Schlagwortarchiv für: Greenbone

Markus Feilner

Kommunen, Behörden und Unternehmen unter Druck: Schwere Angriffe nehmen zu, NIS2 wird Vorschrift

Nachdem Experten bereits 2023 einen rapiden Zuwachs bei Cyberangriffen auf Kommunen und Behörden feststellen mussten, hören die Schreckensmeldungen auch 2024 nicht auf. Der Handlungsdruck ist enorm, denn ab Oktober tritt die NIS2-Richtline der EU in Kraft und macht Risiko- und Schwachstellenmanagement zur Pflicht.

„Die Gefährdungslage ist so hoch wie nie“ sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner bei der Bitkom Anfang März. Die Frage sei nicht, ob ein Angriff erfolgreich ist, sondern nur wann. Auch die jährlichen Berichte des BSI, zum Beispiel der jüngste Report von 2023 sprächen da Bände. Auffällig sei aber, so Plattner, wie oft Kommunen, Krankenhäuser und andere öffentliche Institutionen im Mittelpunkt der Angriffe stünden. Aber es gebe „kein Maßnahmen- sondern ein Umsetzungsproblem in den Unternehmen und Behörden“.  Klar ist: Schwachstellenmanagement wie das von Greenbone kann dabei schützen und helfen, das Schlimmste zu vermeiden.

US-Behörden durch chinesische Hacker unterwandert

Angesichts der zahlreichen gravierenden Sicherheitsvorfälle wird das Schwachstellenmanagement von Jahr zu Jahr wichtiger. Knapp 70 neue Sicherheitslücken kamen in den letzten Monaten täglich hinzu. Einige von Ihnen öffneten tief in US-Behörden hinein Tür und Tor für Angreifer, wie im Greenbone Enterprise Blog berichtet:

Über gravierende Sicherheitslücken waren US-Behörden Medien zufolge seit Jahren durch chinesische Hackergruppen wie die wohl staatlich gesponserte „Volt Typhoon“ unterwandert. Dass Volt Typhoon und ähnliche Gruppierungen ein großes Problem sind, bestätigte sogar Microsoft selbst in einem Blog bereits im Mai 2023. Doch damit nicht genug: „Volt Typhoon macht sich die reichlich auftretenden Sicherheitslücken in VPN-Gateways und Routern der Marken FortiNet, Ivanti, Netgear, Citrix und Cisco zunutze. Diese gelten derzeit als besonders verwundbar“, war bei Heise zu lesen.

Dass der Quasi-Monopolist bei Office, Groupware, Betriebssystemen und diversen Clouddiensten 2023 auch noch zugeben musste, dass er sich den Masterkey für große Teile seiner Microsoft-Cloud hat stehlen lassen, zerstörte das Vertrauen in den Redmonder Softwarehersteller vielerorts. Wer diesen Key besitzt, braucht keine Backdoor mehr für Microsoft-Systeme, schreibt Heise. Vermutet werden hierbei ebenfalls chinesische Hacker.

Softwarehersteller und -Lieferanten

Die Lieferkette für Softwarehersteller steht nicht erst seit log4j oder dem Europäischen Cyber Resilience Act unter besonderer Beobachtung bei Herstellern und Anwendern. Auch das jüngste Beispiel um den Angriff auf den XZ-Komprimierungsalgorithmus in Linux zeigt die Verwundbarkeit von Herstellern. Bei der „#xzbackdoor“ hatte eine Kombination aus purem Zufall und den Aktivitäten von Andres Freund, ein sehr an Performance orientierter, deutscher Entwickler von Open-Source-Software für Microsoft, das Schlimmste verhindert.

Hier tat sich ein Abgrund auf: Nur dank der Open-Source-Entwicklung und einer gemeinsamen Anstrengung der Community kam heraus, dass Akteure über Jahre hinweg mit hoher krimineller Energie und mit Methoden, die sonst eher von Geheimdiensten zu erwarten sind, wechselnde Fake-Namen mit diversen Accounts benutzt hatten. Ohne oder mit nur wenig Benutzerhistorie bedienten sie sich ausgeprägter sozialer Betrugsmaschen, nutzen die notorische Überlastung von Betreibern aus und erschlichen sich das Vertrauen von freien Entwicklern. So gelang es ihnen, fast unbemerkt Schadcode in Software einzubringen. Nur dem Performance-Interesse von Freund war es schließlich zu verdanken, dass der Angriff aufflog und der Versuch scheiterte, eine Hintertür in ein Tool einzubauen.

US-Offizielle sehen auch in diesem Fall Behörden und Institutionen besonders bedroht, selbst wenn der Angriff eher ungezielt, für den massenhaften Einsatz ausgerichtet zu sein scheint. Das Thema ist komplex und noch lange nicht ausgestanden, geschweige denn vollumfänglich verstanden. Sicher ist nur: Die Usernamen der Accounts, die die Angreifer verwendet haben, waren bewusst gefälscht. Wir werden im Greenbone Blog weiter darüber berichten.

Europäische Gesetzgeber reagieren

Schwachstellenmanagement kann solche Angriffe nicht verhindern, aber es leistet unverzichtbare Dienste, indem es Administratoren proaktiv warnt und alarmiert, sobald ein derartiger Angriff bekannt wird – und dies meist, noch bevor ein Angreifer Systeme kompromittieren konnte. Angesichts aller Schwierigkeiten und dramatischen Vorfälle überrascht es nicht, dass auch Gesetzgeber die Größe des Problems erkannt haben und das Schwachstellenmanagement zum Standard und zur Best Practice in mehr und mehr Szenarien erklären.

Gesetze und Regulierungen wie die neue NIS2-Richtline der EU schreiben den Einsatz von Schwachstellenmanagement zwingend vor, auch in der Software-Lieferkette. Selbst wenn NIS2 eigentlich nur für etwa 180.000 Organisationen und Unternehmen der Kritischen Infrastruktur (KRITIS) beziehungsweise „besonders wichtige“ oder „bedeutende“ Unternehmen Europas gilt, sind die Regulierungen grundsätzlich sinnvoll – und ab Oktober Pflicht. Die „Betreiber wesentlicher Dienste“, betont die EU-Kommission, „müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“

Ab Oktober vorgeschrieben: Ein„Minimum an Cyber-Security-Maßnahmen“

Die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2)“ zwingt Unternehmen der europäischen Gemeinschaft, einen „Benchmark eines Minimums an Cyber-Security-Maßnahmen zu implementieren“, darunter auch Risikomanagement, Weiterbildung, Policies und Prozeduren, auch und gerade in der Zusammenarbeit mit Software-Lieferanten. In Deutschland sollen die Bundesländer die genaue Umsetzung der NIS2-Regelungen definieren.

Haben Sie Fragen zu NIS2, dem Cyber Resilience Act (CRA), zu Schwachstellenmanagement allgemein oder den beschriebenen Sicherheitsvorfällen? Schreiben Sie uns! Wir freuen uns darauf, mit Ihnen zusammen, die richtige Compliance-Lösung zu finden und Ihrer IT-Infrastruktur den Schutz zu geben, den sie heute angesichts der schweren Angriffe benötigt.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

Greenbone ganz in Grün: ISO 14001 Zertifizierung

Grüner wird’s nicht mehr? Von wegen! Soeben haben wir die Zertifizierung für unser Umweltmanagementsystem nach ISO 14001 abgeschlossen. Und wir haben festgestellt: Es geht immer noch etwas „grüner“ – man musss sich nur engagieren und bereit sein, dieses Engagement in messbaren Fortschritten voranzutreiben.

Die internationale Norm ISO 14001 legt Anforderungen fest, mit deren Hilfe Unternehmen Umweltziele erreichen und dabei auch rechtliche Verpflichtungen erfüllen können. Weil die ökologische Nische für jede Organisation unterschiedlich ist, sieht der Standard zwar keine absoluten Werte und Ziele vor, betont jedoch die Integration ins Qualitätsmanagement, die Leitungsverantwortung für das Umweltmanagement und die Beseitigung von Unklarheiten hinsichtlich der Umweltziele.

Ziele, Vorgaben, Kennzahlen: Trockenes Gerüst für grünes Wachstum

So legt die aktuelle deutsche Fassung der Norm als DIN EN ISO 14001:2015 besonderen Wert auf die „Umweltleistungsverbesserung“ und deren Messung durch entsprechende Kennzahlen. Die ökologischen Ziele beziehen sich so auf vor- und nachgelagerte Umweltauswirkungen von Produkten und Dienstleistungen ebenso wie die Berücksichtigung von Chancen und Risiken im täglichen Business. Das Ganze ist im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP) einzurichten, sodass die Auswirkungen jeder neuen Maßnahme kontrollierbar sind und diese entsprechend angepasst werden kann. Wir sind stolz darauf, mit der Zertifizierung jetzt einen weiteren, wichtigen Schritt in Richtung auf ein nicht nur von außen, im Firmenlogo, sondern auch von innen „grünen“ Unternehmens verkünden zu können.

Schon im Herbst 2023, als das „Environmental Management System“ eingeführt wurde, war uns klar: Wir können zwar nicht die Welt retten, aber jeder Schritt in diese Richtung ist uns wichtig! Also Schritt für Schritt: Los ging es mit der Sammlung aller Aspekte, die überhaupt Einfluss auf die Umwelt haben können. Nach dem Ranking der Faktoren und ihrer Priorisierung kristallisierten sich elf Gebiete heraus, auf denen Greenbone ökologisch wirksam und aktiv werden kann: Angefangen beim Stromverbrauch über die Kühlung von Servern, die Heizung von Büroräumen und den Warenversand bis hin zur Mülltrennung und der Energieeffizienz unserer Appliances.

Und immer wieder: messen…

Als ein Unternehmen, das hohen Wert auf die Verwirklichung und die klare Darstellung von Zielvorgaben legt, ist Greenbone bereits nach ISO 9001:2015 (Qualitätsmanagement) und ISO 27001:2017 (Informationssicherheit) sowie im Rahmen von TISAX für das Information Security Management System (ISMS) zertifiziert. Für ISO 14001 haben wir unsere Ziele entsprechend in klar definierten Key Performance Indikatoren (KPI) konkretisiert, um sie für spätere Messungen wieder bereitzustellen. So können bestehende Maßnahmen nachjustiert und weitere Verbesserungen eingeführt werden. Was sich zunächst trocken anhört, trägt bereits erste, „grüne“ Früchte:

  • Unser Strom speist sich seit Firmengründung komplett aus erneuerbaren Energien. Der Gesamtverbrauch – inklusive Clients und Server – soll in Kürze noch um 3% gesenkt werden.
  • Bei jeder Neuanschaffung von Equipment achten wir besonders auf Nachhaltigkeit und Energieeffizienz.
  • Seit 2020 nutzen wir ausschließlich E-Autos als Firmenfahrzeuge.
  • Wir haben auf digitale Gehaltsabrechnungen umgestellt.
  • Der Serverraum wird regelmäßig auf mögliche Einsparpotenziale überprüft.
  • Auch im Kleinen schreiben wir Umweltschutz groß: Müll wird nur noch zentral gesammelt, und Verpackungsmaterial wird prinzipiell wiederverwendet.

Um unseren ökologischen Fortschritten schließlich mehr Nachhaltigkeit zu verleihen, halten wir uns in regelmäßigen internen Schulungen zur Energieeffizienz auf dem Laufenden. So tragen wir dazu bei, dass die Welt auch außerhalb von Greenbone noch „grüner“ wird.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CISA warnt vor schwerer Sicherheitslücke in MS Sharepoint

Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.

Tracking-News: Critical Vunerability in MS Sharepoint

Remote Priviledge Execution

Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.

Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.

Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.

Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Tracking-News: Juniper Junos-Schwachstellen

5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können

Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.

Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.

Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:

  • CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
  • CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
  • CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
  • CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
  • CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.

Verstehen des Angriffsverlaufs

Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.

Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:

Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.

CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.

Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.

Abschwächung der jüngsten Juniper Junos-Schwachstellen

Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.

Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Jan-Oliver Wagner

Der Schlüssel zur Qualitätssicherung Ihres Sicherheitsstatus (Schwachstellenstatus)

Die Aufgabe, sich vor Cyberangriffen zu schützen, indem Sie Ihre Angriffsfläche minimieren, erfordert drei wesentliche Säulen:

Vulnerability Intelligence
Erfahren Sie sofort alles über Schwachstellen und Risiken

Asset-Intelligenz
Scannen Sie alle TCP/IP-Protokolle, tauchen Sie tief in Anlagen ein und nutzen Sie andere Quellen für Anlagendetails.

Schwachstellen-Scanning
Schwachstellentests schnell und nach Priorität erstellen, bereitstellen und ausführen

Vulnerability Intelligence

Vulnerability Intelligence hilft bei zwei Aufgaben: Zunächst müssen Sie eine Prioritätsentscheidung darüber treffen, welche Angriffsvektoren Sie angehen sollten und welche Sie akzeptieren. Diese Entscheidung ist nicht einfach und kann weitreichende Auswirkungen haben. Schlimmer noch, sie muss unter Zeitdruck und mit begrenzten Ressourcen getroffen werden. Mit anderen Worten: Diese Entscheidung ist (manchmal) eine Triage. Je besser die Informationen über die Schwachstelle sind, desto besser wird die Entscheidung ausfallen. Und je mehr Beweise Sie erhalten, desto weniger persönliche Vermutungen müssen Sie hinzufügen. Sobald Sie entschieden haben, welche Angriffsvektoren Sie in Angriff nehmen wollen, helfen Ihnen die technischen Details über die Schwachstelle als Leitfaden für eine effiziente Behebung. Zu wissen, wie einfach oder kompliziert eine Abhilfemaßnahme ist, unterstützt Sie bereits bei der Prioritätsentscheidung.

Asset Intelligence

Bei Asset Intelligence geht es darum, so viel wie möglich über die Vermögenswerte zu wissen, die Sie zum Schutz vor Cyberangriffen besitzen. Es mag seltsam klingen, aber der erste Teil dieser Aufgabe besteht darin, zu wissen, welche Anlagen Sie haben. Netzwerke können sehr dynamisch sein, weil Ihre Mitarbeiter Dienste und Geräte sehr dynamisch erweitern und verbinden. Das Scannen nach vorhandenen Ressourcen und das Scannen in die Ressourcen ist gleichermaßen wichtig. Beides dient dem Aufbau eines Inventars, das Sie später mit den eingehenden Schwachstelleninformationen über neue Angriffsvektoren vergleichen können. Es gibt erwartete Details wie Produktversionen und unerwartete Details, die erst bei der Veröffentlichung eines Sicherheitshinweises festgestellt werden. Für den ersten Fall bauen Sie eine Datenbank auf, die schnelle Offline-Scans bei neuen Hinweisen ermöglicht. Für den zweiten Fall benötigen Sie die Möglichkeit, beliebige TCP/IP-Protokolle zu verwenden, um die Informationen zu sammeln, die für die Feststellung einer Sicherheitslücke erforderlich sind. Ein Sonderfall sind fiktive Assets, die durch Inventare oder eine Software Bill of Materials repräsentiert werden und beispielsweise Geräte darstellen, die dem EU Cyber Resilience Act unterliegen.

Vulnerability Scanning

Die Kunst des Vulnerability Scanning beginnt mit der Erstellung von Tests, die in der Regel von Vulnerability Intelligence abgeleitet und gründlich überprüft werden. Angesichts der wachsenden Zahl von Sicherheitshinweisen ist es auch eine Frage der Prioritäten, welche Hinweise zuerst behandelt werden sollen. Die Kenntnis der Asset-Inventare unserer Kunden hilft uns, diese Aufgabe noch besser für sie zu erledigen. Nach dem schnellen Einsatz der Tests endet die Kunst des Schwachstellen-Scannens mit einem schnellen, leistungsstarken und einfach einzusetzenden Satz von Scannern. In einfachen Worten: Diese Scanner vergleichen die Schwachstelleninformationen mit den Informationen über die Anlagen, um die aktuelle Angriffsfläche aufzulisten. Das Scannen kann so einfach sein wie der Vergleich einer Versionsnummer oder so komplex wie ein mehrstufiger Exploit über TCP/IP.

Das Ergebnis ist ein Schwachstellenstatus mit hoher Relevanz und hoher Erkennungsqualität, und damit auch Ihre Schwachstellenbehebung und Schwachstellenberichte.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Masterarbeit: Automatisierte Schwachstellenerkennung und Reaktion im Netzwerkperimeter

Aus der langjährigen Zusammenarbeit der Greenbone AG mit der Universität Osnabrück ist erneut eine erfolgreiche Masterarbeit hervorgegangen.

Unter dem Titel „Development of an Automated Network Perimeter Threat Prevention System (DETERRERS)“ hat Nikolas Wintering seine Masterarbeit in der Arbeitsgruppe Mathematik, Physik und Informatik des Fachbereichs Mathematik/Informatik der Universität Osnabrück geschrieben und dabei ein System zur automatisierten Gefahrenprävention am Netzwerkperimeter eines universitären Campusnetzwerkes entwickelt.

Besonders bedroht: Universitäten

Universitäten sind lebendige Zentren des Informationsaustauschs und der Zusammenarbeit, mit ihren zahlreichen Hosts und einer Vielzahl von Services bieten sie eine große Angriffsfläche für Cyberbedrohungen. Für die Bildungseinrichtungen ist es daher enorm wichtig, gefährdende Stellen zu erkennen und automatisch vom Internet zu isolieren.

Automatisiertes Schwachstellenmanagement

Durch die Automatisierung der Interaktionen zwischen Administratoren, Schwachstellen-Scanner und Perimeter-Firewall werden Administratoren so in ihrer Arbeit unterstützt und das universitäre IT-Netzwerk geschützt. Teil des in der Masterarbeit entwickelten Systems ist auch die Automatisierung der Risikobewertung der Ergebnisse der Schwachstellenscans und die Generierung von hostbasierten Firewallkonfigurationen.

„Durch den Einsatz von DETERRERS und der damit verbundenen Anpassung der Freigabeprozesse, konnte die Sicherheit im Universitätsnetzwerk mit sehr geringem Mehraufwand für Administrator*innen massiv verbessert werden. Mit der automatisierten Mitigation kann zudem kurzfristig auf neue Bedrohungen reagiert und somit eine potenzielle neue Angriffsoberfläche, ohne lange manuelle Laufzeiten, schnell geschlossen werden.“
Eric Lanfer, M. Sc. (Rechenzentrum Osnabrück, Gruppe Netze)

Praxisbezug und freier Demonstrator

Auf Basis eines praktischen Einsatzes in einem Campusnetzwerk evaluiert Wintering, wie die Risikobewertung agiert, wie die Angriffsfläche verringert wird und welche Auswirkungen das System auf die Arbeit von Administratoren hat. Dabei entstand auch ein Demonstrator, dessen Source Code und Funktionsweise Interessierte auf Github einsehen und testen können. Langfristig ist eine Weiterführung als Open-Source-Projekt geplant.

„Es handelt sich um eine sehr gelungene Arbeit mit klarem Mehrwert für die Praxis. Effiziente Sicherheitsmechanismen im Alltag nutzbar zu machen, ist oft eine große Herausforderung, und diese Masterarbeit leistet sehr überzeugende Beiträge dazu.“
Prof. Dr. rer. nat. Nils Aschenbruck (Universität Osnabrück, Institut für Informatik, Arbeitsgruppe Verteilte System)

Greenbone: Experten für Universitäten und mehr

Greenbone versorgt seit vielen Jahren zahlreiche Kunden aus dem universitären Umfeld mit Produkten zum Schwachstellenmanagement. Dank dieser umfangreichen Erfahrung konnten wir immer wieder branchentypische Anforderungen erkennen, sammeln, und in die Weiterentwicklung unserer Produkte einbauen.

Die Universität Osnabrück nutzt die Greenbone Enterprise Appliance 450. Dass diese Lösung nun Teil einer Masterarbeit geworden ist, begrüßen wir sehr. Wir gratulieren Nikolas Wintering zu dieser gelungenen wissenschaftlichen Auswertung.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Britta Zurborn

PITS 2023 Public IT Security

20. bis 21. September 2023 | Berlin.

In diesem Jahr nehmen wir an Deutschlands Fachkongress für IT- und Cybersicherheit bei Staat und Verwaltung teil.

Dr. Jan-Oliver Wagner, Greenbone, spricht zusammen mit

Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik
Carsten Meywirth, Abteilungsleiter Cybercrime, Bundeskriminalamt und
Nikolas Becker, Leiter Politik & Wissenschaft, Gesellschaft für Informatik und
Catarina dos Santos-Wintz, Mitglied des Deutschen Bundestages (CDU/CSU) und Mitglied im Ausschuss für Digitales

am: 21.09.2023
um: 9:20 Uhr

im Hauptprogramm über das Thema: Den Finger in die Wunde legen – Schwachstellen managen oder schließen?

Besuchen Sie uns in unserer Lounge an Stand 43 und tauschen Sie sich mit unseren Experten über Schwachstellenmanagement und Cybersicherheit aus.

Mehr: https://www.public-it-security.de/anmeldung/

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht

Wir leben und arbeiten in der digitalen Welt. Das Thema Cybersicherheit betrifft daher uns alle – sowohl Unternehmen und staatliche Verwaltungen, als auch jeden einzelnen von uns. Dies gilt nicht für unsere eigene direkte Nutzung von digitalen Systemen, sondern – manchmal sogar im Besonderen – auch wo Andere für uns digitalisiert, teilweise wünschenswerte, aber auch unersetzliche Dienste erbringen. Existentiell wird es spätestens dort wo wir von kritischen Infrastrukturen (KRITIS) abhängig sind: Wasser, Strom, Gesundheit, Sicherheit und einige mehr.

Durch die fortschreitendende Vernetzung wird nahezu jedes digitale Gerät ein mögliches Einfalltor für Cyberangriffe. Cybersicherheit ist daher ein technisches, ein gesellschaftliches und ein Verbraucherthema.

Die Bundesregierung setzt sinnvollerweise auf (Zitat aus dem Koalitionsvertrag der SPD, Bündnis 90 / Die Grünen und der FDP) „ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen“. Um eine allgemeine Widerstandfähigkeit gegen Cyberangriffe in Europa zu begründen, hat die EU den Cyber Resilience Act (CRA) ins Leben gerufen.

Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht

Im Cyber Resilience Act (CRA) haben sich die EU-Mitgliedsstaaten auf eine gemeinsame Position geeinigt – das gab der Rat der EU Ende Juli in einer Pressemitteilung bekannt und berichtet optimistisch:

„Diese Einigung ist ein Erfolg des Engagements der EU für einen sicheren und geschützten digitalen Binnenmarkt. (…) Mit dem Verordnungsentwurf werden verbindliche Cybersicherheitsanforderungen für die Konzeption, Entwicklung, Herstellung und das Inverkehrbringen von Hardware- und Softwareprodukten eingeführt, um sich überschneidende Anforderungen aufgrund unterschiedlicher Rechtsvorschriften in den EU-Mitgliedstaaten zu vermeiden.“
(https://www.consilium.europa.eu/de/press/press-releases/2023/07/19/cyber-resilience-act-member-states-agree-common-position-on-security-requirements-for-digital-products/)

Der CRA soll die digitale Sicherheit durch gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste nachhaltig in Europa verankern. Damit hat der CRA nicht nur hohe Auswirkungen auf die Hersteller von digitalen Geräten, die EU schafft auch einen neuen, normsetzenden Standard. Wir unterstützen als IT-Sicherheitsunternehmen seit 15 Jahren unsere Kunden dabei, den bestmöglichen Sicherheitsstandard zu erreichen. Die neue Normierung durch den CRA sehen wir als Chance, und helfen unseren Kunden gerne dabei, diese für noch mehr Sicherheit zu nutzen.

Sicherheit kontinuierlich nachweisen

Die neuen CRA-Regelungen zur Behandlung und Erkennung von Schwachstellen, die „die Cybersicherheit digitaler Produkte … gewährleisten, und Pflichten der Wirtschaftsakteure wie Einführer oder Händler in Bezug auf diese Verfahren“ regeln sollen, stellen viele Unternehmen vor Herausforderungen. Der Einsatz von Werkzeugen wie Greenbone’s Schwachstellenmanagement macht es dabei deutlich einfacher, den neuen Anforderungen nachzukommen. Dies geht auch soweit, zu überprüfen, ob zum Beispiel Zulieferer die geforderten und zugesicherten Sicherheitsstandards erfüllen.

Mehr Verantwortung

Unternehmen sind durch den CRA aufgerufen, regelmäßig, dauerhaft und nachhaltig, Schwachstellenanalysen vorzunehmen und bei als „kritisch“ klassifizierten Produkten externe Audits vornehmen zu lassen. Besonders bei älteren Produkten kann das schwierig werden. Auch hilft Greenbone, weil wir solche, häufig unvollkommen dokumentierte Produkte, auch im laufenden Betrieb untersuchen können.

Dort wo unsere Kunden das heute schon regelmäßig tun, sind sie schnell handlungsfähig, und gewinnen wertvolle Zeit, mögliche Risiken zu mitigieren.

Jetzt aktiv werden

Der CRA führt Regeln zum Schutz digitaler Produkte ein, die bislang rechtlich nicht erfasst wurden, damit stehen Unternehmen neue und große Herausforderungen bevor, die die gesamte Supply Chain betreffen.

Wir können Ihnen helfen, den Anforderungen nachzukommen. Die Produktserie des Greenbone Vulnerability Managements, die Greenbone Enterprise Appliances, ermöglichen Compliance mit dem CRA – on premise oder aus der Cloud. Unsere Experten beraten sie gerne.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone testet Ihre Webanwendungen

Verringern Sie das Risiko eines Angriffs aus dem Internet auf Ihre Server: Nutzen Sie das neueste Angebot von Greenbone: Mit unserem Pentesting Webanwendungen helfen wir Ihnen, die bestmöglichste Sicherheit für Ihre Webanwendungen zu erhalten.

Die Zahlen sprechen eine eindeutige Sprache: Angriffe auf Webanwendungen nehmen zu, seit Jahren schon, und ein Ende ist nicht in Sicht. Die Komplexität moderner Internetauftritte und -dienste erfordert ein hohes Maß an Sicherheitsmaßnahmen und ist ohne Tests durch Experten nicht zu bewerkstelligen.

Dabei hilft nur das die Technik des so genannten „Pentesting“ von Webanwendungen, genauer das „Web Application Penetration Testing“. Mit diesem Versuch, von außen in geschützte Systeme einzudringen („Penetration“) erstellen die Experten von Greenbone eine aktive Analyse der Schwachstellen und können so die Sicherheit einer Webapplikation bewerten. Zwar gibt es Leitfäden wie den sehr empfehlenswerten des Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Vorgehensweise fürs Testen beschreibt, doch kann nichts den Experten ersetzen, der Ihr System selbst unter die Lupe nimmt. In diesem Video erhalten Sie einen ersten Eindruck von der Arbeit unserer Experten.

Greenbone agiert dabei streng nach den Vorschriften der DSGVO, ist nach ISO 27001/9001 zertifiziert. Wie bei den Produkten im Bereich des Schwachstellenmanagements erhalten Sie auch bei den Webanwendungen-Pentests ausführliche Berichte über Ihre Sicherheitssituation mit klaren Handlungsanweisungen, bei deren Umsetzung die Greenbone-Experten gerne helfen. Da Angebot umfasst sowohl Client- als auch Server-Seite Ihrer Webanwendungen und richtet sich nach den modernsten und aktuellsten Vorgaben, beispielsweise der OWASP Top 10 oder auch dem OWASP Risk Assessment Framework (RAF). Egal ob es sich um Cross-Site-Scripting (XSS), SQL Injection, Information Disclosure oder Command Injection handelt, egal ob es Lücken in den Authentifizierungsmechanismen Ihrer Server gibt oder Websockets die Gefahrenquelle sind – Greenbones Experte werden die Schwachstellen finden.

Als weltweit führender Anbieter von Open Source Produkten zum Vulnerability Management verfügt Greenbone stets über die aktuellste Expertise im Umgang mit Schwachstellen und Sicherheitsrisiken, auch hier im „Black Box Testing“, wenn unsere Experten Ihre Systeme von außen unter die Lupe nehmen, genauso wie das ein Angreifer tun würde: mit dem Blickwinkel einer potenziellen angreifenden Person finden Sie im Idealfall jede existierende Schwachstelle in Ihrer IT-Infrastruktur und können sich um ihre Behebung kümmern. Nur wer seine Schwachstellen kennt, kann die Sicherheitsmaßnahmen zielgerichtet einsetzen. Finden Sie hier mehr zu den Produkten und Services von Greenbone AG.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt: Log4J bleibt weiter ein Problem

Auch mehr als zwei Jahre nach Bekanntwerden der ersten Probleme mit Log4j betreiben viele Szenarien offensichtlich immer noch ungepatchte Versionen der Logging-Bibliothek.

Greenbones Produkte helfen – gerade beim Aufspüren von veralteter Software.

Niemand sollte Log4j als erledigt auf die leichte Schulter nehmen, nur weil die Sicherheitslücke (CVE 2021-44228) eigentlich seit anderthalb Jahren behoben ist. Das ist das Fazit einer Veranstaltung Ende März, in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich warnt. Die Schwachstelle betraf Log4j in den Versionen 2.0 bis 2.14.1 und erlaubte es Angreifern, eigenen Programmcode auf Zielsystemen auszuführen und fremde Server zu kompromittieren.

Unter dem Titel „Log4j & Consequences“ in der Reihe „BuntesBugBounty“ sprach das BSI mit Christian Grobmeier aus dem Log4j Team und Brian Behlendorf von der Open Source Security Foundation (OpenSSF). Erschreckenderweise addieren sich auf der Log4j-Webseite immer noch mehr als ein Drittel der Downloads auf veraltete Versionen, die den wichtigen Patch nicht beinhalten – es ist davon auszugehen, dass zahlreiche Systeme in Unternehmen immer noch verwundbar sind.

Schuld daran sei überwiegend Software Dritter, die Log4j einbette oder diese über Softwareverteilung integriere – was Grobmeier ganz und gar nicht überrascht, denn so funktioniere die Lieferkette bei Open-Source-Software nun mal. Daran, so der Log4J-Entwickler, lasse sich so schnell auch nichts ändern.

Das bestätigt auch die Open SSF: Für Behlendorf könnte nur eine verschärfte Haftung für Softwarehersteller hilfreich sein, so wie diese in den USA bereits erwogen werde. Ohne grundlegend neue Ansätze dürfte sich an den Problemen nichts ändern.

Wer sich dennoch dauerhaft vor Angriffen auf bekannten, bereits gepatchten Schwachstellen schützen will, sollte sich die Produkte von Greenbone ansehen. Nur das professionelle Schwachstellenmanagement gibt Administratoren den Überblick über veraltete Softwareversionen und ungepatchte Lücken in den Systemen der Firma – und schafft so die Grundlage für weitere Sicherheitsmaßnahmen.

Die Entwicklung von Schwachstellentests ist bei Greenbone eine Schlüsselaktivität und ein kontinuierlicher Prozess, der die hohe Qualität der Produkte und damit den hohen Nutzen für die Kunden sicherstellt. Sicherheitsprüfungen erfolgen jeden Tag und Schwachstellentests werden nach Sicherheitslage priorisiert und ebenfalls täglich in die Produkte integriert. Bei kritischen Sicherheitswarnungen, wie bei Log4j, berichtet Greenbone über den aktuellen Stand, die Fakten und dem Umgang damit, wie beispielsweise in den Blogbeiträgen über Log4j.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von