Cyber-Bedrohungen entwickeln sich in halsbrecherischem Tempo, aber die grundlegenden Schwachstellen, die Angreifer ausnutzen, bleiben auffallend unverändert. Für das Jahr 2025 haben viele Analysten einen Rückblick auf das Jahr 2024 und einen Ausblick auf das Jahr 2025 veröffentlicht. Die Kosten für Cyberverletzungen steigen, aber insgesamt haben sich die Ursachen für Cyberverletzungen nicht geändert. Phishing [T1566] und das Ausnutzen bekannter Software-Schwachstellen [T1190] stehen weiterhin ganz oben auf der Liste. Eine weitere wichtige Beobachtung ist, dass Angreifer öffentliche Informationen immer schneller als Waffe einsetzen und Enthüllungen von CVEs (Common Vulnerabilities and Exposures) innerhalb von Tagen oder sogar Stunden in brauchbaren Exploit-Code umwandeln. Sobald sie in das Netzwerk eines Opfers eingedrungen sind, führen sie ihre präzisen Absichten in der zweiten Phase ebenfalls schneller aus und setzen Ransomware innerhalb von Minuten ein.

In diesem Threat Report gehen wir kurz auf die aufgedeckten Chats der Ransomware-Gruppe Black Basta ein und werfen einen Blick darauf, wie Greenbone vor deren offengelegten Machenschaften schützt. Wir werden auch einen Bericht von Greynoise über die massenhafte Ausnutzung von Schwachstellen, eine neue, aktiv genutzte Schwachstelle in der Zimbra Collaboration Suite und neue Bedrohungen für Edge-Networking-Geräte unter die Lupe nehmen.

Das Zeitalter der tektonischen Technologien

Wenn Sicherheitskrisen wie Erdbeben sind, dann entspricht das globale Technologie-Ökosystem den zugrunde liegenden tektonischen Platten. Dieses Ökosystem lässt sich am besten als das Paläozoikum der Erdgeschichte darstellen. Die rasanten Innovations- und Wettbewerbskräfte des Markts schieben und zerren an der Struktur der IT-Sicherheit wie die kollidierenden Superkontinente von Pangäa; ständige Erdbeben zwingen die Kontinente zu permanenten Verschiebungen.

Völlig neue Computerparadigmen wie die generative KI und das Quantencomputing schaffen Vorteile und Risiken; Vulkane von Wert und instabilem Boden. Globale Regierungen und Tech-Giganten ringen um den Zugang zu den sensiblen persönlichen Daten der Bürger und erhöhen damit die Schwerkraft. Diese Kämpfe haben erhebliche Auswirkungen auf die Privatsphäre und die Sicherheit und beeinflussen letztendlich die Entwicklung der Gesellschaft. Hier sind einige der wichtigsten Kräfte, die die IT-Sicherheit heute destabilisieren:

  • Sich schnell entwickelnde Technologien treiben die Innovation voran und erzwingen den technischen Wandel.
  • Unternehmen sind zum einen gezwungen, sich zu ändern, da Technologien und Standards an Wert verlieren, und zum anderen sind sie motiviert, sich zu ändern, um am Markt fortzubestehen.
  • Der harte Wettbewerb beschleunigt die Produktentwicklung und die Veröffentlichungszyklen.
  • Strategisch geplante Obsoleszenz hat sich als Geschäftsstrategie zur Erzielung finanzieller Gewinne etabliert.
  • Der weit verbreitete Mangel an Verantwortlichkeit für Softwareanbieter hat dazu geführt, dass Leistung Vorrang vor dem Grundsatz „Security First“ hat.
  • Nationalstaaten setzen Waffentechnologien für Cyber Warfare, Information Warfare und Electronic Warfare ein.

Dank dieser Kräfte finden gut ausgestattete und gut organisierte Cyber-Kriminelle eine praktisch unbegrenzte Anzahl von Sicherheitslücken, die sie ausnutzen können. Das Zeitalter des Paläozoikums dauerte 300 Millionen Jahre. Hoffentlich müssen wir nicht so lange warten, bis die Produkthersteller Verantwortung zeigen und sichere Konstruktionsprinzipien anwenden [1][2][3], um sogenannte „unverzeihliche“ Schwachstellen durch Fahrlässigkeit zu verhindern [4][5]. Unternehmen müssen daher technische Flexibilität und effiziente Patch-Management-Programme entwickeln. Ein kontinuierliches, priorisiertes Schwachstellenmanagement ist ein Muss.

Mit Greenbone gegen Black Basta

Durchgesickerte interne Chat-Protokolle der Ransomware-Gruppe Black Basta lassen in die Taktik und die inneren Abläufe der Gruppe blicken. Die Protokolle wurden von einer Person unter dem Pseudonym „ExploitWhispers“ veröffentlicht, die behauptet, die Veröffentlichung sei eine Reaktion auf die umstrittenen Angriffe von Black Basta auf russische Banken, die angeblich zu internen Konflikten innerhalb der Gruppe führten. Seit seinem Auftauchen im April 2022 hat Black Basta Berichten zufolge über 100 Millionen US-Dollar an Lösegeldzahlungen von mehr als 300 Opfern weltweit erhalten. 62 CVEs, auf die in den geleakten Dokumenten verwiesen wird, offenbaren die Taktik der Gruppe zur Ausnutzung bekannter Schwachstellen. Von diesen 62 CVEs unterhält Greenbone Erkennungstests für 61, was 98 % der CVEs abdeckt.

Greynoise-Report über massenhafte Ausnutzung von Schwachstellen

Mass-Exploitation-Angriffe sind vollautomatische Angriffe auf Dienste im Netzwerk, die via Internet zugänglich sind. Diesen Monat hat Greynoise einen umfassenden Bericht veröffentlicht, der die Mass-Exploitation-Landschaft zusammenfasst, einschließlich der 20 wichtigsten CVEs, die von den größten Botnets angegriffen werden (eindeutige IPs) und der Anbieter der am häufigsten angegriffenen Produkte. Hinzu kommen die wichtigsten der in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommenen CVEs, die von Botnets ausgenutzt werden. Der Greenbone Enterprise Feed bietet Erkennungstests für 86 % aller CVEs (86 insgesamt), auf die im Bericht verwiesen wird. Wenn nur CVEs berücksichtigt werden, die im Jahr 2020 oder später veröffentlicht wurden (insgesamt 66), deckt unser Enterprise Feed 90 % davon ab.

Weitere Ergebnisse sind:

  • 60 % der CVEs, die bei Massenangriffen ausgenutzt wurden, wurden 2020 oder später veröffentlicht.
  • Angreifer nutzen Schwachstellen innerhalb von Stunden nach ihrer Veröffentlichung aus.
  • 28 % der Schwachstellen in CISA KEV werden von Ransomware-Gruppen ausgenutzt.

Zimbra Collaboration Suite

CVE-2023-34192 (CVSS 9.0) ist eine hoch gefährliche Cross-Site-Scripting (XSS)-Schwachstelle in der Zimbra Collaboration Suite (ZCS) Version 8.8.15. Sie erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte Skripte, die auf die Funktion „/h/autoSaveDraft“ abzielen. Die CISA hat CVE-2023-34192 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv in realen Angriffen ausgenutzt wurde. Der PoC-Exploit-Code (Proof of Concept) ist öffentlich verfügbar, sodass auch weniger erfahrene Angreifer hier mitmischen können. CVE-2023-34192 hat seit ihrer Aufdeckung im Jahr 2023 einen sehr hohen EPSS-Score. Für Verteidiger, die EPSS (Exploit Prediction Scoring System) für die Priorisierung von Abhilfemaßnahmen nutzen, bedeutet dies, mit hoher Priorität zu patchen.

Die Zimbra Collaboration Suite (ZCS) ist eine Open-Source-Plattform für Office-Anwendungen, die E-Mail, Kalender, Kontakte, Aufgaben und Tools für die Zusammenarbeit integriert, aber einen Nischenmarktanteil von weniger als 1 % aller E-Mail- und Messaging-Plattformen hält.

„Living on the Edge“: kritische Schwachstellen in Netzwerkgeräten

In unserem monatlichen Threat Report haben wir die anhaltende Bedrohung von Edge-Netzwerkgeräten nachvollzogen. Anfang dieses Monats berichteten wir über das maximale Desaster, das die Auslaufmodelle der Zyxel-Router und -Firewalls heraufbeschwören. In diesem Abschnitt befassen wir uns mit neuen Sicherheitsrisiken, die in die Kategorie „Edge Networking“ fallen. Greenbone verfügt über Erkennungsfunktionen für alle im Folgenden beschriebenen CVEs.

Chinesische Hacker nutzen PAN-OS von Palo Alto für Ransomware

CVE-2024-0012 (CVSS 9.8), eine Sicherheitslücke in Palo Alto PAN-OS, die im November letzten Jahres bekannt wurde, gilt als eine der am häufigsten ausgenutzten Sicherheitslücken des Jahres 2024. Die CVE wird Berichten zufolge auch von staatlich unterstützten chinesischen Bedrohungsakteuren für Ransomware-Angriffe genutzt. Eine weitere neue Schwachstelle, die PAN-OS betrifft, CVE-2025-0108 (CVSS 9.1), wurde erst diesen Monat bekannt gegeben und von der CISA sofort als aktiv ausgenutzt eingestuft. Mit CVE-2025-0108 lässt sich die Authentifizierung in der Webmanagement-Schnittstelle umgehen. Sie kann mit gekoppelt werden mit CVE-2024-9474 (CVSS 7.2), einer separaten Schwachstelle für die Ausweitung von Privilegien, um unauthentifizierte Kontrolle über Root-Dateien in einem ungepatchten PAN-OS-Gerät zu erlangen.

SonicWall flickt kritische, aktiv ausgenutzte Schwachstelle in SonicOS

CVE-2024-53704, eine kritische Sicherheitslücke in SonicWall-Geräten, wurde kürzlich in die KEV-Liste der CISA aufgenommen. Erstaunlicherweise listet die CISA acht CVEs bei SonicWall auf, von denen bekannt ist, dass sie aktiv in Ransomware-Angriffen ausgenutzt werden. Die neue Bedrohung, CVE-2024-53704 (CVSS 9.8) ist eine Schwachstelle, die durch einen unsauberen Authentifizierungsmechanismus [CWE-287] im SSLVPN der SonicOS-Versionen 7.1.1-7058 und älter, 7.1.2-7019 und 8.0.0-8035 von SonicWall entsteht. Sie ermöglicht es Angreifern, die Authentifizierung zu umgehen und aktive SSL-VPN-Sitzungen zu kapern, wodurch sie möglicherweise unbefugten Zugriff auf das Netzwerk erhalten. Eine vollständige technische Analyse ist bei BishopFox verfügbar. In einem Security Advisory von SonicWall werden außerdem weitere CVEs mit hohem Schweregrad in SonicOS genannt, die zusammen mit CVE-2024-53704 gepatcht wurden.

CyberoamOS und EOL XG Firewalls von Sophos aktiv ausgenutzt

Der Security-Anbieter Sophos, der Cyberoam im Jahr 2014 übernommen hat, hat eine Warnung und einen Patch für CVE-2020-29574 herausgegeben. CyberoamOS ist Teil des Produkt-Ökosystems von Sophos. Abgesehen von diesem CVE ist auch die Sophos XG Firewall, die bald auslaufen wird, Gegenstand einer Warnung über eine mögliche aktive Ausnutzung.

  • CVE-2020-29574 (CVSS 9.8): Eine kritische SQL-Injection-Schwachstelle [CWE-89] wurde in der WebAdmin-Schnittstelle von CyberoamOS-Versionen bis zum 4. Dezember 2020 entdeckt. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, beliebige SQL-Anweisungen aus der Ferne auszuführen und möglicherweise vollständigen administrativen Zugriff auf das Gerät zu erlangen. Es wurde ein Hotfix-Patch veröffentlicht, der auch für einige betroffene End-of-Life (EOL) Produkte gilt.
  • CVE-2020-15069 (CVSS 9.8) ist eine kritische Buffer-Overflow-Schwachstelle in den Sophos XG Firewall-Versionen 17.x bis v17.5 MR12, die nicht authentifizierte Remote Code Execution (RCE) über die HTTP/S-Lesezeichen-Funktion für den clientlosen Zugriff ermöglicht. Diese 2020 veröffentlichte Sicherheitslücke wird nun aktiv ausgenutzt und wurde in die CISA KEV aufgenommen, was auf ein erhöhtes Risiko hinweist. Sophos veröffentlichte 2020, als die Sicherheitslücke bekannt wurde, einen Hinweis zusammen mit einem Hotfix für betroffene Firewalls. Die Hardware-Appliances der XG-Serie werden voraussichtlich bald, am 31. März 2025, das Ende ihrer Lebensdauer (EOL) erreichen.

PrivEsc- und Auth-Umgehungen in Fortinet FortiOS und FortiProxy

Fortinet hat zwei kritische Sicherheitslücken bekannt gegeben, die beide FortiOS und FortiProxy betreffen. Das Canadian Center for Cybersecurity und das Belgian Center for Cybersecurity haben Hinweise veröffentlicht. Fortinet räumt ein, dass CVE-2024-55591 aktiv ausgenutzt wird, und hat eine offizielle Anleitung veröffentlicht, die Details zu den betroffenen Versionen und empfohlenen Updates enthält.

  • CVE-2024-55591 (CVSS 9.8): Ein Authentication Bypass unter Verwendung eines alternativen Pfads oder Kanals [CWE-288], die FortiOS betrifft, ermöglicht es einem Angreifer, remote über manipulierte Anfragen an das Node.js-Websocket-Modul Super-Admin-Rechte zu erlangen. Es stehen mehrere PoC-Exploits zur Verfügung [1][2], die das Risiko einer Ausnutzung durch weniger erfahrene Angreifer erhöhen.
  • CVE-2024-40591 (CVSS 8.8): Ermöglicht es einem authentifizierten Administrator mit Security Fabric-Berechtigungen, seine Privilegien zum Super-Administrator zu erweitern, indem er das betroffene FortiGate-Gerät mit einem kompromittierten Upstream-FortiGate unter seiner Kontrolle verbindet.

Cisco-Schwachstellen als erste Zugangsvektoren bei Telekom-Hacks

In den letzten Monaten hat die chinesische Spionagegruppe Salt Typhoon routinemäßig mindestens zwei kritische Schwachstellen in Cisco IOS XE-Geräten ausgenutzt, um sich dauerhaft Zugang zu Telekommunikationsnetzen zu verschaffen. Zu den Opfern gehören italienische ISPs, eine südafrikanische und eine große thailändische Telekommunikationsgesellschaft sowie zwölf Universitäten weltweit, darunter die UCLA, die indonesische Universitas Negeri Malang und die mexikanische UNAM. Zuvor hatte Salt Typhoon mindestens neun US-amerikanische Telekommunikationsunternehmen angegriffen, darunter Verizon, AT&T und Lumen Technologies. Die US-Behörden behaupten, Salt Typhoons Ziel sei die Überwachung von hochrangigen Personen, politischen Persönlichkeiten und Beamten, die mit chinesischen politischen Interessen in Verbindung stehen.

Zu den CVEs, die von Salt Typhoon ausgenutzt werden, gehören:

  • CVE-2023-20198 (CVSS 10): Eine Schwachstelle zur Privilegien-Erweiterung in der Web-Schnittstelle von Cisco IOS XE. Sie wird für den anfänglichen Zugriff verwendet und ermöglicht es Angreifern, ein Admin-Konto zu erstellen.
  • CVE-2023-20273 (CVSS 7.2): Eine weitere Schwachstelle, die zur Erweiterung von Privilegien führt. Nach Erlangung des Admin-Zugriffs wird sie dazu genutzt, den privilegierten Zugriff auf Root-Dateien zu erweitern und einen GRE-Tunnel (Generic Routing Encapsulation) für den dauerhaften Verbleib im Netzwerk einzurichten.

Außerdem wurden im Februar 2025 zwei weitere CVEs in Cisco-Produkten bekannt:

  • CVE-2023-20118 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche von Cisco Small Business Routern erlaubt es authentifizierten, entfernten Angreifern, beliebige Befehle mit Root-Rechten auszuführen, indem sie manipulierte HTTP-Anfragen senden. Die CISA hat CVE-2023-20118 in ihren KEV-Katalog aufgenommen, was darauf hindeutet, dass die Schwachstelle aktiv ausgenutzt wird.
  • CVE-2023-20026 (CVSS 7.2): Eine Command-Injection-Schwachstelle in der webbasierten Management-Oberfläche der Cisco Small Business Router der RV042-Serie erlaubt authentifizierten, entfernten Angreifern mit gültigen administrativen Anmeldeinformationen, beliebige Befehle auf dem Gerät auszuführen. Die Schwachstelle ist auf eine unsachgemäße Validierung von Benutzereingaben in eingehenden HTTP-Paketen zurückzuführen. Es ist zwar nicht bekannt, dass CVE-2023-20026 in aktiven Kampagnen ausgenutzt wird, aber dem Product Security Incident Response Team (PSIRT) von Cisco ist bekannt, dass PoC-Exploit-Code für diese Sicherheitslücke existiert.

Ivanti patcht vier kritische Schwachstellen

Es wurden vier kritische Schwachstellen identifiziert, die Ivanti Connect Secure (ICS), Policy Secure (IPS) und Cloud Services Application (CSA) betreffen. Bisher sind keine Berichte über aktive Angriffe in freier Wildbahn oder PoC-Exploits aufgetaucht. Ivanti rät Anwendern, umgehend auf die neuesten Versionen zu aktualisieren, um diese kritischen Sicherheitslücken zu schließen.

Hier ist eine kurze technische Zusammenfassung:

  • CVE-2025-22467 (CVSS 8.8): Angreifer mit Anmeldeinformationen können aufgrund eines Stack-basierten Buffer Overflow in ICS-Versionen vor 22.7R2.6 Remote Code Execution (RCE) erreichen [CWE-121].
  • CVE-2024-38657 (CVSS 9.1): Angreifer mit Anmeldeinformationen können beliebige Dateien schreiben aufgrund einer externen Kontrolle des Dateinamens in ICS-Versionen vor 22.7R2.4 und IPS-Versionen vor 22.7R1.3.
  • CVE-2024-10644 (CVSS 9.1): Ein Code-Injection-Fehler in ICS (vor 22.7R2.4) und IPS (vor 22.7R1.3) ermöglicht beliebige RCE für authentifizierte Administratoren.
  • CVE-2024-47908 (CVSS 7.2): Eine Schwachstelle in der Command Injection des Betriebssystems [CWE-78] in der Admin-Webkonsole von CSA (Versionen vor 5.0.5) erlaubt beliebige RCE für authentifizierte Administratoren.

Zusammenfassung

Der Threat Report dieses Monats beleuchtet wichtige Entwicklungen im Bereich der Cybersicherheit, darunter die sich weiterentwickelnden Taktiken von Ransomware-Gruppen wie Black Basta und die allgegenwärtige kritische Bedrohung für Edge-Netzwerkgeräte. Unterstützt durch KI-Tools nutzen Angreifer Schwachstellen immer schneller aus – manchmal schon wenige Stunden nach ihrer Entdeckung. Unternehmen müssen wachsam bleiben, indem sie proaktive Sicherheitsmaßnahmen ergreifen, ihre Abwehr kontinuierlich aktualisieren und Bedrohungsdaten nutzen, um neuen Gefahren einen Schritt voraus zu sein.

Jedes Produkt hat ein Ablaufdatum, aber die Kunden haben oft nur eine kurze Vorwarnung und keinen Regressanspruch, wenn ein Anbieter beschließt, ein Produkt auslaufen zu lassen. Sobald ein Anbieter ein Produkt mit End-of-Life (EOL) oder End-of-Service (EOS) kennzeichnet, wird das Management der damit verbundenen Risiken komplexer. Das Risiko vergrößert sich, wenn Cyberkriminelle Schwachstellen finden und ausnutzen, die nie gepatcht werden. Wenn ein EOL-Produkt zukünftig anfällig wird, müssen seine Benutzer selbst zusätzliche Sicherheitskontrollen einführen.

Digitale Darstellung von Gewitterwolken und einem Mülleimer mit Router-Symbol – Sinnbild für Sicherheitsrisiken durch veraltete IT-Produkte und Ransomware-Bedrohungen.

Wenn sich herausstellt, dass der Anbieter diese anfälligen EOL-Produkte immer noch verkauft, kann dies als „perfekter Sturm“ oder größte Katastrophe angesehen werden. In diesem Artikel werden wir mehrere Sicherheitswarnungen für Zyxel-Produkte untersuchen, darunter einige, die als EOL-Produkte eingestuft sind, und eine weitere Schwachstelle, die bei Ransomware-Angriffen ausgenutzt wird.

Jüngste Sicherheitslücken in Zyxel-Produkten

CVE-2024-40891 (CVSS 8.8), eine schwerwiegende Schwachstelle zur Remote Code Execution (RCE) in der Telnet-Implementierung von Zyxel, ist seit Mitte 2024 bekannt. Dennoch hat Zyxel auch fast sechs Monate später noch keinen Patch veröffentlicht und behauptet, die betroffenen Produkte seien EOS und EOL. Anfang 2025 beobachtete GreyNoise die aktive Ausnutzung von CVE-2024-40891 gegen anfällige Zyxel CPE-Netzwerkgeräte. Diese CVE (Common Vulnerabilities and Exposures) und eine weitere RCE-Schwachstelle, CVE-2024-40890 (CVSS 8.8), wurden beide Mitte Februar in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen. Während es sich bei den beiden CVEs um RCE-Schwachstellen nach der Authentifizierung handelte, lieferte eine dritte Sicherheitslücke, CVE-2025-0890 (CVSS 9.8), die am 4. Februar veröffentlicht wurde, das letzte Puzzleteil: extrem schwache Standardanmeldeinformationen für per Fernzugriff zugängliche Dienste – und zwar zusätzlich zum ohnehin unverschlüsselten Telnet-Authentifizierungsprozess.

Die Forscher von VulnCheck, die die Schwachstellen ursprünglich entdeckt hatten, wiesen darauf hin, dass der Hersteller die fehlerhaften Geräte weiterhin verkauft, obwohl er weiß, dass die Schwachstellen aktiv ausgenutzt werden, und nicht die Absicht hat, Patches herauszugeben. Am 25. Februar 2025 wurden einige der betroffenen Produkte immer noch über den offiziellen von Zyxel-Shop auf Amazon verkauft [1][2]. Darüber hinaus wird eine weitere Sicherheitslücke in Zyxel-Produkten, CVE-2024-11667, aktiv für Ransomware-Angriffe durch den Bedrohungsakteur Helldown ausgenutzt.

Im Bereich der Telekommunikationstechnologien hält Zyxel einen geschätzten Marktanteil von 4,19 % und beliefert rund 2.277 Unternehmen, darunter die größten Tech-Giganten der Welt. Die Zyxel-Gruppe mit Hauptsitz im Hsinchu Science Park, Taiwan, ist ein führender Anbieter von Netzwerklösungen für Unternehmen und Privatanwender und weltweit in über 150 Ländern tätig.

Chronik der Ereignisse

  • 07.2024: VulnCheck informiert Zyxel über Sicherheitslücken in Produkten der CPE-Serie.
  • 07.2024: VulnCheck veröffentlicht Informationen zu CVE-2024-40890 und CVE-2024-40891 im Blog.
  • 01.2025: Aktive Ausnutzung von CVE-2024-40891 wurde von GreyNoise gemeldet.
  • 02.2025: VulnCheck veröffentlichte weitere Informationen, die das Risiko, das von Zyxels Position ausgeht, hervorheben und Beweise dafür liefern, dass anfällige Geräte immer noch von dem Anbieter online verkauft werden.
  • 02.2025: Zyxel veröffentlicht einen Sicherheitshinweis, der die betroffenen Produkte als EOL kennzeichnet und besagt, dass sie keine Updates erhalten werden.

Technische Beschreibungen der jüngsten Zyxel-Schwachstellen

Abgesehen von der langsamen Reaktion von Zyxel auf Sicherheitsforscher und der Entscheidung, weiterhin Produkte mit ausnutzbaren Schwachstellen zu verkaufen, gibt es noch weitere Lehren aus der technischen Bewertung der Schwachstellen selbst zu ziehen. Nämlich, wie Produktanbieter weiterhin Produkte mit unverzeihlichen Sicherheitsmängeln vermarkten und sich dabei vor der Verantwortung drücken.

  • CVE-2024-40891 (CVSS 8.8 Hoch): Authentifizierte Benutzer können eine Telnet-Command-Injection aufgrund einer unsachgemäßen Eingabevalidierung in `libcms_cli.so` Befehle werden ungeprüft an eine Shell-Ausführungsfunktion weitergegeben, was eine beliebige RCE ermöglicht. Abgesehen von der Überprüfung, ob der Befehlsstring mit einem zugelassenen Befehl beginnt, hat die Funktion `prctl_runCommandInShellWithTimeout` keine Filterung, was die Verkettung von Befehlen und das Einschleusen beliebiger Befehle ermöglicht.
  • CVE-2024-40890 (CVSS 8.8 Hoch): Eine Post-Authentication Command-Injection-Schwachstelle im CGI-Programm der Legacy-DSL Zyxel VMG4325-B10A Firmware Version 1.00(AAFR.4)C0_20170615 könnte es einem authentifizierten Angreifer ermöglichen, Betriebssystembefehle auf einem betroffenen Gerät auszuführen, indem er eine manipulierte HTTP-POST-Anfrage sendet.
  • CVE-2025-0890 (CVSS 9.8 Kritisch): Die Geräte verwenden schwache Standard-Anmeldeinformationen wie die Benutzernamen und Passwörter admin:1234, zyuser:1234 und supervisor:zyad1234. Keines dieser Konten ist über die Weboberfläche sichtbar, kann aber in der Datei `/etc/default.cfg` des Geräts gefunden werden. Diese Standard-Anmeldeinformationen sind Angreifern bekannt. Die Konten „supervisor“ und „zyuser“ können beide über Telnet aus der Ferne auf Geräte zugreifen. „supervisor“ hat versteckte Rechte, die vollen Systemzugriff gewähren, während „zyuser“ immer noch CVE-2024-40891 für RCE ausnutzen kann. Die Verwendung solcher Standard-Anmeldeinformationen verstößt gegen die CISA-Verpflichtung “Secure by Design“ und gegen den kommenden Cyber Resilience Act (CRA) der EU.

Zu den betroffenen Produkten gehören die Zyxel VMG1312-B Serie (VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A) und zwei Router der Zyxel Business Gateway Serie (SBG3300 und SBG3500). Die Geräte der Zyxel CPE-Serie (Customer Premises Equipment) sind für die Internetanbindung von Privathaushalten und kleinen Unternehmen konzipiert, z. B. als DSL-, Glasfaser- und Wireless-Gateways. Als solche werden sie in der Regel beim Kunden installiert, um ihn mit dem Netzwerk eines Internet Service Providers (ISP) zu verbinden, und sind daher nicht ohne weiteres durch Firewalls vor dem Internet geschützt. In Anbetracht der Art der Zyxel CPE-Geräte und der fraglichen Schwachstellen wäre es nicht überraschend, wenn Zehntausende oder mehr Zyxel-Geräte an bösartigen Botnet-Aktivitäten beteiligt wären.

Greenbone kann EOL Zyxel-Geräte erkennen, die für die oben genannten CVEs anfällig sind.

CVE-2024-11667: Zyxel-Firewalls für Ransomware-Angriffe ausgenutzt

CVE-2024-11667 (CVSS 9.8 Critical), veröffentlicht Ende Dezember 2024, ist ein Path-Traversal-Fehler [CWE-22] in der Web-Management-Konsole der Zyxel ATP- und USG FLEX-Firewall-Serie. Die Schwachstelle wird bekanntermaßen ausgenutzt vom Helldown-Bedrohungsakteur in Ransomware-Angriffen und ist Gegenstand mehrerer nationaler Cybersicherheitshinweise [1][2].

Die Ransomware-Gruppe Helldown tauchte im August 2024 als bemerkenswerter Bedrohungsakteur in der Cybersicherheitslandschaft auf. Diese Gruppe wendet eine doppelte Erpressungsstrategie an, bei der sie sensible Daten von Zielorganisationen exfiltriert und anschließend Ransomware zur Verschlüsselung der Systeme der Opfer einsetzt. Wenn die Lösegeldforderungen nicht erfüllt werden, droht Helldown damit, die gestohlenen Daten auf ihrer Data Leak Site zu veröffentlichen. Helldown nutzt nicht nur diese Zyxel-Schwachstellen aus, sondern ist auch dafür bekannt, Schwachstellen in Windows-Betriebssystemen, VMware ESX und Linux-Umgebungen auszunutzen, wobei häufig kompromittierte VPN-Anmeldedaten verwendet werden, um sich seitlich in Netzwerken zu bewegen.

Zyxel hat einen Hinweis auf die Ransomware-Angriffe und Patches für die betroffenen Produkte veröffentlicht. Greenbone kann Zyxel-Produkte, die von CVE-2024-11667 betroffen sind, mit drei separaten produktspezifischen Versionserkennungstests erkennen [1][2][3].

Zusammenfassung

Die Situation mit Zyxel scheint ein perfekter Sturm zu sein, der zu einer wichtigen Frage führt: Welche Möglichkeiten haben Kunden, wenn ein Anbieter eine Sicherheitslücke in seinem Produkt nicht schließt? Die EOL-Netzwerkgeräte von Zyxel werden nach wie vor aktiv ausgenutzt, mit Schwachstellen, die für unautorisierte willkürliche RCE und andere unautorisierte Aktionen kombiniert werden können. CVE-2024-40891, CVE-2024-40890 und CVE-2025-0890 stehen jetzt auf der KEV-Liste der CISA, während CVE-2024-11667 mit Ransomware-Angriffen in Verbindung gebracht wurde. Die Forscher von VulnCheck, die mehrere dieser CVEs entdeckt haben, haben Zyxel für die schlechte Kommunikation und den Verkauf von ungepatchten EOL-Geräten kritisiert. Greenbone erkennt betroffene Produkte, und mit dem proaktiven Ansatz für das Schwachstellenmanagement können Benutzer die Gefährdung verringern.

Trimble Cityworks, eine Software für das Enterprise Asset Management (EAM) und die Verwaltung öffentlicher Gebäude, wird aktiv angegriffen. Die Kampagne begann als unbekannte Schwachstelle (Zero Day), wird aber jetzt als CVE-2025-0994 mit einem CVSS-Wert von 8.6 geführt. Es handelt sich um einen Fehler bei der Deserialisierung [CWE-502], der einem authentifizierten Angreifer ermöglichen könnte, beliebigen Code aus der Ferne auszuführen (Remote Code Execution; RCE). Greenbone enthält eine Erkennung für CVE-2025-0994 im Enterprise Feed.

Die aktive Ausnutzung von CVE-2025-0994 ist eine reale und gegenwärtige Gefahr. Trimble hat eine Erklärung veröffentlicht, in der die Angriffe auf das Produkt bestätigt werden. Dank der Transparenz des Herstellers hat die CISA (Cybersecurity and Infrastructure Security Agency) CVE-2025-0994 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen und einen ICS-Hinweis sowie ein CSAF-2.0-Dokument veröffentlicht. CSAF 2.0-Advisorys sind maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen für den dezentralen Austausch von Cybersicherheitsinformationen.

Obwohl viele Medienberichte und einige Plattformen, die Bedrohungsinformationen sammeln, darauf hinweisen, dass es einen öffentlichen Proof-of-Concept (PoC) gibt, ist das einzige Suchergebnis auf GitHub lediglich ein Versionserkennungstest. Das bedeutet, dass es unwahrscheinlich ist, dass wenig qualifizierte Hacker leicht an Angriffen teilnehmen können. Die Fehlinformationen sind vermutlich auf schlecht konzipierte Algorithmen in Verbindung mit mangelnder menschlicher Kontrolle vor der Veröffentlichung von Bedrohungsdaten zurückzuführen.

Wer ist durch CVE-2025-0994 gefährdet?

Trimble Cityworks wurde vor allem für Kommunalverwaltungen und Anbieter kritischer Infrastrukturen wie Wasser- und Abwassersysteme, Energie, Verkehrssysteme, staatliche Industrieanlagen und Kommunikationsagenturen entwickelt und wird von ihnen genutzt. Cityworks erweitert geografische Informationssysteme (GIS) durch die Integration von Lösungen für die Verwaltung von Anlagen und öffentlichen Arbeiten direkt in Esri ArcGIS. Die Software soll Organisationen bei der Verwaltung der Infrastruktur, der Planung von Wartungsarbeiten und der Verbesserung der betrieblichen Effizienz helfen. Neben der CISA haben auch mehrere andere Regierungsbehörden Warnungen zu dieser Sicherheitslücke herausgegeben, darunter die US-Umweltschutzbehörde (EPA), das kanadische Zentrum für Cybersicherheit und der Bundesstaat New York.

Eigenen Angabe zufolge bediente Trimble Cityworks im Jahr 2019 über 700 Kunden in Nordamerika, Europa, Australien und dem Nahen Osten. Während spezielle Zahlen für Kommunalverwaltungen in den USA, Kanada und der EU nicht öffentlich bekannt gegeben werden, zeigen eine Suche auf Shodan und eine Censys-Karte jeweils nur etwa 100 öffentlich zugängliche Instanzen von Cityworks. Es wird jedoch davon ausgegangen, dass die Anwendung eine hohe Akzeptanz bei Kommunalverwaltungen und Versorgungsunternehmen hat. Wenn CVE-2025-0994 öffentlich zugänglich ist, könnte ein Angreifer einen ersten Zugang erhalten [T1190]. Für Angreifer, die bereits Fuß gefasst haben, ist die Schwachstelle eine Gelegenheit für laterale Bewegungen [TA0008] und stellt eine leichte Beute für Insider-Angriffe dar.

Technische Beschreibung von CVE-2025-0994

CVE-2025-0994 ist eine Schwachstelle in der Deserialisierung [CWE-502], die in Versionen von Trimble Cityworks vor 15.8.9 und Cityworks mit Office Companion vor 23.10 gefunden wurde. Sie entsteht durch die unsachgemäße Deserialisierung von nicht vertrauenswürdigen serialisierten Daten, die es einem authentifizierten Angreifer ermöglicht, beliebigen Code aus der Ferne auf dem Microsoft Internet Information Services (IIS) Webserver des Ziels auszuführen.

Die Serialisierung ist ein Prozess, bei dem Softwarecode oder Objekte kodiert werden, um zwischen Anwendungen übertragen und dann in dem von einer Programmiersprache verwendete Originalformat rekonstruiert zu werden. Wenn Trimble Cityworks serialisierte Objekte verarbeitet, werden nicht vertrauenswürdige Eingaben nicht ordnungsgemäß validiert oder bereinigt. Dieser Fehler ermöglicht es einem Angreifer mit authentifiziertem Zugriff, speziell gestaltete serialisierte Objekte zu senden, die eine beliebige Codeausführung auf dem zugrunde liegenden IIS-Server auslösen können. Die Deserialisierung von Daten aus nicht authentifizierten Quellen scheint an sich schon ein signifikanter Designfehler zu sein, aber das Versäumnis, serialisierte Daten ordnungsgemäß zu bereinigen, ist eine besondere Unsicherheit.

Konsequenzen der Ausnutzung von CVE-2025-0994 könnten sein:

  • Unbefugter Zugriff auf sensible Daten
  • Unterbrechung der Dienste für kritische Infrastruktursysteme
  • Mögliche vollständige Kompromittierung des betroffenen IIS-Webservers

Abhilfe gegen CVE-2025-0994 in Trimble Cityworks

Trimble hat gepatchte Versionen von Cityworks veröffentlicht, die die Schwachstelle in der Deserialisierung beheben. Diese Patches umfassen Cityworks 15.8.9 und Cityworks 23.10. On-premise-Anwender müssen sofort auf die gepatchte Version aktualisieren, während Kunden von Cityworks Online (CWOL) diese Updates automatisch erhalten.

Trimble wies darauf hin, dass bei einigen Vor-Ort-Installationen IIS mit überprivilegierten Identitätsberechtigungen ausgeführt wird, was die Angriffsfläche vergrößert. IIS sollte weder auf lokaler noch auf Domänenebene über administrative Berechtigungen verfügen. Befolgen Sie die Anweisungen von Trimble in den neuesten Cityworks-Versionshinweisen, um die IIS-Identitätskonfigurationen richtig anzupassen.

Empfohlene Aktionen für On-premises-Anwender von Trimble Cityworks:

  • Aktualisieren Sie die Cityworks 15.x-Versionen auf 15.8.9 und die 23.x-Versionen auf 23.10.
  • Prüfen Sie die IIS-Identitätsberechtigungen, um sicherzustellen, dass sie mit dem Prinzip der geringsten Rechte übereinstimmen.
  • Beschränken Sie die Stammkonfiguration des Anhangsverzeichnisses auf Ordner, die nur Anhänge enthalten.
  • Verwenden Sie eine Firewall, um den Zugriff auf den IIS-Server nur auf vertrauenswürdige interne Systeme zu beschränken.
  • Verwenden Sie ein VPN, um den Fernzugriff auf Cityworks zu ermöglichen, anstatt den Dienst öffentlich zugänglich zu machen.

Zusammenfassung

CVE-2025-0994 stellt ein ernsthaftes Sicherheitsrisiko für Trimble Cityworks-Benutzer dar, die größtenteils aus Behörden und kritischen Infrastrukturumgebungen stammen. Da bereits eine aktive Ausnutzung beobachtet wurde, müssen Organisationen sofortige Patches und Sicherheitsmaßnahmen implementieren, um das Risiko zu minimieren. Greenbone hat die Erkennung von CVE-2025-0994 zum Enterprise Feed hinzugefügt, sodass Kunden einen Überblick über ihre Gefährdungslage erhalten.

In diesem Jahr werden viele große Unternehmen weltweit gezwungen sein, sich mit der Ursache von Cyberangriffen auseinanderzusetzen. Viele bekannte Schwachstellen sind ein offenes Einfallstor für eingeschränkte Netzwerkressourcen. In unserem ersten Threat Report des Jahres 2025 gehen wir auf einige katastrophale Sicherheitsverletzungen aus 2024 ein und befassen uns mit Sicherheitslücken, die im letzten Monat gefährlich wurden.

Die hier besprochenen Schwachstellen kratzen jedoch nur an der Oberfläche. Im Januar 2025 wurden über 4.000 neue CVEs (Common Vulnerabilities and Exposures) veröffentlicht, 22 mit der maximalen CVSS-Punktzahl von 10 und 375 mit kritischem Schweregrad. Die Flut von kritischen Schwachstellen in Edge-Networking-Geräten ist noch nicht abgeebbt. Neu angegriffene Schwachstellen in Produkten von globalen Tech-Giganten wie Microsoft, Apple, Cisco, Fortinet, Palo Alto Networks, Ivanti, Oracle und anderen wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen.

Software-Lieferkette: Die Verantwortung der User

Wir alle arbeiten mit Software, die wir nicht selbst entwickelt haben. Daher spielt Vertrauen eine große Rolle. Wo das Vertrauen wackelt, sei es aus Angst vor mangelnder Sorgfalt, Böswilligkeit oder menschlichem Versagen, liegt die Verantwortung für die Cybersicherheit immer noch beim Endbenutzer. Die Absicherung gegen Risiken hängt in hohem Maß von technischem Wissen und gemeinsamen Anstrengungen ab. Verteidiger müssen sich im Jahr 2025 dessen bewusst sein.

Wenn die Sicherheit der Lieferkette versagt, fragen Sie nach den Gründen! Hat der Softwareanbieter die erforderlichen Tools zur Verfügung gestellt, damit Sie die Kontrolle über die Ergebnisse Ihrer Sicherheitsbemühungen übernehmen können? Führt Ihr Security-Team eine sorgfältige Erkennung und Behebung von Schwachstellen durch? Sind Ihre Ressourcen mit starken Zugangskontrollen segmentiert? Wurden die Mitarbeiter darin geschult, Phishing-Angriffe zu erkennen? Wurden noch andere, angemessene Cybersicherheitsmaßnahmen ergriffen? Unternehmen müssen ihre Resilienz gegen Ransomware stärken, das heißt, sie müssen regelmäßig die Schwachstellen bewerten und das Patchmanagement priorisieren. Darüber hinaus sollten sie überprüfen, ob zuverlässige Backup-Strategien bestehen, die die Recovery-Ziele erfüllen, und andere grundlegende Sicherheitskontrollen etablieren, um sensible Daten zu schützen und Ausfallzeiten zu vermeiden.

Erfolg durch Vorbereitung

Der Jahresbericht 2024 des britischen NCSC (National Cyber Security Center) zeichnet ein düsteres Bild: Die Zahl der bedeutenden Cyberangriffe hat sich im Vergleich zu 2023 verdreifacht. Aus der Vogelperspektive hat das CSIS (Center for International Strategic & International Studies) eine umfangreiche Liste der wichtigsten Cybervorfälle des Jahres 2024 veröffentlicht. Die Bedrohungslandschaft wurde durch den Russland-Ukraine-Konflikt geprägt und den weltweit beschleunigten Umschwung weg von der Globalisierung hin zur Feindseligkeit.

Check Point Research fand heraus, dass 96 % aller Schwachstellen, die 2024 ausgenutzt wurden, über ein Jahr alt waren. Dies sind positive Erkenntnisse für proaktive Verteidiger. Unternehmen, die ein Schwachstellenmanagement betreiben, sind wesentlich besser gegen gezielte Ransomware und Massenangriffe gewappnet. Klar ist: Proaktive Cybersicherheit reduziert die Kosten einer Sicherheitsverletzung.

Sehen wir uns zwei der wichtigsten Sicherheitsverletzungen aus dem Jahr 2024 an:

  • Das Change Healthcare Datenleck: Im Jahr 2024 gingen die Sicherheitsverletzungen im Gesundheitswesen gegenüber dem Rekordjahr 2023 insgesamt zurück. Der Ransomware-Angriff auf Change Healthcare stellte jedoch mit 190 Millionen betroffenen Personen einen neuen Rekord auf, wobei sich die Gesamtkosten bisher auf 2,457 Milliarden Dollar belaufen. Der Bundesstaat Nebraska hat nun eine Klage eingereicht gegen Change Healthcare, weil das Unternehmen veraltete IT-Systeme betreibt, die nicht den Sicherheitsstandards für Unternehmen entsprechen. Nach Angaben von IBM sind Sicherheitsverletzungen im Gesundheitswesen mit durchschnittlich 9,77 Millionen Dollar im Jahr 2024 am kostspieligsten.
  • Typhoon-Teams brechen in neun amerikanische TK-Unternehmen ein: Das Suffix „Typhoon“ wird von Microsofts Namenskonvention für Bedrohungsakteure für Gruppen mit chinesischem Ursprung verwendet. Der staatlich unterstützte chinesische Angreifer Salt Typhoon war in die Netzwerke von mindestens neun großen US-Telekommunikationsunternehmen eingedrungen und hatte auf die Anruf- und Text-Metadaten der Benutzer sowie auf Audioaufnahmen von hochrangigen Regierungsvertretern zugegriffen. Volt Typhoon drang in die Netzwerke von Singapore Telecommunications (SingTel) und anderen Telekommunikationsbetreibern weltweit ein. Die „Typhoons“ nutzten Schwachstellen in veralteten Netzwerkgeräten aus, darunter ungepatchte Microsoft Exchange Server, Cisco-Router, Fortinet- und Sophos-Firewalls sowie Ivanti-VPN-Anwendungen. Greenbone ist in der Lage, alle bekannten Software-Schwachstellen im Zusammenhang mit Salt Typhoon und Volt Typhoon-Angriffen zu erkennen [1][2].

UK: Verbot von Ransomware-Zahlungen im öffentlichen Sektor?

Die britische Regierung hat im Rahmen der Ransomware-Bekämpfung ein Verbot von Lösegeldzahlungen durch öffentliche Einrichtungen und Betreiber kritischer Infrastrukturen vorgeschlagen, um Cyberkriminelle davon abzuhalten, sie ins Visier zu nehmen. In einem neuen Bericht des National Audit Office (NAO), der unabhängigen britischen Aufsichtsbehörde für öffentliche Ausgaben, heißt es jedoch, dass „die Cyberbedrohung für die britische Regierung ernst ist und schnell voranschreitet“.

Das FBI, die CISA und die NSA raten von Lösegeldzahlungen ab. Schließlich garantiert die Zahlung eines Lösegelds nicht die Wiederherstellung verschlüsselter Daten oder verhindert die Veröffentlichung gestohlener Daten und kann sogar zu weiterer Erpressung ermutigen. Auf der anderen Seite räumt der Security-Thinktank von IBM ein, dass viele kleine und mittlere Unternehmen die durch Ransomware verursachten Ausfallzeiten finanziell nicht verkraften könnten. Auch wenn beide Seiten gute Argumente haben: Kann es zu einem positiven Ergebnis führen, wenn Cyber-Kriminelle bereichert werden und die Förderung lokaler Talente vernachlässigt wird?

Schwachstelle in SonicWall SMA 1000 aktiv ausgenutzt

Microsoft Threat Intelligence hat die aktive Ausnutzung von SonicWall SMA 1000 Gateways über CVE-2025-23006 (CVSS 9.8 Kritisch) aufgedeckt. Die Schwachstelle wird durch die unsachgemäße Behandlung nicht vertrauenswürdiger Daten während der Deserialisierung verursacht [CWE-502]. Über sie kann ein nicht authentifizierter Angreifer mit Zugriff auf die interne Appliance Management Console (AMC) oder die Schnittstelle der Central Management Console (CMC) beliebige Betriebssystembefehle ausführen. SonicWall hat den Hotfix Version 12.4.3-02854 veröffentlicht, um die Schwachstelle zu beheben.

Obwohl kein öffentlich zugänglicher Exploit-Code identifiziert wurde, haben zahlreiche Regierungsbehörden Warnungen herausgegeben, darunter das deutsche BSI CERT-Bund, das kanadische Center for Cybersecurity, CISA und der britische NHS (National Health Service). Greenbone kann SonicWall-Systeme erkennen, die von CVE-2025-23006 betroffen sind, indem es die im Service-Banner angegebene Version per Fernzugriff überprüft.

CVE-2024-44243 für persistente Rootkits in macOS

Der Januar 2025 war ein Monat voller Herausforderungen für die Apple-Sicherheit. Microsoft Threat Intelligence hat Zeit für einen Sicherheitstest von macOS gefunden und dabei eine Schwachstelle entdeckt, die es installierten Apps ermöglichen könnte, den Systemintegritätsschutz (SIP) des Betriebssystems zu verändern. Laut Microsoft könnten Angreifer auf diese Weise Rootkits und persistente Malware installieren und Transparency, Consent and Control (TCC) umgehen, das Anwendungen auf Ordnerbasis granulare Zugriffsberechtigungen gewährt. Obwohl noch kein aktiver Angriff gemeldet wurde, hat Microsoft technische Details zu den Erkenntnissen veröffentlicht.

Als der Januar zu Ende ging, wurde eine Reihe von 88 neuen CVEs veröffentlicht, von denen 17 einen kritischen Schweregrad (CVSS) aufweisen und das gesamte Spektrum der Apple-Produkte betreffen. Eine davon, CVE-2025-24085, wurde bei aktiven Angriffen beobachtet und in den KEV-Katalog der CISA aufgenommen. Darüber hinaus wurden zwei potenziell ausnutzbare Schwachstellen in den Chips der M-Serie von Apple mit den Bezeichnungen SLAP und FLOP entdeckt, denen jedoch noch keine CVEs zugeordnet wurden. Bei SLAP machten sich die Forscher die Schwachstellen des Chips zunutze, um die Heap-Allokationstechniken von Safari WebKit auszunutzen und JavaScript-String-Metadaten zu manipulieren, um spekulative Out-of-bounds-Lesevorgänge zu ermöglichen, sodass sie sensible DOM-Inhalte aus anderen geöffneten Website-Tabs extrahieren konnten. Für FLOP demonstrierten die Forscher, dass sensible Daten aus Safari und Google Chrome gestohlen werden können, indem sie die Javascript-Typüberprüfung in Safari WebKit und die Site Isolation von Chrome über WebAssembly umgehen.

Außerdem wurden fünf schwerwiegende Sicherheitslücken veröffentlicht, die Microsoft Office für macOS betreffen. Jede von ihnen kann einem Angreifer Remote Code Execution (RCE) ermöglichen. Zu den betroffenen Produkten gehören Microsoft Word (CVE-2025-21363), Excel (CVE-2025-21354 und CVE-2025-21362) und OneNote (CVE-2025-21402) für macOS. Es sind zwar noch keine technischen Details zu diesen Schwachstellen verfügbar, aber alle haben hohe CVSS-Bewertungen und Benutzer sollten so bald wie möglich ein Update durchführen.

Der Greenbone Enterprise Feed erkennt fehlende macOS-Sicherheitsupdates und viele andere CVEs, die Anwendungen für macOS betreffen, einschließlich der fünf neu entdeckten CVEs in Microsoft Office für Mac.

6 CVEs in Rsync mit Server- und Client-Übernahme

Die Kombination von zwei neu entdeckten Schwachstellen kann die Ausführung von beliebigem Code auf anfälligen Rsyncd-Servern ermöglichen, während nur anonymer Lesezugriff besteht. CVE-2024-12084, ein Heap Buffer Overflow, und CVE-2024-12085, ein Informationsleck, sind die Übeltäter. Öffentliche Mirrors, die Rsyncd verwenden, stellen das höchste Risiko dar, da sie von Natur aus keine Zugriffskontrolle haben.

Die Forscher fanden außerdem heraus, dass ein als Waffe eingesetzter Rsync-Server beliebige Dateien auf verbundenen Clients lesen und schreiben kann. Dies kann den Diebstahl sensibler Informationen und möglicherweise die Ausführung von Schadcode durch Änderung ausführbarer Dateien ermöglichen.

Hier ist eine Zusammenfassung der neuen Schwachstellen, geordnet nach CVSS-Schweregrad:

  • CVE-2024-12084 (CVSS 9.8 Kritisch): Unsachgemäße Handhabung der Prüfsummenlänge ermöglicht einen Heap Buffer Overflow und RCE.
  • CVE-2024-12085 (CVSS 7.5 Hoch): Uninitialisierte Stack-Inhalte können sensible Informationen preisgeben.
  • CVE-2024-12087 (CVSS 6.5 Medium): Die Path Traversal-Schwachstelle in Rsync ermöglicht Zugriff auf nicht autorisierte Dateien.
  • CVE-2024-12088 (CVSS 6.5 Medium): Path Traversal über die Option –safe-links kann beliebiges Schreiben von Dateien außerhalb des vorgesehenen Verzeichnisses ermöglichen.
  • CVE-2024-12086 (CVSS 6.1 Medium): Rsync-Server können beliebige Client-Dateien durchsickern lassen, wenn sie von einem Client auf einen Server kopiert werden.
  • CVE-2024-12747 (CVSS 5.6 Medium): Unsachgemäße Handhabung symbolischer Links führt zu einem Wettlauf, der die Erweiterung von Privilegien ermöglicht, wenn ein Admin-Benutzer den Rsyncd-Prozess kontrolliert.

Insgesamt stellen diese Schwachstellen ein ernsthaftes Risiko für RCE, Datenexfiltration und die Installation dauerhafter Malware sowohl auf Rsyncd-Servern als auch auf ahnungslosen Clients dar. Benutzer müssen auf die gepatchte Version aktualisieren, auf allen Systemen, die rsync verwendet haben, gründlich nach Indicators of Compromise (IoC) suchen und möglicherweise die Infrastruktur für die Dateifreigabe neu einrichten. Greenbone ist in der Lage, alle bekannten Schwachstellen in Rsync und die Nichteinhaltung wichtiger Sicherheitsupdates zu erkennen.

CVE-2025-0411: 7-Zip bietet MotW-Bypass

Am 25. Januar 2025 wurde die Sicherheitslücke CVE-2025-0411 (CVSS 7.5 Hoch) veröffentlicht, die das Archivierungsprogramm 7-Zip betrifft. Die Schwachstelle ermöglicht die Umgehung der Windows-Sicherheitsfunktion Mark of the Web (MotW) über speziell gestaltete Archivdateien. MotW kennzeichnet Dateien, die aus dem Internet heruntergeladen werden, mit einem Zone Identifier alternate data stream (ADS) und warnt, wenn sie aus einer nicht vertrauenswürdigen Quelle stammen. 7-Zip-Versionen vor 24.09 geben das MotW-Flag jedoch nicht an Dateien in verpackten Archiven weiter. Die Ausnutzung der Sicherheitslücke CVE-2025-0411, um die Kontrolle über das System eines Opfers zu erlangen, erfordert menschliche Interaktion. Die Zielpersonen müssen ein trojanisiertes Archiv öffnen und dann eine darin enthaltene bösartige Datei ausführen.

Interessanterweise haben Untersuchungen von Cofense ergeben, dass Regierungswebsites auf der ganzen Welt über CVE-2024-25608, eine Schwachstelle in der digitalen Plattform Liferay, für Credential-Phishing, Malware und Command-and-Control-Operationen (C2) missbraucht werden. Diese Schwachstelle ermöglicht es Angreifern, Benutzer von vertrauenswürdigen .gov-URLs auf bösartige Phishing-Seiten umzuleiten. Die Kombination der Umleitung von einer vertrauenswürdigen .gov-Domäne mit der 7-Zip-Schwachstelle birgt erhebliches Potenzial für die heimliche Verbreitung von Malware.

In Anbetracht der Risiken sollten Nutzer manuell auf die Version 24.09 aktualisieren, die seit Ende 2024 verfügbar ist. Wie bereits in der Einleitung erwähnt, liegt die Sicherheit der Software-Lieferkette oft in einer Grauzone, da wir alle von Software abhängig sind, die sich unserer Kontrolle entzieht. Bemerkenswert ist, dass 7-Zip vor der Veröffentlichung von CVE-2025-0411 die Benutzer nicht auf eine Sicherheitslücke hingewiesen hat. Und obwohl 7-Zip Open-Source ist, enthält das GitHub-Konto des Produkts nicht viele Details oder Kontaktinformationen für eine verantwortungsvolle Offenlegung.

Darüber hinaus hat das CVE eine DFN-CERT– und eine BSI CERT-Bund-Meldung ausgelöst [1][2]. Greenbone kann das Vorhandensein von anfälligen Versionen von 7-Zip erkennen.

Zusammenfassung

Diese Ausgabe unseres monatlichen Threat Reports befasst sich mit wichtigen Sicherheitsverletzungen aus dem Jahr 2024 und neu entdeckten kritischen Sicherheitslücken im Januar 2025. Die Software-Lieferkette stellt für alle großen und kleinen Unternehmen ein erhöhtes Risiko dar, sowohl durch Open-Source- als auch durch Closed-Source-Produkte. Open-Source-Software bietet jedoch Transparenz und die Möglichkeit für die Beteiligten, sich proaktiv für ihre eigenen Security-Resultate einzusetzen, entweder gemeinsam oder unabhängig. Obwohl die Kosten für Cybersicherheit beträchtlich sind, werden fortschreitende technische Fähigkeiten zunehmend ein entscheidender Faktor für die Sicherheit von Unternehmen und Staaten sein. Das Glück begünstigt diejenigen, die vorbereitet sind.

Wir freuen uns, die Veröffentlichung mehrerer Funktions-Updates für unser Greenbone Operating System (GOS), den Software-Stack hinter unseren physischen und virtuellen Enterprise Appliances, bekannt zu geben. Die Updates führen neue Front-End-Funktionen ein, die das Schwachstellenmanagement im Unternehmen verbessern, sowie leistungssteigernde Back-End-Funktionen. Die neuesten Updates des Greenbone Operating System (GOS), Version 24.10, spiegeln das Engagement von Greenbone wider, Best Practices für eine grundlegende Cybersicherheit zu fördern und Unternehmen in die Lage zu versetzen, Sicherheitslücken schneller als je zuvor zu priorisieren und zu schließen.

In diesem Beitrag stellen wir Ihnen die neuesten Funktionen und Verbesserungen vor, die unsere Enterprise Appliances zu noch leistungsfähigeren Tools für das Exposure Management und die Einhaltung von Cybersicherheitsvorschriften machen.

GOS 24.10 bringt alle neuen Funktionen

Der Greenbone Security Assistant (GSA) ist das Tor des IT-Administrators zur Transparenz von IT-Security. Das Web-Interface des GSA präsentiert sich in einem völlig neuen Gewand. Die aktualisierte Version zeichnet sich durch ein modernes, minimalistisches Erscheinungsbild aus, das den Schwerpunkt auf Nützlichkeit und Benutzerfreundlichkeit legt und gleichzeitig alle Möglichkeiten von Greenbone in Reichweite bereitstellt. Aber das neue Aussehen ist nur die Oberfläche. Schauen wir uns einige tiefgreifendere Änderungen an.

Die neue Ansicht des Compliance Audit Reports

Die Einhaltung von Vorschriften zur Cybersicherheit wird immer wichtiger. Neue Regulierungen in der EU wie der Digital Operational Resilience Act (DORA), die Network and Information Security Directive 2 (NIS2) und der Cyber Resilience Act (CRA) verlangen von Unternehmen mehr proaktive Maßnahmen zum Schutz ihren digitalen Infrastrukturen. Andere Faktoren wie Cybersecurity-Versicherungen, die Notwendigkeit einer stärkeren Überwachung durch Dritte und die Rechenschaftspflicht gegenüber den Kunden wirken sich auf die Art und Weise aus, wie Unternehmen ihre Cybersecurity-Aktivitäten beaufsichtigen.

Das GOS 24.10-Update enthält eine brandneue, auf die Einhaltung von Vorschriften ausgerichtete Compliance-Ansicht. Die aktualisierte Benutzeroberfläche ermöglicht einen besseren Einblick in Cybersecurity-Risiken und unterstützt die Ausrichtung an IT-Governance-Zielen. Sie enthält Reports für Compliance-Audits, neue Dashboard-Anzeigen und Filteroptionen. Dadurch lassen sich die auf Compliance ausgerichteten Daten von den regulären Scan-Berichten unterscheiden. In den Delta-Audit-Berichten werden die Fortschritte bei der Einhaltung der Vorschriften durch visuelle Indikatoren und Tooltips hervorgehoben, die eine einfache Identifizierung ermöglichen.

EPSS-Unterstützung mit KI-gestützter Priorisierung

Da die Zahl der neuen CVEs (Common Vulnerabilities and Exposures) weiter zunimmt, ist es wichtig, Schwachstellen zu priorisieren, um sich auf die Bedrohungen mit den größten Auswirkungen konzentrieren zu können. Das Exploit Prediction Scoring System (EPSS) ist eine KI-gestützte Metrik, die die Wahrscheinlichkeit schätzt, dass ein CVE in freier Wildbahn ausgenutzt wird. EPSS wendet maschinelles Lernen (ML) auf historische Daten an, um vorherzusagen, bei welchen neuen CVEs das Risiko eines aktiven Angriffs am höchsten ist.

EPSS-Daten sind jetzt in unsere Enterprise Appliances integriert. Regelmäßig aktualisierte Wahrscheinlichkeiten zur Ausnutzung für alle aktiven CVEs sind in der Greenbone-Plattform nicht verfügbar. Administratoren können zusätzlich zum traditionellen Schweregrad im CVSS (Common Vulnerability Scoring System) aktuelle Werte für die Wahrscheinlichkeit und die Perzentile von Exploits nutzen und sich so auf die kritischsten Schwachstellen in ihrem Betrieb konzentrieren.

Mehr Möglichkeiten für anpassbare CSV- und JSON-Berichte

Greenbone war schon immer auf Einfachheit und Flexibilität ausgerichtet. So erfüllen die Lösungen ein breites Spektrum an besonderen betrieblichen Anforderungen. GOS 24.10 führt den Export von Berichten im JSON-Format ein. Außerdem können die Benutzer jetzt die Felder in exportierten CSV- und JSON-Berichten anpassen. So können sie Reports direkt von Greenbone aus anpassen, um den Berichtsanforderungen genauer zu entsprechen und sich auf das zu konzentrieren, was für die Analyse, die Einhaltung von Vorschriften oder die Entscheidungsfindung wesentlich ist.

Zusätzliche Backend-Optimierungen

Um die Flexibilität und Genauigkeit des Schwachstellenabgleichs zu verbessern, hat Greenbone mehrere Backend-Optimierungen eingeführt, die sich auf die Handhabung von CPE (Common Platform Enumeration) und das Feed-Management konzentrieren. Hier ein Blick auf die Neuerungen:

  • Das Backend kann CPEv2.3-Strings in CPEv2.2-URIs konvertieren und beide Versionen für einen zuverlässigeren Abgleich der betroffenen Produkte speichern. Zukünftige Entwicklungen werden möglicherweise einen fortgeschrittenen Abgleich im laufenden Betrieb umfassen, der die Bewertung von Schwachstellen noch präziser macht.
  • Greenbone Enterprise Appliances unterstützen jetzt JSON-basierte CVE-, CPE-, EPSS- und CERT-Feeds sowie gzip-Datenkompression.

Zusammenfassung

Mit der Veröffentlichung einer neuen Runde von Updates stärkt Greenbone die Flaggschiff-Produkte der Greenbone Enterprise Appliances. Die Updates führen ein modernisiertes GSA-Web-Interface ein, eine auf die Einhaltung von Vorschriften ausgerichtete Audit-Berichtsansicht für mehr Transparenz und verbesserte CSV- und JSON-Exportfunktionen, die den Anwendern die Kontrolle über die Berichtsdaten geben. Außerdem wurden die verfügbaren Optionen für die Priorisierung von Schwachstellenrisiken um KI-basiertes EPSS erweitert. Schließlich gewährleisten Backend-Optimierungen die nahtlose Kompatibilität mit neuen CPE-Formaten und JSON-basierten Feeds. Zusammengenommen ergänzen diese Funktionen die anpassungsfähigen Schwachstellenmanagement-Funktionen von Greenbone und ermöglichen es Unternehmen, aufkommenden Bedrohungen mit branchenführender Schwachstellenerkennung und -priorisierung einen Schritt voraus zu sein.

Vom 3. bis 8. Februar 2025 findet in Bologna die ITASEC statt, Italiens wichtigste Konferenz für Cybersicherheit. Als Platin-Sponsor setzt Greenbone ein starkes Zeichen für europäische Zusammenarbeit und digitale Sicherheit. Mit diesem Schritt zeigen wir, wie sehr wir auf globale Präsenz und den direkten Austausch mit den Kunden setzen.

Straßenszene in der Altstadt von Bologna mit Blick auf die mittelalterlichen Türme ‚Due Torri‘, Veranstaltungsort der IT-Sicherheitskonferenz ITASEC 2025

Die „Due Torri“, zwei mittelalterliche Türme, prägen das Bild der historischen Altstadt von Bologna. (Foto: Markus Feilner, CC-BY 2016)

 

Neue Perspektiven in Italien und weltweit

„Wir stellen bei Greenbone mehr und mehr fest, wie wichtig unser Schwachstellenmanagement für Kunden aus ganz Europa ist, und wie wichtig diesen Kunden eine direkte Kommunikation mit uns vor Ort ist“, erklärt Marketing-Vorstand Elmar Geese. Um diesem Bedarf gerecht zu werden, hat Greenbone die italienische Tochtergesellschaft OpenVAS S.R.L. gegründet. Gleichzeitig expandiert Greenbone in andere Regionen. Auf dem Zettel stehen eine neue Tochtergesellschaft in den Niederlanden und ein verstärktes Engagement auf dem asiatischen Markt.

Wir werden auf der ITASEC nicht nur mit einem Stand vertreten sein, sondern uns auch inhaltlich einbringen: Dirk Boeing, Senior Consultant und Cybersicherheitsexperte bei Greenbone, spricht am 6.2. um 11:00 Uhr auf dem Panel „Security Management in the NIS2 Era“.

Besuchen Sie uns in Bologna!

Die alljährliche ITASEC findet auf dem Campus der „Alma Mater Studiorum Università di Bologna“ statt, der ältesten Universität Europas, die seit 1088 Wissenschaftsgeschichte schreibt – ein idealer Ort für eine Konferenz, die sich der Sicherheit in der digitalen Zukunft widmet. Organisiert wird die Messe vom CINI Cybersecurity National Lab, wobei 2025 ganz das Thema der Sicherheit und Rechte im Cyberspace im Vordergrund steht. Das zeigt sich auch in der Kooperation mit der SERICS-Konferenz (Security and Rights in the Cyber Space), die von der SERICS-Stiftung im Rahmen des knapp 200 Milliarden Euro schweren italienischen „National Recovery and Resilience Plan“ (NRRP) unterstützt wird.

Die ITASEC an der Universität Bologna bietet eine hervorragende Gelegenheit, Greenbone live zu erleben und mehr über unsere Lösungen zu erfahren. Und das ist erst der Anfang: 2025 sind wir in Italien beispielsweise am 5. und 6. März auf der CyberSec Italia in Rom. Und vom 18.3. bis 19.3. ist Greenbone auf dem Kongress „Digitaler Staat“ in Berlin, ab 19.3. auch auf der secIT in Hannover. Wir freuen uns auf Ihren Besuch!

Im Jahr 2024 verlangte die geopolitische Instabilität, gekennzeichnet durch die Konflikte in der Ukraine und im Nahen Osten, nach einer stärkeren Cybersicherheit sowohl im öffentlichen als auch im privaten Sektor. China nahm die US-Verteidigung, Versorgungsunternehmen, Internetprovider und das Transportwesen ins Visier, während Russland koordinierte Cyberangriffe auf US-amerikanische und europäische Staaten startete, um die öffentliche Meinung zu beeinflussen und Uneinigkeit unter den westlichen Verbündeten über den Ukraine-Krieg zu schaffen. Am Ende von 2024 blicken wir auf eine hektische Cybersicherheitslandschaft am Rande des Abgrunds zurück.

2024 war ein weiteres Rekordjahr für CVE-Veröffentlichungen (Common Vulnerabilities and Exposures). Auch wenn es sich bei vielen Meldungen um sogenannte „AI Slop“-Meldungen [1][2] handelt, gleicht die schiere Menge der veröffentlichten Schwachstellen einen großen Heuhaufen. Da IT-Sicherheitsteams versuchen, die hoch riskanten „Nadeln“ in einem noch größeren „Heuhaufen“ zu finden, steigt die Wahrscheinlichkeit, dass sie übersehen werden. 2024 war auch ein Rekordjahr für Ransomware-Auszahlungen in Bezug auf Volumen und Umfang sowie für Denial-of-Service-Angriffe (DoS).

Zusätzlich fiel auch die „National Vulnerability Database“ des NIST (National Institute of Standards and Technology) aus, von der weltweit viele Organisationen betroffen waren, darunter auch Security-Anbieter. Der CVE-Scanner von Greenbone basiert auf dem CPE-Abgleich (Common Platform Enumeration) und ist von dem Ausfall des NIST NVD betroffen. Der primäre Scan-Motor von Greenbone, OpenVAS Scanner, ist jedoch nicht betroffen. OpenVAS interagiert direkt mit Diensten und Anwendungen, sodass unsere Entwickler anhand der Details aus den ersten CVE-Berichten zuverlässige Schwachstellentests erstellen können.

Im Jahr 2025 wird das Glück den Unternehmen hold sein, die vorbereitet sind. Angreifer nutzen Cyber-Intelligenz vermehrt als Waffe; die durchschnittliche Time-to-Exploit (TTE) beträgt nur noch Tage oder sogar Stunden. Der Aufstieg der KI wird neue Herausforderungen für die Cybersicherheit mit sich bringen. Neben diesen Fortschritten bleiben traditionelle Bedrohungen wie für die Cloud-Sicherheit oder für Software-Lieferketten von entscheidender Bedeutung. Sicherheitsanalysten sagen voraus, dass grundlegende Netzwerkgeräte wie VPN-Gateways, Firewalls und andere Edge-Geräte auch im Jahr 2025 ein begehrtes Ziel sein werden.

In dieser Ausgabe unseres monatlichen Threat Reports befassen wir uns mit den bedrohlichsten Schwachstellen und aktiven Kampagnen zu deren Ausnutzung, die im Dezember 2024 aufgetaucht sind.

Mitel MiCollab: ein blitzartig ausgenutzter Zero-Day

Sobald Schwachstellen veröffentlicht werden, stürzen sich Angreifer mit zunehmender Geschwindigkeit auf sie. Für einige Schwachstellen gibt es innerhalb von Stunden öffentlichen Proof-of-Concept-Exploit-Code (PoC), sodass den Verteidigern nur eine minimale Reaktionszeit bleibt. Anfang Dezember beobachteten die Forscher von GreyNoise die Ausnutzung von Mitel MiCollab am selben Tag, an dem der PoC-Code veröffentlicht wurde. Mitel MiCollab vereint Sprache, Video, Messaging, Präsenz und Konferenzen auf einer Plattform. Die neuen Schwachstellen haben neben der amerikanischen CISA (Cybersecurity and Infrastructure Security Agency) auch beim belgischen National Center for Cybersecurity, dem Australian Signals Directorate (ASD) und dem britischen National Health Service (NHS) Warnungen hervorgerufen. Die Behebung der jüngsten Sicherheitslücken in MiCollab wird als dringend angesehen.

Hier einige Details zu den neuen aktiv ausgenutzten CVEs in Mitel MiCollab:

  • CVE-2024-41713 (CVSS 7.8 Hoch): Die „Path Traversal“-Schwachstelle in der NPM-Komponente (NuPoint Unified Messaging) von Mitel MiCollab ermöglicht den unauthentifizierten Zugriff auf Dateien durch Ausnutzung der „…/“-Technik in HTTP-Anfragen. Dies kann hochsensible Dateien offenlegen.
  • CVE-2024-35286 (CVSS 10 Kritisch): Eine SQL-Injection-Schwachstelle in der NPM-Komponente von Mitel MiCollab, die es einem böswilligen Akteur ermöglicht, einen SQL-Injection-Angriff auszuführen.

Seit Mitte 2022 hat die CISA drei weitere CVEs in Mitel-Produkten aufgespürt, von denen bekannt ist, dass sie für Ransomware-Angriffe genutzt werden. Greenbone kann Endpunkte erkennen, die für diese hochgradig gefährlichen CVEs anfällig sind, und zwar mit aktiven Prüfungen [4][5].

SSL-VPNs von Array Networks von Ransomware ausgenutzt

CVE-2023-28461 (CVSS 9.8 Kritisch) ist eine Schwachstelle für Remote Code Execution (RCE) in den Array AG Series und vxAG SSL VPN Appliances von Array Networks. Die Geräte, vom Hersteller angepriesen als Präventivmaßnahme gegen Ransomware, werden nun aktiv in jüngsten Ransomware-Angriffen ausgenutzt. Array Networks selbst wurde Anfang dieses Jahres von der Dark Angels Ransomware-Bande angegriffen [1][2].

Jüngsten Berichten zufolge hält Array Networks einen beträchtlichen Marktanteil im Bereich Application Delivery Controller (ADC). Laut dem WW Quarterly Ethernet Switch Tracker von IDC ist das Unternehmen mit einem Marktanteil von 34,2 % Marktführer in Indien. Array Networks hat Patches für betroffene Produkte mit ArrayOS AG 9.4.0.481 und früheren Versionen veröffentlicht. Der Greenbone Enterprise Feed enthält einen Erkennungstest für CVE-2023-28461, seit dieser Ende März 2023 bekanntgegeben wurde.

CVE-2024-11667 in Zyxel Firewalls

CVE-2024-11667 (CVSS 9.8 Kritisch) in den Firewall-Appliances von Zyxel wird aktiv in aktuellen Ransomware-Angriffen ausgenutzt. Eine „Directory Traversal“-Schwachstelle in der Web-Management-Schnittstelle könnte es einem Angreifer ermöglichen, Dateien über eine böswillig gestaltete URL herunter- oder hochzuladen. Zyxel Communications ist ein taiwanesisches Unternehmen, das sich auf die Entwicklung und Herstellung von Netzwerkgeräten für Unternehmen, Dienstanbieter und Verbraucher spezialisiert hat. Berichten zufolge liegt der Marktanteil von Zyxel bei etwa 4,2 % in der ITK-Branche mit einer vielfältigen globalen Präsenz, zu der auch große Fortune-500-Unternehmen gehören.

In Fällen wie diesem ist ein „Defense in Depth“-Ansatz für die Cybersicherheit besonders wichtig. Wenn Angreifer ein Netzwerkgerät wie eine Firewall kompromittieren, erhalten sie in der Regel nicht sofort Zugriff auf hochsensible Daten. Der anfängliche Zugriff ermöglicht es den Angreifern jedoch, den Netzwerkverkehr zu überwachen und das Netzwerk des Opfers auf der Suche nach wertvollen Zielen zu durchforsten.

Zyxel empfiehlt, Ihr Gerät auf die neueste Firmware zu aktualisieren, den Fernzugriff vorübergehend zu deaktivieren, wenn Updates nicht sofort angewendet werden können, und die bewährten Verfahren zur Sicherung verteilter Netzwerke anzuwenden. CVE-2024-11667 betrifft die Firmware-Versionen V5.00 bis V5.38 der Zyxel ATP-Serie, die Firmware-Versionen V5.00 bis V5.38 der USG FLEX-Serie, die Firmware-Versionen V5.10 bis V5.38 der USG FLEX 50(W)-Serie und die Firmware-Versionen V5.10 bis V5.38 der USG20(W)-VPN-Serie. Greenbone kann die Sicherheitslücke CVE-2024-11667 bei allen betroffenen Produkten erkennen.

Kritische Schwachstellen in Apache Struts 2

CVE-2024-53677 (CVSS 9.8 Kritisch), ein unbeschränkter Dateiupload [CWE-434], der Apache Struts 2 betrifft, ermöglicht es Angreifern, ausführbare Dateien in Web-Root-Verzeichnisse hochzuladen. Wenn eine Web-Shell hochgeladen wird, kann die Schwachstelle zu unautorisierter Remote Code Execution führen. Apache Struts ist ein Java-basiertes Open-Source-Framework für Webanwendungen, das sowohl im öffentlichen als auch im privaten Sektor, einschließlich Behörden, Finanzinstituten und anderen großen Organisationen, weit verbreitet ist [1]. PoC-Exploit-Code (Proof-of-Concept) ist öffentlich verfügbar, und CVE-2024-53677 wird aktiv ausgenutzt, was das Risiko erhöht.

Die Sicherheitslücke wurde ursprünglich unter der Bezeichnung CVE-2023-50164 geführt und im Dezember 2023 veröffentlicht [2][3]. Ähnlich wie bei einer kürzlich aufgetretenen Schwachstelle in VMware vCenter war der ursprüngliche Patch jedoch unwirksam, was zum erneuten Auftreten der Schwachstelle führte. CVE-2024-53677 betrifft die Komponente FileUploadInterceptor, sodass Anwendungen, die dieses Modul nicht verwenden, nicht betroffen sind. Benutzer sollten ihre Struts2-Instanz auf Version 6.4.0 oder höher aktualisieren und auf den neuen Datei-Upload-Mechanismus umstellen. Weitere neue kritische CVEs in beliebter Open-Source-Software (OSS) von Apache:

Die Apache Software Foundation (ASF) folgt bei ihren Projekten einem strukturierten Prozess, der die private Berichterstattung und die Veröffentlichung von Patches vor der öffentlichen Bekanntgabe fördert, so dass Patches für alle oben genannten CVEs verfügbar sind. Greenbone kann Systeme erkennen, die für CVE-2024-53677 anfällig sind, ebenso wie andere kürzlich bekannt gewordene Schwachstellen in Produkten der ASF Foundation.

Palo Altos Secure DNS wird aktiv für DoS ausgenutzt

CVE-2024-3393 (CVSS 8.7 Hoch) ist eine DoS-Schwachstelle (Denial of Service) in der DNS-Sicherheitsfunktion von PAN-OS. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Firewalls der PA-Serie, VM-Serie, CN-Serie und Prisma Access-Geräte über bösartige Pakete, die auf Datenebene gesendet werden, neu zu starten. Durch wiederholtes Auslösen dieses Zustands können Angreifer die Firewall dazu bringen, in den Wartungsmodus zu wechseln. Die CISA hat die Schwachstelle CVE-2024-3393 als aktiv ausgenutzt identifiziert. Sie ist eine von fünf weiteren aktiv ausgenutzten Schwachstellen in Palo-Alto-Produkten, die allein in den letzten zwei Monaten aufgetreten sind.

Laut den von Palo Alto veröffentlichten Empfehlungen sind nur Geräte mit einer DNS Security License oder Advanced DNS Security License und aktivierter Protokollierung betroffen. Es wäre eine einfache Annahme zu sagen, dass diese Bedingungen bedeuten, dass Top-Tier-Unternehmenskunden betroffen sind. Greenbone kann mit einem Versionserkennungstest Geräte identifizieren, die von CVE-2024-3393 betroffen sind.

Microsoft-Sicherheit im Jahr 2024: Wer hat die Fenster offengelassen?

Auch wenn es unfair wäre, Microsoft für die Bereitstellung anfälliger Software im Jahr 2024 verantwortlich zu machen, hat das Redmonder BigTech die Sicherheitserwartungen sicherlich nicht übertroffen. 2024 wurden insgesamt 1.119 CVEs in Microsoft-Produkten offengelegt; 53 erreichten einen kritischen Schweregrad (CVSS > 9.0), 43 wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, und mindestens vier waren bekannte Vektoren für Ransomware-Angriffe. Obwohl der Vergleich grob ist, gab es im Linux-Kernel mehr (3.148) neue CVEs, aber nur drei wurden als kritisch eingestuft und nur drei wurden in den KEV-Katalog der CISA aufgenommen. Hier sind die Details zu den neuen aktiv ausgenutzten CVEs in Microsoft Windows:

  • CVE-2024-35250 (CVSS 7.8 Hoch): Eine Schwachstelle zur Ausweitung von Privilegien, die es einem Angreifer mit lokalem Zugriff auf ein System ermöglicht, Privilegien auf Systemebene zu erlangen. Die Schwachstelle wurde im April 2024 entdeckt, und im Oktober wurde PoC-Exploit-Code online gestellt.
  • CVE-2024-49138 (CVSS 7.8 Hoch): Eine Heap-basierte „Buffer Overflow“-Schwachstelle [CWE-122] zur Erweiterung von Privilegien; dieses Mal im Treiber des Microsoft Windows Common Log File System (CLFS). Obwohl es keinen öffentlich zugänglichen Exploit gibt, haben Security-Forschende Hinweise darauf, dass diese Sicherheitslücke ausgenutzt werden kann, indem ein bösartiges CLFS-Protokoll erstellt wird, um privilegierte Befehle auf der Ebene der Systemberechtigungen auszuführen.

Die Erkennung und Entschärfung dieser neuen Windows CVEs ist von entscheidender Bedeutung, da sie aktiv angegriffen werden. Beide wurden in Microsofts Dezember-Patch-Release gepatcht. Greenbone kann CVE-2024-35250 und CVE-2024-49138 erkennen sowie alle anderen als CVEs veröffentlichten Sicherheitslücken von Microsoft.

Zusammenfassung

2024 unterstrich die anhaltende Herausforderung in der Cybersicherheit mit rekordverdächtigen Enthüllungen von Schwachstellen, Ransomware-Auszahlungen, DoS-Angriffen und einem alarmierenden Anstieg aktiver Ausnutzung von Schwachstellen. Die schnelle Verwandlung von Schwachstellen in Angriffswaffen unterstreicht die Notwendigkeit einer kontinuierlichen Strategie für das Schwachstellenmanagement und eines Defense-in-Depth-Ansatzes.

Im Dezember gab es neue kritische Schwachstellen in Mitel-, Apache- und Microsoft-Produkten. Weitere Netzwerkprodukte: VPNs von Array Networks und Firewalls von Zyxel werden jetzt von Ransomware-Akteuren ausgenutzt, was noch einmal bestätigt, dass proaktive Maßnahmen zur Erkennung und Patchen von Schwachstellen ergriffen werden müssen. Auf dem Weg ins Jahr 2025 wird Fortuna diejenigen begünstigen, die hierauf vorbereitet sind; Unternehmen müssen wachsam bleiben, um die Risiken in einer zunehmend feindlichen Cyberlandschaft im Zaum zu halten.

Das Schlimmste, was es aus sicherheitstechnischer Sicht in der IT gibt, ist eine aktiv ausgenutzte RCE-Schwachstelle (Remote Code Execution) mit Systemprivilegien, die keine Benutzerinteraktion erfordert. Sicherheitslücken wie diese können Software betreffen, die in Fortune-500-Unternehmen weit verbreitet ist, und werden damit zu tickenden Zeitbomben. Wenn sich fortschrittliche, hartnäckige Bedrohungsakteure auf eine solche Schwachstelle oder CVE (Common Vulnerabilities and Exposures) stürzen, wird ihre Behebung zur Notfallmaßnahme. In jüngster Zeit erfüllte CVE-2024-50623 (jetzt auch als CVE-2024-55956 verfolgt), die mehr als 4.200 Benutzer der MFT-Software (Managed File Transfer) von Cleo betrifft, all diese Voraussetzungen für eine Katastrophe. Sie wurde zum wichtigen Momentum in Ransomware-Kampagnen, die mehrere Fortune-500-Unternehmen betreffen, welche jetzt im Rampenlicht der Berichterstattung über Cybersicherheit stehen.

Diese Cybersecurity-News gibt einen Überblick über die Ereignisse im Zusammenhang mit CVE-2024-50623 und CVE-2024-55956 sowie die damit verbundenen Ransomware-Kampagnen. Auch wenn Sie kein betroffenes Produkt verwenden, erhalten Sie hier wertvolle Einblicke in den Lebenszyklus von Schwachstellen und die Risiken der Software-Lieferketten von Drittanbietern. 

CVE-2024-50623 und CVE-2024-55956: Chronik der Ereignisse

Der Lebenszyklus von Sicherheitslücken ist komplex. In unserem früheren Artikel über das Schwachstellenmanagement der nächsten Generation finden Sie eine ausführliche Erklärung, wie dieser Prozess abläuft. In diesem Bericht stellen wir den Ablauf der Offenlegung und Behebung von CVE-2024-50623 und anschließend CVE-2024-55956 vor, als ein fehlgeschlagener Patch-Versuch des Softwareanbieters Cleo entdeckt und von Ransomware-Akteuren ausgenutzt wurde. Unser Greenbone Enterprise Feed enthält Erkennungsmodule für beide CVEs [1][2], die es Unternehmen ermöglichen, anfällige Systeme zu identifizieren und Notfallmaßnahmen zu ergreifen. Hier die zeitliche Abfolge der bisherigen Ereignisse:

  • Oktober 2024: CVE-2024-50623 (CVSS 10 Kritisch), das mehrere Cleo-MFT-Produkte betrifft, wurde vom Hersteller veröffentlicht, und eine gepatchte Version 5.8.0.21 wurde freigegeben.
  • November 2024: CVE-2024-50623 wurde zur Gewinnung von Daten genutzt und wirkte sich auf mindestens zehn Organisationen weltweit aus, darunter Blue Yonder, ein von Fortune-500-Unternehmen genutzter Lieferkettenmanagement-Service.
  • Dezember 2024: Sicherheitsforscher von Huntress identifizieren eine aktive Ausnutzung von CVE-2024-50623, mit der das ursprüngliche Patch (Version 5.8.0.21) umgangen werden kann.
  • Dezember 2024: Huntress beobachtet einen deutlichen Anstieg der Ausnutzung. Dies könnte darauf zurückzuführen sein, dass der Exploit-Code im Rahmen eines Malware-as-a-Service-Geschäftsmodells für Internetkriminalität verkauft wird, oder einfach darauf, dass die Angreifer ihre Aufklärungsarbeit abgeschlossen und eine breit angelegte Kampagne mit maximaler Wirkung gestartet haben.
  • Dezember 2024: Dem Softwarehersteller Cleo wird eine aktive Ausnutzung und ein PoC-Exploit-Code (Proof of Concept) gemeldet.
  • Dezember 2024: Der Hersteller Cleo gibt eine Erklärung ab, in der er einräumt, dass seine Produkte trotz Sicherheits-Patches ausnutzbar sind, und gibt zusätzliche Hinweise zur Schadensbegrenzung heraus.
  • Dezember 2024: Wachtowr Labs veröffentlichte einen detaillierten technischen Bericht, der beschreibt, wie CVE-2024-50623 eine RCE über Arbitrary File Write [CWE-434] ermöglicht. Cleo veröffentlicht eine Anleitung zur Schadensbegrenzung und aktualisiert und den Patch auf Version 5.8.0.24.
  • Dezember 2024: Ein neuer Name, CVE-2024-55956 (CVSS 10 Kritisch), wird für die Verfolgung dieser anhaltenden Schwachstelle herausgegeben, und die CISA (Cybersecurity & Infrastructure Security Agency) fügt die Schwachstelle ihrem KEV-Katalog (Known Exploited Vulnerabilities) hinzu, der die Verwendung in Ransomware-Angriffen kennzeichnet.

Cleo-Produkte für Ransomware-Attacken missbraucht

Die von CVE-2024-50623 und CVE-2024-55956 ausgehende Gefahr für das globale Business ist hoch. Diese beiden CVEs betreffen potenziell mehr als 4.200 Kunden von Cleo LexiCom, einem Desktop-basierten Client für die Kommunikation mit großen Handelsnetzen, Cleo VLTrader, einer auf mittlere Unternehmen zugeschnittenen Lösung auf Serverebene, und Cleo Harmony für große Unternehmen.

Die CVEs wurden kürzlich in einer Ransomware-Kampagne als erste Zugangsvektoren verwendet. Der Ransomware-Angriff von Termite zog im November 2024 auch Blue Yonder, eine Tochtergesellschaft von Panasonic, in Mitleidenschaft. Blue Yonder ist eine Plattform für das Lieferkettenmanagement, die von großen Technologie-Unternehmen wie Microsoft, Lenovo und Western Digital sowie von rund 3.000 anderen globalen Unternehmen aus vielen Branchen genutzt wird; Bayer, DHL und 7-Eleven, um nur einige zu nennen. Der Ausfall des von Blue Yonder gehosteten Dienstes führte bei StarBucks zu Unterbrechungen in der Gehaltsabrechnung. Zu den jüngsten erfolgreichen Ransomware-Angriffen hat sich auch die Ransomware-Gruppe Clop bekannt.

In der zweiten Phase einiger Einbrüche in IT-Systeme listeten die Angreifer Active Directory Domänen [DS0026] auf, installierten Web-Shells [T1505.003], um sich festzusetzen [TA0003], und versuchten, Daten aus dem Netzwerk des angegriffenen Systems herauszufiltern [TA0010], nachdem sie den ersten Zugriff via RCE erhalten hatten. Eine ausführliche technische Beschreibung der Architektur der Termite-Ransomware ist verfügbar.

Behandlung von CVE-2024-50623 und CVE-2024-55956

Instanzen von Cleo-Produkten der Version 5.8.0.21 sind immer noch anfällig für Cyberangriffe. Der neueste Patch, Version 5.8.0.24, ist erforderlich, um die Anfälligkeit zu verringern. Alle Benutzer werden dringend gebeten, die Aktualisierungen rasch durchzuführen. Zu den weiteren Schutzmaßnahmen und bewährten Praktiken gehören die Deaktivierung der Autorun-Funktionalität in Cleo-Produkten, das Entfernen des Zugriffs aus dem Internet oder die Verwendung von Firewall-Regeln, um den Zugriff nur auf autorisierte IP-Adressen zu beschränken, sowie das Blockieren der IP-Adressen der in die Angriffe verwickelten Endpunkte.

Zusammenfassung

Cleo Harmony, VLTrader und LexiCom vor Version 5.8.0.24 werden aufgrund von kritischen RCE-Schwachstellen (CVE-2024-50623 und CVE-2024-55956) aktiv ausgenutzt. Diese Schwachstellen waren der Einstiegspunkt für erfolgreiche Ransomware-Angriffe gegen mindestens zehn Organisationen, von denen Fortune-500-Unternehmen betroffen waren. Greenbone bietet eine Erkennung für die betroffenen Produkte an, und die Benutzer werden dringend gebeten, Patches und Strategien zur Schadensbegrenzung anzuwenden, da Angreifer diese Schwachstellen mit Sicherheit weiterhin ausnutzen werden.

Webbrowser sind ein primäres Einfallstor für Unternehmen und folglich auch oft das erste Einfallstor für Cyberangriffe. Mithilfe von Malware, die auf Browser abzielt, könnten Angreifer direkten, unbefugten Zugriff auf das Netzwerk und die Daten eines Zielsystems erlangen. Sie könnten aber auch menschliche Opfer mit Social Engineering dazu bringen, sensible Informationen preiszugeben, um ihnen unbefugten Zugriff, etwa auf Kontodaten, zu gewähren. Im Jahr 2024 wiesen die wichtigsten Browser (Chrome, Firefox und Safari) 59 Schwachstellen mit kritischem Schweregrad (CVSS3 ³ 9) und 256 mit hohem Schweregrad (CVSS3 zwischen 7,0 und 8,9) auf. Zehn CVEs (Common Vulnerabilities and Exposures) aus der Dreiergruppe wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity & Infrastructure Security Agency) aufgenommen. Browser-Sicherheit sollte daher für Sicherheitsteams oberste Priorität haben.

Vor diesem Hintergrund sind wir stolz, die Erweiterung unserer Compliance-Funktionen um CIS Google Chrome Benchmark v3.0.0 Level 1 bekannt zu geben. Mit dieser neuesten Funktion können unsere Enterprise-Feed-Abonnenten ihre Google Chrome-Konfigurationen anhand des branchenführenden Compliance-Frameworks des CIS (Center for Internet Security) überprüfen. Die neuen Google Chrome-Benchmark-Tests werden neben unseren anderen CIS-Kontrollen in kritischen Cybersicherheitsbereichen wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1] [2] eingesetzt.

CIS Google Chrome Benchmark für Windows

Der CIS Google Chrome Benchmark v3.0.0 Level 1 ist jetzt im Greenbone Enterprise Feed verfügbar. Er legt eine gehärtete Konfiguration für den Chrome-Browser fest. Werden die Kontrollen für Windows implementiert, müssen auch Windows-Registry-Schlüssel gesetzt sein, um die Sicherheitskonfiguration von Chrome zu definieren. Eine kontinuierliche Überprüfung ist wichtig, denn wenn der Chrome-Browser auf Benutzerebene verändert wird, wird er anfälliger für Datenlecks, Social-Engineering-Angriffe oder andere Angriffsvektoren.

Unser Enterprise Vulnerability Feed nutzt Compliance-Richtlinien, um Tests auf den Endgeräten durchzuführen und jede Anforderung des CIS-Benchmarks durch einen oder mehrere spezielle Schwachstellentests zu überprüfen. Diese Tests werden in Scankonfigurationen gruppiert, die zur Erstellung von Scan-Aufgaben verwendet werden können, die dann auf Zielsystem-Gruppen zugreifen, um deren Sicherheitsstatus zu überprüfen. Greenbone unterstützt Sie bei der Einhaltung interner Risikovorgaben oder behördlicher Richtlinien.

Warum ist Browser-Security so kritisch?

Ein Großteil der wichtigen Informationen, die in einem durchschnittlichen Unternehmen fließen, wird über den Browser übertragen. Durch die Zunahme von Außendienstmitarbeitern und Cloud-basierten Webanwendungen sind Webbrowser die wichtigste Schnittstelle für geschäftliche Aktivitäten geworden. Es überrascht nicht, dass Internet-Browser in den letzten Jahren zu einer Brutstätte für Angriffe geworden sind. Nationale Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3] [4], das amerikanische CISA [5] [6] und das kanadische Zentrum für Cybersicherheit [7] haben allesamt Empfehlungen zum Umgang mit den von Internetbrowsern ausgehenden Risiken veröffentlicht.

Browser können über technische Schwachstellen und Fehlkonfigurationen ausgenutzt werden, die zu Remote Code Execution (RCE), zum Diebstahl sensibler Daten und zur Übernahme von Konten führen können, sind aber auch ein Einfallstor für Social-Engineering-Angriffe. Die Browsersicherheit muss durch die Implementierung eines gehärteten Sicherheitsprofils, dessen kontinuierliche Überprüfung und durch regelmäßige Updates zur Behebung neu entdeckter Schwachstellen gewährleistet werden. Greenbone kann bekannte Schwachstellen für veröffentlichte CVEs in allen wichtigen Browsern aufspüren. Mit unserer neuesten CIS Google Chrome Benchmark-Zertifizierung sind wir nun in der Lage, die Konformität von Browsern mit Industriestandards zu bestätigen.

Wie der CIS Google Chrome Benchmark die Browsersicherheit verbessert

Jeder CIS-Benchmark wird im Rahmen eines Konsensprüfungsprozesses entwickelt, an dem eine globale Gemeinschaft von Fachexperten aus verschiedenen Bereichen wie Beratung, Softwareentwicklung, Audit, Compliance, Sicherheitsforschung, Betrieb, Regierung und Recht beteiligt ist. Dieser gemeinschaftliche Prozess soll sicherstellen, dass die Benchmarks praxisnah und datengestützt sind und reales Fachwissen widerspiegeln. Somit sind die CIS-Benchmarks ein wichtiger Bestandteil eines soliden Cybersicherheitsprogramms.

Im Allgemeinen konzentrieren sich die CIS-Benchmarks auf sichere technische Konfigurationen und sollten zusammen mit grundlegenden Cyberhygiene-Praktiken verwendet werden, wie z. B. der Überwachung und dem zeitnahen Patchen von Schwachstellen in Betriebssystemen, Anwendungen und Bibliotheken.

Der CIS Google Chrome Benchmark definiert Sicherheitskontrollen wie zum Beispiel:

  • Keine Domäne kann die Überprüfung auf gefährliche Ressourcen wie Phishing-Inhalte und Malware umgehen.
  • Strenge Überprüfung der von Websites ausgestellten SSL/TLS-Zertifikate.
  • Verringerung der allgemeinen Angriffsfläche von Chrome, indem sichergestellt wird, dass die neuesten Updates regelmäßig automatisch eingespielt werden.
  • Der Chrome-Browser ist so konfiguriert, dass er das Abfangen von DNS erkennt, was möglicherweise DNS-Hijacking ermöglichen könnte.
  • Chrome und Erweiterungen können nicht mit anderer Software von Drittanbietern interagieren.
  • Websites und Browser-Erweiterungen können keine Verbindungen mit Medien, dem lokalen Dateisystem oder externen Geräten wie Bluetooth, USB oder Media-Casting-Geräten missbrauchen.
  • Es können nur Erweiterungen aus dem Google Chrome Web Store installiert werden.
  • Alle vom Chrome-Hauptprozess abgezweigten Prozesse werden angehalten, sobald die Chrome-Anwendung geschlossen wurde.
  • SafeSites Inhaltsfilterung blockiert Links zu nicht jugendfreien Inhalten in den Suchergebnissen.
  • Verhindern Sie den Import unsicherer Daten, wie z. B. automatisch ausgefüllte Formulardaten, Standard-Homepage oder andere Konfigurationseinstellungen.
  • Sicherstellen, dass kritische Warnungen nicht unterdrückt werden können.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums entwickeln wir unsere CIS Benchmark-Scan-Konfigurationen ständig weiter. Alle entsprechenden Richtlinien sind an den CIS-Härtungsrichtlinien ausgerichtet und von der CIS zertifiziert, um maximale Sicherheit für System-Audits zu gewährleisten. Darüber hinaus haben wir mit dem Greenbone Security Assistant (GSA) eine neue Konformitätsansicht hinzugefügt, die den Prozess für Unternehmen vereinfacht, die Schwachstellen in ihrer Infrastruktur beseitigen wollen, um Sicherheitsverletzungen zu verhindern.

Zusammenfassung

CIS-Kontrollen sind entscheidend für den Schutz von Systemen und Daten, da sie klare, umsetzbare Anleitungen für sichere Konfigurationen bieten. Der CIS Google Chrome Benchmark ist besonders auf Unternehmensebene wichtig, wo Browser viele Arten sensibler Daten beeinflussen. Greenbone erweitert die branchenführenden Fähigkeiten zur Erkennung von Schwachstellen um einen neuen Compliance-Scan: den CIS Google Chrome Benchmark v3.0.0 Level 1. Mit dieser Zertifizierung stärkt Greenbone die Position als zuverlässiger Verbündeter für proaktive Cybersicherheit. Die neuesten Funktionen spiegeln unser Engagement für die Förderung der IT-Sicherheit und den Schutz vor sich entwickelnden Cyber-Bedrohungen wider.

Auch im 16. Jahr seines Bestehens hat der Osnabrücker Experte und Marktführer im Open Source Vulnerability Management kräftig zugelegt: sowohl an Mitarbeitern, Kunden, Partnern und nicht zuletzt in diesem Blog.

Greenbone wächst weiter: In den letzten beiden Jahren konnten wir unsere Belegschaft fast verdoppeln, auf jetzt 143 Mitarbeiter, die meisten davon arbeiten remote. Natürlich brachte dieses Wachstum viel neuen, positiven Input mit sich, auch in diesem Blog, aber auch neue Strukturen – und Partys. Einen großen Schritt in der Weiterentwicklung unserer Führungskultur stellten dabei das neue People-Lead-Konzept, die „Development Talks“ mit „Cross Feedback“ und die Happiness-Erhebungen dar. Das gewachsene, weltweit verteilte Team traf sich auf diversen Veranstaltungen und besuchte zahlreiche Events zusammen. Greenbone wird weiterwachsen und ist ein moderner und beliebter Arbeitgeber. Haben Sie sich schon beworben?

Greenbone Threat Report

Es ist also kein Wunder, dass auch dieser Blog vom Wachstum profitiert und ein erfolgreiches neues Format eingeführt hat: Jeden Monat präsentiert Greenbone hier den Threat Report einen monatlichen Deep Dive in die Neuigkeiten und Schrecken des Schwachstellenmanagements, der Schadensbegrenzung und neuer Bedrohungen, die unserer Kunden (und alle, die sich für Sicherheit interessieren) auf dem Radar haben sollten. Die Serie begann im März 2024 und hat bisher zehn detaillierte Blogbeiträge hervorgebracht. Das letzte Update liegt hier.

Vom Aussterben bedroht: Ivanti, Fortinet, Exchange, Confluence…

Darüber hinaus konnten wir über mehrere kritische Schwachstellen berichten. Von Juniper und Ivanti bis Fortinet, von Problemen in Microsoft Exchange und Sharepoint bis zu Atlassians Wissensmanagement Confluence lieferten unsere Experten hilfreiche Einblicke für unsere Kunden.

Natürlich haben wir in unserem Blog über CrowdStrike berichtet und darüber, wie ein Sicherheitsanbieter in nur 62 Minuten zu einer massiven Bedrohung werden konnte. Wir informierten über die nicht enden wollenden Gefahren durch chinesische Hacker, DOS-Angriffe, automatisierte Massenangriffe und schwerwiegende SSH-Key-Probleme und brachten ausführliche Analysen und Beiträge, zum Beispiel zu den Kosten von Cyberangriffen.

Wachsende Herausforderungen: Cyberbedrohungen und neue Gesetze

In fünf Blogbeiträgen haben wir die Bedrohungslage und die spezifischen Sicherheitsrisiken in Branchen erläutert, die 2024 von Sicherheitslücken besonders stark betroffen waren: Der Mittelstand  investiert mehr in Sicherheit, Schulen in Helsinki wurden angegriffen, und natürlich sind die Netze der öffentlichen Verwaltung besonders bedroht, ebenso wie praktisch alles im Gesundheitswesen, sagt das BSI (Bundesamt für Sicherheit in der Informationstechnik). Vor allem die beiden letztgenannten Branchen, nicht nur unter unseren Kunden, werden auch von den vielen Beiträgen profitiert haben, die wir zu Regulierungen veröffentlicht haben, etwa zu CSAF (Common Security Advisory Framework) und, mit vielen Updates, zum langsamen und (in Deutschland) unterbrochenen Fortschritt von NIS2 (Network and Information Security).

Ganzjahresthema NIS2

Die NIS-Richtlinie in ihrer zweiten Auflage war und ist ein Thema, das Greenbone und unsere Kunden immer wieder beschäftigt hat. Seit die Europäische Union die zweite „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ NIS beschlossen hat, haben viele Mitgliedsstaaten Regelungen erlassen, die klarstellen, wie Unternehmen die Richtlinie umsetzen müssen. Nur in Deutschland hat das etwas länger gedauert und ist – bedingt durch den Sturz der Regierung Ende des Jahres – noch nicht abgeschlossen. Nichtsdestotrotz sind alle Informationen und Pläne verfügbar, es gibt sogar einen Test des BSI, mit dem Sie überprüfen können, ob Ihre Netzwerke betroffen sind und sofortige Maßnahmen erforderlich sind.

Greenbone in Grün: ISO 14001

Einen großen Erfolg konnte Greenbone 2024 mit der ISO 14001, einer Zertifizierung für Nachhaltigkeit erzielen. Unser CMO Elmar Geese teilte seine Gedanken über die Zukunft der Clouds und das Aufbrechen ihres Hype-Zyklus. Außerdem nahm er an einem Panel zum Thema Künstliche Intelligenz teil, was die Greenbone-Produkte neuerdings auch integrieren, ebenso wie die BSI-Grundschutz- und CIS-Richtlinien zum Schutz Ihrer Office-Software.

Neue Produkte: Major Release 24.10, Greenbone Basic, Feed-Updates

Aber 2024 bescherte auch viele Aktualisierungen und Neuigkeiten zu den Produkten: Das Schwachstellenmanagement von Greenbone erhielt mehrere Verbesserungen und Updates, mit einem neuen Video, das Schwachstellenmanagement in 11 Minuten erklärt. Im Juli erhielt unsere neue Scan-Engine Notus Unterstützung für Amazons Red-Hat-Linux-Variante, die Amazon Web Services dominiert. Später im Jahr 2024 kündigte Greenbone sowohl eine neue Major Version der Enterprise Appliance (24.10) als auch ein völlig neues Produkt an, das sich an kleine und mittlere Unternehmen richtet und „Greenbone Basic“ heißt. Bereit zum Ausprobieren?

Vielleicht möchten Sie aber auch lesen, wie Greenbone die Konkurrenz der Schwachstellen-Scanner in unserem Benchmark anführt oder herausfinden, was Ihre Key Performance Indicators für die Messung der Leistung Ihres Schwachstellen-Management-Produktes sind?

Kongresse und Events: Unsere Highlights des Jahres

Wenn Sie uns treffen wollen, finden Sie eine wachsende Anzahl von Gelegenheiten… weltweit, wie auch in unserem Blog gezeigt: Wir berichteten fast live von der anderen Seite des Globus, wo Greenbone auf der Singapore International Cyber Week vertreten war. Diese Konferenz war nicht nur eine der wichtigsten IT-Sicherheitsveranstaltungen in Asien, sondern auch eine in einer langen Liste von Geschäfts-Messen, an denen Greenbone teilnahm: Die Public IT Security (PITS) in Berlin, die it-sa in Nürnberg oder die Potsdamer Konferenz für Nationale Sicherheit, um nur einige zu nennen.

Vielen Dank und frohe Festtage!

Natürlich war auch unser 16. Jahr ein gutes Jahr, „ein sehr gutes Jahr“, und so möchten wir die Gelegenheit nutzen, um uns noch einmal bei allen Kunden, Partnern und der Community zu bedanken, denn ohne Ihre Hilfe wäre das alles nicht möglich gewesen.

Vielen Dank, frohe Festtage und ein gutes neues Jahr!