Schlagwortarchiv für: CVE

Joseph Lee

Der Frühling der Schwachstellen

Der März 2024 war ein ereignisreicher Monat für Schwachstellen und Cybersicherheit. Es war der zweite Monat in Folge, in dem das CVE-Enrichment (Common Vulnerability Exposure) auslief, was die Verteidiger in eine prekäre Lage brachte, da die Risiken weniger sichtbar waren. Der Linux-Kernel setzte sein hohes Tempo bei der Offenlegung von Schwachstellen fort und wurde als neue „CVE Numbering Authority“ (CNA) beauftragt. Darüber hinaus wurden mehrere kritische Schwachstellen in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen, darunter Microsoft Windows, Fortinet FortiClientEMS, alle wichtigen Browser und der Anbieter von „Continuous Integration And Delivery“-Software JetBrains.

Die wichtigsten Cybersecurity-Ereignisse im März:

Informationsfluss des NIST versiegt?

Das NVD-Team (National Vulnerability Database) des NIST (National Institute of Standards and Technology) hat die Anreicherung von CVE-Daten mit weiterführenden Informationen im Februar 2024 ohne Vorwarnung weitgehend eingestellt. Die CVE-Anreicherungsrate der NIST-Database verlangsamte sich im März auf knapp über 5%, und es wurde deutlich, dass es sich bei der abrupten Unterbrechung nicht nur um eine kurzfristige Störung handelte. Das gereicht Cybersicherheitsoperationen auf der ganzen Welt sehr zum Nachteil, da die NVD die größte zentrale Datenbank für Informationen über den Schweregrad von Schwachstellen ist. Ohne diese Anreicherungen stehen den Verantwortlichen für Cybersicherheit nur sehr wenige Informationen für die Priorisierung von Schwachstellen und die Entscheidungsfindung beim Risikomanagement zur Verfügung.

Experten in der Cybersicherheits-Community tauschten öffentlich Spekulationen aus, bis Tanya Brewer vom NIST auf dem VulnCon & Annual CNA Summit ankündigte, dass die nicht-regulatorische US-Regierungsbehörde einige Aspekte der NVD-Verwaltung an ein Industriekonsortium abtreten würde. Brewer erläuterte zwar nicht den genauen Grund für den Ausfall, kündigte aber mehrere zusätzliche Ziele für NIST NVD an:

  • Mögliche Einreichung von Zusatzinformationen durch mehr externe Stellen
  • Verbesserung der NVD-Software zur Identifizierung
  • Hinzufügen neuer Arten von Bedrohungsdaten wie EPSS und das NIST Bugs Framework
  • Verbesserung der Benutzerfreundlichkeit der NVD-Daten und Unterstützung neuer Anwendungsfälle
  • Automatisierung einiger Aspekte der CVE-Analyse

Es rappelt im Linux-Kernel

Insgesamt wurden im März 259 CVEs mit einer Beschreibung veröffentlicht, die mit „Im Linux-Kernel“ begannen. Dies ist der zweitaktivste Monat aller Zeiten bei der Veröffentlichung von Sicherheitslücken in Linux. Den bisherigen Rekord stellte der Vormonat mit insgesamt 279 CVEs auf. Der März markierte auch einen neuen Meilenstein für kernel.org, den Betreuer des Linux-Kernels, da dieser als CVE Numbering Authority (CNA) aufgenommen wurde. Kernel.org wird nun die Rolle der Zuweisung und Anreicherung von CVEs übernehmen, die den Linux-Kernel betreffen. Kernel.org versichert, dass CVEs nur für Schwachstellen vergeben werden, wenn ein Patch verfügbar ist, und CVEs werden nur für Versionen des Linux-Kernels vergeben, die aktiv unterstützt werden.

Brisante Sicherheitslücken in Fortinet-Produkten

In FortiOS und FortiClientEMS wurden mehrere schwere Sicherheitslücken aufgedeckt. Davon wurde CVE-2023-48788 in die KEV-Datenbank der CISA aufgenommen. Das Risiko, das von CVE-2023-48788 ausgeht, wird durch das Vorhandensein eines öffentlich zugänglichen PoC-Exploits (Proof of Concept) noch verstärkt. CVE-2023-48788 ist zwar vor allem eine SQL-Injection-Schwachstelle (CWE-89), kann aber in Verbindung mit der xp_cmdshell-Funktion von Microsoft SQL Server zur Remote Code Execution (RCE) ausgenutzt werden. Selbst wenn xp_cmdshell nicht standardmäßig aktiviert ist, haben Forscher gezeigt, dass die Schwachstelle über SQL-Injection aktiviert werden kann.

Greenbone verfügt über einen Network Vulnerability Test (NVT), mit dem Systeme identifiziert werden können, die von CVE-2023-48788 betroffen sind, über lokale Sicherheitsprüfungen, mit denen Systeme identifiziert werden können, die von CVE-2023-42790 und CVE-2023-42789 betroffen sind, sowie über eine weitere Prüfung, die von CVE-2023-36554 betroffene Systeme identifiziert. Ein PoC-Exploit für CVE-2023-3655 wurde auf GitHub veröffentlicht.

  • CVE-2023-48788 (CVSS 9.8 Kritisch): Eine SQL-Injection-Schwachstelle, die es einem Angreifer ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete Pakete in Fortinet FortiClientEMS Version 7.2.0 bis 7.2.2 auszuführen.
  • CVE-2023-42789 (CVSS 9.8 Kritisch): Ein Out-of-bounds-Write in Fortinet FortiOS ermöglicht es einem Angreifer, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen. Betroffene Produkte sind FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12, 2.0.0 bis 2.0.13.
  • CVE-2023-42790 (CVSS 8.1 Hoch): Ein Stapel-basierter Buffer Overflow in Fortinet FortiOS ermöglicht es einem Angreifer, über speziell gestaltete HTTP-Anfragen nicht autorisierten Code oder Befehle auszuführen. Zu den betroffenen Produkten gehören FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12 und 2.0.0 bis 2.0.13.
  • CVE-2023-36554 (CVSS 9.8 Kritisch): FortiManager ist anfällig für eine Sicherheitslücke in der Zugriffskontrolle bei Backup- und Restore-Funktionen, die es Angreifern ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Requests auszuführen. Betroffene Produkte sind FortiManager Version 7.4.0, Version 7.2.0 bis 7.2.3, Version 7.0.0 bis 7.0.10, Version 6.4.0 bis 6.4.13 und 6.2, alle Versionen.

Zero Day-Schwachstellen in allen wichtigen Browsern

Pwn2Own, ein spannender Hacking-Wettbewerb, fand vom 20. bis 22. März auf der Sicherheitskonferenz CanSecWest statt. Bei der diesjährigen Veranstaltung wurden 29 verschiedene Zero-Days entdeckt und über eine Million Dollar an Preisgeldern an Security-Forscher vergeben. Der unabhängige Teilnehmer Manfred Paul erhielt insgesamt 202.500 Dollar, davon 100.000 Dollar für zwei Zero-Day-Sandbox-Escape-Schwachstellen in Mozilla Firefox. Mozilla veröffentlichte rasch Updates für Firefox mit der Version 124.0.1.

Manfred Paul schaffte auch eine Remote Code Execution (RCE) in Apples Safari durch die Kombination von Pointer Authentication Code (PAC; D3-PAN) Bypass und Integer Underflow Zero-Days (CWE-191). PACs in Apples Betriebssystemen sind kryptografische Signaturen zur Überprüfung der Integrität von Pointern, um die Ausnutzung von Fehlern in korrumpierten Speichern zu verhindern. PAC wurde bereits früher für RCE in Safari umgangen. Manfred Paul hat Google Chrome und Microsoft Edge über die Schwachstelle Improper Validation of Specified Quantity in Input (CWE-1284) überlistet und damit das Browser-Exploit-Dreigestirn komplettiert.

Die Tatsache, dass alle großen Browser angegriffen wurden, unterstreicht das hohe Risiko, das der Besuch von nicht vertrauenswürdigen Internetseiten mit sich bringt, und die insgesamt mangelnde Sicherheit der großen Browserhersteller. Greenbone enthält Tests, um verwundbare Versionen von Firefox und Chrome zu identifizieren.

  • CVE-2024-29943 (CVSS 10 kritisch): Ein Angreifer konnte in Firefox über Out-of-bounds auf ein JavaScript-Objekt zugreifen, indem er die bereichsbasierte Begrenzungsprüfung austrickste. Diese Sicherheitslücke betrifft Versionen von Firefox vor 124.0.1.
  • CVE-2024-29944 (CVSS 10 kritisch): Firefox behandelte Message Manager-Listener falsch, was einem Angreifer erlaubt, einen Event Handler in ein privilegiertes Objekt einzuschleusen, um beliebigen Code auszuführen.

  • CVE-2024-2887 (hoch): Eine Type-Confusion-Schwachstelle (CWE-843) in der Implementierung von WebAssembly (Wasm) im Chrome-Browser.

Neue, aktiv ausgenutzte Microsoft-Schwachstellen

Microsofts Sicherheitshinweis vom März enthielt insgesamt 61 Sicherheitslücken, die sich auf viele Produkte auswirken. Der Windows-Kernel wies mit insgesamt acht CVEs die meisten Schwachstellen auf, von denen fünf als besonders schwerwiegend eingestuft wurden. Microsoft WDAC OLE DB provider for SQL, Windows ODBC Driver, SQL Server und Microsoft WDAC ODBC Driver sind zusammen für zehn CVEs mit hohem Schweregrad verantwortlich. Für keine der Schwachstellen in dieser Gruppe gibt es Workarounds, was bedeutet, dass Updates auf alle betroffenen Produkte angewendet werden müssen. Greenbone enthält Schwachstellentests, um die neu bekannt gewordenen Schwachstellen aus Microsofts Sicherheitshinweis zu erkennen.

Microsoft hat bisher sechs der neuen Sicherheitslücken vom März als „Ausnutzung wahrscheinlich“ gekennzeichnet, während zwei neue Sicherheitslücken, die Microsoft-Produkte betreffen, der CISA KEV-Liste hinzugefügt wurden; CVE-2023-29360 (CVSS 8.4 hoch), die den Microsoft Streaming Service betrifft, und CVE-2024-21338 (CVSS 7.8 hoch), die im Jahr 2023 veröffentlicht wurden, erhielten im März den Status „Aktiv ausgenutzt“.

CVE-2024-27198: kritische Schwachstelle in JetBrains TeamCity

TeamCity ist ein beliebter Continuous-Integration- und Continuous-Delivery-Server (CI/CD), der von JetBrains entwickelt wurde, dem Unternehmen, das auch hinter weit verbreiteten Entwicklungstools wie IntelliJ IDEA, der führenden integrierten Entwicklungsumgebung (IDE) für Kotlin, und PyCharm, einer IDE für Python, steht. TeamCity wurde entwickelt, um Softwareentwicklungsteams bei der Automatisierung und Rationalisierung ihrer Build-, Test- und Deployment-Prozesse zu unterstützen, und konkurriert mit anderen CI/CD-Plattformen wie Jenkins, GitLab CI/CD, Travis CI und Azure DevOps. TeamCity hat einen geschätzten Anteil von knapp 6 % am Gesamtmarkt für Continuous Integration and Delivery und rangiert insgesamt an dritter Stelle. Nach Angaben von JetBrains nutzen mehr als 15,9 Millionen Entwickler ihre Produkte, darunter 90 der Fortune Global Top 100-Unternehmen.

Angesichts der Marktposition von JetBrains wird eine kritische Schwachstelle in einem ihrer Produkte schnell die Aufmerksamkeit potenzieller Angreifer auf sich ziehen. Innerhalb von drei Tagen nach der Veröffentlichung von CVE-2024-27198 wurde die Schwachstelle in den KEV-Katalog der CISA aufgenommen. Der Schwachstellen-Feed von Greenbone Enterprise umfasst Tests zur Identifizierung betroffener Produkte, darunter eine Versionsprüfung und den Active Check, bei dem eine manipulierte HTTP-GET-Anfrage gesendet und die Antwort analysiert wird.

In Kombination ermöglichen CVE-2024-27198 (CVSS 9.8 kritisch) und CVE-2024-27199 einem Angreifer, die Authentifizierung über einen alternativen Pfad oder Kanal (CWE-288) zu umgehen, um geschützte Dateien zu lesen, auch solche außerhalb des eingeschränkten Verzeichnisses (CWE-23), und begrenzte Admin-Aktionen durchzuführen.

Zusammenfassung

Der Frühling beginnt mit wachsenden Software-Schwachstellen aufgrund des NIST NVD-Ausfalls und der aktiven Ausnutzung mehrerer Schwachstellen in Unternehmens- und Verbrauchersoftware. Positiv ist, dass mehrere Zero-Day-Schwachstellen, die alle wichtigen Browser betreffen, identifiziert und gepatcht wurden.

Die Tatsache, dass ein einzelner Forscher in der Lage war, so schnell alle wichtigen Browser auszunutzen, ist jedoch ein ernsthafter Weckruf für alle Unternehmen, da der Browser eine so grundlegende Rolle im modernen Unternehmensbetrieb spielt. Schwachstellenmanagement ist nach wie vor ein Kernelement der Cybersicherheitsstrategie. Durch regelmäßiges Scannen der IT-Infrastruktur auf Schwachstellen wird sichergestellt, dass die neuesten Bedrohungen identifiziert und behoben werden können – und so die Lücken geschlossen werden, die Angreifer für den Zugriff auf wichtige Systeme und Daten auszunutzen versuchen.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CISA warnt vor schwerer Sicherheitslücke in MS Sharepoint

Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.

Tracking-News: Critical Vunerability in MS Sharepoint

Remote Priviledge Execution

Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.

Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.

Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.

Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder als virtuelle Appliance. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Tracking-News: Juniper Junos-Schwachstellen

5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können

Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.

Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.

Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:

  • CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
  • CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
  • CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
  • CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
  • CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.

Verstehen des Angriffsverlaufs

Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.

Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:

Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.

CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.

Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.

Abschwächung der jüngsten Juniper Junos-Schwachstellen

Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.

Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CVE-News: Greenbone bringt Schwachstellentests für kritische Lücken in Atlassian und F5 Big-IP

Für gleich zwei kritische Sicherheitslücken in verbreiteter Enterprise-Software haben unsere Entwickler Schwachstellentests bereitgestellt. Innerhalb kürzester Zeit konnten so Tests auf CVE 2023-22518 und CVE 2023-46747 integriert und die Kunden des Greenbone Enterprise-Feed geschützt werden.

Fehlerhaftes Login bei Atlassian Confluence und Jira

Die Wissensmanagementtools Confluence und Jira des australischen Herstellers Atlassian sind von einer gravierenden Sicherheitslücke mit 9,8 von 10 Punkten auf der CERT-Skala betroffen. Seit dem 8. November wird die Schwachstelle CVE 2023-22518 laut Medienberichten von Angreifern aktiv ausgenutzt, die sich unberechtigten Zugriff auf Firmendaten verschaffen.

Der „Fehler in der Authentifizierung“ betrifft laut Hersteller alle Versionen von Confluence Data Center und Server, nicht aber die Cloud-Variante bei Atlassian selbst. Für alle anderen, auch Anwender von Jira, vor allem aber alle öffentlich zugänglichen Confluence-Server bestehe „großes Risiko und der Zwang zum sofortigen Handeln“, schreibt Atlassian.

Unsere Entwickler reagierten schnell und wir konnten unseren Kunden entsprechende Tests bereitstellen, bevor Ransomware-Angriffe erfolgreich sein konnten. Kunden des Greenbone Enterprise Feeds wurden gewarnt und an einen Patch via Update erinnert.

Remote Code Execution: F5 BIG-IP erlaubt „Request Smuggling“

Ebenfalls Ende Oktober fanden Sicherheitsforscher der Praetorian Labs eine gravierende Lücke (CVE-2023-46747) in den Produkten des Application-Security-Experten F5. Die Lösungen des amerikanischen Herstellers sollen eigentlich umfangreiche Netzwerke und Softwarelandschaften beschützen. Vor allem in großen Unternehmen kommt die 1997 als Load Balancer gestartete Software zum Einsatz.

Angreifer können jedoch, so die Experten, aus der Ferne Code auf den BIG-IP-Servern ausführen lassen, indem sie über manipulierte URLs beliebige Systembefehle in die Administrationswerkzeuge schleusen. Details finden sich bei Praetorian, Patches sind vorhanden. Betroffen ist eine lange Liste von BIG-IP-Produkten der Versionen 13, 14, 15, 16 und 17, sowohl in Hard- als auch in Software.

Auch hier haben wir schnell reagiert und noch am gleichen Tag in unseren Schwachstellenscannern Tests integriert, die die BIG-IP-Installationen auf verwundbare Versionen testen und gegebenenfalls auf die bei F5 gelisteten Patches hinweisen.

Unser Schwachstellenmanagement, die Greenbone Enterprise Appliances, bieten besten Schutz.

Die professionelle Verwaltung von Schwachstellen ist ein unerlässlicher Bestandteil der IT-Sicherheit. Sie ermöglicht die frühzeitige Identifizierung von Risiken und liefert wertvolle Handlungsanweisungen für ihre Beseitigung.

Der Greenbone Enterprise Feed wird täglich aktualisiert, um stets neue Schwachstellen aufdecken zu können. Deshalb empfehlen wir eine regelmäßige Aktualisierung und das Durchführen von Scans für alle Ihre Systeme. Lesen Sie dazu auch diesen Artikel über IT-Sicherheit und über die Zeitleiste gängiger Angriffsvektoren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone OS 21.04 – Alle Neuerungen im Überblick

Logo von Greenbone OS, dem Betriebssystem für die Greenbone Security Manager AppliancesAb dem 30.04.2021 ist die neueste GOS-Version – Version 21.04 – verfügbar und sie bringt wie immer viele neue Features und Verbesserungen mit sich! Was genau? Verschaffen Sie sich hier einen Überblick über alle wichtigen Neuerungen mit GOS 21.04!

Neue Hardware für unsere Midrange-Klasse

Für die Hardware-Appliances der Midrange-Klasse, welche für mittelgroße Unternehmen oder auch für Zweigstellen großer, verteilter Unternehmen genutzt werden, wurde eine neue Hardware-Generation eingeführt.

Die neue Hardware verwendet nun Festplatten vom Typ SSD statt HDD, welche 10-mal schneller, leiser und leichter sind. Außerdem steht auch mehr Festplattenspeicher zur Verfügung. Auch der Arbeitsspeicher wurde verbessert. Dieser ist nun vom Typ DDR4 statt DDR3, was ihn durch eine höhere Taktrate (3200 MHz) deutlich schneller macht. Des Weiteren steht doppelt bis viermal so viel Arbeitsspeicher zur Verfügung als vorher. Zusätzlich wurde eine neue, schnellere CPU der neuesten Generation verbaut. Auch die Ports der Appliances ändern sich: statt 6 Ports GbE-Base-TX und 2 Ports 1 GbE SFP sind nun 8 Ports GbE-Base-TX und 2 Ports 10 GbE SFP+ vorhanden.

Die Modellnamen bleiben unverändert.

Boreas-Erreichbarkeitsscanner jetzt als Standard

Der Boreas-Erreichbarkeitsscanner ist ein Host-Erreichbarkeitsscanner, der die aktiven Hosts in einem Zielnetzwerk identifiziert. Er wurde mit GOS 20.08 eingeführt, war bisher aber noch optional. Mit GOS 21.04 wurde der Boreas-Erreichbarkeitsscanner zum Standard.

Im Vergleich zum zuvor standardmäßig verwendeten Portscanner Nmap ist der Boreas-Erreichbarkeitsscanner hinsichtlich der maximalen Anzahl gleichzeitig durchgeführter Erreichbarkeitsscans nicht limitiert und damit schneller.

Der Boreas-Erreichbarkeitsscanner reduziert die Scanzeit für große Netzwerke mit einem geringen Anteil an erreichbaren Hosts deutlich. Dadurch ist es auch möglich, die ersten Scan-Ergebnisse schneller zu erhalten, unabhängig davon, wie hoch der Anteil erreichbarer Hosts im Netzwerk ist.

Übersichtlichere Ergebnisse durch neue Berichtformate

Für den Export von Berichten sind nun zwei weitere Berichtformate vorhanden, die die bisherigen Standardberichtformate ersetzen: Vulnerability Report PDF und Vulnerability Report HTML. Die Berichtformate sind klar strukturiert und übersichtlich. Spezielle zielgruppenrelevante Informationen können schnell erkannt und verstanden werden.

Die Berichtformate bieten eine Basis für benutzerdefinierte Berichte, welche für zukünftige GOS-Versionen geplant sind.

Beispiel für einen Greenbone Vulnerability Report mit Risikomatrix und detaillierten Scanergebnissen im HTML-Format

Neues Netzwerk-Backend für eine stabilere Verbindung

Mit GOS 21.04 wurde das Backend für die Netzwerkkonfiguration in GOS verbessert, indem der Netzwerkmodus gnm eingeführt wurde. Dies verhindert Verbindungsverluste in bestimmten Netzwerkkonfigurationen sowie Verbindungsprobleme mit SSH-Sitzungen. Außerdem muss der GSM nicht mehr neu gestartet werden, nachdem bestimmte Netzwerkeinstellungen geändert wurden.

Neue Hypervisoren für unsere virtuellen Appliances
Die offiziell unterstützten Hypervisoren für die virtuellen Appliances wurden mit GOS 21.04 geändert. Der GSM EXA/PETA/TERA/DECA und 25V kann mit Microsoft Hyper-V, VMware vSphere Hypervisor (ESXi) und Huawei FusionCompute verwendet werden, der GSM CENO mit Microsoft Hyper-V und VMware vSphere Hypervisor (ESXi) und der GSM ONE mit Oracle VirtualBox, VMware Workstation Pro und VMware Workstation Player. Zusätzlich unterstützt GOS 21.04 den ARM-Befehlssatz auf Huawei FusionCompute.

Verbesserung des Webservers, der Ciphers und der Web-Zertifikate

Mit GOS 21.04 wird zusätzlich zum Greenbone Security Assistant Daemon (gsad) der Webserver nginx verwendet. Dieser nutzt OpenSSL anstelle von GnuTLS zur Definition der verfügbaren Ciphers und Protokolle des Servers. Für die Konfiguration der TLS-Version gibt es nun im GOS-Administrationsmenü ein neues Menü. Außerdem wurde das Menü zum Konfigurieren der Ciphers angepasst.

Eine weitere Änderung findet sich bei der Generierung von HTTPS-Zertifikaten. Hier ist es nun möglich, einen oder mehrere Subject Alternative Name(s) (SAN) zu definieren. Diese dienen dazu, mehrere Domainnamen und IP-Adressen durch ein Zertifikat abzudecken.

Unterstützung von CVSS v3.0/v3.1 zur Schweregradberechnung

Für die Berechnung der Schweregrade von CVEs (Common Vulnerability Enumeration) wird nun auch Version 3.0 und 3.1 von CVSS unterstützt.

NVTs und CVEs können CVSS-Daten der Version 2 und/oder der Version 3.0/3.1 enthalten. Wenn ein/e NVT/CVE sowohl CVSS-v2-Daten als auch CVSS-v3.0/v3.1-Daten enthält, werden immer die CVSS-v3.0/v3.1-Daten verwendet und angezeigt.

Die Seite CVSS-Rechner enthält nun sowohl einen Rechner für CVSS v2 als auch einen Rechner für CVSS v3.0/v3.1.

Screenshot eines Vergleichs zwischen CVSSv2- und CVSSv3.1-Berechnung in GOS 21.04, jeweils mit Schweregrad, Vektor und Risikoeinstufung für eine Beispiel-Schwachstelle.

Open Scanner Protocol macht alle Sensor-GSMs leichtgewichtig

Bereits mit GOS 20.08 war es optional für alle Sensoren möglich, diese über das Open Scanner Protocol (OSP) steuern zu lassen. Dies führt dazu, dass die Sensoren leichtgewichtig werden und vermeidet, dass zusätzliche Anmeldedaten auf dem Sensor benötigt werden.

Mit GOS 21.04 wird nun nur noch OSP als Protokoll genutzt, um einen Sensor-GSM über einen Master-GSM zu steuern. Das Greenbone Management Protocol (GMP) wird nicht mehr verwendet.

Vereinfachte und intuitivere Funktionen auf der Web-Oberfläche

Mit GOS 21.04 wurden zudem einige kleinere Änderungen an GOS und an der Web-Oberfläche vorgenommen, um die Bedienung des GSM und das Scannen übersichtlicher und intuitiver zu machen.

So wurden die Auto-FP-Funktion und die alternativen Schweregradklassen-Schemata – BSI Schwachstellenampel und PCI-DSS – entfernt.

Einige Geräte – insbesondere IoT-Geräte – können abstürzen, wenn sie über mehrere IP-Adressen gleichzeitig gescannt werden. Dies kann zum Beispiel passieren, wenn das Gerät über IPv4 und IPv6 verbunden ist. Mit GOS 21.04 ist es möglich, das Scannen über mehrere IP-Adressen gleichzeitig zu vermeiden, indem beim Anlegen eines Ziels die neue Einstellung Erlaube das gleichzeitige Scannen über verschiedene IPs verwendet wird.

Sehen Sie selbst!

Überzeugen Sie sich selbst von unseren neuen Features und Änderungen! Ab sofort sind neue Appliances mit GOS 21.04 erhältlich und auch bestehende Appliances können auf die neueste Version aktualisiert werden. Auch unsere kostenlose Testversion ist mit GOS 21.04 verwendbar.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von