwerwiegende Sicherheitslücken (CVE-2023-46805 und CVE-2024-21887, beide veröffentlicht am 12. Januar 2024) in Geräten mit Ivanti Connect Secure VPN gefunden. Zu den betroffenen Produkten gehören Ivanti Connect Secure (früher Ivanti Pulse Secure), Ivanti Policy Secure und Ivanti Neurons für Zero Trust Access (ZTA).

Die Schwachstellen ermöglichen es Angreifern, Authentifizierungsmechanismen zu umgehen, eigenen Code unbefugt auszuführen und die Kontrolle über Systeme zu übernehmen, heißt es in einer offiziellen Stellungnahme von Ivanti. Der Hersteller rät seinen Kunden dringend, die Workarounds zu implementieren und aktualisiert die Kommunikation laufend in einem Artikel im Forum.

Vor wenigen Tagen wurden nun Patches ausgeliefert, die auch Korrekturen für drei weitere schwerwiegende Sicherheitslücken enthielten, vor denen Ivanti Ende Januar und Anfang Februar warnen musste (CVE-2024-21893, CVE-2024-21888 und CVE-2024-22024). Diese drei Sicherheitsprobleme sind mit einem hohen Risiko behaftet und umfassen serverseitige Request Forgery, Privilege Escalation und eine XXE-Schwachstelle (XML External Entity).

Nach Angaben des Herstellers wurden am 31. Januar Sicherheitspatches für alle Schwachstellen bereitgestellt. Nutzer, die den Februar-Patch angewendet und einen Reset auf die Werkseinstellungen durchgeführt haben, sollten jetzt keinen weiteren benötigen.

Greenbone-Kunden wurden gewarnt, aber Administratoren müssen aktiv werden

Aufgrund der weiten Verbreitung von Ivanti-Geräten in Deutschland bietet Greenbone bereits seit mehreren Jahren Tests für Ivanti Connect Secure an. Während andere verfügbare Tests nur die Versionsnummern der verwendeten Software prüfen, nutzen die Schwachstellenscans von Greenbone erweiterte Funktionen und erreichen so eine deutlich höhere Genauigkeit.

Doch auch wenn unsere Produkte Greenbone-Kunden schneller und genauer vor potenziellen Schwachstellen in Avanti-Geräten warnen, müssen die Anwender weiterhin alle vom Hersteller empfohlenen Maßnahmen ergreifen. So ist es beispielsweise möglich, dass Angreifer eine Schwachstelle bereits vor ihrer Veröffentlichung ausgenutzt haben. Daher müssen alle Kunden den von Ivanti bereitgestellten Integrity Checker verwenden, um die Integrität ihrer Installation sicherzustellen.

Die fünf Schwachstellen in Ivanti VPN Gateway Appliances laut NIST:

  • CVE-2023-46805 (CVSS 8.2 Hoch): Die Schwachstelle bei der Authentifizierung [CWE-287] in der Webkomponente von Ivanti ICS 9.x, 22.x und Ivanti Policy Secure ermöglicht einem Angreifer den Zugriff auf eingeschränkte Ressourcen unter Umgehung von Kontrollinstanzen.
  • CVE-2024-21887 (CVSS 9.1 Hoch): Die Schwachstelle erlaubt das Einschleusen von Befehlen [CWE-77] in die Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) und ermöglicht es Administratoren, speziell gestaltete Anfragen zu senden und beliebige Befehle auf der Appliance auszuführen.
  • CVE-2024-21893 (CVSS 8.2 Hoch): Auf Serverseite erlaubt es die Schwachstelle, Anforderungen zu fälschen [CWE-918]. In der SAML-Komponente von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und Ivanti Neurons for ZTA ermöglicht sie es einem Angreifer, Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung zu erhalten.
  • CVE-2024-21888 (CVSS 8.8 Hoch): Die Schwachstelle in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) ermöglicht einen ausgeweiteten Zugriff [CWE-265]. Mit ihrer Hilfe kann ein Benutzer seine Rechte auf die eines Administrators ausdehnen.
  • CVE-2024-22024 (CVSS 8.3 High): Die XML External Entity oder XXE-Schwachstelle [CWE-643] in den SAML-Komponenten von Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) und ZTA-Gateways erlaubt einem Angreifer Zugriff auf bestimmte eingeschränkte Ressourcen ohne Authentifizierung.

Sofortmaßnahmen

Die Patches wurden erstmals am 22. Januar veröffentlicht. Bis die Benutzer die offiziellen Patches von Ivanti herunterladen und installieren können, sollten sie folgende Schritte befolgen:

  • Download: Aktuelles Mitigation Release aus dem offiziellen Mitigation Advisory von Ivanti
  • Befolgen Sie die Anweisungen, um einen korrekten Import sicherzustellen, und setzen Sie das Gerät auf die Werkseinstellungen zurück, wenn Sie dazu aufgefordert werden.
  • Laden Sie das externe Integritätsprüfungs-Tool von Ivanti herunter und führen Sie es aus.

Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.

Tracking-News: Critical Vunerability in MS Sharepoint

Remote Priviledge Execution

Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.

Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.

Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.

Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.

5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können

Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.

Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.

Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:

  • CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
  • CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
  • CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
  • CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
  • CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.

Verstehen des Angriffsverlaufs

Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.

Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:

Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.

CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.

Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.

Abschwächung der jüngsten Juniper Junos-Schwachstellen

Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.

Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.

Der Jahresabschluss könnte kaum besser sein: Greenbone kann auf das erfolgreichste Jahr seiner Firmengeschichte zurückblicken. Nach 15 Jahren ist aus der Osnabrücker Firma 2023 eine erfolgreiche Aktiengesellschaft erwachsen. Greenbone ist binnen Jahresfrist von 50 auf 120 Mitarbeiter gewachsen, und die Reise ist noch lange nicht zu Ende: Nicht nur die Gesetzgebung der EU, auch diverse Kooperationen und Engagements ermöglichen einen weiteren Wachstumskurs. Wir blicken zurück auf 2023 und bedanken uns bei unseren Kunden, Partnern und der OpenVAS-Community.

Ein erfolgreiches Jahr im Überblick

Das Wachstum zeigt sich sowohl im Greenbone Blog, das 2023 zehnmal mehr Leser zu verzeichnen hatte als auch im neuen Community Portal – ein herzliches Dankeschön geht an die große Greenbone-Community!

Neben zahlreichen Berichten über Schwachstellen von VMware bis Microsoft, von Atlassian, Citrix und vielen anderen konnten wir über Projekte mit dem Center for Internet Security (CIS), dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der OSB Alliance – Bundesverband für digitale Souveränität e.V. berichten.

Wir beteiligen uns auch weiterhin an Studien renommierter Universitäten wie dem „Vergleich der Sicherheit von Open-Source-Software und Proprietärer Software“ von Dr. Marc Ohm (Rheinische Friedrich-Wilhelms-Universität Bonn).

Zero Days, Log4j, Citrix, Atlassian, Sharepoint

Wir warnten vor gravierenden Schwachstellen, die alle bereits mit geeigneten, von unseren Spezialisten entwickelten Tests in den Greenbone Enterprise Aplliances erkannt wurden – Unsere Kunden waren stets gewarnt und konnten sich in vielen Fällen auch proaktiv schützen. Ob Ransomware die Unternehmen via VMware EsXi bedrohte, oder über Outlook Zero days, die Nachwehen des Log4j-Desasters aus 2022 oder die kritischen Fehler in Citrix Netscaler, Confluence, f5 Big IP oder Sharepoint, die Greenbone-Kunden waren vorgewarnt und mit Tests versorgt.

Greenbone testet Webanwendungen …

Im Jahr 2023 haben wir auch unser Engagement in anderen Bereichen verstärkt: Wir testen jetzt auch Ihre Webanwendungen. Wir agieren dabei streng nach den Vorschriften der DSGVO, sind nach ISO 27001/9001 zertifiziert und verfügen zudem über herausragende Sicherheitsexperten. Wie bei unseren Produkten des Schwachstellenmanagements erhalten Sie auch bei den Tests für Webanwendungen ausführliche Berichte über Ihre Sicherheitssituation mit klaren Handlungsanweisungen, bei deren Umsetzung die Greenbone-Experten gerne helfen.

… und ist auf internationalen Messen, Kongressen und Panels

Ebenfalls in diesem Jahr haben wir unsere Präsenz auf internationalen Fachmessen verstärkt: Wir waren auf der ITSA, dem vom Behördenspiegel veranstalteten Kongress PITS („Public IT Security“) und der renommierten Open Source Experience 2023 (OSXP) in Paris. Auf dem PITS-Kongress war auch Greenbone-CEO Jan-Oliver Wagner als Experte geladen, um an der von Katharina Sook Hee (Nationales Cyber-Abwehrzentrum des BSI) moderierten Podiumsdiskussion „Den Finger in die Wunde legen – Schwachstellen managen oder schließen?“ sein Wissen auszutauschen.

Große Einigkeit herrschte dort, dass das “Schwachstellenmanagement immer wichtiger” werde. Das liege auch an neuer Gesetzgebung, die dazu führe, dass mehr und mehr Schwachstellen gemeldet werden, die Awareness generell steige und die Strafen drakonischer werden für Firmen, die beispielsweise Complianceregeln missachten. Der Druck wird größer, auch für Unternehmen, die nicht KRITIS sind.

Regulierung macht Schwachstellenmanagement zur Pflicht

Gleichzeitig werden die festgestellten Schwachstellen immer älter, stehen schon länger offen als früher und werden zunehmend schneller ausgenutzt, wobei Ransomware weiterhin die Top-Bedrohung bleibt.

Kein Wunder, dass sowohl Bundesregierung als auch EU die Zeichen der Zeit erkannt haben: Der Bund investiert umfassend in Cybersecurity, auch der Cyber Resilience Act der EU schreibt Maßnahmenpakete vor, die das Schwachstellenmanagement a la Greenbone in vielen Firmen zur Pflicht machen.

Gemeinsam mit dem BSI: das neue SMP-Bund-Portal

Deshalb haben wir zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Greenbone SMP-Bund-Portal eingeführt. Als zentrale Anlaufstelle für IT-Sicherheit und Schwachstellenmanagement bietet es Behörden konkrete Unterstützung bei den aktuellen Herausforderungen der IT-Sicherheit.

Das Portal bietet neben umfangreichen Informationen und einem Forum zum Austausch rund ums Schwachstellenmanagement auch direkten Zugriff auf Greenbone-Support, Kontakt zu unserem Sales-Team und exklusive Konditionen mit Greenbone-Rahmenverträgen.

2023 war ein gutes 15. Jahr für Greenbone, wir danken an dieser Stelle erneut allen Kunden, Partnern und der Community, ohne Ihr Zutun wäre all das nicht möglich.

Vielen Dank, schöne Feiertage und einen guten Rutsch!

Wir bei Greenbone freuen uns sehr, in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Greenbone SMP-Bund-Portal einzuführen. Als führender Anbieter von IT-Sicherheitslösungen sind wir stolz darauf, diese speziell auf die Bedürfnisse der Bundesbehörden zugeschnittene Plattform anbieten zu können.

Ein Portal, das Maßstäbe setzt

Das Greenbone SMP-Bund-Portal ist die zentrale Anlaufstelle für IT-Sicherheit und Schwachstellenmanagement. Es wurde entwickelt, um Behörden konkrete Unterstützung bei den aktuellen Herausforderungen der IT-Sicherheit zu bieten.

Viele Vorteile für Bundesbehörden

  1. Einfach verständliche Einblicke: Das Portal bietet klare und anwenderfreundliche Informationen zum Schwachstellenmanagement. Es ist ideal sowohl für Einsteiger als auch für Experten in der IT-Sicherheit.
  2. Exklusive Rahmenvertragskonditionen: Bundesbehörden genießen spezielle Angebote und Vorzüge. Die Ausschreibungspflicht entfällt, was Zeit und Ressourcen spart.
  3. Persönlicher Support: Das kompetente Support-Team steht unseren Kunden stets zur Seite, um Fragen zu beantworten und Unterstützung zu gewährleisten.
  4. Direkter Draht zum Behörden-Sales Team: Fachkundige Beratung unseres Teams, das sich bestens mit den spezifischen Anforderungen für Bundesbehörden auskennt. Wir freuen uns auf die weitere vertrauensvolle Zusammenarbeit mit dem BSI und stehen für Rückfragen gerne zur Verfügung.
  5. Gelegenheit zum Austausch: Nutzen Sie das gemeinsame Forum um Ihre Erfahrungen und Fragen zu teilen.

https://smp-bund.greenbone.net/

Internationale Diskussionsrunde über effektive Cybersicherheit bei der #OSXP2023

Beim renommierten #OSXP2023-Event in Paris haben wir an der Diskussionsrunde „Cybersécurité et open source“ teilgenommen. Dort diskutierten wir intensiv darüber, wie die Cybersicherheit in Unternehmen verbessert werden kann. Das Gremium, bestehend aus internationalen, bekannten Experten aus Wissenschaft und Regierung, konzentrierte sich auf diese Punkte für starke Cybersicherheit.

1. Die Einstellung zu Sicherheitsthemen

Security by Design: Eine Management-Aufgabe

  • Das Panel betonte, wie wichtig es ist, Sicherheit bereits in den Anfangsphasen der Entwicklung zu berücksichtigen. Dafür ist es nötig, dass die Unternehmensführung Sicherheit in allen Geschäftsbereichen priorisiert.

Eine Mentalität, die auf sichere und geschützte Lösungen ausgerichtet ist

  • Unternehmen sollten eine Kultur entwickeln, bei der Sicherheit ein fester Bestandteil des Denkprozesses ist. Ziel ist es, Lösungen anzubieten, die von Natur aus sicher und geschützt sind.

2. Umsetzung wichtiger Prozesse

Einhaltung von Standards und Automatisierung

  • Es wurde betont, wie wichtig es ist, sich an etablierte Cybersicherheitsstandards zu halten. Empfohlen wird, Prozesse zu automatisieren, um Konsistenz und Effizienz zu gewährleisten.

Keine Umsetzung ohne Sicherheitskonformität

  • Es wurde empfohlen, keine Umsetzungen oder Maßnahmen durchzuführen, ohne die notwendigen Sicherheitsanforderungen zu erfüllen.

3. Ressourcen: Teams stärken und Wachsamkeit erhöhen

Spezialisierte Sicherheitsteams und Schulungen

  • Entscheidend sei, spezialisierte Sicherheitsteams zu haben und regelmäßige Schulungen durchzuführen, um ein hohes Sicherheitsbewusstsein und Vorbereitung zu gewährleisten.

Wachsamkeit als kontinuierliche Aufgabe

  • Ständige Wachsamkeit wurde als Schlüsselressource hervorgehoben, um sicherzustellen, dass Sicherheitsmaßnahmen immer aktuell und wirksam sind.

4. Wesentliche Werkzeuge und Technologien

Verpflichtende Multi-Faktor-Authentifizierung (MFA)

  • Die Implementierung von MFA als obligatorische Maßnahme, um die Sicherheit von Konten erheblich zu verbessern, wurde stark empfohlen.

Schwachstellenscanner und Abhängigkeitsmanagement

  • Der Einsatz von Schwachstellenscannern und das Management von Abhängigkeiten und Konfigurationen wurden als unverzichtbare Werkzeuge bewertet. Plattformen wie GitHub Enterprise mögen ihren Preis haben, bieten aber umfassende Lösungen für diese Bedürfnisse.

Fazit: Schulungen, Achtsamkeit und der Einsatz von Open-Source-Tools

Abschließend betonte das Panel bei #OSXP2023, einschließlich unseres Experten Corentin Bardin, Spezialist für Cybersicherheit und Pentester, die Bedeutung von kontinuierlicher Weiterbildung im sich schnell entwickelnden Bereich der Cybersicherheit. Sie sprachen sich für den Einsatz von Open-Source-Werkzeugen zur Stärkung der Sicherheitsmaßnahmen aus.

Die wichtigste Erkenntnis aus der Diskussion ist das Engagement, sichere Dienstleistungen anzubieten. Es geht nicht nur um Werkzeuge und Prozesse, sondern um die Denkweise und das kontinuierliche Bestreben, wachsam und informiert zu bleiben.

Update vom 06.12.2023:

Letzte Woche berichteten wir über pro-russische Hacktivisten, die nach verwundbaren Sharepoint-Servern scannen, um eine kritische Schwachstelle (CVE-2023-29357) auszunutzen.

Neue Erkenntnisse deuten darauf hin, dass die Gruppe, die sich selbst „Zarya“ nennt, verschiedene Exploit-Versuche unternimmt, darunter Directory-Traversal und das Abzielen auf spezifische Schwachstellen in Systemen wie OpenWRT-Routern.

Die IP-Adresse 212.113.106.100, die mit diesen Aktivitäten in Verbindung steht, wurde bei mehreren unterschiedlichen Exploit-Versuchen beobachtet. Zusätzlich zu einfachen Erkundungen wurden auch spezifische Angriffe auf Konfigurationsdateien und Admin-APIs festgestellt.

Dieser Fall unterstreicht erneut die Bedeutung der Absicherung von Systemen gegen solche Bedrohungen und zeigt, wie ungeschützte oder schlecht konfigurierte Systeme Ziel solcher Angriffe werden können.


Eine kritische Schwachstelle für Sharepoint (CVE-2023-29357), wird von vermutlich pro-russischen Angreifern angegangen, die versuchen, diese Schwachstelle auszunutzen. 

Das Internet Storm Center hat entsprechende Aktivitäten auf seinen Honeypots entdeckt. Der Schweregrad für diese Schwachstelle ist kritisch (ein Wert von 9,8 von 10), und die Angriffskomplexität ist sehr gering, was diese Schwachstelle besonders gefährlich macht. Greenbone-Kunden können von der automatischen Erkennung dieser Schwachstelle in unserem Enterprise Feed profitieren. Microsoft bietet seit dem 12. Juni 2023 ein Sicherheitsupdate an, Microsoft-Kunden, die das Update verpasst haben, sollten es jetzt installieren.