Schlagwortarchiv für: Cyber Security

Markus Feilner

Kommunen, Behörden und Unternehmen unter Druck: Schwere Angriffe nehmen zu, NIS2 wird Vorschrift

Nachdem Experten bereits 2023 einen rapiden Zuwachs bei Cyberangriffen auf Kommunen und Behörden feststellen mussten, hören die Schreckensmeldungen auch 2024 nicht auf. Der Handlungsdruck ist enorm, denn ab Oktober tritt die NIS2-Richtline der EU in Kraft und macht Risiko- und Schwachstellenmanagement zur Pflicht.

„Die Gefährdungslage ist so hoch wie nie“ sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner bei der Bitkom Anfang März. Die Frage sei nicht, ob ein Angriff erfolgreich ist, sondern nur wann. Auch die jährlichen Berichte des BSI, zum Beispiel der jüngste Report von 2023 sprächen da Bände. Auffällig sei aber, so Plattner, wie oft Kommunen, Krankenhäuser und andere öffentliche Institutionen im Mittelpunkt der Angriffe stünden. Aber es gebe „kein Maßnahmen- sondern ein Umsetzungsproblem in den Unternehmen und Behörden“.  Klar ist: Schwachstellenmanagement wie das von Greenbone kann dabei schützen und helfen, das Schlimmste zu vermeiden.

US-Behörden durch chinesische Hacker unterwandert

Angesichts der zahlreichen gravierenden Sicherheitsvorfälle wird das Schwachstellenmanagement von Jahr zu Jahr wichtiger. Knapp 70 neue Sicherheitslücken kamen in den letzten Monaten täglich hinzu. Einige von Ihnen öffneten tief in US-Behörden hinein Tür und Tor für Angreifer, wie im Greenbone Enterprise Blog berichtet:

Über gravierende Sicherheitslücken waren US-Behörden Medien zufolge seit Jahren durch chinesische Hackergruppen wie die wohl staatlich gesponserte „Volt Typhoon“ unterwandert. Dass Volt Typhoon und ähnliche Gruppierungen ein großes Problem sind, bestätigte sogar Microsoft selbst in einem Blog bereits im Mai 2023. Doch damit nicht genug: „Volt Typhoon macht sich die reichlich auftretenden Sicherheitslücken in VPN-Gateways und Routern der Marken FortiNet, Ivanti, Netgear, Citrix und Cisco zunutze. Diese gelten derzeit als besonders verwundbar“, war bei Heise zu lesen.

Dass der Quasi-Monopolist bei Office, Groupware, Betriebssystemen und diversen Clouddiensten 2023 auch noch zugeben musste, dass er sich den Masterkey für große Teile seiner Microsoft-Cloud hat stehlen lassen, zerstörte das Vertrauen in den Redmonder Softwarehersteller vielerorts. Wer diesen Key besitzt, braucht keine Backdoor mehr für Microsoft-Systeme, schreibt Heise. Vermutet werden hierbei ebenfalls chinesische Hacker.

Softwarehersteller und -Lieferanten

Die Lieferkette für Softwarehersteller steht nicht erst seit log4j oder dem Europäischen Cyber Resilience Act unter besonderer Beobachtung bei Herstellern und Anwendern. Auch das jüngste Beispiel um den Angriff auf den XZ-Komprimierungsalgorithmus in Linux zeigt die Verwundbarkeit von Herstellern. Bei der „#xzbackdoor“ hatte eine Kombination aus purem Zufall und den Aktivitäten von Andres Freund, ein sehr an Performance orientierter, deutscher Entwickler von Open-Source-Software für Microsoft, das Schlimmste verhindert.

Hier tat sich ein Abgrund auf: Nur dank der Open-Source-Entwicklung und einer gemeinsamen Anstrengung der Community kam heraus, dass Akteure über Jahre hinweg mit hoher krimineller Energie und mit Methoden, die sonst eher von Geheimdiensten zu erwarten sind, wechselnde Fake-Namen mit diversen Accounts benutzt hatten. Ohne oder mit nur wenig Benutzerhistorie bedienten sie sich ausgeprägter sozialer Betrugsmaschen, nutzen die notorische Überlastung von Betreibern aus und erschlichen sich das Vertrauen von freien Entwicklern. So gelang es ihnen, fast unbemerkt Schadcode in Software einzubringen. Nur dem Performance-Interesse von Freund war es schließlich zu verdanken, dass der Angriff aufflog und der Versuch scheiterte, eine Hintertür in ein Tool einzubauen.

US-Offizielle sehen auch in diesem Fall Behörden und Institutionen besonders bedroht, selbst wenn der Angriff eher ungezielt, für den massenhaften Einsatz ausgerichtet zu sein scheint. Das Thema ist komplex und noch lange nicht ausgestanden, geschweige denn vollumfänglich verstanden. Sicher ist nur: Die Usernamen der Accounts, die die Angreifer verwendet haben, waren bewusst gefälscht. Wir werden im Greenbone Blog weiter darüber berichten.

Europäische Gesetzgeber reagieren

Schwachstellenmanagement kann solche Angriffe nicht verhindern, aber es leistet unverzichtbare Dienste, indem es Administratoren proaktiv warnt und alarmiert, sobald ein derartiger Angriff bekannt wird – und dies meist, noch bevor ein Angreifer Systeme kompromittieren konnte. Angesichts aller Schwierigkeiten und dramatischen Vorfälle überrascht es nicht, dass auch Gesetzgeber die Größe des Problems erkannt haben und das Schwachstellenmanagement zum Standard und zur Best Practice in mehr und mehr Szenarien erklären.

Gesetze und Regulierungen wie die neue NIS2-Richtline der EU schreiben den Einsatz von Schwachstellenmanagement zwingend vor, auch in der Software-Lieferkette. Selbst wenn NIS2 eigentlich nur für etwa 180.000 Organisationen und Unternehmen der Kritischen Infrastruktur (KRITIS) beziehungsweise „besonders wichtige“ oder „bedeutende“ Unternehmen Europas gilt, sind die Regulierungen grundsätzlich sinnvoll – und ab Oktober Pflicht. Die „Betreiber wesentlicher Dienste“, betont die EU-Kommission, „müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“

Ab Oktober vorgeschrieben: Ein„Minimum an Cyber-Security-Maßnahmen“

Die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2)“ zwingt Unternehmen der europäischen Gemeinschaft, einen „Benchmark eines Minimums an Cyber-Security-Maßnahmen zu implementieren“, darunter auch Risikomanagement, Weiterbildung, Policies und Prozeduren, auch und gerade in der Zusammenarbeit mit Software-Lieferanten. In Deutschland sollen die Bundesländer die genaue Umsetzung der NIS2-Regelungen definieren.

Haben Sie Fragen zu NIS2, dem Cyber Resilience Act (CRA), zu Schwachstellenmanagement allgemein oder den beschriebenen Sicherheitsvorfällen? Schreiben Sie uns! Wir freuen uns darauf, mit Ihnen zusammen, die richtige Compliance-Lösung zu finden und Ihrer IT-Infrastruktur den Schutz zu geben, den sie heute angesichts der schweren Angriffe benötigt.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CISA warnt vor schwerer Sicherheitslücke in MS Sharepoint

Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.

Tracking-News: Critical Vunerability in MS Sharepoint

Remote Priviledge Execution

Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.

Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.

Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.

Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Tracking-News: Juniper Junos-Schwachstellen

5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können

Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.

Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.

Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:

  • CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
  • CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
  • CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
  • CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
  • CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.

Verstehen des Angriffsverlaufs

Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.

Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:

Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.

CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.

Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.

Abschwächung der jüngsten Juniper Junos-Schwachstellen

Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.

Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Gemeinsam mit dem BSI: Das neue SMP-Bund-Portal

Wir bei Greenbone freuen uns sehr, in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Greenbone SMP-Bund-Portal einzuführen. Als führender Anbieter von IT-Sicherheitslösungen sind wir stolz darauf, diese speziell auf die Bedürfnisse der Bundesbehörden zugeschnittene Plattform anbieten zu können.

Ein Portal, das Maßstäbe setzt

Das Greenbone SMP-Bund-Portal ist die zentrale Anlaufstelle für IT-Sicherheit und Schwachstellenmanagement. Es wurde entwickelt, um Behörden konkrete Unterstützung bei den aktuellen Herausforderungen der IT-Sicherheit zu bieten.

Viele Vorteile für Bundesbehörden

  1. Einfach verständliche Einblicke: Das Portal bietet klare und anwenderfreundliche Informationen zum Schwachstellenmanagement. Es ist ideal sowohl für Einsteiger als auch für Experten in der IT-Sicherheit.
  2. Exklusive Rahmenvertragskonditionen: Bundesbehörden genießen spezielle Angebote und Vorzüge. Die Ausschreibungspflicht entfällt, was Zeit und Ressourcen spart.
  3. Persönlicher Support: Das kompetente Support-Team steht unseren Kunden stets zur Seite, um Fragen zu beantworten und Unterstützung zu gewährleisten.
  4. Direkter Draht zum Behörden-Sales Team: Fachkundige Beratung unseres Teams, das sich bestens mit den spezifischen Anforderungen für Bundesbehörden auskennt. Wir freuen uns auf die weitere vertrauensvolle Zusammenarbeit mit dem BSI und stehen für Rückfragen gerne zur Verfügung.
  5. Gelegenheit zum Austausch: Nutzen Sie das gemeinsame Forum um Ihre Erfahrungen und Fragen zu teilen.

https://smp-bund.greenbone.net/

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Die Verbindung von Open-Source und Cybersicherheit in Unternehmen: Einblicke von der #OSXP2023 in Paris

Internationale Diskussionsrunde über effektive Cybersicherheit bei der #OSXP2023

Beim renommierten #OSXP2023-Event in Paris haben wir an der Diskussionsrunde „Cybersécurité et open source“ teilgenommen. Dort diskutierten wir intensiv darüber, wie die Cybersicherheit in Unternehmen verbessert werden kann. Das Gremium, bestehend aus internationalen, bekannten Experten aus Wissenschaft und Regierung, konzentrierte sich auf diese Punkte für starke Cybersicherheit.

1. Die Einstellung zu Sicherheitsthemen

Security by Design: Eine Management-Aufgabe

  • Das Panel betonte, wie wichtig es ist, Sicherheit bereits in den Anfangsphasen der Entwicklung zu berücksichtigen. Dafür ist es nötig, dass die Unternehmensführung Sicherheit in allen Geschäftsbereichen priorisiert.

Eine Mentalität, die auf sichere und geschützte Lösungen ausgerichtet ist

  • Unternehmen sollten eine Kultur entwickeln, bei der Sicherheit ein fester Bestandteil des Denkprozesses ist. Ziel ist es, Lösungen anzubieten, die von Natur aus sicher und geschützt sind.

2. Umsetzung wichtiger Prozesse

Einhaltung von Standards und Automatisierung

  • Es wurde betont, wie wichtig es ist, sich an etablierte Cybersicherheitsstandards zu halten. Empfohlen wird, Prozesse zu automatisieren, um Konsistenz und Effizienz zu gewährleisten.

Keine Umsetzung ohne Sicherheitskonformität

  • Es wurde empfohlen, keine Umsetzungen oder Maßnahmen durchzuführen, ohne die notwendigen Sicherheitsanforderungen zu erfüllen.

3. Ressourcen: Teams stärken und Wachsamkeit erhöhen

Spezialisierte Sicherheitsteams und Schulungen

  • Entscheidend sei, spezialisierte Sicherheitsteams zu haben und regelmäßige Schulungen durchzuführen, um ein hohes Sicherheitsbewusstsein und Vorbereitung zu gewährleisten.

Wachsamkeit als kontinuierliche Aufgabe

  • Ständige Wachsamkeit wurde als Schlüsselressource hervorgehoben, um sicherzustellen, dass Sicherheitsmaßnahmen immer aktuell und wirksam sind.

4. Wesentliche Werkzeuge und Technologien

Verpflichtende Multi-Faktor-Authentifizierung (MFA)

  • Die Implementierung von MFA als obligatorische Maßnahme, um die Sicherheit von Konten erheblich zu verbessern, wurde stark empfohlen.

Schwachstellenscanner und Abhängigkeitsmanagement

  • Der Einsatz von Schwachstellenscannern und das Management von Abhängigkeiten und Konfigurationen wurden als unverzichtbare Werkzeuge bewertet. Plattformen wie GitHub Enterprise mögen ihren Preis haben, bieten aber umfassende Lösungen für diese Bedürfnisse.

Fazit: Schulungen, Achtsamkeit und der Einsatz von Open-Source-Tools

Abschließend betonte das Panel bei #OSXP2023, einschließlich unseres Experten Corentin Bardin, Spezialist für Cybersicherheit und Pentester, die Bedeutung von kontinuierlicher Weiterbildung im sich schnell entwickelnden Bereich der Cybersicherheit. Sie sprachen sich für den Einsatz von Open-Source-Werkzeugen zur Stärkung der Sicherheitsmaßnahmen aus.

Die wichtigste Erkenntnis aus der Diskussion ist das Engagement, sichere Dienstleistungen anzubieten. Es geht nicht nur um Werkzeuge und Prozesse, sondern um die Denkweise und das kontinuierliche Bestreben, wachsam und informiert zu bleiben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Vermutlich pro-russische Hacker versuchen, Sharepoint Schwachstelle auszunutzen

Update vom 06.12.2023:

Letzte Woche berichteten wir über pro-russische Hacktivisten, die nach verwundbaren Sharepoint-Servern scannen, um eine kritische Schwachstelle (CVE-2023-29357) auszunutzen.

Neue Erkenntnisse deuten darauf hin, dass die Gruppe, die sich selbst „Zarya“ nennt, verschiedene Exploit-Versuche unternimmt, darunter Directory-Traversal und das Abzielen auf spezifische Schwachstellen in Systemen wie OpenWRT-Routern.

Die IP-Adresse 212.113.106.100, die mit diesen Aktivitäten in Verbindung steht, wurde bei mehreren unterschiedlichen Exploit-Versuchen beobachtet. Zusätzlich zu einfachen Erkundungen wurden auch spezifische Angriffe auf Konfigurationsdateien und Admin-APIs festgestellt.

Dieser Fall unterstreicht erneut die Bedeutung der Absicherung von Systemen gegen solche Bedrohungen und zeigt, wie ungeschützte oder schlecht konfigurierte Systeme Ziel solcher Angriffe werden können.

Eine kritische Schwachstelle für Sharepoint (CVE-2023-29357), wird von vermutlich pro-russischen Angreifern angegangen, die versuchen, diese Schwachstelle auszunutzen. 

Das Internet Storm Center hat entsprechende Aktivitäten auf seinen Honeypots entdeckt. Der Schweregrad für diese Schwachstelle ist kritisch (ein Wert von 9,8 von 10), und die Angriffskomplexität ist sehr gering, was diese Schwachstelle besonders gefährlich macht. Greenbone-Kunden können von der automatischen Erkennung dieser Schwachstelle in unserem Enterprise Feed profitieren. Microsoft bietet seit dem 12. Juni 2023 ein Sicherheitsupdate an, Microsoft-Kunden, die das Update verpasst haben, sollten es jetzt installieren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

IT-Sicherheitsupdate November 2023: Kritische Schwachstellen und Bedrohungen

Im neuesten CVE-Update für November 2023 wurden mehrere kritische Schwachstellen und Sicherheitsbedrohungen aufgedeckt. Das Internetworking Operating System (IOS) XE Software Web User Interface (UI) von Cisco wurde durch zwei aktiv ausgenutzte kritische Schwachstellen verwundbar, über die Angreifer beliebigen Code aus der Ferne ausführen können. Das Befehlszeilen-Tool Curl, das auf verschiedenen Plattformen weit verbreitet ist, wies eine schwerwiegende Schwachstelle auf, die zur Ausführung von beliebigem Code, während SOCKS5-Proxy-Handshakes führen könnte. VMware drängt auf sofortige Updates für seinen vCenter Server aufgrund einer kritischen Sicherheitslücke, die möglicherweise zur Ausführung von Remote-Code führt. Mehrere Schwachstellen wurden in Versionen von PHP 8 gefunden; eine davon ist eine besonders kritische Deserialisierungsschwachstelle im PHAR-Extraktionsprozess. Außerdem wurde SolarWinds Access Rights Manager (ARM) für mehrere kritische Schwachstellen anfällig, was die Dringlichkeit eines Updates auf Version 2023.2.1 unterstreicht. Schließlich wurden zwei F5 BIG-IP-Schwachstellen entdeckt, die aktiv ausgenutzt werden, wobei Optionen zur Schadensbegrenzung zur Verfügung stehen, die im Folgenden beschrieben werden.

Cisco IOS XE: Mehrere kritische Sicherheitslücken

Zwei aktiv ausgenutzte kritische CVSS-10-Schwachstellen wurden in Ciscos Internetworking Operating System (IOS) XE-Software Web-User-Interface (UI) entdeckt; CVE-2023-20198 und CVE-2023-20273. Zusammen ermöglichen sie es einem Angreifer, beliebigen Code als Systembenutzer aus der Ferne auszuführen. Es wird geschätzt, dass in den letzten Wochen Zehntausende von verwundbaren Geräten ausgenutzt worden sind. Greenbone hat sowohl eine Erkennung für das verwundbare Produkt nach Version [1] als auch eine weitere zur Erkennung der implantierten Konfigurationsdatei BadCandy [2] hinzugefügt. Beides sind VTs, die in Greenbone’s Enterprise Schwachstellen-Feed enthalten sind.

Cisco IOS wurde in den 1980er Jahren entwickelt und als integriertes Betriebssystem in den Routern des Netzwerkriesen eingesetzt. Heute, im Jahr 2023, ist IOS XE eine führende Softwarelösung für Unternehmensnetzwerke, die Cisco-Plattformen für Zugang, Verteilung, Core, Wireless und WAN unterstützt. IOS XE ist Linux-basiert und speziell für Netzwerk- und IT-Infrastruktur, Routing, Switching, Netzwerksicherheit und Management optimiert. Cisco-Geräte sind in der globalen IT-Infrastruktur allgegenwärtig und werden von Organisationen aller Größenordnungen eingesetzt, darunter Großunternehmen, Regierungsbehörden, kritische Infrastrukturen und Bildungseinrichtungen.

Hier sehen Sie, wie die beiden kürzlich bekannt gewordenen CVEs funktionieren:

  • CVE-2023-20198 (CVSS 10 kritisch): Ermöglicht einem entfernten, nicht authentifizierten Angreifer die Erstellung eines Kontos [T1136] auf einem betroffenen System mit Zugriff auf die Privilegstufe 15 (auch bekannt als privilegierte EXEC-Stufe) [CWE-269]. Die Privilegstufe 15 ist die höchste Zugriffsstufe auf Cisco IOS. Der Angreifer kann dann dieses Konto verwenden, um die Kontrolle über das betroffene System zu erlangen.
  • CVE-2023-20273 (CVSS 7.2 hoch): Ein normaler Benutzer, der sich bei der IOS XE-Web-UI anmeldet, kann Befehle einschleusen [CWE-77], die anschließend auf dem zugrunde liegenden System mit den Systemrechten (root) ausgeführt werden. Diese Sicherheitslücke wird durch eine unzureichende Eingabevalidierung verursacht [CWE-20]. CVE steht auch im Zusammenhang mit einem Lua-basierten Web-Shell-Implantat [T1505.003] mit der Bezeichnung „Bad Candy“. Bad Candy besteht aus einer Nginx-Konfigurationsdatei namens ‚cisco_service.conf´, die einen URI-Pfad für die Interaktion mit dem Web-Shell-Implantat einrichtet, aber einen Neustart des Webservers erfordert.

Cisco hat Software-Updates zur Abschwächung beider CVEs in IOS-XE-Softwareversionen veröffentlicht, darunter die Versionen 17.9, 17.6, 17.3 und 16.12 sowie verfügbare Software-Maintenance-Upgrades (SMUs). IT-Sicherheitsteams wird dringend empfohlen, diese zu installieren. Cisco hat außerdem zugehörige Indikatoren für die Kompromittierung (Indicators of Compromise, IoC), Snort-Regeln für die Erkennung aktiver Angriffe und eine Seite mit technischen FAQs für das TAC veröffentlicht. Die Deaktivierung der Webbenutzeroberfläche verhindert die Ausnutzung dieser Schwachstellen und kann eine geeignete Abhilfemaßnahme sein, bis die betroffenen Geräte aufgerüstet werden können. Öffentlich veröffentlichter Proof-of-Concept (PoC)-Code [1][2] und ein Metasploit-Modul erhöhen die Dringlichkeit, die verfügbaren Sicherheitsupdates anzuwenden, zusätzlich.

Kritische Sicherheitslücke im Tool Curl

Eine weit verbreitete Sicherheitslücke wurde in dem beliebten Befehlszeilen-Tool Curl, Libcurl, und den vielen Softwareanwendungen, die diese auf einer Vielzahl von Plattformen nutzen, entdeckt. Die als CVE-2023-38545 (CVSS 9.8 Critical) eingestufte Schwachstelle führt dazu, dass Curl einen Heap-basierten Puffer [CWE-122] im SOCKS5-Proxy-Handshake überlaufen lässt, was zur Ausführung von beliebigem Code führen kann [T1203]. Der Community-Feed von Greenbone enthält mehrere NVTs [1], um viele der betroffenen Softwareprodukte zu erkennen, und wird weitere Erkennungen für CVE-2023-38545 hinzufügen, sobald weitere verwundbare Produkte identifiziert werden.

CVE-2023-38545 ist eine clientseitige Sicherheitslücke, die ausgenutzt werden kann, wenn ein Hostname an den SOCKS5-Proxy übergeben wird, der die maximale Länge von 255 Byte überschreitet. Wenn ein übermäßig langer Hostname übergeben wird, sollte Curl die lokale Namensauflösung verwenden und den Namen nur an die aufgelöste Adresse weitergeben. Aufgrund der Sicherheitslücke CVE-2023-38545 kann Curl jedoch den übermäßig langen Hostnamen in den Zielpuffer kopieren, anstatt nur die aufgelöste Adresse dorthin zu kopieren. Da der Zielpuffer ein heap-basierter Puffer ist und der Hostname aus der URL stammt, führt dies zu einem heap-basierten Überlauf.

Der Schweregrad der Sicherheitslücke wird als hoch eingestuft, da sie aus der Ferne ausgenutzt werden kann und eine große Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) des zugrunde liegenden Systems hat. Die SOCKS5-Proxy-Methode ist nicht der Standard-Verbindungsmodus und muss explizit angegeben werden. Außerdem muss ein Angreifer einen SOCKS5-Handshake herbeiführen, der langsam genug ist, um den Fehler auszulösen, damit es zu einem Überlauf kommt. Alle Versionen von curl zwischen v7.69.0 (veröffentlicht am 4. März 2020) bis v8.3.0 sind betroffen. Der verwundbare Code wurde in v8.4.0 Commit 4a4b63daaa gepatcht.

VMware vCenter Server: Mehrere Sicherheitslücken

CVE-2023-34048 ist eine schwerwiegende Sicherheitslücke, die es einem böswilligen Akteur mit Netzwerkzugriff auf vCenter-Server ermöglichen könnte, einen Out-of-Bounds-Schreibvorgang [CWE-787] auszulösen, der möglicherweise zur Remotecodeausführung (RCE) führt. Die betroffene Software umfasst VMware vCenter Server Versionen 6.5, 6.7, 7.0 und 8.0. VMware hat einen Sicherheitshinweis zu beiden Schwachstellen herausgegeben, der besagt, dass es außer der Installation der bereitgestellten Updates keine bekannten Abhilfemaßnahmen gibt. Beide Schwachstellen können über den Greenbone Enterprise Vulnerability Feed [1] entdeckt werden. Der Patch für vCenter Server behebt auch CVE-2023-34056, eine Sicherheitslücke mittleren Schweregrades, die durch unsachgemäße Autorisierung entstanden ist [CWE-285].

Obwohl es keine Berichte gibt, dass CVE-2023-34048 aktiv in freier Wildbahn ausgenutzt wird, haben Angreifer bewiesen, dass sie Bedrohungsinformationen schnell in Exploit-Code umwandeln können. Untersuchungen der Bedrohungsforschungsgruppe Unit 42 von Palo Alto Networks zeigen, dass ein Exploit im Durchschnitt 37 Tage nach der Veröffentlichung eines Sicherheitspatches veröffentlicht wird.

Hier finden Sie einige kurze Details zu beiden CVEs:

  • CVE-2023-34048 (CVSS 9.8 Critical): vCenter Server enthält eine Schwachstelle in der Implementierung des DCERPC-Protokolls, die das Schreiben außerhalb der Grenzen erlaubt [CWE-787]. Ein böswilliger Akteur mit Netzwerkzugang zum vCenter-Server kann diese Schwachstelle ausnutzen, um Remotecodeausführung (RCE) zu erreichen. Das Distributed Computing Environment Remote Procedure Call (DCERPC)-Protokoll erleichtert Remote Procedure Calls (RPC) in verteilten Computerumgebungen und ermöglicht Anwendungen die Kommunikation und den Aufruf von Funktionen über vernetzte Systeme hinweg.
  • CVE-2023-34056 (CVSS 4.3 Medium): vCenter Server enthält eine Sicherheitslücke, die eine teilweise Offenlegung von Informationen ermöglicht. Ein böswilliger Akteur mit nicht-administrativen Rechten für vCenter-Server kann dieses Problem ausnutzen, um auf nicht autorisierte Daten zuzugreifen.

Mehrere Sicherheitslücken in PHP 8 entdeckt

Es wurden mehrere Sicherheitslücken in PHP 8.0.X vor 8.0.28, 8.1.X vor 8.1.16 und 8.2.X vor 8.2.3 entdeckt. Obwohl die Gruppe der Schwachstellen eine kritische und zwei hochgradig gefährliche Schwachstellen enthält, erfordern diese Schwachstellen einen bestimmten Kontext, um ausgenutzt werden zu können: Entweder die Deserialisierung von PHP-Anwendungen mit PHAR oder die Verwendung der zentralen Pfadauflösungsfunktionen von PHP bei nicht vertrauenswürdigen Eingaben. Der VT-Feed von Greenbone für Unternehmen enthält mehrere Tests zur Erkennung dieser Schwachstellen auf verschiedenen Plattformen.

Hier finden Sie kurze Beschreibungen der schwerwiegendsten aktuellen PHP-8-Sicherheitslücken:

  • CVE-2023-3824 (CVSS 9.8 kritisch): Eine PHAR-Datei (kurz für PHP-Archive) ist ein komprimiertes Paketierungsformat in PHP, das dazu dient, komplette PHP-Anwendungen in einer einzigen Archivdatei zu verteilen und bereitzustellen. Beim Lesen von Verzeichniseinträgen während des Ladevorgangs des PHAR-Archivs kann eine unzureichende Längenüberprüfung zu einem Stapelpufferüberlauf [CWE-121] führen, was eine Beschädigung des Speichers oder eine Remotecodeausführung (RCE) zur Folge haben kann.
  • CVE-2023-0568 (CVSS 8.1 hoch): Die zentrale Pfadauflösungsfunktion von PHP weist einen Puffer zu, der ein Byte zu klein ist. Bei der Auflösung von Pfaden, deren Länge nahe an der Systemeinstellung ‚MAXPATHLEN´ liegt, kann dies dazu führen, dass das Byte nach dem zugewiesenen Puffer mit dem Wert NULL überschrieben wird, was zu unbefugtem Datenzugriff oder -änderung führen kann. Die zentrale Pfadauflösung von PHP wird für die Funktionen ‚realpath()´ und ‚dirname()´, beim Einbinden anderer Dateien mit Hilfe von ‚include()‘, ‚include_once()´, ‚require()‘ und ‚require_once()‘ sowie bei der Auflösung von PHPs „magischen“ Konstanten“ wie ‚__FILE__‘ und ‚__DIR__´ verwendet.
  • CVE-2023-0567 (CVSS 6.2 Medium): Die Funktion ‚password_verify()´ von PHP kann einige ungültige Blow Fish-Hashes als gültig akzeptieren. Wenn ein solcher ungültiger Hash jemals in der Passwortdatenbank landet, kann dies dazu führen, dass eine Anwendung jedes Passwort für diesen Eintrag als gültig akzeptiert [CWE-287]. Bemerkenswert ist, dass diese Sicherheitslücke von NIST (CVSS 6.2 Medium) und der PHP-Group CNA (CVSS 7.7 High) unterschiedlich bewertet Der Unterschied besteht darin, dass die PHP-Group CNA CVE-2023-0567 als hohes Risiko für die Vertraulichkeit einstuft, während NIST dies nicht tut. CNAs sind eine Gruppe von unabhängigen Anbietern, Forschern, Open-Source-Softwareentwicklern, CERT, gehosteten Diensten und Bug Bounty-Organisationen, die vom CVE-Programm autorisiert sind, CVE-IDs zuzuweisen und CVE-Einträge innerhalb ihres eigenen spezifischen Abdeckungsbereichs zu veröffentlichen.

SolarWinds Access Rights Manager (ARM): Mehrere kritische Sicherheitslücken

SolarWinds Access Rights Manager (ARM) vor Version 2023.2.1 ist für 8 verschiedene Schwachstellen anfällig; eine kritische und zwei weitere hochgefährliche Schwachstellen (CVE-2023-35182, CVE-2023-35185 und CVE-2023-35187). Dazu gehören die authentifizierte und unauthentifizierte Privilegienerweiterung [CWE-269], Directory Traversal [CWE-22] und Remote Code Execution (RCE) auf der privilegiertesten Ebene „SYSTEM“. Greebone’s Enterprise-Schwachstellen-Feed umfasst sowohl die lokale Sicherheitsprüfung (LSC) [1] als auch die HTTP-Fernerkennung [2].

SolarWinds ARM ist eine Software für die Zugriffskontrolle in Unternehmen für Windows Active Directory (AD)-Netzwerke und andere Ressourcen wie Windows-File-Server, Microsoft-Exchange-Dienste und Microsoft SharePoint sowie für Virtualisierungsumgebungen, Cloud-Dienste, NAS-Geräte und mehr. Die weite Verbreitung von ARM und anderen SolarWinds-Softwareprodukten bedeutet, dass ihre Schwachstellen ein hohes Potenzial haben, sich auf eine Vielzahl von großen Organisationen einschließlich kritischer Infrastrukturen auszuwirken.

Diese und weitere aktuelle Schwachstellen werden in den Sicherheitshinweisen von SolarWinds bekannt-gegeben. Obwohl keine Berichte über eine aktive Ausnutzung veröffentlicht wurden, wird eine Abschwächung dringend empfohlen und ist durch die Installation von SolarWinds ARM-Version 2023.2.1 verfügbar.

F5 BIG-IP: Unauthentifizierte RCE- und authentifizierte SQL-Injection-Schwachstellen

Zwei RCE-Schwachstellen in F5 BIG-IP, CVE-2023-46747 (CVSS 9.8 Critical) und CVE-2023-46748 (CVSS 8.8 High), wurden von der CISA kurz nach der Veröffentlichung des PoC-Codes für CVE-2023-46747 als aktiv ausgenutzt beobachtet. Inzwischen wurde auch ein Metasploit-Exploit-Modul veröffentlicht. F5 BIG-IP ist eine Familie von Hardware- und Software-IT-Sicherheitsprodukten, die sicherstellen, dass Anwendungen stets sicher sind und so funktionieren, wie sie sollen. Die Plattform wird von F5 Networks hergestellt und konzentriert sich auf Anwendungsdienste, die von Zugang und Bereitstellung bis zur Sicherheit reichen. Greenbone hat die Erkennung für beide CVEs [1][2] hinzugefügt.

CVE-2023-46747 ist eine Remote-Authentifizierungsumgehung [CWE-288], während CVE-2023-46748 eine Remote-SQL-Injection-Schwachstelle [CWE-89] ist, die nur von einem authentifizierten Benutzer ausgenutzt werden kann. Bei den betroffenen Produkten handelt es sich um die zweite Nebenversion (X.1) für die Hauptversionen 14-17 von BIG-IP Advanced Firewall Manager (AFM) und F5 Networks BIG-IP Application Security Manager (ASM)

Wenn Sie eine betroffene Version verwenden, können Sie diese Sicherheitslücke durch die Installation der vom Hersteller bereitgestellten HOTFIX-Updates schließen. Der Begriff „Hotfix“ bedeutet, dass der Patch auf ein laufendes und betriebsbereites System angewendet werden kann, ohne dass ein Herunterfahren oder Neustart erforderlich ist. Wenn eine Aktualisierung nicht möglich ist, kann CVE-2023-46747 durch das Herunterladen und Ausführen eines Bash-Skripts entschärft werden, das das Attribut ‚requiredSecret´ in der Tomcat-Konfiguration hinzufügt oder aktualisiert, das für die Authentifizierung zwischen Apache und Tomcat verwendet wird. CVE-2023-46748 kann entschärft werden, indem der Zugriff auf das Konfigurationsprogramm eingeschränkt wird, um nur vertrauenswürdige Netzwerke oder Geräte zuzulassen, und indem sichergestellt wird, dass nur vertrauenswürdige Benutzerkonten existieren, wodurch die Angriffsfläche begrenzt wird.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CVE-News: Greenbone bringt Schwachstellentests für kritische Lücken in Atlassian und F5 Big-IP

Für gleich zwei kritische Sicherheitslücken in verbreiteter Enterprise-Software haben unsere Entwickler Schwachstellentests bereitgestellt. Innerhalb kürzester Zeit konnten so Tests auf CVE 2023-22518 und CVE 2023-46747 integriert und die Kunden des Greenbone Enterprise-Feed geschützt werden.

Fehlerhaftes Login bei Atlassian Confluence und Jira

Die Wissensmanagementtools Confluence und Jira des australischen Herstellers Atlassian sind von einer gravierenden Sicherheitslücke mit 9,8 von 10 Punkten auf der CERT-Skala betroffen. Seit dem 8. November wird die Schwachstelle CVE 2023-22518 laut Medienberichten von Angreifern aktiv ausgenutzt, die sich unberechtigten Zugriff auf Firmendaten verschaffen.

Der „Fehler in der Authentifizierung“ betrifft laut Hersteller alle Versionen von Confluence Data Center und Server, nicht aber die Cloud-Variante bei Atlassian selbst. Für alle anderen, auch Anwender von Jira, vor allem aber alle öffentlich zugänglichen Confluence-Server bestehe „großes Risiko und der Zwang zum sofortigen Handeln“, schreibt Atlassian.

Unsere Entwickler reagierten schnell und wir konnten unseren Kunden entsprechende Tests bereitstellen, bevor Ransomware-Angriffe erfolgreich sein konnten. Kunden des Greenbone Enterprise Feeds wurden gewarnt und an einen Patch via Update erinnert.

Remote Code Execution: F5 BIG-IP erlaubt „Request Smuggling“

Ebenfalls Ende Oktober fanden Sicherheitsforscher der Praetorian Labs eine gravierende Lücke (CVE-2023-46747) in den Produkten des Application-Security-Experten F5. Die Lösungen des amerikanischen Herstellers sollen eigentlich umfangreiche Netzwerke und Softwarelandschaften beschützen. Vor allem in großen Unternehmen kommt die 1997 als Load Balancer gestartete Software zum Einsatz.

Angreifer können jedoch, so die Experten, aus der Ferne Code auf den BIG-IP-Servern ausführen lassen, indem sie über manipulierte URLs beliebige Systembefehle in die Administrationswerkzeuge schleusen. Details finden sich bei Praetorian, Patches sind vorhanden. Betroffen ist eine lange Liste von BIG-IP-Produkten der Versionen 13, 14, 15, 16 und 17, sowohl in Hard- als auch in Software.

Auch hier haben wir schnell reagiert und noch am gleichen Tag in unseren Schwachstellenscannern Tests integriert, die die BIG-IP-Installationen auf verwundbare Versionen testen und gegebenenfalls auf die bei F5 gelisteten Patches hinweisen.

Unser Schwachstellenmanagement, die Greenbone Enterprise Appliances, bieten besten Schutz.

Die professionelle Verwaltung von Schwachstellen ist ein unerlässlicher Bestandteil der IT-Sicherheit. Sie ermöglicht die frühzeitige Identifizierung von Risiken und liefert wertvolle Handlungsanweisungen für ihre Beseitigung.

Der Greenbone Enterprise Feed wird täglich aktualisiert, um stets neue Schwachstellen aufdecken zu können. Deshalb empfehlen wir eine regelmäßige Aktualisierung und das Durchführen von Scans für alle Ihre Systeme. Lesen Sie dazu auch diesen Artikel über IT-Sicherheit und über die Zeitleiste gängiger Angriffsvektoren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Aktueller Bericht zur Lage der IT-Sicherheit in Deutschland 2023

Bundesinnenministerin Nancy Faeser und Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), haben am 2.11.2023 den aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland vorgestellt. Angriffe mit Ransomware stellen dabei das größte und häufigste, aber bei weitem nicht das einzige Risiko dar. Solange diese Angriffe nicht gänzlich verhindert werden können, müssen die Systeme sicherer werden, um Schaden zu verhindern oder wenigstens zu verringern.

In Deutschland gibt es eine Reihe von Initiativen, um das Schwachstellenmanagement zu verbessern. Dazu gehört das Nationale IT-Sicherheitsgesetz (IT-SiG) und das IT-Grundschutz-Kompendium des BSI. Das von der BSI-Präsidentin Claudia Plattner zurecht geforderte „bundeseinheitliche Lagebild“ kann so die Bedrohungslage auf die Situation der angreifbaren Systeme abbilden und dadurch dabei helfen, vorab zu warnen und im konkreten Angriffsfall schnell und wirksam zu reagieren.

„Die Digitalisierung macht vieles in unserem Alltag leichter. Gleichzeitig schafft sie neue Angriffsflächen“, so Bundesinnenministerin Nancy Faeser. Das ist richtig. Den wachsenden Risiken durch die fortschreitende Vernetzung müssen wir durch automatisierte Tools und Prozesse begegnen. Durch deren Einsatz können Unternehmen und Organisationen ihre IT-Systeme besser schützen und die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs verringern.

Unsichere Systeme machen es Angreifern leichter, Schaden anzurichten. Die Verbesserung des Schwachstellenmanagements ist daher ein wichtiger Schritt, um die IT-Sicherheit in Deutschland zu erhöhen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Kritische Sicherheitslücke in Citrix Netscaler: Greenbone stellt Tests bereit.

Am 10. Oktober informierte Citrix offiziell über die Sicherheitslücke in der Netscaler-Software, CVE-2023-4966, die nach CVSS mit einem Score von 9.4 als „kritisch“ klassifiziert ist und Unbefugten Zugang zu Unternehmensnetzwerken ermöglicht.

Greenbone hat reagiert und bereits entsprechende Schwachstellen-Tests eingebaut. Kunden von Greenbone, die den Citrix Netscaler Gateway oder ADC einsetzen, sind somit auf der sicheren Seite.

Das BSI warnt:

„Die Schwachstelle erlaubt Angreifenden, sensible Informationen ohne Authentifizierung offenzulegen. Dies ermöglicht es, authentifizierte Sessions zu übernehmen („Session Hijacking“) und Multifaktoren-Authentifikation (MFA) oder andere Authentifizierungsmittel zu umgehen.“

Zahlreiche Medien berichten fortlaufend über die Schwachstelle, die bereits seit Ende August aktiv ausgenutzt wird. Anwender sollen so schnell wie möglich die von Citrix bereitgestellten Patches installieren – betroffen sind Citrix’ Produkte NetScaler ADC und NetScaler Gateway der Versionen 13 und 14 sowie Versionen 12 und 13 des NetScaler ADC. Neben dem CVE-2023-4966 existiert derzeit noch eine Warnung bezüglich des CVE-2023-4967, die einen Denial-of-Service (DoS) ermöglicht.
Auch für den Proof-of-Concept, der auf der Webseite von Assetnote beschrieben ist, haben die Entwickler und Entwickler:innen von Greenbone bereits einen Test geschrieben, der durch den Enterprise Feed direkt an die Greenbone-Kunden ausgeliefert wird.

Nachhaltige Absicherung Ihrer IT-Netzwerke

Schwachstellenmanagement ist ein Schlüsselinstrument zur Sicherung von IT-Netzwerken. Es ermöglicht Ihnen, potenzielle Risiken in Ihren Systemen zu identifizieren und zu beheben. Der Greenbone Enterprise Feed wird täglich aktualisiert, um stets neue Schwachstellen aufdecken zu können. Deshalb empfehlen wir eine regelmäßige Aktualisierung und das Durchführen von Scans für alle Ihre Systeme. Lesen Sie dazu auch diesen Artikel über IT-Sicherheit und über die Zeitleiste gängiger Angriffsvektoren.

Die Greenbone Enterprise Appliances werden als Hardware- oder virtuelle Appliance oder als Cloud-Variante, den Greenbone Cloud Service, angeboten.
Greenbone arbeitet DSGVO-konform und bietet eine Open-Source-Lösung. Das bedeutet beste Datenschutzkonformität und ist so garantiert frei von Hintertüren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von