Schlagwortarchiv für: Greenbone Enterprise Feed

Joseph Lee

Greenbone erkennt CVE-2025-0994: Aktiv ausgenutzte Schwachstelle in Trimble Cityworks

Trimble Cityworks, eine Software für das Enterprise Asset Management (EAM) und die Verwaltung öffentlicher Gebäude, wird aktiv angegriffen. Die Kampagne begann als unbekannte Schwachstelle (Zero Day), wird aber jetzt als CVE-2025-0994 mit einem CVSS-Wert von 8.6 geführt. Es handelt sich um einen Fehler bei der Deserialisierung [CWE-502], der einem authentifizierten Angreifer ermöglichen könnte, beliebigen Code aus der Ferne auszuführen (Remote Code Execution; RCE). Greenbone enthält eine Erkennung für CVE-2025-0994 im Enterprise Feed.

Die aktive Ausnutzung von CVE-2025-0994 ist eine reale und gegenwärtige Gefahr. Trimble hat eine Erklärung veröffentlicht, in der die Angriffe auf das Produkt bestätigt werden. Dank der Transparenz des Herstellers hat die CISA (Cybersecurity and Infrastructure Security Agency) CVE-2025-0994 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen und einen ICS-Hinweis sowie ein CSAF-2.0-Dokument veröffentlicht. CSAF 2.0-Advisorys sind maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen für den dezentralen Austausch von Cybersicherheitsinformationen.

Obwohl viele Medienberichte und einige Plattformen, die Bedrohungsinformationen sammeln, darauf hinweisen, dass es einen öffentlichen Proof-of-Concept (PoC) gibt, ist das einzige Suchergebnis auf GitHub lediglich ein Versionserkennungstest. Das bedeutet, dass es unwahrscheinlich ist, dass wenig qualifizierte Hacker leicht an Angriffen teilnehmen können. Die Fehlinformationen sind vermutlich auf schlecht konzipierte Algorithmen in Verbindung mit mangelnder menschlicher Kontrolle vor der Veröffentlichung von Bedrohungsdaten zurückzuführen.

Wer ist durch CVE-2025-0994 gefährdet?

Trimble Cityworks wurde vor allem für Kommunalverwaltungen und Anbieter kritischer Infrastrukturen wie Wasser- und Abwassersysteme, Energie, Verkehrssysteme, staatliche Industrieanlagen und Kommunikationsagenturen entwickelt und wird von ihnen genutzt. Cityworks erweitert geografische Informationssysteme (GIS) durch die Integration von Lösungen für die Verwaltung von Anlagen und öffentlichen Arbeiten direkt in Esri ArcGIS. Die Software soll Organisationen bei der Verwaltung der Infrastruktur, der Planung von Wartungsarbeiten und der Verbesserung der betrieblichen Effizienz helfen. Neben der CISA haben auch mehrere andere Regierungsbehörden Warnungen zu dieser Sicherheitslücke herausgegeben, darunter die US-Umweltschutzbehörde (EPA), das kanadische Zentrum für Cybersicherheit und der Bundesstaat New York.

Eigenen Angabe zufolge bediente Trimble Cityworks im Jahr 2019 über 700 Kunden in Nordamerika, Europa, Australien und dem Nahen Osten. Während spezielle Zahlen für Kommunalverwaltungen in den USA, Kanada und der EU nicht öffentlich bekannt gegeben werden, zeigen eine Suche auf Shodan und eine Censys-Karte jeweils nur etwa 100 öffentlich zugängliche Instanzen von Cityworks. Es wird jedoch davon ausgegangen, dass die Anwendung eine hohe Akzeptanz bei Kommunalverwaltungen und Versorgungsunternehmen hat. Wenn CVE-2025-0994 öffentlich zugänglich ist, könnte ein Angreifer einen ersten Zugang erhalten [T1190]. Für Angreifer, die bereits Fuß gefasst haben, ist die Schwachstelle eine Gelegenheit für laterale Bewegungen [TA0008] und stellt eine leichte Beute für Insider-Angriffe dar.

Technische Beschreibung von CVE-2025-0994

CVE-2025-0994 ist eine Schwachstelle in der Deserialisierung [CWE-502], die in Versionen von Trimble Cityworks vor 15.8.9 und Cityworks mit Office Companion vor 23.10 gefunden wurde. Sie entsteht durch die unsachgemäße Deserialisierung von nicht vertrauenswürdigen serialisierten Daten, die es einem authentifizierten Angreifer ermöglicht, beliebigen Code aus der Ferne auf dem Microsoft Internet Information Services (IIS) Webserver des Ziels auszuführen.

Die Serialisierung ist ein Prozess, bei dem Softwarecode oder Objekte kodiert werden, um zwischen Anwendungen übertragen und dann in dem von einer Programmiersprache verwendete Originalformat rekonstruiert zu werden. Wenn Trimble Cityworks serialisierte Objekte verarbeitet, werden nicht vertrauenswürdige Eingaben nicht ordnungsgemäß validiert oder bereinigt. Dieser Fehler ermöglicht es einem Angreifer mit authentifiziertem Zugriff, speziell gestaltete serialisierte Objekte zu senden, die eine beliebige Codeausführung auf dem zugrunde liegenden IIS-Server auslösen können. Die Deserialisierung von Daten aus nicht authentifizierten Quellen scheint an sich schon ein signifikanter Designfehler zu sein, aber das Versäumnis, serialisierte Daten ordnungsgemäß zu bereinigen, ist eine besondere Unsicherheit.

Konsequenzen der Ausnutzung von CVE-2025-0994 könnten sein:

  • Unbefugter Zugriff auf sensible Daten
  • Unterbrechung der Dienste für kritische Infrastruktursysteme
  • Mögliche vollständige Kompromittierung des betroffenen IIS-Webservers

Abhilfe gegen CVE-2025-0994 in Trimble Cityworks

Trimble hat gepatchte Versionen von Cityworks veröffentlicht, die die Schwachstelle in der Deserialisierung beheben. Diese Patches umfassen Cityworks 15.8.9 und Cityworks 23.10. On-premise-Anwender müssen sofort auf die gepatchte Version aktualisieren, während Kunden von Cityworks Online (CWOL) diese Updates automatisch erhalten.

Trimble wies darauf hin, dass bei einigen Vor-Ort-Installationen IIS mit überprivilegierten Identitätsberechtigungen ausgeführt wird, was die Angriffsfläche vergrößert. IIS sollte weder auf lokaler noch auf Domänenebene über administrative Berechtigungen verfügen. Befolgen Sie die Anweisungen von Trimble in den neuesten Cityworks-Versionshinweisen, um die IIS-Identitätskonfigurationen richtig anzupassen.

Empfohlene Aktionen für On-premises-Anwender von Trimble Cityworks:

  • Aktualisieren Sie die Cityworks 15.x-Versionen auf 15.8.9 und die 23.x-Versionen auf 23.10.
  • Prüfen Sie die IIS-Identitätsberechtigungen, um sicherzustellen, dass sie mit dem Prinzip der geringsten Rechte übereinstimmen.
  • Beschränken Sie die Stammkonfiguration des Anhangsverzeichnisses auf Ordner, die nur Anhänge enthalten.
  • Verwenden Sie eine Firewall, um den Zugriff auf den IIS-Server nur auf vertrauenswürdige interne Systeme zu beschränken.
  • Verwenden Sie ein VPN, um den Fernzugriff auf Cityworks zu ermöglichen, anstatt den Dienst öffentlich zugänglich zu machen.

Zusammenfassung

CVE-2025-0994 stellt ein ernsthaftes Sicherheitsrisiko für Trimble Cityworks-Benutzer dar, die größtenteils aus Behörden und kritischen Infrastrukturumgebungen stammen. Da bereits eine aktive Ausnutzung beobachtet wurde, müssen Organisationen sofortige Patches und Sicherheitsmaßnahmen implementieren, um das Risiko zu minimieren. Greenbone hat die Erkennung von CVE-2025-0994 zum Enterprise Feed hinzugefügt, sodass Kunden einen Überblick über ihre Gefährdungslage erhalten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone Enterprise-Produkte übertreffen alle Netzwerk-Schwachstellen-Scanner

OpenVAS wurde 2005 ins Leben gerufen, als Nessus von Open Source auf eine proprietäre Lizenz umgestellt wurde. Zwei Unternehmen, Intevation und DN Systems, übernahmen das bestehende Projekt und begannen, es unter einer GPL v2.0-Lizenz weiterzuentwickeln und zu pflegen. Seitdem hat sich OpenVAS zu Greenbone entwickelt, der weltweit meist genutzten und gelobten Open-Source-Lösung für Schwachstellenscanner und Schwachstellenmanagement. Wir sind stolz darauf, Greenbone sowohl als kostenlose Community Edition für Entwickler als auch als eine Reihe von Unternehmensprodukten mit unserem Greenbone Enterprise Feed für den öffentlichen Sektor und private Unternehmen anzubieten.

Als „alter Hase“ kennt Greenbone die Spiele, die Anbieter von Cybersicherheitsprodukten gerne in der Öffentlichkeit spielen. Unsere eigenen Ziele bleiben jedoch davon unberührt, denn wir halten uns an die Wahrheit über unser Produkt und die branchenführende Abdeckung von Schwachstellentests. Als wir den kürzlich von einem Mitbewerber veröffentlichten Benchmark-Bericht zu Netzwerk-Schwachstellen-Scannern 2024 gelesen haben, waren wir gelinde gesagt etwas schockiert.

Als Open-Source-Schwachstellen-Scanner mit der höchsten Anerkennung ist es nur logisch, dass Greenbone in den Wettbewerb um den Spitzenplatz aufgenommen wurde. Wir fühlen uns zwar geehrt, Teil des Tests zu sein, aber einige Fakten haben uns sehr zu denken gegeben. Denn in den Details sehen wir uns gezwungen, einiges klarzustellen…

Was der Benchmark-Test ergibt

Der von Pentest-Tools durchgeführte Benchmark-Test bewertet die führenden Schwachstellen-Scanner anhand zweier Faktoren: der Erkennungsverfügbarkeit (die CVEs, für die jeder Scanner Erkennungstests anbietet) und der Erkennungsgenauigkeit (wie effektiv diese Erkennungstests sind).

Bei dem Benchmark wurden die kostenlose Community Edition von Greenbone und der Greenbone Community Feed mit den Unternehmensprodukten anderer Anbieter verglichen: Qualys, Rapid7, Tenable, Nuclei, Nmap und das eigene Produkt von Pentest-Tools. In dem Bericht belegte Greenbone Platz 5 bei der Erkennungsverfügbarkeit und Platz 4 bei der Erkennungsgenauigkeit. Nicht schlecht, wenn man es mit den Titanen der Cybersicherheitsbranche aufnimmt.

Das einzige Problem ist, dass Greenbone, wie oben erwähnt, auch ein Unternehmensprodukt hat. Wenn die Ergebnisse unter Verwendung unseres Greenbone Enterprise Feeds neu berechnet werden, sind die Ergebnisse nämlich deutlich anders – Greenbone gewinnt haushoch.

Was unsere Recherche ergibt

Balkendiagramm aus dem Benchmark 2024 für Netzwerkschwachstellenscanner: Greenbone Enterprise erreicht mit 78 % Verfügbarkeit und 61 % Genauigkeit die höchsten Werte

Greenbone Enterprise führt das Feld der Schwachstellen-Scanner an.

 

Die Erkennungsverfügbarkeit unseres Enterprise Feed führt in der gesamten Gruppe

Nach unseren internen Ergebnissen, die im SecInfo-Portal eingesehen werden können, verfügt der Greenbone Enterprise Feed über Erkennungstests für 129 der 164 im Test enthaltenen CVEs. Das bedeutet, dass die Erkennungsverfügbarkeit unseres Enterprise-Produkts um erstaunliche 70,5% höher ist als angegeben, womit wir uns von allen anderen abheben.

Wichtig: Die Greenbone Enterprise Feed Tests sind nicht etwas, das wir nachträglich hinzugefügt haben. Greenbone aktualisiert sowohl die Community- als auch Enterprise-Feeds täglich, und wir sind oft die ersten, die Schwachstellentests veröffentlichen, wenn ein CVE veröffentlicht wird. Ein Blick auf unsere Schwachstellentests zeigt, dass diese vom ersten Tag an verfügbar waren.

Erkennungsgenauigkeit: stark unterschätzt

Zusätzlich kommt hinzu, dass Greenbone nicht wie die anderen Scanner arbeitet. Die Art und Weise, wie Greenbone entwickelt wurde, verleiht ihm starke, branchenführende Vorteile. Zum Beispiel kann unser Scanner über eine API gesteuert werden, die es Benutzer:innen ermöglicht, ihre eigenen Tools zu entwickeln und alle Funktionen von Greenbone auf jede beliebige Weise zu steuern. Zweitens gibt es bei den meisten anderen Schwachstellen-Scannern nicht einmal eine Bewertung der Erkennungsqualität (Quality of Detection, QoD).

Der Autor des Berichts stellte klar, dass er einfach die Standardkonfiguration für jeden Scanner verwendete. Ohne die korrekte Anwendung des QoD-Filters von Greenbone konnte der Benchmark-Test jedoch die tatsächliche CVE-Erkennungsrate von Greenbone nicht angemessen bewerten. Bei Anwendung dieser Ergebnisse liegt Greenbone erneut vorn und erkennt schätzungsweise 112 der 164 CVEs.

Zusammenfassung

Wir fühlen uns zwar geehrt, dass unsere Greenbone Community Edition in einem kürzlich veröffentlichten Benchmark für Netzwerk-Schwachstellen-Scanner den 5. Platz bei der Erkennungsverfügbarkeit und den 4. Platz bei der Erkennungsgenauigkeit belegt, es liegt aber auf der Hand, dass dabei unser Enterprise-Produkt im Rennen sein sollte. Schließlich umfasst der Benchmark auch die Unternehmenslösungen anderer Anbieter.

Bei einer Neuberechnung unter Verwendung des Enterprise Feeds steigt die Erkennungsverfügbarkeit von Greenbone auf 129 der 164 getesteten CVEs, was 70,5% über dem gemeldeten Wert liegt. Außerdem wird bei Verwendung der Standardeinstellungen Greenbones Quality of Detection (QoD) nicht berücksichtigt. Bereinigt um diese Versäumnisse liegt Greenbone an der Spitze der Konkurrenz. Als weltweit meistgenutzter Open-Source-Schwachstellen-Scanner ist Greenbone weiterhin führend bei der Abdeckung von Schwachstellen, der rechtzeitigen Veröffentlichung von Schwachstellentests und wirklich unternehmenstauglichen Funktionen wie einer flexiblen API-Architektur, fortschrittlicher Filterung und Quality-of-Detection-Bewertungen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Juli 2024 Threat Tracking: Sommerpause für Schwachstellen?

Die Veröffentlichung von Schwachstellen legte im Juli eine Pause ein. Nur 3.135 neue CVEs wurden veröffentlicht, ein Rückgang von fast 40 % gegenüber dem Rekordmonat Mai 2024. Letzten Monat sprachen wir über Cybersicherheit am Rand des Netzwerks und bezogen uns dabei auf die zunehmende Zahl von Angriffen auf die Netzwerk-Peripherie. Der Titel dieses Beitrags deutete auch an, dass die IT weltweit an einem katastrophalen Ausfall vorbeischrammen könnte. Elmar Geese, CMO von Greenbone, hat eine schöne Einschätzung des fehlgeschlagenen Updates von CrowdStrike veröffentlicht, das am Freitag, dem 19. Juli, weltweit Windows-Systeme zum Absturz brachte.

Schon im Jahr 2021 sagte Gartner voraus, dass bis 2025 ungezügelte Cyberangriffe Tod und Chaos verursachen werden. Die schlechte Nachricht ist, dass wir dem Zeitplan von Gartner voraus sind, aber die noch schlechtere Nachricht ist, dass wir keinen Cyberangriff brauchten, um dieses Ziel zu erreichen. Hier ein Überblick über die wichtigsten, aktiv ausgenutzten Schwachstellen und kritischen Risiken im Juli 2024.

Ransomware verbreitet sich über VMware-Schwachstelle

In diesem Monat wurden zwei Schwachstellen in VMwares ESXi-Hypervisor und vCenter Server-Produkten in den KEV-Katalog (Known Exploited Vulnerabilities, bekannte ausgenutzte Sicherheitslücken) der CISA aufgenommen. Bei einer Schwachstelle, CVE-2024-37085 in ESXi, wurde beobachtet, dass sie die Ransomware Akira und Black Basta verbreitet. Die Virtualisierungslösungen von VMware sind für das globale IT-Ökosystem von entscheidender Bedeutung. In der Vergangenheit hat der Anbieter verkündet, dass über 80 Prozent der virtualisierten Arbeitslasten auf seiner Technologie laufen, darunter alle Fortune 500- und Fortune Global 100-Unternehmen.

CVE-2024-37085 (CVSS 6.8 Medium) wurde von Microsoft entdeckt, das enthüllte, dass ESXi von vornherein äußerst unsicher ist und jedem Benutzer in einer Active Directory (AD)-Domänengruppe mit dem Namen „ESX Admins“ standardmäßig ohne ordnungsgemäße Validierung vollen administrativen Zugriff gewährt. Nur für den Fall, dass Sie nicht glauben können, was Sie gerade gelesen haben, möchte ich klarstellen: Jeder Benutzer in einer beliebigen AD-Gruppe mit dem Namen „ESX Admins“ erhält volle Administratorrechte auf einer ESXi-Instanz – und zwar absichtlich. Wir sollten alle fassungslos sein und unter Schock stehen.

In Anbetracht der Tatsache, dass CVE-2024-37085 für Ransomware-Angriffe ausgenutzt wird, sollten Sie daran denken, dass die Erstellung sicherer Backups von ESXi-Hypervisor-Konfigurationen und virtuellen Maschinen sowie die Durchführung von Tabletop- und Funktionsprüfungen zu einer schnellen Wiederherstellung nach einem Ransomware-Angriff beitragen können. Das Schließen von Sicherheitslücken durch Scannen auf bekannte Schwachstellen und das Anwenden von Abhilfemaßnahmen können dazu beitragen, dass Ransomware-Angriffe gar nicht erst erfolgreich werden.

CVE-2022-22948 (CVSS 6.5 Medium), das ebenfalls aktiv ausgenutzt wird, ist ein weiterer „Insecure by design“-Fehler in VMware-Produkten, diesmal in vCenter Server, der durch unsachgemäße Standard-Dateiberechtigungen [CWE-276] verursacht wird und die Offenlegung sensibler Informationen ermöglicht.

Greenbone kann aktiv verwundbare Versionen von VMware ESXi und vCenter Server mit separaten Schwachstellentests für CVE-2024-37085 und CVE-2022-22948 erkennen, seit diese im Jahr 2022 erstmals veröffentlicht wurden.

Geballte Ladung an Cisco CVEs mit kritischen Schweregraden

Im Juli 2024 wurden insgesamt 12 Schwachstellen, zwei kritische und drei mit hohem Schweregrad, in 17 verschiedenen Cisco-Produkten aufgedeckt. CVE-2024-20399 in Cisco NX-OS wird aktiv ausgenutzt und wurde in den KEV-Katalog (Known Exploited Vulnerabilities, bekannte ausgenutzte Sicherheitslücken) der CISA aufgenommen. Die CISA verwies auch auf CVE-2024-20399 in einer im Juli veröffentlichten Warnung zu „Secure by Design“. Die Behörde rät Softwareherstellern, ihre Produkte auf Schwachstellen für die Eingabe von Betriebssystembefehlen zu untersuchen [CWE-78]. Greenbone enthält eine Remote-Versionsprüfung für das aktiv ausgenutzte CVE-2024-20399.

Hier eine Übersicht über die wichtigsten CVEs:

  • CVE-2024-20399 (CVSS 6.7 Mittel): Eine Eingabe-Schwachstelle im Command Line Interface (CLI) von Ciscos NX-OS ermöglicht es, authentifizierten administrativen Benutzern, Befehle als Root auf dem zugrundeliegenden Betriebssystem (OS) auszuführen, da unzensierte Argumente an bestimmte Konfigurationsbefehle übergeben werden. CVE-2024-20399 kann nur von einem Angreifer ausgenutzt werden, der bereits privilegierten Zugriff auf die Schnittstelle in der Befehlszeile hat. Greenbone enthält eine Remote-Versionsprüfung für CVE-2024-20399.
  • CVE-2024-20419 (CVSS 10 kritisch): Das Authentifizierungssystem von Cisco Smart Software Manager On-Prem (SSM On-Prem) ermöglicht es einem nicht authentifizierten Angreifer, remote das Passwort eines beliebigen Benutzers, einschließlich Administratoren, über HTTP-Anfragen zu ändern. Greenbone enthält einen Test zur Erkennung von Remote-Versionen für CVE-2024-20419.
  • CVE-2024-20401 (CVSS 10 kritisch): Eine Schwachstelle in den Funktionen zum Scannen von Inhalten und Filtern von Nachrichten des Cisco Secure Email Gateway könnte es einem nicht authentifizierten, Angreifer ermöglichen, beliebige Dateien aus der Ferne auf dem Gerät über E-Mail-Anhänge zu überschreiben, wenn die Dateianalyse und die Inhaltsfilter aktiviert sind. CVE-2024-20401 erlaubt es Angreifern, Benutzer mit Root-Rechten zu erstellen, die Gerätekonfiguration zu verändern, beliebigen Code auszuführen oder das Gerät komplett zu deaktivieren. Greenbone kann anfällige Geräte erkennen, sodass Verteidiger die von Cisco empfohlenen Abhilfemaßnahmen anwenden können.

Weitere CVEs, die im Juli 2024 für führende Cisco-Produkte veröffentlicht wurden, umfassen:

CVE

Produkt

VT

CVE-2024-20400 (CVSS 5.0 M)

Cisco Expressway-Reihe

Erkennungstest

CVE-2024-6387 (CVSS 8.1 H)

Virtuelle Cisco Intersight-Anwendung

Erkennungstest

CVE-2024-20296 (CVSS 5.8 M)

Cisco Identity Services Engine (ISE)

Erkennungstest

CVE-2024-20456 (CVSS 6,5 M)

Cisco IOS XR-Software

Erkennungstest

CVE-2024-20435 (CVSS 6.8 M)

Sichere Web-Anwendung von Cisco

Erkennungstest

CVE-2024-20429 (CVSS 7.7 H)

Sicheres E-Mail-Gateway von Cisco

Erkennungstest

CVE-2024-20416 (CVSS 7.7 H)

Cisco Dual-WAN-Gigabit-VPN-Router

Erkennungstest

ServiceNow: Datendiebstahl und Remote Code Execution

Mit Abschluss des Monats Juli wurden zwei kritische Sicherheitslücken in ServiceNow – CVE-2024-4879 und CVE-2024-5217 – in die KEV-Liste der CISA aufgenommen. Beide CVEs werden mit CVSS 9.8 als kritisch eingestuft. Am selben Tag, dem 10. Juli, wurde ServiceNow noch eine dritte zugewiesen: CVE-2024-5178 (CVSS 6.8 Medium). Die drei Sicherheitslücken werden von Angreifern miteinander verknüpft, um unauthentifizierte Remote Code Execution (RCE) zu erreichen. Die Daten von über 100 Opfern werden Berichten zufolge auf BreachForums verkauft, einer Plattform für den Austausch gestohlener Daten für Cyberkriminelle.

ServiceNow ist eine führende Plattform für das IT-Service-Management (ITSM), die Incident Management, Problem Management, Change Management, Asset Management und Workflow-Automatisierung umfasst und sich auch auf allgemeine Geschäftsmanagement-Tools wie Personalwesen, Kundenservice und Sicherheitsabläufe erstreckt. ServiceNow wird entweder als Software as a Service (SaaS) installiert oder von Unternehmen selbst gehostet. Shodan meldet etwa 20.000 gefährdete Instanzen online und Resecurity hat Angriffe auf Unternehmen des privaten Sektors und auf Regierungsbehörden weltweit beobachtet.

Greenbone hat Schwachstellentests (VTs) [1][2] für alle drei CVEs eingeführt, bevor die CISA auf aktive Exploits aufmerksam wurde. Hotfixes sind beim Hersteller erhältlich [3][4][5] und Kunden, die das System selbst hosten, sollten diese dringend anwenden.

Kritische Sicherheitslücke in den eCommerce-Plattformen Adobe Commerce und Magento

Adobe Commerce und Magento in den Versionen 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 und früher sind von der Sicherheitslücke CVE-2024-34102 (CVSS 9.8 kritisch) betroffen, die durch eine unzulässige Einschränkung der XML External Entity Reference (‚XXE‘) [CWE-611] entsteht. Ein Angreifer könnte die Schwachstelle ohne Benutzerinteraktion ausnutzen, indem er eine bösartige XML-Datei sendet, um sensible Daten innerhalb der Plattform zu lesen.

CVE-2024-34102 wird aktiv ausgenutzt und ein grundlegender Proof-of-Concept-Exploit-Code ist auf GitHub [1] verfügbar. Bösartiger Exploit-Code [2] für die CVE wurde aufgrund der Richtlinien gegen Malware ebenfalls von GitHub entfernt, aber Angreifer verbreiten ihn aktiv über Dark-Web-Foren und Hacker-Kanäle auf Telegram. Außerdem stieg der EPSS-Wert (Exploit Prediction Scoring System) der CVE vor ihrer Aufnahme in die CISA KEV an, was EPSS als Frühwarnmetrik für Schwachstellenrisiken anerkennt.

Magento ist eine Open-Source-PHP-basierte eCommerce-Plattform für kleine und mittlere Unternehmen. Adobe Commerce, das 2018 von Adobe übernommen wurde, ist im Wesentlichen die Enterprise-Version von Magento Open Source mit zusätzlichen Funktionen für größere Unternehmen. Da es sich um eine eCommerce-Plattform handelt, besteht das Risiko, dass Angreifer Zahlungskartendaten oder andere sensible personenbezogene Daten von Kunden einer Website stehlen und darüber hinaus kostspielige Ausfallzeiten aufgrund von Umsatzeinbußen für den Eigentümer der Website verursachen.

Greenbone enthält eine aktive Prüfung und Tests zur Erkennung von Schwachstellen (VTs), um anfällige Versionen dieser hochgefährlichen Schwachstelle zu identifizieren.

GeoServer: Hohes Risiko für RCE

Eine CVSS 9.8 kritische CVE wurde in GeoServer vor den Versionen 2.23.6, 2.24.4 und 2.25.2 gefunden. GeoServer ist eine Open-Source-Anwendung für die gemeinsame Nutzung, Bearbeitung und Anzeige von Geodaten. Die als CVE-2024-36401 verfolgte Schwachstelle wird aktiv ausgenutzt und kann zu beliebiger Remote Code Execution (RCE) führen. Der Exploit-Code ist öffentlich zugänglich [1][2], was das Risiko noch erhöht. CERT-EU hat eine Warnung für alle EU-Institutionen, Agenturen und Mitgliedsstaaten herausgegeben. Greenbone enthält Remote-Erkennungstests zur Identifizierung von CVE-2024-36401, so dass Benutzer der betroffenen GeoServer-Produkte benachrichtigt werden können.

Die Schwachstelle, die als Abhängigkeit von einer anfälligen Drittanbieterkomponente [CWE-1395] klassifiziert ist, liegt in der GeoTools-Komponente – einer Open-Source-Java-Bibliothek, die als Grundlage für verschiedene Geospatial-Projekte und -Anwendungen, einschließlich GeoServer, dient. Ähnlich wie sich Log4Shell auf eine unbekannte Anzahl von Anwendungen auswirkte, die die Log4j 2.x-Bibliothek verwenden, gilt das Gleiche für GeoTools. Verschiedene OGC (Open Geospatial Consortium) Request-Parameter (einschließlich WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic und WPS Execute Requests) verfallen einer RCE, da die GeoTools Bibliotheks-API unsichere Property/Attribute-Namen an die commons-jxpath Bibliothek weitergibt, die die Fähigkeit hat, beliebigen Code auszuführen [CWE-94].

Benutzer sollten auf die GeoServer-Versionen 2.23.6, 2.24.4 oder 2.25.2 aktualisieren, die einen Patch für dieses Problem enthalten. Diejenigen, die nicht aktualisieren können, können die Datei „gt-complex-<Version>.jar“ entfernen, um den anfälligen Code zu beseitigen, was jedoch die Funktionalität beeinträchtigen kann, wenn das gt-complex-Modul erforderlich ist.

Zusammenfassung

Im Juli 2024 wurden weniger Schwachstellen gemeldet, dennoch gab es erhebliche Bedrohungen. Insbesondere wurde beobachtet, dass CVE-2024-37085 in VMwares ESXi aufgrund von unsicheren Designfehlern für Ransomware-Angriffe ausgenutzt wird. Zu den neuen Schwachstellen von Cisco gehören CVE-2024-20399, die aktiv für die Einschleusung von Befehlen ausgenutzt wird, sowie zwei kritische Schwachstellen in den Produkten. Die CVEs von ServiceNow, darunter CVE-2024-4879 und CVE-2024-5217, werden zur Verbreitung von Ransomware und zum Datendiebstahl genutzt. CVE-2024-34102 von Adobe Commerce und CVE-2024-36401 von GeoServer stellen ebenfalls ein großes Risiko dar. Unternehmen müssen Patches, Schwachstellenmanagement und die Reaktion auf Vorfälle priorisieren, um diese Bedrohungen zu entschärfen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht

Wir leben und arbeiten in der digitalen Welt. Das Thema Cybersicherheit betrifft daher uns alle – sowohl Unternehmen und staatliche Verwaltungen, als auch jeden einzelnen von uns. Dies gilt nicht für unsere eigene direkte Nutzung von digitalen Systemen, sondern – manchmal sogar im Besonderen – auch wo Andere für uns digitalisiert, teilweise wünschenswerte, aber auch unersetzliche Dienste erbringen. Existentiell wird es spätestens dort wo wir von kritischen Infrastrukturen (KRITIS) abhängig sind: Wasser, Strom, Gesundheit, Sicherheit und einige mehr.

Durch die fortschreitendende Vernetzung wird nahezu jedes digitale Gerät ein mögliches Einfalltor für Cyberangriffe. Cybersicherheit ist daher ein technisches, ein gesellschaftliches und ein Verbraucherthema.

Die Bundesregierung setzt sinnvollerweise auf (Zitat aus dem Koalitionsvertrag der SPD, Bündnis 90 / Die Grünen und der FDP) „ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen“. Um eine allgemeine Widerstandfähigkeit gegen Cyberangriffe in Europa zu begründen, hat die EU den Cyber Resilience Act (CRA) ins Leben gerufen.

Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht

Im Cyber Resilience Act (CRA) haben sich die EU-Mitgliedsstaaten auf eine gemeinsame Position geeinigt – das gab der Rat der EU Ende Juli in einer Pressemitteilung bekannt und berichtet optimistisch:

„Diese Einigung ist ein Erfolg des Engagements der EU für einen sicheren und geschützten digitalen Binnenmarkt. (…) Mit dem Verordnungsentwurf werden verbindliche Cybersicherheitsanforderungen für die Konzeption, Entwicklung, Herstellung und das Inverkehrbringen von Hardware- und Softwareprodukten eingeführt, um sich überschneidende Anforderungen aufgrund unterschiedlicher Rechtsvorschriften in den EU-Mitgliedstaaten zu vermeiden.“
(https://www.consilium.europa.eu/de/press/press-releases/2023/07/19/cyber-resilience-act-member-states-agree-common-position-on-security-requirements-for-digital-products/)

Der CRA soll die digitale Sicherheit durch gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste nachhaltig in Europa verankern. Damit hat der CRA nicht nur hohe Auswirkungen auf die Hersteller von digitalen Geräten, die EU schafft auch einen neuen, normsetzenden Standard. Wir unterstützen als IT-Sicherheitsunternehmen seit 15 Jahren unsere Kunden dabei, den bestmöglichen Sicherheitsstandard zu erreichen. Die neue Normierung durch den CRA sehen wir als Chance, und helfen unseren Kunden gerne dabei, diese für noch mehr Sicherheit zu nutzen.

Sicherheit kontinuierlich nachweisen

Die neuen CRA-Regelungen zur Behandlung und Erkennung von Schwachstellen, die „die Cybersicherheit digitaler Produkte … gewährleisten, und Pflichten der Wirtschaftsakteure wie Einführer oder Händler in Bezug auf diese Verfahren“ regeln sollen, stellen viele Unternehmen vor Herausforderungen. Der Einsatz von Werkzeugen wie Greenbone’s Schwachstellenmanagement macht es dabei deutlich einfacher, den neuen Anforderungen nachzukommen. Dies geht auch soweit, zu überprüfen, ob zum Beispiel Zulieferer die geforderten und zugesicherten Sicherheitsstandards erfüllen.

Mehr Verantwortung

Unternehmen sind durch den CRA aufgerufen, regelmäßig, dauerhaft und nachhaltig, Schwachstellenanalysen vorzunehmen und bei als „kritisch“ klassifizierten Produkten externe Audits vornehmen zu lassen. Besonders bei älteren Produkten kann das schwierig werden. Auch hilft Greenbone, weil wir solche, häufig unvollkommen dokumentierte Produkte, auch im laufenden Betrieb untersuchen können.

Dort wo unsere Kunden das heute schon regelmäßig tun, sind sie schnell handlungsfähig, und gewinnen wertvolle Zeit, mögliche Risiken zu mitigieren.

Jetzt aktiv werden

Der CRA führt Regeln zum Schutz digitaler Produkte ein, die bislang rechtlich nicht erfasst wurden, damit stehen Unternehmen neue und große Herausforderungen bevor, die die gesamte Supply Chain betreffen.

Wir können Ihnen helfen, den Anforderungen nachzukommen. Die Greenbone Enterprise Appliances, ermöglichen eine schnelle Compliance mit dem CRA. Unsere Experten beraten sie gerne.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt: Log4J bleibt weiter ein Problem

Auch mehr als zwei Jahre nach Bekanntwerden der ersten Probleme mit Log4j betreiben viele Szenarien offensichtlich immer noch ungepatchte Versionen der Logging-Bibliothek.

Greenbones Produkte helfen – gerade beim Aufspüren von veralteter Software.

Niemand sollte Log4j als erledigt auf die leichte Schulter nehmen, nur weil die Sicherheitslücke (CVE 2021-44228) eigentlich seit anderthalb Jahren behoben ist. Das ist das Fazit einer Veranstaltung Ende März, in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich warnt. Die Schwachstelle betraf Log4j in den Versionen 2.0 bis 2.14.1 und erlaubte es Angreifern, eigenen Programmcode auf Zielsystemen auszuführen und fremde Server zu kompromittieren.

Unter dem Titel „Log4j & Consequences“ in der Reihe „BuntesBugBounty“ sprach das BSI mit Christian Grobmeier aus dem Log4j Team und Brian Behlendorf von der Open Source Security Foundation (OpenSSF). Erschreckenderweise addieren sich auf der Log4j-Webseite immer noch mehr als ein Drittel der Downloads auf veraltete Versionen, die den wichtigen Patch nicht beinhalten – es ist davon auszugehen, dass zahlreiche Systeme in Unternehmen immer noch verwundbar sind.

Schuld daran sei überwiegend Software Dritter, die Log4j einbette oder diese über Softwareverteilung integriere – was Grobmeier ganz und gar nicht überrascht, denn so funktioniere die Lieferkette bei Open-Source-Software nun mal. Daran, so der Log4J-Entwickler, lasse sich so schnell auch nichts ändern.

Das bestätigt auch die Open SSF: Für Behlendorf könnte nur eine verschärfte Haftung für Softwarehersteller hilfreich sein, so wie diese in den USA bereits erwogen werde. Ohne grundlegend neue Ansätze dürfte sich an den Problemen nichts ändern.

Wer sich dennoch dauerhaft vor Angriffen auf bekannten, bereits gepatchten Schwachstellen schützen will, sollte sich die Produkte von Greenbone ansehen. Nur das professionelle Schwachstellenmanagement gibt Administratoren den Überblick über veraltete Softwareversionen und ungepatchte Lücken in den Systemen der Firma – und schafft so die Grundlage für weitere Sicherheitsmaßnahmen.

Die Entwicklung von Schwachstellentests ist bei Greenbone eine Schlüsselaktivität und ein kontinuierlicher Prozess, der die hohe Qualität der Produkte und damit den hohen Nutzen für die Kunden sicherstellt. Sicherheitsprüfungen erfolgen jeden Tag und Schwachstellentests werden nach Sicherheitslage priorisiert und ebenfalls täglich in die Produkte integriert. Bei kritischen Sicherheitswarnungen, wie bei Log4j, berichtet Greenbone über den aktuellen Stand, die Fakten und dem Umgang damit, wie beispielsweise in den Blogbeiträgen über Log4j.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone integriert CIS Docker Compliance Tests in Schwachstellenmanagement

Seit fast zwei Jahren nimmt Greenbone immer mehr Tests aus den Empfehlungen des Center for Internet Security (CIS) in seinen Sicherheitsfeed auf. Zu den neuesten gehören Benchmarks für die Container-Management-Lösung Docker. Docker ist eine der am meisten verbreiteten Container-Technologien in Unternehmensumgebungen. Ihre zunehmende Beliebtheit in DevOps-Kreisen, ihre Benutzerfreundlichkeit und Flexibilität haben sie bei Entwicklern und DevOPS populär gemacht.

Aus diesem Grund stellt die CIS Benchmark-Tests für die Konfigurationskonformität in Docker-Umgebungen zur Verfügung, die „für System- und Anwendungsadministratoren, Sicherheitsspezialisten, Auditoren, Helpdesk- und Plattformbereitstellungspersonal gedacht sind, die planen, Lösungen zu entwickeln, bereitzustellen, zu bewerten oder zu sichern, die Docker einbeziehen“ – und Greenbone freut sich, diese Tests in seine Vulnerability-Management-Produkte zu integrieren.

Docker-Umgebungen auf Schwachstellen testen

Die CIS-Benchmarks (mehr als 140, Stand 2023) enthalten Anleitungen zu Best Practices für die Konfiguration von IT-Systemen, Netzwerken und Software. Sie werden in Zusammenarbeit mit Entwicklern, Fachleuten und Unternehmen in Docker-Umgebungen erstellt und haben sich als Referenz für Compliance-Tests im Bereich Cybersicherheit etabliert. Die CIS-Benchmarks sind in sieben Gruppen unterteilt (Betriebssystem, Server-Software, Cloud-Provider-Benchmarks, Mobilgeräte, Netzwerkgeräte, Desktop-Software, Multifunktionsdrucker), wobei die Docker-Tests in der Server-Sektion angesiedelt sind.

Greenbone unterstützt CIS-Benchmarks seit Jahren

Seit 2021 integriert Greenbone kontinuierlich CIS-Benchmarks in seine Produkte – jetzt auch die Docker-Compliance-Benchmarks für Docker-Systeme ab Version 1.4 (bisher Version 1.2). Alle Tests werden von Greenbone in Scan-Konfigurationen zusammengefasst und dem Greenbone Enterprise Feed hinzugefügt. Das Greenbone Schwachstellenmanagement führt den Testsatz auf einem Zielsystem aus und prüft dabei die Konfiguration und andere Einstellungen, z. B. Dateiberechtigungen. Anschließend sendet es einen Bericht mit Abhilfestrategien an den Administrator, der dann seine Systeme an die Empfehlungen zur Einhaltung der Sicherheitsvorschriften anpassen kann.

Zertifiziert durch CIS

Als Mitglied des CIS-Konsortiums baut Greenbone seine CIS-Benchmark-Scan-Konfigurationen kontinuierlich aus – aktuell arbeitet Greenbone zum Beispiel an der Kubernetes-Integration. Wie alle von Greenbone auf Basis der CIS Benchmarks entwickelten Compliance Policies sind auch die neuesten von der CIS zertifiziert – das bedeutet maximale Sicherheit, wenn es darum geht, ein System nach den CIS-Härtungsempfehlungen zu auditieren. Dies vereinfacht nicht nur die Vorbereitung von Audits, wichtige Kriterien können bereits im Vorfeld mit einem Scan durch ein Greenbone-Produkt überprüft und ggf. gefundene Schwachstellen behoben werden, bevor Probleme entstehen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Follina Update (CVE-2022-30190): Patch verfügbar

Microsoft Office hat mit dem Windows-Sicherheitsupdate vom 14. Juni 2022 Patches für die Follina-Sicherheitslücke CVE-2022-30190 (Follina)  veröffentlicht. In den Greenbone Enterprise Feed und den Greenbone Community Feed wurden entsprechende Schwachstellentests implementiert, mit denen Sie ihr Netzwerk auf die Schwachstelle testen und Schutzmaßnahmen mithilfe der Patches ergreifen können. Lesen Sie hier weitere Informationen über das aktuelle Follina-Update.

  • KB5014678: Windows Server 2022
  • KB5014697: Windows 11
  • KB5014699: Windows 10 Version 20H2 – 21H2, Windows Server 20H2
  • KB5014692: Windows 10 Version 1809 (IoT), Windows Server 2019
  • KB5014702: Windows 10 1607 (LTSC), Windows Server 2016
  • KB5014710: Windows 10 1507 (RTM, LTSC)
  • KB5014738: Monthly Rollup Windows Server 2012 R2, Windows RT 8.1, Windows 8.1
  • KB5014746: Security only Windows Server 2012 R2, Windows RT 8.1, Windows 8.1
  • KB5014747: Monthly Rollup Windows Server 2012
  • KB5014741: Security only Windows Server 2012
  • KB5014748: Monthly Rollup Windows Server 2008 R2, Windows 7 SP1
  • KB5014742: Security only Windows Server 2008 R2, Windows 7 SP1

Das bedeutet, dass Sicherheitsupdates für alle Versionen von Windows Server und Client verfügbar sind, die noch unterstützt werden. Die Sicherheitslücke wird als „wichtig“ eingestuft, was bedeutet, dass Nutzende die Updates umgehend installieren sollten, um die Lücke zu schließen.
Microsoft: „Das Update für diese Sicherheitslücke ist in den Windows-Updates vom Juni 2022 enthalten. Microsoft empfiehlt allen Kunden dringend, die Updates zu installieren, um sich vollständig vor der Sicherheitslücke zu schützen. Kunden, deren Systeme so konfiguriert sind, dass sie automatische Updates erhalten, müssen keine weiteren Maßnahmen ergreifen.“

Die Installation der Patches vom 14. Juni ist umso wichtiger, da Angreifende und Sicherheitsfachleute bereits mehrere Möglichkeiten gefunden haben, die Schwachstelle auszunutzen, Microsoft aber bisher nur Workarounds anbietet (siehe auch unseren Blogeintrag).
Greenbone hat entsprechende Schwachstellenstests in den Greenbone Community Feed und den Greenbone Enterprise Feed integriert und bietet somit die Möglichkeit, das Netzwerk auf diese Schwachstelle zu testen und gegebenenfalls Schutzmaßnahmen zu ergreifen bzw. die neuen Microsoft Patches zu nutzen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Elmar Geese

Detaillierte Informationen über Greenbones Log4j-Schwachstellentests

Update vom 20.12.2021: Informationen über weitere Schwachstellen, die für Log4j gefunden wurden, finden Sie hier.

Update vom 20.12.2021: Es sind nun auch Schwachstellentests für Produkte unter Microsoft Windows verfügbar.

Hinweis: Die Tests prüfen die Existenz von Log4j und dessen Version. Ein separater Schwachstellentest ist möglicherweise nicht für jede betroffene Anwendung verfügbar, aber alle Log4j-Dateien werden gefunden und gemeldet (/pfad-zur-log4j-datei/).

Die ausgegebenen Installationspfade müssen geprüft und ggf. der Hersteller kontaktiert werden. Es muss geprüft werden, ob für die jeweilige Anwendung bereits Updates verfügbar sind und ob der Fund relevant ist.

PowerShell-Ausführungsberechtigungen auf einem Zielsystem sind für den Account erforderlich, der in einem authentifizierten Scan verwendet wird. Einige Schwachstellentests führen PowerShell-Befehle aus, um die Genauigkeit der Ergebnisse zu erhöhen, wofür Berechtigungen für die Dauer eines Scans erforderlich sind.

Update vom 15.12.2021: ein zusätzlicher Angriffsvektor wurde identifiziert und in CVE-2021-45046 gemeldet. Wir arbeiten an Schwachstellentests für diesen Vektor, obwohl unsere Tests auch für diesen zusätzlichen Fall funktionieren. Wir empfehlen, auf die neueste Log4j-Version zu aktualisieren. Der Angriff ist komplizierter und ein Schutz erfordert eine andere Konfiguration. Da es sich aber um einen sehr neuen Vektor handelt, raten wir, besser auf Nummer sicher zu gehen. Mehr Informationen unter https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/.

Dieser Artikel enthält Antworten auf die am häufigsten gestellten Fragen zu Greenbones Log4j-Schwachstellentests.

Worum handelt es sich bei der Log4j-Schwachstelle?

Die „Log4Shell“-Schwachstelle betrifft eine Softwarebibliothek, die für die Aufzeichnung von Ereignissen (das so genannte „Logging“) in Software zuständig ist, die in der Programmiersprache Java geschrieben wurde. Böswillige Angreifende können diese Sicherheitslücke nutzen, um Code auf den betroffenen Systemen auszuführen.

Da diese Schwachstelle über das Internet und ohne jegliche Authentifizierung ausgenutzt werden kann, kann dies für betroffene Systeme und Unternehmen sehr kritisch sein. Da die Software auch in einer Vielzahl von Software und Diensten enthalten ist, die über das Internet zugänglich sind, sind wahrscheinlich viele Unternehmen und Dienste betroffen.

Weitere Informationen zu dieser Sicherheitslücke finden Sie hier:

Sind Greenbone-Produkte und -Dienste betroffen?

Wir haben den Status der möglicherweise betroffenen Systeme mit höchster Priorität überprüft. Keine unserer Produkte oder intern und extern erbrachten Dienstleistungen sind betroffen.

Können Greenbone-Produkte diese Schwachstelle erkennen?

Ja, Schwachstellentests wurden in den Greenbone Community Feed und in den Greenbone Enterprise Feed integriert, beginnend mit Feed-Version 202112130808. Dies bedeutet, dass sowohl unsere Appliances als auch unser Cloud-Produkt in der Lage sind, diese Sicherheitslücke zu erkennen.

Es sind zwar Schwachstellentests verfügbar, aber aufgrund der Komplexität dieser Sicherheitslücke kann nicht garantiert werden, dass eine Erkennung jedes einzelne betroffene System oder Produkt findet. Dies gilt insbesondere für nicht-authentifizierte „Remote“-Überprüfungen, und zwar aus den folgenden Gründen:

  • Das Produkt oder der Dienst könnte nur unter ganz bestimmten Umständen verwundbar sein. Da die Log4j-Bibliothek sehr komplex und hochgradig konfigurierbar ist und in vielen Produkten unterschiedlich eingesetzt wird, ist es nicht möglich, alle verwundbaren Instanzen durch eine Remote-Prüfung zu finden.
  • Sicherheitskonfigurationen im zu scannenden Netzwerk können eine erfolgreiche Überprüfung der Schwachstelle verhindern.
  • Produkte und Dienste können auch indirekt betroffen sein.

Eine spezielle Scan-Konfiguration zur direkten und schnellstmöglichen Erkennung dieser Sicherheitslücke ist ebenfalls über beide Feeds verfügbar. Bitte beachten Sie, dass die aktuelle Scan-Konfiguration nur aktive Prüfungen (remote und lokal) enthält. Paketversionsprüfungen sind nicht enthalten, um die Scan-Konfiguration und damit die Scanzeit minimal zu halten.

Ist die Erkennung im Greenbone Community Feed enthalten?

Ja. In beiden Feeds ist eine grundlegende Erkennung der Sicherheitslücke enthalten. Zusätzliche Schwachstellentests für potenziell betroffene Unternehmensprodukte sind über den Greenbone Enterprise Feed verfügbar.

Welche Erkennung ist in welchem Feed enthalten?

Greenbone Enterprise Feed

Wir implementieren fortlaufend Schwachstellentests in den Greenbone Enterprise Feed, daher kann die folgende Liste unvollständig sein, gibt aber den Stand vom 14.12.2021, 12:00 Uhr wieder.

Wichtig: Um die aktuellsten Informationen zu Ihrer Installation zu erhalten, können Sie nach  ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation suchen.

  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (Log4Shell)
  • Apache Log4j Detection (Linux/Unix SSH Login)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (HTTP, Log4Shell) – Active Check
  • Apache Struts 2.5.x Log4j RCE Vulnerability (Log4Shell)
  • Apache Druid < 0.22.1 Multiple Vulnerabilities (Log4Shell)
  • Apache Flink < 1.13.4, 1.14.x < 1.14.1 Log4j RCE Vulnerability (Log4Shell)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (TCP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (UDP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (SIP, Log4Shell) – Active Check
  • Apache Solr 7.x, 8.x Log4j RCE Vulnerability (Log4Shell) – Version Check
  • Debian: Security Advisory for apache-log4j2 (DSA-5020-1)
  • Debian LTS: Security Advisory for apache-log4j2 (DLA-2842-1)
  • Elastic Logstash Log4j RCE Vulnerability (Log4Shell)
  • Openfire < 4.6.5 Log4j RCE Vulnerability (Log4Shell)
  • VMware vCenter Server 6.5, 6.7, 7.0 Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell) – Version Check
  • VMware Workspace ONE Access Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Operations Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Log Insight Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Automation Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Orchestrator Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vCenter Server 6.5, 6.7, 7.0 Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell) – Active Check
  • ArcGIS Server <= 10.7.1 Log4j RCE Vulnerability (Log4Shell)
  • Metabase < 0.41.4 Log4j RCE Vulnerability (Log4Shell)
  • Splunk 8.1.x, 8.2.x Log4j RCE Vulnerability (Log4Shell)
  • Wowza Streaming Engine <= 4.8.16 Log4j RCE Vulnerability (Log4Shell)
  • SonicWall Email Security 10.x Log4j RCE Vulnerability (SNWLID-2021-0032, Log4Shell)
  • IBM WebSphere Application Server Log4j RCE Vulnerability (6525706, Log4Shell)
Greenbone Community Feed

Wir implementieren fortlaufend Schwachstellentests in den Greenbone Community Feed, daher kann die folgende Liste unvollständig sein, gibt aber den Stand vom 14.12.2021, 12:00 Uhr wieder.

Wichtig: Um die aktuellsten Informationen zu Ihrer Installation zu erhalten, können Sie nach  ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation suchen.

  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (Log4Shell)
  • Consolidation of Apache Log4j detections
  • Apache Log4j Detection (Linux/Unix SSH Login)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (HTTP, Log4Shell) – Active Check
  • Debian: Security Advisory for apache-log4j2 (DSA-5020-1)
  • Elastic Logstash Log4j RCE Vulnerability (Log4Shell)
  • Debian LTS: Security Advisory for apache-log4j2 (DLA-2842-1)
  • Openfire < 4.6.5 Log4j RCE Vulnerability (Log4Shell)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (TCP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (UDP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (SIP, Log4Shell) – Active Check

Über authentifizierte/unauthentifizierte Tests

Für einige Versionsprüfungen ist eine Authentifizierung erforderlich, für andere nicht. Außerdem können einige beides haben.

Die entsprechenden Informationen sind über die Links verfügbar, die bei der Suche nach ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation angezeigt werden.

Die „Qualität der Erkennung“ enthält Informationen über die Erkennungsmethode. Ein Wert von „package (97 %)“ deutet auf eine authentifizierte Prüfung hin, andere Werte wie „remote_banner (80 %)“ geschehen unauthentifiziert.

Weitere technische Informationen hierzu finden Sie unter https://docs.greenbone.net/GSM-Manual/gos-21.04/de/reports.html#quality-of-detection-concept.

Über aktive Tests/Testprüfungsversion, QoD

Sie können anhand des QoD und der „Erkennungsmethode“ auf der Web-Oberfläche erkennen, ob es sich um eine aktive Prüfung handelt, wenn Sie sich die Details des Schwachstellentests anzeigen lassen.

Hinweis: Nur Systeme, die tatsächlich Eingaben protokollieren, die von Angreifenden verändert werden können (z. B. bestimmte HTTP-Anfrage-Header, URLs, …), sind verwundbar.

Die Erkennungsmethode, die Qualität der Erkennung, die Schadensminderung und viele weitere Details sind über die Links verfügbar, die bei der Suche nach ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation angezeigt werden.

Scannen nach Knoten auf separaten VRFs & VLANs

  • Out-of-band-Scanning (OOB) ist derzeit nicht möglich. Bitte scannen Sie in jedem Segment.
  • Wir denken, dass eine solche Out-of-band-Kommunikation (OOB)/externe Interaktionsmöglichkeit in Zukunft integriert werden kann.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von