Schlagwortarchiv für: Pentesting

Greenbone AG

NIS2: Was Sie wissen müssen

NIS2 Umsetzung gezielt auf den Weg bringen!

Die Deadline für die Umsetzung von NIS2 rückt näher – zum 17.10.2024 sollen verschärfte Cybersicherheitsmaßnahmen in Deutschland über das NIS2 Umsetzungsgesetz ins Recht überführt werden. Dieses liegt bisher als Gesetzesentwurf vor, welcher sich an der EU Richtlinie 2022/2555 orientiert. Diese Richtlinie haben wir für Sie unter die Lupe genommen, um Ihnen in diesem kurzen Video die wichtigsten Anhaltspunkte und Wegweiser für das Inkrafttreten von NIS2 an die Hand zu geben. Ob Ihr Unternehmen betroffen ist, welche Maßnahmen Sie unbedingt ergreifen sollten, welche Themengebiete der Cybersicherheit Sie besonders bedenken müssen, wen Sie diesbezüglich konsultieren können und welche Konsequenzen die Nichteinhaltung hat, erfahren sie in diesem Video.

Vorschaubild zum Video ‚Was Sie zu NIS2 wissen müssen‘ mit europäischem Sternenkreis und NIS2-Schriftzug – leitet zu YouTube weiter

Informieren sie sich über den Cyber Resilience Act, welcher ein solides Regelwerk bietet, um die Widerstandskraft Ihres Unternehmens gegen Cyberangriffe zu stärken. Die ENISA Common Criteria werden Ihnen helfen, die Sicherheit Ihrer IT-Produkte und Systeme zu bewerten und bereits in der Entwicklung einen risikominimierenden Ansatz zu fahren. Priorisieren Sie außerdem die Einführung eines Informationsmanagementssystems, beispielsweise durch die Umsetzung der ISO 27001 Zertifizierung für Ihr Unternehmen. Lassen Sie sich diesbezüglich zum Thema IT-Grundschutz von entsprechenden, vom BSI empfohlenen Fachkräften beraten.

Neben dem BSI als Anlaufstelle für Anliegen bzgl. NIS2 stehen wir Ihnen gerne zur Verfügung und bieten zertifizierte Lösungen für Schwachstellenmanagement und Penetration Testing. Durch einen proaktiven Ansatz können Sie Sicherheitslücken in Ihren Systemen frühzeitig erkennen und absichern, bevor sie für einen Angriff genutzt werden können. Unsere Schwachstellenmanagementlösung sucht Ihr System automatisch nach kritischen Punkten ab und erstattet Ihnen regelmäßig Bericht. Beim Penetration Testing versucht ein menschlicher Tester in Ihr System einzudringen, um Ihnen die finale Gewissheit über die Angriffsfläche Ihrer Systeme zu verschaffen. 

Auch sollten Sie es sich zur Gewohnheit machen, durch regelmäßige Schulungen zum Thema Cybersecurity auf dem neuesten Stand zu bleiben und einen regen Austausch mit anderen NIS2 Unternehmen zu etablieren. Nur so führt NIS2 am effizientesten zu einem nachhaltig erhöhten Cybersicherheitsniveau in Europa.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Dirk Boeing

NIS2: Von drohendem Unheil zu effizienten Maßnahmen

Der Winter naht: Der Leitspruch des Hauses Stark aus der Serie „Game of Thrones“ deutet auf das Heraufziehen eines nicht näher definierten Unheils hin. Ist NIS2 eine Walze aus Eis und Feuer, die die gesamte europäische IT-Landschaft unter sich begräbt und vor der sich nur retten kann, wer eines der zahllosen Webinare besucht und alle Ratschläge befolgt?

NIS2 als solches ist lediglich eine Richtlinie, die von der EU erlassen wurde. Sie soll die vielleicht noch nicht optimale IT-Sicherheit von Betreibern wichtiger und kritischer Infrastrukturen sicherstellen und die Cyberresilienz erhöhen. Auf Basis dieser Richtlinie sind nun die Mitgliedsländer aufgerufen, ein entsprechendes Gesetz zu schaffen, das diese Richtlinie in nationales Recht umsetzt.

Was soll geschützt werden?

Bereits 2016 wurde die NIS-Richtlinie durch die EU eingeführt, um für die Gesellschaft relevante Branchen und Dienstleister vor Angriffen in der Cybersphäre zu schützen. Diese Regelung enthält verbindliche Vorgaben zum Schutz von IT-Strukturen in Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind. Hierbei handelt es sich um Unternehmen, die eine unverzichtbare Rolle innerhalb der Gesellschaft spielen, weil sie in Bereichen wie Gesundheitsdiensten, Energieversorgung und Transport tätig sind. Bereiche also, in denen vorsätzlich herbeigeführte Störungen oder Ausfälle zu katastrophalen Zuständen führen können – wessen Haushalt gerüstet ist, einen mehrtägigen Stromausfall mit allen Konsequenzen zu überstehen, der möge die Hand heben…

Angesichts der weiter voranschreitenden Digitalisierung musste die EU eine Nachfolgeregelung (NIS2) schaffen, die zum einen strengere Anforderungen an die Informationssicherheit stellt, zum anderen aber auch einen größeren Kreis an Unternehmen erfasst, die für die Gesellschaft „wichtig“ oder „besonders wichtig“ sind. Diese Unternehmen werden nun in die Pflicht genommen, gewisse Standards in der Informationssicherheit zu erfüllen.

Obwohl die NIS2-Richtlinie bereits im Dezember 2022 verabschiedet wurde, haben die Mitgliedsländer bis zum 17. Oktober 2024 Zeit, ein entsprechendes Umsetzungsgesetz zu verabschieden. Deutschland wird es bis dahin wohl nicht schaffen. Trotzdem gibt es keinen Grund, sich zurückzulehnen. Das NIS2UmsuCG wird kommen, und mit ihm erhöhte Anforderungen an die IT-Sicherheit vieler Unternehmen und Institutionen.

Wer muss jetzt handeln?

Betroffen sind Unternehmen aus vier Gruppen. Einmal sind das die besonders wichtigen Einrichtungen mit 250 oder mehr Mitarbeitern oder 50 Millionen Euro Jahresumsatz und einer Bilanzsumme ab 43 Millionen Euro. Ein Unternehmen, das diese Kriterien erfüllt und in einem der Sektoren Energie, Transport/ Verkehr, Finanzen/ Versicherungen, Gesundheit, Wasser/ Abwasser, IT und TK oder Weltraum tätig ist, gilt als besonders wichtig.

Daneben gibt es die wichtigen Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und einer Bilanzsumme von 10 Millionen Euro. Erfüllt ein Unternehmen diese Kriterien und ist es in einem der Sektoren Post/ Kurier, Chemie, Forschung, verarbeitendes Gewerbe (Medizin/ Diagnostika, DV, Elektro, Optik, Maschinenbau, Kfz/ Teile, Fahrzeugbau), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Lebensmittel (Großhandel, Produktion, Verarbeitung) oder Entsorgung (Abfallwirtschaft) tätig, so gilt es als wichtig.

Neben besonders wichtigen und wichtigen Einrichtungen gibt es die kritischen Anlagen, die weiterhin durch die KRITIS-Methodik definiert werden. Zusätzlich werden auch Bundeseinrichtungen reguliert.

Was ist zu tun?

Konkret bedeutet das, dass alle betroffenen Unternehmen und Institutionen, ganz gleich ob „besonders wichtig“ oder „wichtig“, eine Reihe von Auflagen und Pflichten zu erfüllen haben, die wenig Interpretationsspielraum lassen und daher strikt zu beachten sind. Auf folgenden Gebieten muss gehandelt werden:

Risikomanagement

Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement einzuführen. Dazu gehören neben einer Zugangskontrolle, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) auch Training und Incident Management sowie ein ISMS und Risikoanalysen. Darunter fallen auch das Schwachstellenmanagement und die Anwendung von Schwachstellen- und Compliance-Scans.

Meldepflichten

Für alle Unternehmen besteht eine Meldepflicht für „erhebliche Sicherheitsvorfälle“: Diese müssen unverzüglich, spätestens aber innerhalb von 24 Stunden der Meldestelle des BSI berichtet werden. Weitere Updates haben innerhalb von 72 Stunden und 30 Tagen zu erfolgen.

Registrierung

Die Unternehmen sind verpflichtet, ihre Betroffenheit von der NIS2-Gesetzgebung selbst festzustellen und sich innerhalb einer Frist von drei Monaten selbst zu registrieren. Wichtig: Niemand sagt einem Unternehmen, dass es unter die NIS2-Regelung fällt und sich registrieren muss. Die Verantwortung liegt ausschließlich bei den einzelnen Unternehmen und deren Geschäftsführern.

Nachweise

Es reicht nicht aus, die vorgegebenen Vorkehrungen lediglich zu treffen, sondern es müssen auch entsprechende Nachweise erbracht werden. Wichtige und besonders wichtige Einrichtungen werden stichprobenartig durch das BSI kontrolliert werden, wobei entsprechende Dokumentationen vorgelegt werden müssen. KRITIS-Einrichtungen werden turnusmäßig alle drei Jahre überprüft.

Informationspflichten

Sicherheitsvorfälle unter den Teppich zu kehren, ist zukünftig nicht mehr möglich. Das BSI erhält eine Weisungsbefugnis zur Unterrichtung von Kunden über Sicherheitsvorfälle. Ebenso erhält das BSI eine Weisungsbefugnis über die Unterrichtung der Öffentlichkeit von Sicherheitsvorfällen.

Governance

Geschäftsführer werden verpflichtet, Maßnahmen zum Risikomanagement zu billigen. Ebenso werden Schulungen zum Thema Pflicht. Besonders gravierend: Geschäftsführer haften persönlich mit ihrem Privatvermögen bei Pflichtverletzungen.

Sanktionen

In der Vergangenheit war es gelegentlich so, dass Unternehmen lieber die diffuse Möglichkeit eines Bußgeldes in Kauf nahmen als konkrete Investitionen in Cybersicherheitsmaßnahmen zu tätigen, da das Bußgeld im Verhältnis durchaus annehmbar erschien. NIS2 wirkt dem nun durch neue Tatbestände und teils drastisch erhöhte Bußgelder entgegen. Verschärft wird das nochmal durch die persönliche Haftung von Geschäftsführern.

Wie man sieht, ist das zu erwartende NIS2-Umsetzungsgesetz ein komplexes Gebilde, welches sich auf eine Vielzahl von Bereichen erstreckt und dessen Anforderungen in den seltensten Fällen mit einer einzigen Lösung abgedeckt werden können.

Welche Maßnahmen sind möglichst bald zu treffen?

Scannen Sie Ihre IT-Systeme kontinuierlich auf Schwachstellen. Sicherheitslücken werden damit schnellstmöglich aufgedeckt, priorisiert und dokumentiert. Dank regelmäßiger Scans und ausführlicher Berichte schaffen sie die Grundlage zur Dokumentation der Entwicklung der Sicherheit Ihrer IT-Infrastruktur. Gleichzeitig erfüllen Sie damit Ihre Nachweispflichten und sind im Fall einer Prüfung bestens gewappnet.

Experten können auf Wunsch den kompletten Betrieb des Schwachstellenmanagements in Ihrem Unternehmen übernehmen. Dazu gehören auch Leistungen, wie Web-Application Pentesting, bei dem gezielt Schwachstellen in Webanwendungen aufgedeckt werden. Damit decken Sie einen wichtigen Bereich im NIS2-Anforderungskatalog, und erfüllen die Anforderungen des § 30 (Risikomanagementmaßnahmen).

Fazit

Es gibt es nicht die eine, alles umfassende Maßnahme, mit der Sie sofort rundum NIS2-konform sind. Vielmehr ist eine Vielzahl unterschiedlicher Maßnahmen, die zusammengenommen eine gute Basis ergeben. Ein Bestandteil davon ist Schwachstellenmanagement mit Greenbone. Wenn Sie das im Hinterkopf behalten und rechtzeitig auf die richtigen Bausteine setzen, sind Sie als IT-Verantwortlicher auf der sicheren Seite. Und der Winter kann kommen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Die Verbindung von Open-Source und Cybersicherheit in Unternehmen: Einblicke von der #OSXP2023 in Paris

Internationale Diskussionsrunde über effektive Cybersicherheit bei der #OSXP2023

Beim renommierten #OSXP2023-Event in Paris haben wir an der Diskussionsrunde „Cybersécurité et open source“ teilgenommen. Dort diskutierten wir intensiv darüber, wie die Cybersicherheit in Unternehmen verbessert werden kann. Das Gremium, bestehend aus internationalen, bekannten Experten aus Wissenschaft und Regierung, konzentrierte sich auf diese Punkte für starke Cybersicherheit.

Diskussionsrunde auf der Open Source Experience 2023 in Paris zum Thema ‚Cybersécurité et open source‘ mit internationalen Expert:innen und Publikum.

1. Die Einstellung zu Sicherheitsthemen

Security by Design: Eine Management-Aufgabe

  • Das Panel betonte, wie wichtig es ist, Sicherheit bereits in den Anfangsphasen der Entwicklung zu berücksichtigen. Dafür ist es nötig, dass die Unternehmensführung Sicherheit in allen Geschäftsbereichen priorisiert.

Eine Mentalität, die auf sichere und geschützte Lösungen ausgerichtet ist

  • Unternehmen sollten eine Kultur entwickeln, bei der Sicherheit ein fester Bestandteil des Denkprozesses ist. Ziel ist es, Lösungen anzubieten, die von Natur aus sicher und geschützt sind.

2. Umsetzung wichtiger Prozesse

Einhaltung von Standards und Automatisierung

  • Es wurde betont, wie wichtig es ist, sich an etablierte Cybersicherheitsstandards zu halten. Empfohlen wird, Prozesse zu automatisieren, um Konsistenz und Effizienz zu gewährleisten.

Keine Umsetzung ohne Sicherheitskonformität

  • Es wurde empfohlen, keine Umsetzungen oder Maßnahmen durchzuführen, ohne die notwendigen Sicherheitsanforderungen zu erfüllen.

3. Ressourcen: Teams stärken und Wachsamkeit erhöhen

Spezialisierte Sicherheitsteams und Schulungen

  • Entscheidend sei, spezialisierte Sicherheitsteams zu haben und regelmäßige Schulungen durchzuführen, um ein hohes Sicherheitsbewusstsein und Vorbereitung zu gewährleisten.

Wachsamkeit als kontinuierliche Aufgabe

  • Ständige Wachsamkeit wurde als Schlüsselressource hervorgehoben, um sicherzustellen, dass Sicherheitsmaßnahmen immer aktuell und wirksam sind.

4. Wesentliche Werkzeuge und Technologien

Verpflichtende Multi-Faktor-Authentifizierung (MFA)

  • Die Implementierung von MFA als obligatorische Maßnahme, um die Sicherheit von Konten erheblich zu verbessern, wurde stark empfohlen.

Schwachstellenscanner und Abhängigkeitsmanagement

  • Der Einsatz von Schwachstellenscannern und das Management von Abhängigkeiten und Konfigurationen wurden als unverzichtbare Werkzeuge bewertet. Plattformen wie GitHub Enterprise mögen ihren Preis haben, bieten aber umfassende Lösungen für diese Bedürfnisse.

Fazit: Schulungen, Achtsamkeit und der Einsatz von Open-Source-Tools

Abschließend betonte das Panel bei #OSXP2023, einschließlich unseres Experten Corentin Bardin, Spezialist für Cybersicherheit und Pentester, die Bedeutung von kontinuierlicher Weiterbildung im sich schnell entwickelnden Bereich der Cybersicherheit. Sie sprachen sich für den Einsatz von Open-Source-Werkzeugen zur Stärkung der Sicherheitsmaßnahmen aus.

Die wichtigste Erkenntnis aus der Diskussion ist das Engagement, sichere Dienstleistungen anzubieten. Es geht nicht nur um Werkzeuge und Prozesse, sondern um die Denkweise und das kontinuierliche Bestreben, wachsam und informiert zu bleiben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Vermutlich pro-russische Hacker versuchen, Sharepoint Schwachstelle auszunutzen

Update vom 06.12.2023:

Letzte Woche berichteten wir über pro-russische Hacktivisten, die nach verwundbaren Sharepoint-Servern scannen, um eine kritische Schwachstelle (CVE-2023-29357) auszunutzen.

Neue Erkenntnisse deuten darauf hin, dass die Gruppe, die sich selbst „Zarya“ nennt, verschiedene Exploit-Versuche unternimmt, darunter Directory-Traversal und das Abzielen auf spezifische Schwachstellen in Systemen wie OpenWRT-Routern.

Die IP-Adresse 212.113.106.100, die mit diesen Aktivitäten in Verbindung steht, wurde bei mehreren unterschiedlichen Exploit-Versuchen beobachtet. Zusätzlich zu einfachen Erkundungen wurden auch spezifische Angriffe auf Konfigurationsdateien und Admin-APIs festgestellt.

Dieser Fall unterstreicht erneut die Bedeutung der Absicherung von Systemen gegen solche Bedrohungen und zeigt, wie ungeschützte oder schlecht konfigurierte Systeme Ziel solcher Angriffe werden können.

Eine kritische Schwachstelle für Sharepoint (CVE-2023-29357), wird von vermutlich pro-russischen Angreifern angegangen, die versuchen, diese Schwachstelle auszunutzen. 

Das Internet Storm Center hat entsprechende Aktivitäten auf seinen Honeypots entdeckt. Der Schweregrad für diese Schwachstelle ist kritisch (ein Wert von 9,8 von 10), und die Angriffskomplexität ist sehr gering, was diese Schwachstelle besonders gefährlich macht. Greenbone-Kunden können von der automatischen Erkennung dieser Schwachstelle in unserem Enterprise Feed profitieren. Microsoft bietet seit dem 12. Juni 2023 ein Sicherheitsupdate an, Microsoft-Kunden, die das Update verpasst haben, sollten es jetzt installieren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

IT-Sicherheitsupdate November 2023: Kritische Schwachstellen und Bedrohungen

Im neuesten CVE-Update für November 2023 wurden mehrere kritische Schwachstellen und Sicherheitsbedrohungen aufgedeckt. Das Internetworking Operating System (IOS) XE Software Web User Interface (UI) von Cisco wurde durch zwei aktiv ausgenutzte kritische Schwachstellen verwundbar, über die Angreifer beliebigen Code aus der Ferne ausführen können. Das Befehlszeilen-Tool Curl, das auf verschiedenen Plattformen weit verbreitet ist, wies eine schwerwiegende Schwachstelle auf, die zur Ausführung von beliebigem Code, während SOCKS5-Proxy-Handshakes führen könnte. VMware drängt auf sofortige Updates für seinen vCenter Server aufgrund einer kritischen Sicherheitslücke, die möglicherweise zur Ausführung von Remote-Code führt. Mehrere Schwachstellen wurden in Versionen von PHP 8 gefunden; eine davon ist eine besonders kritische Deserialisierungsschwachstelle im PHAR-Extraktionsprozess. Außerdem wurde SolarWinds Access Rights Manager (ARM) für mehrere kritische Schwachstellen anfällig, was die Dringlichkeit eines Updates auf Version 2023.2.1 unterstreicht. Schließlich wurden zwei F5 BIG-IP-Schwachstellen entdeckt, die aktiv ausgenutzt werden, wobei Optionen zur Schadensbegrenzung zur Verfügung stehen, die im Folgenden beschrieben werden.

Cisco IOS XE: Mehrere kritische Sicherheitslücken

Zwei aktiv ausgenutzte kritische CVSS-10-Schwachstellen wurden in Ciscos Internetworking Operating System (IOS) XE-Software Web-User-Interface (UI) entdeckt; CVE-2023-20198 und CVE-2023-20273. Zusammen ermöglichen sie es einem Angreifer, beliebigen Code als Systembenutzer aus der Ferne auszuführen. Es wird geschätzt, dass in den letzten Wochen Zehntausende von verwundbaren Geräten ausgenutzt worden sind. Greenbone hat sowohl eine Erkennung für das verwundbare Produkt nach Version [1] als auch eine weitere zur Erkennung der implantierten Konfigurationsdatei BadCandy [2] hinzugefügt. Beides sind VTs, die in Greenbone’s Enterprise Schwachstellen-Feed enthalten sind.

Cisco IOS wurde in den 1980er Jahren entwickelt und als integriertes Betriebssystem in den Routern des Netzwerkriesen eingesetzt. Heute, im Jahr 2023, ist IOS XE eine führende Softwarelösung für Unternehmensnetzwerke, die Cisco-Plattformen für Zugang, Verteilung, Core, Wireless und WAN unterstützt. IOS XE ist Linux-basiert und speziell für Netzwerk- und IT-Infrastruktur, Routing, Switching, Netzwerksicherheit und Management optimiert. Cisco-Geräte sind in der globalen IT-Infrastruktur allgegenwärtig und werden von Organisationen aller Größenordnungen eingesetzt, darunter Großunternehmen, Regierungsbehörden, kritische Infrastrukturen und Bildungseinrichtungen.

Hier sehen Sie, wie die beiden kürzlich bekannt gewordenen CVEs funktionieren:

  • CVE-2023-20198 (CVSS 10 kritisch): Ermöglicht einem entfernten, nicht authentifizierten Angreifer die Erstellung eines Kontos [T1136] auf einem betroffenen System mit Zugriff auf die Privilegstufe 15 (auch bekannt als privilegierte EXEC-Stufe) [CWE-269]. Die Privilegstufe 15 ist die höchste Zugriffsstufe auf Cisco IOS. Der Angreifer kann dann dieses Konto verwenden, um die Kontrolle über das betroffene System zu erlangen.
  • CVE-2023-20273 (CVSS 7.2 hoch): Ein normaler Benutzer, der sich bei der IOS XE-Web-UI anmeldet, kann Befehle einschleusen [CWE-77], die anschließend auf dem zugrunde liegenden System mit den Systemrechten (root) ausgeführt werden. Diese Sicherheitslücke wird durch eine unzureichende Eingabevalidierung verursacht [CWE-20]. CVE steht auch im Zusammenhang mit einem Lua-basierten Web-Shell-Implantat [T1505.003] mit der Bezeichnung „Bad Candy“. Bad Candy besteht aus einer Nginx-Konfigurationsdatei namens ‚cisco_service.conf´, die einen URI-Pfad für die Interaktion mit dem Web-Shell-Implantat einrichtet, aber einen Neustart des Webservers erfordert.

Cisco hat Software-Updates zur Abschwächung beider CVEs in IOS-XE-Softwareversionen veröffentlicht, darunter die Versionen 17.9, 17.6, 17.3 und 16.12 sowie verfügbare Software-Maintenance-Upgrades (SMUs). IT-Sicherheitsteams wird dringend empfohlen, diese zu installieren. Cisco hat außerdem zugehörige Indikatoren für die Kompromittierung (Indicators of Compromise, IoC), Snort-Regeln für die Erkennung aktiver Angriffe und eine Seite mit technischen FAQs für das TAC veröffentlicht. Die Deaktivierung der Webbenutzeroberfläche verhindert die Ausnutzung dieser Schwachstellen und kann eine geeignete Abhilfemaßnahme sein, bis die betroffenen Geräte aufgerüstet werden können. Öffentlich veröffentlichter Proof-of-Concept (PoC)-Code [1][2] und ein Metasploit-Modul erhöhen die Dringlichkeit, die verfügbaren Sicherheitsupdates anzuwenden, zusätzlich.

Kritische Sicherheitslücke im Tool Curl

Eine weit verbreitete Sicherheitslücke wurde in dem beliebten Befehlszeilen-Tool Curl, Libcurl, und den vielen Softwareanwendungen, die diese auf einer Vielzahl von Plattformen nutzen, entdeckt. Die als CVE-2023-38545 (CVSS 9.8 Critical) eingestufte Schwachstelle führt dazu, dass Curl einen Heap-basierten Puffer [CWE-122] im SOCKS5-Proxy-Handshake überlaufen lässt, was zur Ausführung von beliebigem Code führen kann [T1203]. Der Community-Feed von Greenbone enthält mehrere NVTs [1], um viele der betroffenen Softwareprodukte zu erkennen, und wird weitere Erkennungen für CVE-2023-38545 hinzufügen, sobald weitere verwundbare Produkte identifiziert werden.

CVE-2023-38545 ist eine clientseitige Sicherheitslücke, die ausgenutzt werden kann, wenn ein Hostname an den SOCKS5-Proxy übergeben wird, der die maximale Länge von 255 Byte überschreitet. Wenn ein übermäßig langer Hostname übergeben wird, sollte Curl die lokale Namensauflösung verwenden und den Namen nur an die aufgelöste Adresse weitergeben. Aufgrund der Sicherheitslücke CVE-2023-38545 kann Curl jedoch den übermäßig langen Hostnamen in den Zielpuffer kopieren, anstatt nur die aufgelöste Adresse dorthin zu kopieren. Da der Zielpuffer ein heap-basierter Puffer ist und der Hostname aus der URL stammt, führt dies zu einem heap-basierten Überlauf.

Der Schweregrad der Sicherheitslücke wird als hoch eingestuft, da sie aus der Ferne ausgenutzt werden kann und eine große Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) des zugrunde liegenden Systems hat. Die SOCKS5-Proxy-Methode ist nicht der Standard-Verbindungsmodus und muss explizit angegeben werden. Außerdem muss ein Angreifer einen SOCKS5-Handshake herbeiführen, der langsam genug ist, um den Fehler auszulösen, damit es zu einem Überlauf kommt. Alle Versionen von curl zwischen v7.69.0 (veröffentlicht am 4. März 2020) bis v8.3.0 sind betroffen. Der verwundbare Code wurde in v8.4.0 Commit 4a4b63daaa gepatcht.

VMware vCenter Server: Mehrere Sicherheitslücken

CVE-2023-34048 ist eine schwerwiegende Sicherheitslücke, die es einem böswilligen Akteur mit Netzwerkzugriff auf vCenter-Server ermöglichen könnte, einen Out-of-Bounds-Schreibvorgang [CWE-787] auszulösen, der möglicherweise zur Remotecodeausführung (RCE) führt. Die betroffene Software umfasst VMware vCenter Server Versionen 6.5, 6.7, 7.0 und 8.0. VMware hat einen Sicherheitshinweis zu beiden Schwachstellen herausgegeben, der besagt, dass es außer der Installation der bereitgestellten Updates keine bekannten Abhilfemaßnahmen gibt. Beide Schwachstellen können über den Greenbone Enterprise Vulnerability Feed [1] entdeckt werden. Der Patch für vCenter Server behebt auch CVE-2023-34056, eine Sicherheitslücke mittleren Schweregrades, die durch unsachgemäße Autorisierung entstanden ist [CWE-285].

Obwohl es keine Berichte gibt, dass CVE-2023-34048 aktiv in freier Wildbahn ausgenutzt wird, haben Angreifer bewiesen, dass sie Bedrohungsinformationen schnell in Exploit-Code umwandeln können. Untersuchungen der Bedrohungsforschungsgruppe Unit 42 von Palo Alto Networks zeigen, dass ein Exploit im Durchschnitt 37 Tage nach der Veröffentlichung eines Sicherheitspatches veröffentlicht wird.

Hier finden Sie einige kurze Details zu beiden CVEs:

  • CVE-2023-34048 (CVSS 9.8 Critical): vCenter Server enthält eine Schwachstelle in der Implementierung des DCERPC-Protokolls, die das Schreiben außerhalb der Grenzen erlaubt [CWE-787]. Ein böswilliger Akteur mit Netzwerkzugang zum vCenter-Server kann diese Schwachstelle ausnutzen, um Remotecodeausführung (RCE) zu erreichen. Das Distributed Computing Environment Remote Procedure Call (DCERPC)-Protokoll erleichtert Remote Procedure Calls (RPC) in verteilten Computerumgebungen und ermöglicht Anwendungen die Kommunikation und den Aufruf von Funktionen über vernetzte Systeme hinweg.
  • CVE-2023-34056 (CVSS 4.3 Medium): vCenter Server enthält eine Sicherheitslücke, die eine teilweise Offenlegung von Informationen ermöglicht. Ein böswilliger Akteur mit nicht-administrativen Rechten für vCenter-Server kann dieses Problem ausnutzen, um auf nicht autorisierte Daten zuzugreifen.

Mehrere Sicherheitslücken in PHP 8 entdeckt

Es wurden mehrere Sicherheitslücken in PHP 8.0.X vor 8.0.28, 8.1.X vor 8.1.16 und 8.2.X vor 8.2.3 entdeckt. Obwohl die Gruppe der Schwachstellen eine kritische und zwei hochgradig gefährliche Schwachstellen enthält, erfordern diese Schwachstellen einen bestimmten Kontext, um ausgenutzt werden zu können: Entweder die Deserialisierung von PHP-Anwendungen mit PHAR oder die Verwendung der zentralen Pfadauflösungsfunktionen von PHP bei nicht vertrauenswürdigen Eingaben. Der VT-Feed von Greenbone für Unternehmen enthält mehrere Tests zur Erkennung dieser Schwachstellen auf verschiedenen Plattformen.

Hier finden Sie kurze Beschreibungen der schwerwiegendsten aktuellen PHP-8-Sicherheitslücken:

  • CVE-2023-3824 (CVSS 9.8 kritisch): Eine PHAR-Datei (kurz für PHP-Archive) ist ein komprimiertes Paketierungsformat in PHP, das dazu dient, komplette PHP-Anwendungen in einer einzigen Archivdatei zu verteilen und bereitzustellen. Beim Lesen von Verzeichniseinträgen während des Ladevorgangs des PHAR-Archivs kann eine unzureichende Längenüberprüfung zu einem Stapelpufferüberlauf [CWE-121] führen, was eine Beschädigung des Speichers oder eine Remotecodeausführung (RCE) zur Folge haben kann.
  • CVE-2023-0568 (CVSS 8.1 hoch): Die zentrale Pfadauflösungsfunktion von PHP weist einen Puffer zu, der ein Byte zu klein ist. Bei der Auflösung von Pfaden, deren Länge nahe an der Systemeinstellung ‚MAXPATHLEN´ liegt, kann dies dazu führen, dass das Byte nach dem zugewiesenen Puffer mit dem Wert NULL überschrieben wird, was zu unbefugtem Datenzugriff oder -änderung führen kann. Die zentrale Pfadauflösung von PHP wird für die Funktionen ‚realpath()´ und ‚dirname()´, beim Einbinden anderer Dateien mit Hilfe von ‚include()‘, ‚include_once()´, ‚require()‘ und ‚require_once()‘ sowie bei der Auflösung von PHPs „magischen“ Konstanten“ wie ‚__FILE__‘ und ‚__DIR__´ verwendet.
  • CVE-2023-0567 (CVSS 6.2 Medium): Die Funktion ‚password_verify()´ von PHP kann einige ungültige Blow Fish-Hashes als gültig akzeptieren. Wenn ein solcher ungültiger Hash jemals in der Passwortdatenbank landet, kann dies dazu führen, dass eine Anwendung jedes Passwort für diesen Eintrag als gültig akzeptiert [CWE-287]. Bemerkenswert ist, dass diese Sicherheitslücke von NIST (CVSS 6.2 Medium) und der PHP-Group CNA (CVSS 7.7 High) unterschiedlich bewertet Der Unterschied besteht darin, dass die PHP-Group CNA CVE-2023-0567 als hohes Risiko für die Vertraulichkeit einstuft, während NIST dies nicht tut. CNAs sind eine Gruppe von unabhängigen Anbietern, Forschern, Open-Source-Softwareentwicklern, CERT, gehosteten Diensten und Bug Bounty-Organisationen, die vom CVE-Programm autorisiert sind, CVE-IDs zuzuweisen und CVE-Einträge innerhalb ihres eigenen spezifischen Abdeckungsbereichs zu veröffentlichen.

SolarWinds Access Rights Manager (ARM): Mehrere kritische Sicherheitslücken

SolarWinds Access Rights Manager (ARM) vor Version 2023.2.1 ist für 8 verschiedene Schwachstellen anfällig; eine kritische und zwei weitere hochgefährliche Schwachstellen (CVE-2023-35182, CVE-2023-35185 und CVE-2023-35187). Dazu gehören die authentifizierte und unauthentifizierte Privilegienerweiterung [CWE-269], Directory Traversal [CWE-22] und Remote Code Execution (RCE) auf der privilegiertesten Ebene „SYSTEM“. Greebone’s Enterprise-Schwachstellen-Feed umfasst sowohl die lokale Sicherheitsprüfung (LSC) [1] als auch die HTTP-Fernerkennung [2].

SolarWinds ARM ist eine Software für die Zugriffskontrolle in Unternehmen für Windows Active Directory (AD)-Netzwerke und andere Ressourcen wie Windows-File-Server, Microsoft-Exchange-Dienste und Microsoft SharePoint sowie für Virtualisierungsumgebungen, Cloud-Dienste, NAS-Geräte und mehr. Die weite Verbreitung von ARM und anderen SolarWinds-Softwareprodukten bedeutet, dass ihre Schwachstellen ein hohes Potenzial haben, sich auf eine Vielzahl von großen Organisationen einschließlich kritischer Infrastrukturen auszuwirken.

Diese und weitere aktuelle Schwachstellen werden in den Sicherheitshinweisen von SolarWinds bekannt-gegeben. Obwohl keine Berichte über eine aktive Ausnutzung veröffentlicht wurden, wird eine Abschwächung dringend empfohlen und ist durch die Installation von SolarWinds ARM-Version 2023.2.1 verfügbar.

F5 BIG-IP: Unauthentifizierte RCE- und authentifizierte SQL-Injection-Schwachstellen

Zwei RCE-Schwachstellen in F5 BIG-IP, CVE-2023-46747 (CVSS 9.8 Critical) und CVE-2023-46748 (CVSS 8.8 High), wurden von der CISA kurz nach der Veröffentlichung des PoC-Codes für CVE-2023-46747 als aktiv ausgenutzt beobachtet. Inzwischen wurde auch ein Metasploit-Exploit-Modul veröffentlicht. F5 BIG-IP ist eine Familie von Hardware- und Software-IT-Sicherheitsprodukten, die sicherstellen, dass Anwendungen stets sicher sind und so funktionieren, wie sie sollen. Die Plattform wird von F5 Networks hergestellt und konzentriert sich auf Anwendungsdienste, die von Zugang und Bereitstellung bis zur Sicherheit reichen. Greenbone hat die Erkennung für beide CVEs [1][2] hinzugefügt.

CVE-2023-46747 ist eine Remote-Authentifizierungsumgehung [CWE-288], während CVE-2023-46748 eine Remote-SQL-Injection-Schwachstelle [CWE-89] ist, die nur von einem authentifizierten Benutzer ausgenutzt werden kann. Bei den betroffenen Produkten handelt es sich um die zweite Nebenversion (X.1) für die Hauptversionen 14-17 von BIG-IP Advanced Firewall Manager (AFM) und F5 Networks BIG-IP Application Security Manager (ASM)

Wenn Sie eine betroffene Version verwenden, können Sie diese Sicherheitslücke durch die Installation der vom Hersteller bereitgestellten HOTFIX-Updates schließen. Der Begriff „Hotfix“ bedeutet, dass der Patch auf ein laufendes und betriebsbereites System angewendet werden kann, ohne dass ein Herunterfahren oder Neustart erforderlich ist. Wenn eine Aktualisierung nicht möglich ist, kann CVE-2023-46747 durch das Herunterladen und Ausführen eines Bash-Skripts entschärft werden, das das Attribut ‚requiredSecret´ in der Tomcat-Konfiguration hinzufügt oder aktualisiert, das für die Authentifizierung zwischen Apache und Tomcat verwendet wird. CVE-2023-46748 kann entschärft werden, indem der Zugriff auf das Konfigurationsprogramm eingeschränkt wird, um nur vertrauenswürdige Netzwerke oder Geräte zuzulassen, und indem sichergestellt wird, dass nur vertrauenswürdige Benutzerkonten existieren, wodurch die Angriffsfläche begrenzt wird.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

CVE-News: Greenbone bringt Schwachstellentests für kritische Lücken in Atlassian und F5 Big-IP

Für gleich zwei kritische Sicherheitslücken in verbreiteter Enterprise-Software haben unsere Entwickler Schwachstellentests bereitgestellt. Innerhalb kürzester Zeit konnten so Tests auf CVE 2023-22518 und CVE 2023-46747 integriert und die Kunden des Greenbone Enterprise-Feed geschützt werden.

Fehlerhaftes Login bei Atlassian Confluence und Jira

Die Wissensmanagementtools Confluence und Jira des australischen Herstellers Atlassian sind von einer gravierenden Sicherheitslücke mit 9,8 von 10 Punkten auf der CERT-Skala betroffen. Seit dem 8. November wird die Schwachstelle CVE 2023-22518 laut Medienberichten von Angreifern aktiv ausgenutzt, die sich unberechtigten Zugriff auf Firmendaten verschaffen.

Der „Fehler in der Authentifizierung“ betrifft laut Hersteller alle Versionen von Confluence Data Center und Server, nicht aber die Cloud-Variante bei Atlassian selbst. Für alle anderen, auch Anwender von Jira, vor allem aber alle öffentlich zugänglichen Confluence-Server bestehe „großes Risiko und der Zwang zum sofortigen Handeln“, schreibt Atlassian.

Unsere Entwickler reagierten schnell und wir konnten unseren Kunden entsprechende Tests bereitstellen, bevor Ransomware-Angriffe erfolgreich sein konnten. Kunden des Greenbone Enterprise Feeds wurden gewarnt und an einen Patch via Update erinnert.

Remote Code Execution: F5 BIG-IP erlaubt „Request Smuggling“

Ebenfalls Ende Oktober fanden Sicherheitsforscher der Praetorian Labs eine gravierende Lücke (CVE-2023-46747) in den Produkten des Application-Security-Experten F5. Die Lösungen des amerikanischen Herstellers sollen eigentlich umfangreiche Netzwerke und Softwarelandschaften beschützen. Vor allem in großen Unternehmen kommt die 1997 als Load Balancer gestartete Software zum Einsatz.

Angreifer können jedoch, so die Experten, aus der Ferne Code auf den BIG-IP-Servern ausführen lassen, indem sie über manipulierte URLs beliebige Systembefehle in die Administrationswerkzeuge schleusen. Details finden sich bei Praetorian, Patches sind vorhanden. Betroffen ist eine lange Liste von BIG-IP-Produkten der Versionen 13, 14, 15, 16 und 17, sowohl in Hard- als auch in Software.

Auch hier haben wir schnell reagiert und noch am gleichen Tag in unseren Schwachstellenscannern Tests integriert, die die BIG-IP-Installationen auf verwundbare Versionen testen und gegebenenfalls auf die bei F5 gelisteten Patches hinweisen.

Unser Schwachstellenmanagement, die Greenbone Enterprise Appliances, bieten besten Schutz.

Die professionelle Verwaltung von Schwachstellen ist ein unerlässlicher Bestandteil der IT-Sicherheit. Sie ermöglicht die frühzeitige Identifizierung von Risiken und liefert wertvolle Handlungsanweisungen für ihre Beseitigung.

Der Greenbone Enterprise Feed wird täglich aktualisiert, um stets neue Schwachstellen aufdecken zu können. Deshalb empfehlen wir eine regelmäßige Aktualisierung und das Durchführen von Scans für alle Ihre Systeme. Lesen Sie dazu auch diesen Artikel über IT-Sicherheit und über die Zeitleiste gängiger Angriffsvektoren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Aktueller Bericht zur Lage der IT-Sicherheit in Deutschland 2023

Bundesinnenministerin Nancy Faeser und Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), haben am 2.11.2023 den aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland vorgestellt. Angriffe mit Ransomware stellen dabei das größte und häufigste, aber bei weitem nicht das einzige Risiko dar. Solange diese Angriffe nicht gänzlich verhindert werden können, müssen die Systeme sicherer werden, um Schaden zu verhindern oder wenigstens zu verringern.

In Deutschland gibt es eine Reihe von Initiativen, um das Schwachstellenmanagement zu verbessern. Dazu gehört das Nationale IT-Sicherheitsgesetz (IT-SiG) und das IT-Grundschutz-Kompendium des BSI. Das von der BSI-Präsidentin Claudia Plattner zurecht geforderte „bundeseinheitliche Lagebild“ kann so die Bedrohungslage auf die Situation der angreifbaren Systeme abbilden und dadurch dabei helfen, vorab zu warnen und im konkreten Angriffsfall schnell und wirksam zu reagieren.

„Die Digitalisierung macht vieles in unserem Alltag leichter. Gleichzeitig schafft sie neue Angriffsflächen“, so Bundesinnenministerin Nancy Faeser. Das ist richtig. Den wachsenden Risiken durch die fortschreitende Vernetzung müssen wir durch automatisierte Tools und Prozesse begegnen. Durch deren Einsatz können Unternehmen und Organisationen ihre IT-Systeme besser schützen und die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs verringern.

Unsichere Systeme machen es Angreifern leichter, Schaden anzurichten. Die Verbesserung des Schwachstellenmanagements ist daher ein wichtiger Schritt, um die IT-Sicherheit in Deutschland zu erhöhen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone testet Ihre Webanwendungen

Verringern Sie das Risiko eines Angriffs aus dem Internet auf Ihre Server: Nutzen Sie das neueste Angebot von Greenbone: Mit unserem Pentesting Webanwendungen helfen wir Ihnen, die bestmöglichste Sicherheit für Ihre Webanwendungen zu erhalten.

Die Zahlen sprechen eine eindeutige Sprache: Angriffe auf Webanwendungen nehmen zu, seit Jahren schon, und ein Ende ist nicht in Sicht. Die Komplexität moderner Internetauftritte und -dienste erfordert ein hohes Maß an Sicherheitsmaßnahmen und ist ohne Tests durch Experten nicht zu bewerkstelligen.

Dabei hilft nur das die Technik des so genannten „Pentesting“ von Webanwendungen, genauer das „Web Application Penetration Testing“. Mit diesem Versuch, von außen in geschützte Systeme einzudringen („Penetration“) erstellen die Experten von Greenbone eine aktive Analyse der Schwachstellen und können so die Sicherheit einer Webapplikation bewerten. Zwar gibt es Leitfäden wie den sehr empfehlenswerten des Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Vorgehensweise fürs Testen beschreibt, doch kann nichts den Experten ersetzen, der Ihr System selbst unter die Lupe nimmt. In diesem Video erhalten Sie einen ersten Eindruck von der Arbeit unserer Experten.

Greenbone agiert dabei streng nach den Vorschriften der DSGVO, ist nach ISO 27001/9001 zertifiziert. Wie bei den Produkten im Bereich des Schwachstellenmanagements erhalten Sie auch bei den Webanwendungen-Pentests ausführliche Berichte über Ihre Sicherheitssituation mit klaren Handlungsanweisungen, bei deren Umsetzung die Greenbone-Experten gerne helfen. Da Angebot umfasst sowohl Client- als auch Server-Seite Ihrer Webanwendungen und richtet sich nach den modernsten und aktuellsten Vorgaben, beispielsweise der OWASP Top 10 oder auch dem OWASP Risk Assessment Framework (RAF). Egal ob es sich um Cross-Site-Scripting (XSS), SQL Injection, Information Disclosure oder Command Injection handelt, egal ob es Lücken in den Authentifizierungsmechanismen Ihrer Server gibt oder Websockets die Gefahrenquelle sind – Greenbones Experte werden die Schwachstellen finden.

Als weltweit führender Anbieter von Open Source Produkten zum Vulnerability Management verfügt Greenbone stets über die aktuellste Expertise im Umgang mit Schwachstellen und Sicherheitsrisiken, auch hier im „Black Box Testing“, wenn unsere Experten Ihre Systeme von außen unter die Lupe nehmen, genauso wie das ein Angreifer tun würde: mit dem Blickwinkel einer potenziellen angreifenden Person finden Sie im Idealfall jede existierende Schwachstelle in Ihrer IT-Infrastruktur und können sich um ihre Behebung kümmern. Nur wer seine Schwachstellen kennt, kann die Sicherheitsmaßnahmen zielgerichtet einsetzen. Finden Sie hier mehr zu den Produkten und Services von Greenbone AG.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von