Schlagwortarchiv für: it security

Greenbone AG

Greenbone Rückblick 2024: Ein spannendes Jahr mit starkem Wachstum

Auch im 16. Jahr seines Bestehens hat der Osnabrücker Experte und Marktführer im Open Source Vulnerability Management kräftig zugelegt: sowohl an Mitarbeitern, Kunden, Partnern und nicht zuletzt in diesem Blog.

Greenbone wächst weiter: In den letzten beiden Jahren konnten wir unsere Belegschaft fast verdoppeln, auf jetzt 143 Mitarbeiter, die meisten davon arbeiten remote. Natürlich brachte dieses Wachstum viel neuen, positiven Input mit sich, auch in diesem Blog, aber auch neue Strukturen – und Partys. Einen großen Schritt in der Weiterentwicklung unserer Führungskultur stellten dabei das neue People-Lead-Konzept, die „Development Talks“ mit „Cross Feedback“ und die Happiness-Erhebungen dar. Das gewachsene, weltweit verteilte Team traf sich auf diversen Veranstaltungen und besuchte zahlreiche Events zusammen. Greenbone wird weiterwachsen und ist ein moderner und beliebter Arbeitgeber. Haben Sie sich schon beworben?

Greenbone Threat Report

Es ist also kein Wunder, dass auch dieser Blog vom Wachstum profitiert und ein erfolgreiches neues Format eingeführt hat: Jeden Monat präsentiert Greenbone hier den Threat Report einen monatlichen Deep Dive in die Neuigkeiten und Schrecken des Schwachstellenmanagements, der Schadensbegrenzung und neuer Bedrohungen, die unserer Kunden (und alle, die sich für Sicherheit interessieren) auf dem Radar haben sollten. Die Serie begann im März 2024 und hat bisher zehn detaillierte Blogbeiträge hervorgebracht. Das letzte Update liegt hier.

Vom Aussterben bedroht: Ivanti, Fortinet, Exchange, Confluence…

Darüber hinaus konnten wir über mehrere kritische Schwachstellen berichten. Von Juniper und Ivanti bis Fortinet, von Problemen in Microsoft Exchange und Sharepoint bis zu Atlassians Wissensmanagement Confluence lieferten unsere Experten hilfreiche Einblicke für unsere Kunden.

Natürlich haben wir in unserem Blog über CrowdStrike berichtet und darüber, wie ein Sicherheitsanbieter in nur 62 Minuten zu einer massiven Bedrohung werden konnte. Wir informierten über die nicht enden wollenden Gefahren durch chinesische Hacker, DOS-Angriffe, automatisierte Massenangriffe und schwerwiegende SSH-Key-Probleme und brachten ausführliche Analysen und Beiträge, zum Beispiel zu den Kosten von Cyberangriffen.

Wachsende Herausforderungen: Cyberbedrohungen und neue Gesetze

In fünf Blogbeiträgen haben wir die Bedrohungslage und die spezifischen Sicherheitsrisiken in Branchen erläutert, die 2024 von Sicherheitslücken besonders stark betroffen waren: Der Mittelstand  investiert mehr in Sicherheit, Schulen in Helsinki wurden angegriffen, und natürlich sind die Netze der öffentlichen Verwaltung besonders bedroht, ebenso wie praktisch alles im Gesundheitswesen, sagt das BSI (Bundesamt für Sicherheit in der Informationstechnik). Vor allem die beiden letztgenannten Branchen, nicht nur unter unseren Kunden, werden auch von den vielen Beiträgen profitiert haben, die wir zu Regulierungen veröffentlicht haben, etwa zu CSAF (Common Security Advisory Framework) und, mit vielen Updates, zum langsamen und (in Deutschland) unterbrochenen Fortschritt von NIS2 (Network and Information Security).

Ganzjahresthema NIS2

Die NIS-Richtlinie in ihrer zweiten Auflage war und ist ein Thema, das Greenbone und unsere Kunden immer wieder beschäftigt hat. Seit die Europäische Union die zweite „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ NIS beschlossen hat, haben viele Mitgliedsstaaten Regelungen erlassen, die klarstellen, wie Unternehmen die Richtlinie umsetzen müssen. Nur in Deutschland hat das etwas länger gedauert und ist – bedingt durch den Sturz der Regierung Ende des Jahres – noch nicht abgeschlossen. Nichtsdestotrotz sind alle Informationen und Pläne verfügbar, es gibt sogar einen Test des BSI, mit dem Sie überprüfen können, ob Ihre Netzwerke betroffen sind und sofortige Maßnahmen erforderlich sind.

Greenbone in Grün: ISO 14001

Einen großen Erfolg konnte Greenbone 2024 mit der ISO 14001, einer Zertifizierung für Nachhaltigkeit erzielen. Unser CMO Elmar Geese teilte seine Gedanken über die Zukunft der Clouds und das Aufbrechen ihres Hype-Zyklus. Außerdem nahm er an einem Panel zum Thema Künstliche Intelligenz teil, was die Greenbone-Produkte neuerdings auch integrieren, ebenso wie die BSI-Grundschutz- und CIS-Richtlinien zum Schutz Ihrer Office-Software.

Neue Produkte: Major Release 24.10, Greenbone Basic, Feed-Updates

Aber 2024 bescherte auch viele Aktualisierungen und Neuigkeiten zu den Produkten: Das Schwachstellenmanagement von Greenbone erhielt mehrere Verbesserungen und Updates, mit einem neuen Video, das Schwachstellenmanagement in 11 Minuten erklärt. Im Juli erhielt unsere neue Scan-Engine Notus Unterstützung für Amazons Red-Hat-Linux-Variante, die Amazon Web Services dominiert. Später im Jahr 2024 kündigte Greenbone sowohl eine neue Major Version der Enterprise Appliance (24.10) als auch ein völlig neues Produkt an, das sich an kleine und mittlere Unternehmen richtet und „Greenbone Basic“ heißt. Bereit zum Ausprobieren?

Vielleicht möchten Sie aber auch lesen, wie Greenbone die Konkurrenz der Schwachstellen-Scanner in unserem Benchmark anführt oder herausfinden, was Ihre Key Performance Indicators für die Messung der Leistung Ihres Schwachstellen-Management-Produktes sind?

Kongresse und Events: Unsere Highlights des Jahres

Wenn Sie uns treffen wollen, finden Sie eine wachsende Anzahl von Gelegenheiten… weltweit, wie auch in unserem Blog gezeigt: Wir berichteten fast live von der anderen Seite des Globus, wo Greenbone auf der Singapore International Cyber Week vertreten war. Diese Konferenz war nicht nur eine der wichtigsten IT-Sicherheitsveranstaltungen in Asien, sondern auch eine in einer langen Liste von Geschäfts-Messen, an denen Greenbone teilnahm: Die Public IT Security (PITS) in Berlin, die it-sa in Nürnberg oder die Potsdamer Konferenz für Nationale Sicherheit, um nur einige zu nennen.

Vielen Dank und frohe Festtage!

Natürlich war auch unser 16. Jahr ein gutes Jahr, „ein sehr gutes Jahr“, und so möchten wir die Gelegenheit nutzen, um uns noch einmal bei allen Kunden, Partnern und der Community zu bedanken, denn ohne Ihre Hilfe wäre das alles nicht möglich gewesen.

Vielen Dank, frohe Festtage und ein gutes neues Jahr!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

Greenbone auf der it-sa 2024: Drei spannende Messetage und ein Besucherrekord

Die it-sa 2024 in Nürnberg war nicht nur für die Veranstalter, sondern auch für uns ein voller Erfolg: drei Tage voll inspirierender Gespräche, neuer Kontakte und wichtiger Einblicke in die aktuellen Sicherheitsanforderungen von Kunden und Interessenten. Als eine der wichtigsten Fachmessen für IT-Sicherheit in Europa war die it-sa für uns die ideale Bühne, um die neuesten Entwicklungen einem breiten Publikum vorzustellen. Unsere Keynote, gehalten vom Vorstandsvorsitzenden Dr. Jan-Oliver Wagner, zog zahlreiche Fachbesucher an. Unter dem Titel „Sicher sein und sicher bleiben“ gab er einen Einblick in den Stellenwert unseres Portfolios für eine proaktive Unternehmenssicherheit.

Das Greenbone-Team am Partnerstand auf der it-sa 2024 in Nürnberg.“

Das Greenbone-Team auf der it-sa 2024 freute sich über doppelt so viele Besucher wie im Vorjahr.

 

Keynote: Schwachstellenmanagement als Basis für Cybersicherheit

In seiner Keynote sprach Jan-Oliver Wagner über die wachsende Bedeutung von Schwachstellenmanagement als den fundamentalen Baustein einer umfassenden Sicherheitsstrategie. Unternehmen und Organisationen jeder Größe stehen vor der Herausforderung, die ständig wachsende Bedrohung durch Cyberangriffe zu bewältigen. Besonders im Hinblick darauf, dass die Zahl der Angriffe in den letzten Jahren stark zugenommen hat und schon hohe zweistellige Millionenbeträge für Lösegeldzahlungen aufgerufen wurden, ist klar, dass Cybersicherheit nicht länger nur „nice to have“, sondern überlebensnotwendig ist.

Jan-Oliver Wagner forderte, Bedrohungen möglichst frühzeitig zu erkennen und Risiken proaktiv zu managen. Dabei stellte er das Schwachstellenmanagement als „die erste Verteidigungslinie“ gegen Angreifer dar. Mit den Lösungen von Greenbone können Unternehmen ihre IT-Infrastruktur kontinuierlich auf Sicherheitslücken überprüfen: „Schwachstellenmanagement ist die Basis einer nachhaltigen und hochwirksamen Sicherheitsstrategie.“ Sicherheitsteams stehen dabei oft vor der schwierigen Aufgabe, Risiken angemessen zu beurteilen und die richtigen Entscheidungen zu treffen. „Das Ziel ist es, Angreifern stets einen Schritt voraus zu sein. Unsere Lösungen identifizieren nicht nur Sicherheitslücken, sondern helfen auch zu priorisieren, welche Schwachstellen am dringendsten behoben werden müssen.“

Inspirierende Gespräche und neue Kontakte: die Messe-Highlights

Die Messe ermöglichte es uns, direkt mit Fachbesuchern, Kunden und Partnern in Kontakt zu treten, ihre Fragen zu beantworten und ihre Perspektiven besser zu verstehen. Mit extrem vielen Fachgesprächen in nur drei Messetagen hat sich die Zahl der Besucher an unserem Partnerstand bei ADN gegenüber dem vergangenen Jahr mehr als verdoppelt, berichtet Ingo Conrads, Chief Sales Officer: „Besonders gefreut haben wir uns über die vielen neuen Interessenten und Partner, mit denen wir viele neue Geschäftsmöglichkeiten besprechen konnten.“

Dr. Jan-Oliver Wagner, CEO von Greenbone, bei seiner Keynote ‚Sicher sein und sicher bleiben‘ auf der it-sa 2024 in Nürnberg.

Greenbone-CEO Dr. Jan-Oliver Wagner bei seiner Keynote „Sicher sein und sicher bleiben“ auf der it-sa 2024.

Viele Messebesucher kannten Greenbone bereits als Marke, teils durch den Einsatz von OpenVAS in der Vergangenheit. Doch auch neue Produkte wie „Greenbone Basic“ waren für viele eine Entdeckung, die zeigt, wie umfassend und skalierbar unsere Lösungen inzwischen sind – von Einsteigervarianten bis hin zu Enterprise-Produkten für den öffentlichen Sektor. Gerade die Vielfalt unseres Portfolios und unserer Services hat für Überraschung und Interesse gesorgt. Einen Überblick über die verschiedenen Einsatzmöglichkeiten unserer Lösungen steht auf unserer Webseite zur Verfügung.

Danke für die erfolgreiche Messe!

Die it-sa 2024 war für uns ein voller Erfolg und ein inspirierendes Erlebnis. Einmal mehr hat die Messe gezeigt, wie wichtig Schwachstellenmanagement geworden ist und dass Greenbone hier einen wichtigen Beitrag zur IT-Sicherheit leistet. Besten Dank an unseren Distributionspartner ADN für die hervorragende Zusammenarbeit am Partnerstand – und herzlichen Dank an alle Besucher für die interessanten Gespräche und das wertvolle Feedback!

Gemeinsam setzen wir uns dafür ein, dass Unternehmen sicher sind – und sicher bleiben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

Potsdamer Konferenz für Nationale Cybersicherheit 2024

Am 19. und 20. Juni 2024 geht’s ums Ganze: In Potsdam treffen sich hochrangige IT-Spezialisten und Verantwortliche aus Politik, Wirtschaft und Wissenschaft, um einen Überblick über die „Nationale Cybersicherheit“ zu geben. Eine der größten, flächendeckenden Herausforderungen ist die rasante Entwicklung Künstlicher Intelligenz (KI). Über ihren Einfluss auf die IT-Security wird Elmar Geese, Vorstand von Greenbone, mit Dr. Christoph Bausewein (CrowdStrike), Dr. Sven Herpig (Stiftung Neue Verantwortung) und Dr. Kim Nguyen (Bundesdruckerei) auf dem Podium diskutieren.

  • Zeit: Juni 2024; 13:45
  • Ort: Hasso-Plattner-Institut, Potsdam, Prof.-Dr.-Helmert-Straße 2-3 (Campus Griebnitzsee)
  • Thema: Wie verändert Künstliche Intelligenz die Cybersicherheitslandschaft?
  • Moderation: Dr. Sandra Wachter, University of Oxford

Die „Potsdamer Konferenz für Nationale Cybersicherheit“ findet am 19. und 20. Juni 2024 statt. Besuchen Sie uns gerne auf unserem Stand auf der Konferenz!

Anmeldung: https://hpi.de/das-hpi/bewerbung/2024/potsdam-cybersecurity-conference/

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

PITS 2024 Public IT Security

Save the date: Der „Fachkongress Deutschlands für IT- und Cyber-Sicherheit bei Staat und Verwaltung“ (12. bis 13. Juni 2024) informiert über aktuelle Trends, Strategien und Lösungen in der IT-Security.

Im Hauptprogramm: „IT-Unterstützung zur Krisenfrüherkennung“ (Moderation: Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin, Behörden Spiegel).

Teilnehmer:

  • Dr. Jan-Oliver Wagner, Vorstandsvorsitzender Greenbone
  • Carsten Meywirth, Leiter Abteilung Cybercrime, Bundeskriminalamt
  • Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum
  • Katrin Giebel, Geschäftsstellenleiterin, VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister
  • Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik

Wo? Berlin, Hotel Adlon Kempinski, Unter den Linden 77
Wann? 13.06.2024; 9:40 Uhr

Schwachstellen in IT-Systemen werden heute immer stärker von böswilligen Angreifern ausgenutzt. Mit Vulnerability Management können Sie Ihre IT-Systeme schützen. Besuchen Sie uns in unserer Lounge an Stand 44. Wir freuen uns auf Sie!

Anmeldung: https://www.public-it-security.de/anmeldung/


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Die Verbindung von Open-Source und Cybersicherheit in Unternehmen: Einblicke von der #OSXP2023 in Paris

Internationale Diskussionsrunde über effektive Cybersicherheit bei der #OSXP2023

Beim renommierten #OSXP2023-Event in Paris haben wir an der Diskussionsrunde „Cybersécurité et open source“ teilgenommen. Dort diskutierten wir intensiv darüber, wie die Cybersicherheit in Unternehmen verbessert werden kann. Das Gremium, bestehend aus internationalen, bekannten Experten aus Wissenschaft und Regierung, konzentrierte sich auf diese Punkte für starke Cybersicherheit.

Diskussionsrunde auf der Open Source Experience 2023 in Paris zum Thema ‚Cybersécurité et open source‘ mit internationalen Expert:innen und Publikum.

1. Die Einstellung zu Sicherheitsthemen

Security by Design: Eine Management-Aufgabe

  • Das Panel betonte, wie wichtig es ist, Sicherheit bereits in den Anfangsphasen der Entwicklung zu berücksichtigen. Dafür ist es nötig, dass die Unternehmensführung Sicherheit in allen Geschäftsbereichen priorisiert.

Eine Mentalität, die auf sichere und geschützte Lösungen ausgerichtet ist

  • Unternehmen sollten eine Kultur entwickeln, bei der Sicherheit ein fester Bestandteil des Denkprozesses ist. Ziel ist es, Lösungen anzubieten, die von Natur aus sicher und geschützt sind.

2. Umsetzung wichtiger Prozesse

Einhaltung von Standards und Automatisierung

  • Es wurde betont, wie wichtig es ist, sich an etablierte Cybersicherheitsstandards zu halten. Empfohlen wird, Prozesse zu automatisieren, um Konsistenz und Effizienz zu gewährleisten.

Keine Umsetzung ohne Sicherheitskonformität

  • Es wurde empfohlen, keine Umsetzungen oder Maßnahmen durchzuführen, ohne die notwendigen Sicherheitsanforderungen zu erfüllen.

3. Ressourcen: Teams stärken und Wachsamkeit erhöhen

Spezialisierte Sicherheitsteams und Schulungen

  • Entscheidend sei, spezialisierte Sicherheitsteams zu haben und regelmäßige Schulungen durchzuführen, um ein hohes Sicherheitsbewusstsein und Vorbereitung zu gewährleisten.

Wachsamkeit als kontinuierliche Aufgabe

  • Ständige Wachsamkeit wurde als Schlüsselressource hervorgehoben, um sicherzustellen, dass Sicherheitsmaßnahmen immer aktuell und wirksam sind.

4. Wesentliche Werkzeuge und Technologien

Verpflichtende Multi-Faktor-Authentifizierung (MFA)

  • Die Implementierung von MFA als obligatorische Maßnahme, um die Sicherheit von Konten erheblich zu verbessern, wurde stark empfohlen.

Schwachstellenscanner und Abhängigkeitsmanagement

  • Der Einsatz von Schwachstellenscannern und das Management von Abhängigkeiten und Konfigurationen wurden als unverzichtbare Werkzeuge bewertet. Plattformen wie GitHub Enterprise mögen ihren Preis haben, bieten aber umfassende Lösungen für diese Bedürfnisse.

Fazit: Schulungen, Achtsamkeit und der Einsatz von Open-Source-Tools

Abschließend betonte das Panel bei #OSXP2023, einschließlich unseres Experten Corentin Bardin, Spezialist für Cybersicherheit und Pentester, die Bedeutung von kontinuierlicher Weiterbildung im sich schnell entwickelnden Bereich der Cybersicherheit. Sie sprachen sich für den Einsatz von Open-Source-Werkzeugen zur Stärkung der Sicherheitsmaßnahmen aus.

Die wichtigste Erkenntnis aus der Diskussion ist das Engagement, sichere Dienstleistungen anzubieten. Es geht nicht nur um Werkzeuge und Prozesse, sondern um die Denkweise und das kontinuierliche Bestreben, wachsam und informiert zu bleiben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Vermutlich pro-russische Hacker versuchen, Sharepoint Schwachstelle auszunutzen

Update vom 06.12.2023:

Letzte Woche berichteten wir über pro-russische Hacktivisten, die nach verwundbaren Sharepoint-Servern scannen, um eine kritische Schwachstelle (CVE-2023-29357) auszunutzen.

Neue Erkenntnisse deuten darauf hin, dass die Gruppe, die sich selbst „Zarya“ nennt, verschiedene Exploit-Versuche unternimmt, darunter Directory-Traversal und das Abzielen auf spezifische Schwachstellen in Systemen wie OpenWRT-Routern.

Die IP-Adresse 212.113.106.100, die mit diesen Aktivitäten in Verbindung steht, wurde bei mehreren unterschiedlichen Exploit-Versuchen beobachtet. Zusätzlich zu einfachen Erkundungen wurden auch spezifische Angriffe auf Konfigurationsdateien und Admin-APIs festgestellt.

Dieser Fall unterstreicht erneut die Bedeutung der Absicherung von Systemen gegen solche Bedrohungen und zeigt, wie ungeschützte oder schlecht konfigurierte Systeme Ziel solcher Angriffe werden können.

Eine kritische Schwachstelle für Sharepoint (CVE-2023-29357), wird von vermutlich pro-russischen Angreifern angegangen, die versuchen, diese Schwachstelle auszunutzen. 

Das Internet Storm Center hat entsprechende Aktivitäten auf seinen Honeypots entdeckt. Der Schweregrad für diese Schwachstelle ist kritisch (ein Wert von 9,8 von 10), und die Angriffskomplexität ist sehr gering, was diese Schwachstelle besonders gefährlich macht. Greenbone-Kunden können von der automatischen Erkennung dieser Schwachstelle in unserem Enterprise Feed profitieren. Microsoft bietet seit dem 12. Juni 2023 ein Sicherheitsupdate an, Microsoft-Kunden, die das Update verpasst haben, sollten es jetzt installieren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

IT-Sicherheitsupdate November 2023: Kritische Schwachstellen und Bedrohungen

Im neuesten CVE-Update für November 2023 wurden mehrere kritische Schwachstellen und Sicherheitsbedrohungen aufgedeckt. Das Internetworking Operating System (IOS) XE Software Web User Interface (UI) von Cisco wurde durch zwei aktiv ausgenutzte kritische Schwachstellen verwundbar, über die Angreifer beliebigen Code aus der Ferne ausführen können. Das Befehlszeilen-Tool Curl, das auf verschiedenen Plattformen weit verbreitet ist, wies eine schwerwiegende Schwachstelle auf, die zur Ausführung von beliebigem Code, während SOCKS5-Proxy-Handshakes führen könnte. VMware drängt auf sofortige Updates für seinen vCenter Server aufgrund einer kritischen Sicherheitslücke, die möglicherweise zur Ausführung von Remote-Code führt. Mehrere Schwachstellen wurden in Versionen von PHP 8 gefunden; eine davon ist eine besonders kritische Deserialisierungsschwachstelle im PHAR-Extraktionsprozess. Außerdem wurde SolarWinds Access Rights Manager (ARM) für mehrere kritische Schwachstellen anfällig, was die Dringlichkeit eines Updates auf Version 2023.2.1 unterstreicht. Schließlich wurden zwei F5 BIG-IP-Schwachstellen entdeckt, die aktiv ausgenutzt werden, wobei Optionen zur Schadensbegrenzung zur Verfügung stehen, die im Folgenden beschrieben werden.

Cisco IOS XE: Mehrere kritische Sicherheitslücken

Zwei aktiv ausgenutzte kritische CVSS-10-Schwachstellen wurden in Ciscos Internetworking Operating System (IOS) XE-Software Web-User-Interface (UI) entdeckt; CVE-2023-20198 und CVE-2023-20273. Zusammen ermöglichen sie es einem Angreifer, beliebigen Code als Systembenutzer aus der Ferne auszuführen. Es wird geschätzt, dass in den letzten Wochen Zehntausende von verwundbaren Geräten ausgenutzt worden sind. Greenbone hat sowohl eine Erkennung für das verwundbare Produkt nach Version [1] als auch eine weitere zur Erkennung der implantierten Konfigurationsdatei BadCandy [2] hinzugefügt. Beides sind VTs, die in Greenbone’s Enterprise Schwachstellen-Feed enthalten sind.

Cisco IOS wurde in den 1980er Jahren entwickelt und als integriertes Betriebssystem in den Routern des Netzwerkriesen eingesetzt. Heute, im Jahr 2023, ist IOS XE eine führende Softwarelösung für Unternehmensnetzwerke, die Cisco-Plattformen für Zugang, Verteilung, Core, Wireless und WAN unterstützt. IOS XE ist Linux-basiert und speziell für Netzwerk- und IT-Infrastruktur, Routing, Switching, Netzwerksicherheit und Management optimiert. Cisco-Geräte sind in der globalen IT-Infrastruktur allgegenwärtig und werden von Organisationen aller Größenordnungen eingesetzt, darunter Großunternehmen, Regierungsbehörden, kritische Infrastrukturen und Bildungseinrichtungen.

Hier sehen Sie, wie die beiden kürzlich bekannt gewordenen CVEs funktionieren:

  • CVE-2023-20198 (CVSS 10 kritisch): Ermöglicht einem entfernten, nicht authentifizierten Angreifer die Erstellung eines Kontos [T1136] auf einem betroffenen System mit Zugriff auf die Privilegstufe 15 (auch bekannt als privilegierte EXEC-Stufe) [CWE-269]. Die Privilegstufe 15 ist die höchste Zugriffsstufe auf Cisco IOS. Der Angreifer kann dann dieses Konto verwenden, um die Kontrolle über das betroffene System zu erlangen.
  • CVE-2023-20273 (CVSS 7.2 hoch): Ein normaler Benutzer, der sich bei der IOS XE-Web-UI anmeldet, kann Befehle einschleusen [CWE-77], die anschließend auf dem zugrunde liegenden System mit den Systemrechten (root) ausgeführt werden. Diese Sicherheitslücke wird durch eine unzureichende Eingabevalidierung verursacht [CWE-20]. CVE steht auch im Zusammenhang mit einem Lua-basierten Web-Shell-Implantat [T1505.003] mit der Bezeichnung „Bad Candy“. Bad Candy besteht aus einer Nginx-Konfigurationsdatei namens ‚cisco_service.conf´, die einen URI-Pfad für die Interaktion mit dem Web-Shell-Implantat einrichtet, aber einen Neustart des Webservers erfordert.

Cisco hat Software-Updates zur Abschwächung beider CVEs in IOS-XE-Softwareversionen veröffentlicht, darunter die Versionen 17.9, 17.6, 17.3 und 16.12 sowie verfügbare Software-Maintenance-Upgrades (SMUs). IT-Sicherheitsteams wird dringend empfohlen, diese zu installieren. Cisco hat außerdem zugehörige Indikatoren für die Kompromittierung (Indicators of Compromise, IoC), Snort-Regeln für die Erkennung aktiver Angriffe und eine Seite mit technischen FAQs für das TAC veröffentlicht. Die Deaktivierung der Webbenutzeroberfläche verhindert die Ausnutzung dieser Schwachstellen und kann eine geeignete Abhilfemaßnahme sein, bis die betroffenen Geräte aufgerüstet werden können. Öffentlich veröffentlichter Proof-of-Concept (PoC)-Code [1][2] und ein Metasploit-Modul erhöhen die Dringlichkeit, die verfügbaren Sicherheitsupdates anzuwenden, zusätzlich.

Kritische Sicherheitslücke im Tool Curl

Eine weit verbreitete Sicherheitslücke wurde in dem beliebten Befehlszeilen-Tool Curl, Libcurl, und den vielen Softwareanwendungen, die diese auf einer Vielzahl von Plattformen nutzen, entdeckt. Die als CVE-2023-38545 (CVSS 9.8 Critical) eingestufte Schwachstelle führt dazu, dass Curl einen Heap-basierten Puffer [CWE-122] im SOCKS5-Proxy-Handshake überlaufen lässt, was zur Ausführung von beliebigem Code führen kann [T1203]. Der Community-Feed von Greenbone enthält mehrere NVTs [1], um viele der betroffenen Softwareprodukte zu erkennen, und wird weitere Erkennungen für CVE-2023-38545 hinzufügen, sobald weitere verwundbare Produkte identifiziert werden.

CVE-2023-38545 ist eine clientseitige Sicherheitslücke, die ausgenutzt werden kann, wenn ein Hostname an den SOCKS5-Proxy übergeben wird, der die maximale Länge von 255 Byte überschreitet. Wenn ein übermäßig langer Hostname übergeben wird, sollte Curl die lokale Namensauflösung verwenden und den Namen nur an die aufgelöste Adresse weitergeben. Aufgrund der Sicherheitslücke CVE-2023-38545 kann Curl jedoch den übermäßig langen Hostnamen in den Zielpuffer kopieren, anstatt nur die aufgelöste Adresse dorthin zu kopieren. Da der Zielpuffer ein heap-basierter Puffer ist und der Hostname aus der URL stammt, führt dies zu einem heap-basierten Überlauf.

Der Schweregrad der Sicherheitslücke wird als hoch eingestuft, da sie aus der Ferne ausgenutzt werden kann und eine große Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) des zugrunde liegenden Systems hat. Die SOCKS5-Proxy-Methode ist nicht der Standard-Verbindungsmodus und muss explizit angegeben werden. Außerdem muss ein Angreifer einen SOCKS5-Handshake herbeiführen, der langsam genug ist, um den Fehler auszulösen, damit es zu einem Überlauf kommt. Alle Versionen von curl zwischen v7.69.0 (veröffentlicht am 4. März 2020) bis v8.3.0 sind betroffen. Der verwundbare Code wurde in v8.4.0 Commit 4a4b63daaa gepatcht.

VMware vCenter Server: Mehrere Sicherheitslücken

CVE-2023-34048 ist eine schwerwiegende Sicherheitslücke, die es einem böswilligen Akteur mit Netzwerkzugriff auf vCenter-Server ermöglichen könnte, einen Out-of-Bounds-Schreibvorgang [CWE-787] auszulösen, der möglicherweise zur Remotecodeausführung (RCE) führt. Die betroffene Software umfasst VMware vCenter Server Versionen 6.5, 6.7, 7.0 und 8.0. VMware hat einen Sicherheitshinweis zu beiden Schwachstellen herausgegeben, der besagt, dass es außer der Installation der bereitgestellten Updates keine bekannten Abhilfemaßnahmen gibt. Beide Schwachstellen können über den Greenbone Enterprise Vulnerability Feed [1] entdeckt werden. Der Patch für vCenter Server behebt auch CVE-2023-34056, eine Sicherheitslücke mittleren Schweregrades, die durch unsachgemäße Autorisierung entstanden ist [CWE-285].

Obwohl es keine Berichte gibt, dass CVE-2023-34048 aktiv in freier Wildbahn ausgenutzt wird, haben Angreifer bewiesen, dass sie Bedrohungsinformationen schnell in Exploit-Code umwandeln können. Untersuchungen der Bedrohungsforschungsgruppe Unit 42 von Palo Alto Networks zeigen, dass ein Exploit im Durchschnitt 37 Tage nach der Veröffentlichung eines Sicherheitspatches veröffentlicht wird.

Hier finden Sie einige kurze Details zu beiden CVEs:

  • CVE-2023-34048 (CVSS 9.8 Critical): vCenter Server enthält eine Schwachstelle in der Implementierung des DCERPC-Protokolls, die das Schreiben außerhalb der Grenzen erlaubt [CWE-787]. Ein böswilliger Akteur mit Netzwerkzugang zum vCenter-Server kann diese Schwachstelle ausnutzen, um Remotecodeausführung (RCE) zu erreichen. Das Distributed Computing Environment Remote Procedure Call (DCERPC)-Protokoll erleichtert Remote Procedure Calls (RPC) in verteilten Computerumgebungen und ermöglicht Anwendungen die Kommunikation und den Aufruf von Funktionen über vernetzte Systeme hinweg.
  • CVE-2023-34056 (CVSS 4.3 Medium): vCenter Server enthält eine Sicherheitslücke, die eine teilweise Offenlegung von Informationen ermöglicht. Ein böswilliger Akteur mit nicht-administrativen Rechten für vCenter-Server kann dieses Problem ausnutzen, um auf nicht autorisierte Daten zuzugreifen.

Mehrere Sicherheitslücken in PHP 8 entdeckt

Es wurden mehrere Sicherheitslücken in PHP 8.0.X vor 8.0.28, 8.1.X vor 8.1.16 und 8.2.X vor 8.2.3 entdeckt. Obwohl die Gruppe der Schwachstellen eine kritische und zwei hochgradig gefährliche Schwachstellen enthält, erfordern diese Schwachstellen einen bestimmten Kontext, um ausgenutzt werden zu können: Entweder die Deserialisierung von PHP-Anwendungen mit PHAR oder die Verwendung der zentralen Pfadauflösungsfunktionen von PHP bei nicht vertrauenswürdigen Eingaben. Der VT-Feed von Greenbone für Unternehmen enthält mehrere Tests zur Erkennung dieser Schwachstellen auf verschiedenen Plattformen.

Hier finden Sie kurze Beschreibungen der schwerwiegendsten aktuellen PHP-8-Sicherheitslücken:

  • CVE-2023-3824 (CVSS 9.8 kritisch): Eine PHAR-Datei (kurz für PHP-Archive) ist ein komprimiertes Paketierungsformat in PHP, das dazu dient, komplette PHP-Anwendungen in einer einzigen Archivdatei zu verteilen und bereitzustellen. Beim Lesen von Verzeichniseinträgen während des Ladevorgangs des PHAR-Archivs kann eine unzureichende Längenüberprüfung zu einem Stapelpufferüberlauf [CWE-121] führen, was eine Beschädigung des Speichers oder eine Remotecodeausführung (RCE) zur Folge haben kann.
  • CVE-2023-0568 (CVSS 8.1 hoch): Die zentrale Pfadauflösungsfunktion von PHP weist einen Puffer zu, der ein Byte zu klein ist. Bei der Auflösung von Pfaden, deren Länge nahe an der Systemeinstellung ‚MAXPATHLEN´ liegt, kann dies dazu führen, dass das Byte nach dem zugewiesenen Puffer mit dem Wert NULL überschrieben wird, was zu unbefugtem Datenzugriff oder -änderung führen kann. Die zentrale Pfadauflösung von PHP wird für die Funktionen ‚realpath()´ und ‚dirname()´, beim Einbinden anderer Dateien mit Hilfe von ‚include()‘, ‚include_once()´, ‚require()‘ und ‚require_once()‘ sowie bei der Auflösung von PHPs „magischen“ Konstanten“ wie ‚__FILE__‘ und ‚__DIR__´ verwendet.
  • CVE-2023-0567 (CVSS 6.2 Medium): Die Funktion ‚password_verify()´ von PHP kann einige ungültige Blow Fish-Hashes als gültig akzeptieren. Wenn ein solcher ungültiger Hash jemals in der Passwortdatenbank landet, kann dies dazu führen, dass eine Anwendung jedes Passwort für diesen Eintrag als gültig akzeptiert [CWE-287]. Bemerkenswert ist, dass diese Sicherheitslücke von NIST (CVSS 6.2 Medium) und der PHP-Group CNA (CVSS 7.7 High) unterschiedlich bewertet Der Unterschied besteht darin, dass die PHP-Group CNA CVE-2023-0567 als hohes Risiko für die Vertraulichkeit einstuft, während NIST dies nicht tut. CNAs sind eine Gruppe von unabhängigen Anbietern, Forschern, Open-Source-Softwareentwicklern, CERT, gehosteten Diensten und Bug Bounty-Organisationen, die vom CVE-Programm autorisiert sind, CVE-IDs zuzuweisen und CVE-Einträge innerhalb ihres eigenen spezifischen Abdeckungsbereichs zu veröffentlichen.

SolarWinds Access Rights Manager (ARM): Mehrere kritische Sicherheitslücken

SolarWinds Access Rights Manager (ARM) vor Version 2023.2.1 ist für 8 verschiedene Schwachstellen anfällig; eine kritische und zwei weitere hochgefährliche Schwachstellen (CVE-2023-35182, CVE-2023-35185 und CVE-2023-35187). Dazu gehören die authentifizierte und unauthentifizierte Privilegienerweiterung [CWE-269], Directory Traversal [CWE-22] und Remote Code Execution (RCE) auf der privilegiertesten Ebene „SYSTEM“. Greebone’s Enterprise-Schwachstellen-Feed umfasst sowohl die lokale Sicherheitsprüfung (LSC) [1] als auch die HTTP-Fernerkennung [2].

SolarWinds ARM ist eine Software für die Zugriffskontrolle in Unternehmen für Windows Active Directory (AD)-Netzwerke und andere Ressourcen wie Windows-File-Server, Microsoft-Exchange-Dienste und Microsoft SharePoint sowie für Virtualisierungsumgebungen, Cloud-Dienste, NAS-Geräte und mehr. Die weite Verbreitung von ARM und anderen SolarWinds-Softwareprodukten bedeutet, dass ihre Schwachstellen ein hohes Potenzial haben, sich auf eine Vielzahl von großen Organisationen einschließlich kritischer Infrastrukturen auszuwirken.

Diese und weitere aktuelle Schwachstellen werden in den Sicherheitshinweisen von SolarWinds bekannt-gegeben. Obwohl keine Berichte über eine aktive Ausnutzung veröffentlicht wurden, wird eine Abschwächung dringend empfohlen und ist durch die Installation von SolarWinds ARM-Version 2023.2.1 verfügbar.

F5 BIG-IP: Unauthentifizierte RCE- und authentifizierte SQL-Injection-Schwachstellen

Zwei RCE-Schwachstellen in F5 BIG-IP, CVE-2023-46747 (CVSS 9.8 Critical) und CVE-2023-46748 (CVSS 8.8 High), wurden von der CISA kurz nach der Veröffentlichung des PoC-Codes für CVE-2023-46747 als aktiv ausgenutzt beobachtet. Inzwischen wurde auch ein Metasploit-Exploit-Modul veröffentlicht. F5 BIG-IP ist eine Familie von Hardware- und Software-IT-Sicherheitsprodukten, die sicherstellen, dass Anwendungen stets sicher sind und so funktionieren, wie sie sollen. Die Plattform wird von F5 Networks hergestellt und konzentriert sich auf Anwendungsdienste, die von Zugang und Bereitstellung bis zur Sicherheit reichen. Greenbone hat die Erkennung für beide CVEs [1][2] hinzugefügt.

CVE-2023-46747 ist eine Remote-Authentifizierungsumgehung [CWE-288], während CVE-2023-46748 eine Remote-SQL-Injection-Schwachstelle [CWE-89] ist, die nur von einem authentifizierten Benutzer ausgenutzt werden kann. Bei den betroffenen Produkten handelt es sich um die zweite Nebenversion (X.1) für die Hauptversionen 14-17 von BIG-IP Advanced Firewall Manager (AFM) und F5 Networks BIG-IP Application Security Manager (ASM)

Wenn Sie eine betroffene Version verwenden, können Sie diese Sicherheitslücke durch die Installation der vom Hersteller bereitgestellten HOTFIX-Updates schließen. Der Begriff „Hotfix“ bedeutet, dass der Patch auf ein laufendes und betriebsbereites System angewendet werden kann, ohne dass ein Herunterfahren oder Neustart erforderlich ist. Wenn eine Aktualisierung nicht möglich ist, kann CVE-2023-46747 durch das Herunterladen und Ausführen eines Bash-Skripts entschärft werden, das das Attribut ‚requiredSecret´ in der Tomcat-Konfiguration hinzufügt oder aktualisiert, das für die Authentifizierung zwischen Apache und Tomcat verwendet wird. CVE-2023-46748 kann entschärft werden, indem der Zugriff auf das Konfigurationsprogramm eingeschränkt wird, um nur vertrauenswürdige Netzwerke oder Geräte zuzulassen, und indem sichergestellt wird, dass nur vertrauenswürdige Benutzerkonten existieren, wodurch die Angriffsfläche begrenzt wird.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CVE-News: Greenbone bringt Schwachstellentests für kritische Lücken in Atlassian und F5 Big-IP

Für gleich zwei kritische Sicherheitslücken in verbreiteter Enterprise-Software haben unsere Entwickler Schwachstellentests bereitgestellt. Innerhalb kürzester Zeit konnten so Tests auf CVE 2023-22518 und CVE 2023-46747 integriert und die Kunden des Greenbone Enterprise-Feed geschützt werden.

Fehlerhaftes Login bei Atlassian Confluence und Jira

Die Wissensmanagementtools Confluence und Jira des australischen Herstellers Atlassian sind von einer gravierenden Sicherheitslücke mit 9,8 von 10 Punkten auf der CERT-Skala betroffen. Seit dem 8. November wird die Schwachstelle CVE 2023-22518 laut Medienberichten von Angreifern aktiv ausgenutzt, die sich unberechtigten Zugriff auf Firmendaten verschaffen.

Der „Fehler in der Authentifizierung“ betrifft laut Hersteller alle Versionen von Confluence Data Center und Server, nicht aber die Cloud-Variante bei Atlassian selbst. Für alle anderen, auch Anwender von Jira, vor allem aber alle öffentlich zugänglichen Confluence-Server bestehe „großes Risiko und der Zwang zum sofortigen Handeln“, schreibt Atlassian.

Unsere Entwickler reagierten schnell und wir konnten unseren Kunden entsprechende Tests bereitstellen, bevor Ransomware-Angriffe erfolgreich sein konnten. Kunden des Greenbone Enterprise Feeds wurden gewarnt und an einen Patch via Update erinnert.

Remote Code Execution: F5 BIG-IP erlaubt „Request Smuggling“

Ebenfalls Ende Oktober fanden Sicherheitsforscher der Praetorian Labs eine gravierende Lücke (CVE-2023-46747) in den Produkten des Application-Security-Experten F5. Die Lösungen des amerikanischen Herstellers sollen eigentlich umfangreiche Netzwerke und Softwarelandschaften beschützen. Vor allem in großen Unternehmen kommt die 1997 als Load Balancer gestartete Software zum Einsatz.

Angreifer können jedoch, so die Experten, aus der Ferne Code auf den BIG-IP-Servern ausführen lassen, indem sie über manipulierte URLs beliebige Systembefehle in die Administrationswerkzeuge schleusen. Details finden sich bei Praetorian, Patches sind vorhanden. Betroffen ist eine lange Liste von BIG-IP-Produkten der Versionen 13, 14, 15, 16 und 17, sowohl in Hard- als auch in Software.

Auch hier haben wir schnell reagiert und noch am gleichen Tag in unseren Schwachstellenscannern Tests integriert, die die BIG-IP-Installationen auf verwundbare Versionen testen und gegebenenfalls auf die bei F5 gelisteten Patches hinweisen.

Unser Schwachstellenmanagement, die Greenbone Enterprise Appliances, bieten besten Schutz.

Die professionelle Verwaltung von Schwachstellen ist ein unerlässlicher Bestandteil der IT-Sicherheit. Sie ermöglicht die frühzeitige Identifizierung von Risiken und liefert wertvolle Handlungsanweisungen für ihre Beseitigung.

Der Greenbone Enterprise Feed wird täglich aktualisiert, um stets neue Schwachstellen aufdecken zu können. Deshalb empfehlen wir eine regelmäßige Aktualisierung und das Durchführen von Scans für alle Ihre Systeme. Lesen Sie dazu auch diesen Artikel über IT-Sicherheit und über die Zeitleiste gängiger Angriffsvektoren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Aktueller Bericht zur Lage der IT-Sicherheit in Deutschland 2023

Bundesinnenministerin Nancy Faeser und Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), haben am 2.11.2023 den aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland vorgestellt. Angriffe mit Ransomware stellen dabei das größte und häufigste, aber bei weitem nicht das einzige Risiko dar. Solange diese Angriffe nicht gänzlich verhindert werden können, müssen die Systeme sicherer werden, um Schaden zu verhindern oder wenigstens zu verringern.

In Deutschland gibt es eine Reihe von Initiativen, um das Schwachstellenmanagement zu verbessern. Dazu gehört das Nationale IT-Sicherheitsgesetz (IT-SiG) und das IT-Grundschutz-Kompendium des BSI. Das von der BSI-Präsidentin Claudia Plattner zurecht geforderte „bundeseinheitliche Lagebild“ kann so die Bedrohungslage auf die Situation der angreifbaren Systeme abbilden und dadurch dabei helfen, vorab zu warnen und im konkreten Angriffsfall schnell und wirksam zu reagieren.

„Die Digitalisierung macht vieles in unserem Alltag leichter. Gleichzeitig schafft sie neue Angriffsflächen“, so Bundesinnenministerin Nancy Faeser. Das ist richtig. Den wachsenden Risiken durch die fortschreitende Vernetzung müssen wir durch automatisierte Tools und Prozesse begegnen. Durch deren Einsatz können Unternehmen und Organisationen ihre IT-Systeme besser schützen und die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs verringern.

Unsichere Systeme machen es Angreifern leichter, Schaden anzurichten. Die Verbesserung des Schwachstellenmanagements ist daher ein wichtiger Schritt, um die IT-Sicherheit in Deutschland zu erhöhen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Kritische Sicherheitslücke in Citrix Netscaler: Greenbone stellt Tests bereit

Am 10. Oktober informierte Citrix offiziell über die Sicherheitslücke in der Netscaler-Software, CVE-2023-4966, die nach CVSS mit einem Score von 9.4 als „kritisch“ klassifiziert ist und Unbefugten Zugang zu Unternehmensnetzwerken ermöglicht.

Greenbone hat reagiert und bereits entsprechende Schwachstellen-Tests eingebaut. Kunden von Greenbone, die den Citrix Netscaler Gateway oder ADC einsetzen, sind somit auf der sicheren Seite.

Das BSI warnt:

„Die Schwachstelle erlaubt Angreifenden, sensible Informationen ohne Authentifizierung offenzulegen. Dies ermöglicht es, authentifizierte Sessions zu übernehmen („Session Hijacking“) und Multifaktoren-Authentifikation (MFA) oder andere Authentifizierungsmittel zu umgehen.“

Zahlreiche Medien berichten fortlaufend über die Schwachstelle, die bereits seit Ende August aktiv ausgenutzt wird. Anwender sollen so schnell wie möglich die von Citrix bereitgestellten Patches installieren – betroffen sind Citrix’ Produkte NetScaler ADC und NetScaler Gateway der Versionen 13 und 14 sowie Versionen 12 und 13 des NetScaler ADC. Neben dem CVE-2023-4966 existiert derzeit noch eine Warnung bezüglich des CVE-2023-4967, die einen Denial-of-Service (DoS) ermöglicht.
Auch für den Proof-of-Concept, der auf der Webseite von Assetnote beschrieben ist, haben die Entwickler und Entwickler:innen von Greenbone bereits einen Test geschrieben, der durch den Enterprise Feed direkt an die Greenbone-Kunden ausgeliefert wird.

Nachhaltige Absicherung Ihrer IT-Netzwerke

Schwachstellenmanagement ist ein Schlüsselinstrument zur Sicherung von IT-Netzwerken. Es ermöglicht Ihnen, potenzielle Risiken in Ihren Systemen zu identifizieren und zu beheben. Der Greenbone Enterprise Feed wird täglich aktualisiert, um stets neue Schwachstellen aufdecken zu können. Deshalb empfehlen wir eine regelmäßige Aktualisierung und das Durchführen von Scans für alle Ihre Systeme. Lesen Sie dazu auch diesen Artikel über IT-Sicherheit und über die Zeitleiste gängiger Angriffsvektoren.

Die Greenbone Enterprise Appliances werden als Hardware oder als virtuelle Appliance angeboten. Greenbone arbeitet DSGVO-konform und bietet eine Open-Source-Lösung. Das bedeutet beste Datenschutzkonformität und ist so garantiert frei von Hintertüren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von