Schlagwortarchiv für: RCE

Joseph Lee

PHP-CGI für Windows: Angriffe auf CVE-2024-4577 eskalieren

CVE-2024-4577“ (CVSS 9.8 Kritisch) erklimmt soeben das Siegertreppchen der bösesten Sicherheitslücken: Anfang Juni 2024 von den Forschern bei Devcore aufgedeckt, wurde sie in nur 48 Stunden als Waffe eingesetzt. Sie ist eine Command Injection-Schwachstelle [CWE-78] im PHP-CGI OS und betrifft PHP für Windows. Sofort wurden Angriffe beobachtet, die die Ransomware „TellYouThePass“ verbreiteten, während sie als CVE (Common Vulnerabilities and Exposures) in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen wurde. Monate später nimmt die Ausnutzung von CVE-2024-4577 plötzlich weiter zu.

Greenbone hat Schwachstellentests (VTs) bereitgestellt, um Systeme zu erkennen, die von CVE-2024-4577 betroffen sind, seit sie im Juni 2024 veröffentlicht wurde. So können Verteidiger betroffene Systeme in öffentlichen oder internen Netzwerkinfrastrukturen identifizieren. Sehen wir uns die Bedrohung durch CVE-2024-4577 genauer an.

So wird CVE-2024-4577 ausgenutzt

PoC-Exploit-Code (Proof of Concept) und eine vollständige technische Aufschlüsselung wurden bereits vor langer Zeit von watchTowr Labs veröffentlicht, ebenfalls Mitte 2024 wurde ein Metasploit-Modul veröffentlicht. Zusätzlich gaben kürzlich das CERT New Zealand (CERT NZ) und das Canadian Center for Cyber Security entsprechende Sicherheitswarnungen heraus. Und bereits im Juni 2024 warnten das CERT-EU und das CERT-FR (CERT der französischen Regierung) vor der Schwachstelle.

Aufgrund der Sicherheitslücke CVE-2024-4577 kann das PHP-CGI (Common Gateway Interface) bestimmte Zeichen als PHP-Parameter fehlinterpretieren, wodurch ein böswilliger Benutzer diese an die Binärdatei php.exe übergeben kann. Mit diesem Trick kann der Quellcode von Skripten offengelegt oder beliebiger PHP-Code auf dem Server ausgeführt werden. CVE-2024-4577 gilt als Umgehung einer bereits vor langer Zeit gepatchten Sicherheitslücke in PHP, nämlich CVE-2012-1823.

Für den Fall, dass sich Angreifer zunächst durch Social Engineering oder eine andere Software-Schwachstelle Zugang zum Netzwerk eines Opfers verschaffen, kann CVE-2024-4577 einem Angreifer die Möglichkeit bieten, sich seitlich zu bewegen oder sich heimlich festzusetzen, tiefer in die Infrastruktur eines Opfers einzudringen und den Aktionsradius eines Cyberangriffs zu vergrößern.

CVE-2024-4577 technisch gesehen

Kurz gesagt, arbeitet die Ausnutzung von CVE-2024-4577 mit der Unicode-Zeichenumwandlung, um bösartige Command-Line-Argumente in den php.exe-Prozess einzuschleusen. Auf einer hohen Ebene verhalten sich Webserver anders, wenn der CGI-Modus aktiviert ist. Normalerweise analysiert ein Webserver HTTP-Anfragen und leitet sie zur Verarbeitung an ein PHP-Skript weiter. Wenn jedoch der CGI-Modus aktiviert ist, werden Attribute aus der URL extrahiert und als Argumente an das ausführbare PHP-Binary (php.exe unter Windows) übergeben. Dieser PHP-CGI-Prozess ist dafür bekannt, dass er deutliche Sicherheitsrisiken birgt.

Obwohl PHP-GCI die Shell-Meta-Zeichen (wie Bindestriche, doppelte Bindestriche, das kaufmännische Und sowie Gleichheitszeichen) vor der Übergabe bereinigen soll, öffnet dies immer noch einen Weg zur Command Injection, wenn Angreifer einen Weg finden, den Bereinigungsprozess zu umgehen. Die PHP-CGI-Kodierung war auch das Ziel des Angriffs auf CVE-2012-1823. Darüber hinaus werden ständig ähnliche Kämpfe um die Zeichenkodierung ausgetragen, die den Angreifern neue Möglichkeiten zur Ausführung von XSS- und SQL-Injection-Schwachstellen bieten.

In der aktuellen Iteration dieses Angriffs können Angreifer unter Verwendung eines weichen Bindestrichs (0xAD) anstelle eines Standard-Bindestrichs (0x2D) PHP-Direktiven initiieren, um Remote Code Execution (RCE) zu erreichen. Dies liegt daran, dass Windows den UCS-2-Zeichensatz verwendet, alle Zeichen in den UCS-2-Codepunktwert konvertiert und außerdem eine zusätzliche „Best-Fit“-Konvertierung durchführt. Im Fall von CVE-2024-4577 ist es das Best-Fit-Schema, das weiche Bindestriche in Standard-Bindestriche umwandelt. Dadurch kann php.exe mit Argumenten injiziert werden, um den HTTP-Anfragekörper selbst voranzustellen und auszuführen, indem der Befehl „-d allow_url_include=1 -d auto_prepend_file=php://input“ mit URL-kodierten weichen Bindestrichen zum HTTP-GET-String hinzugefügt wird. Weiche Bindestriche sind in der Regel unsichtbare UTF-8-Zeichen, die zur Angabe von Wortumbrüchen an bestimmten Stellen verwendet werden, aber nur, wenn dies notwendig ist, damit der Text in die Zeile passt. Dank der Best-Fit-Konvertierung von Windows werden sie effektiv in Befehlszeilen-Flags umgewandelt.

CVE-2024-4577 wird dieses Jahr weltweit ausgenutzt

Neuen Berichten zufolge, die im März 2025 veröffentlicht wurden, sind Angriffe, die CVE-2024-4577 ausnutzen, kontinuierlich, weit verbreitet und eskalieren. Cisco entdeckte im Januar 2025 eine Ausnutzung von CVE-2024-4577, die auf japanische Unternehmen aus den Bereichen Bildung, E-Commerce und Telekommunikation abzielte. Nachdem sie sich zunächst über PHP Zugang verschafft hatten, installierten die Angreifer die „TaoWu“-Plugins von Cobalt Strike und änderten Windows Registry-Schlüssel, um über geplante Aufgaben dauerhaften Zugang zu erhalten.

Ein weiterer aktueller Bericht von GreyNoise zeigt, dass sich die massenhafte Ausnutzung von CVE-2024-4577 auf Ziele in den USA, Großbritannien, Singapur, Indonesien, Taiwan, Hongkong, Indien, Spanien und Malaysia ausgeweitet hat. Deutschland und China waren Berichten zufolge die Hauptquellen der Angriffe, die weltweit 43 % ausmachten. GreyNoise unterhält auch ein Honignetz, das allein im Januar 2025 über 1.089 eindeutige IPs mit Exploit-Versuchen entdeckte und 79 öffentlich verfügbare, spezialisierte Exploit-Kits zählte. Das Cybersicherheitsunternehmen warnte vor einem wachsenden Angriffsvolumen im Februar 2025, das durch automatisiertes Scannen angetrieben wird und auf eine schnell eskalierende Cyberbedrohung hinweist.

Abhilfe für CVE-2024-4577

CVE-2024-4577 betrifft alle PHP-Versionen (einschließlich PHP 5 und PHP 7, die am Ende ihrer Lebensdauer sind) vor 8.1.29, 8.2.20 und 8.3.8 unter Windows. Die beste Abhilfemaßnahme ist ein schnelles Upgrade auf eine gepatchte Version. In Umgebungen, in denen ein sofortiges Patchen nicht möglich ist, können Verteidiger die Ausführung des PHP-CGI-Modus zugunsten von PHP-FPM (FastCGI Process Manager) deaktivieren oder alternativ eine Web-Application-Firewall (WAF) einsetzen, um Angriffe zu filtern und zu blockieren. PHP-Systemadministratoren sollten auch einige zusätzliche Sicherheitsrisiken, die mit CGI verbunden sind, beachten und sie auf optimale Sicherheit überprüfen.

Greenbone hat Schwachstellentests (VTs) zur Verfügung gestellt, um Systeme zu erkennen, die von CVE-2024-4577 betroffen sind, seit es im Juni 2024 erstmals veröffentlicht wurde. Diese Früherkennungsfunktion ermöglicht es Verteidigern, betroffene Systeme in öffentlichen oder internen Netzwerken zu identifizieren. Die Erkennungstests von Greenbone umfassen Remote-Versionserkennungen [1][2] und eine aktive Remote-Prüfung [3].

Zusammenfassung

CVE-2024-4577 ist eine kritische PHP-CGI-Schwachstelle, die PHP-Installationen unter Windows betrifft und die RCE ermöglicht. Die Schwachstelle wurde innerhalb von 48 Stunden nach ihrer Offenlegung als Waffe eingesetzt und in TellYouThePass-Ransomware-Angriffen verwendet. Berichten von Cisco und GreyNoise zufolge ist die massenhafte Ausnutzung von CVE-2024-4577 weltweit eskaliert, und es wurden mehrere nationale CERT-Hinweise herausgegeben. Verteidiger müssen herausfinden, wo in ihrer Infrastruktur betroffene Produkte eingesetzt werden, und sofort auf eine korrigierte Version von PHP aktualisieren, PHP-CGI vollständig deaktivieren oder auf PHP-FPM (FastCGI Process Manager) umstellen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Apache Camel: Schwachstellen großgeschrieben

Zwei neue Sicherheitslücken in Apache Camel sollten von Anwendern sofort beachtet werden. Am 9. März 2025 veröffentlichte Apache die Schwachstelle CVE-2025-27636 (CVSS 5.6), eine CVE (Common Vulnerabilities and Exposures) für die Remote Code Execution (RCE). Zwei Tage später, am 11. März, meldete die Security Intelligence Group (SIG) von Akamai eine Technik zur Umgehung des ursprünglichen Patchs, woraufhin CVE-2025-29891 (CVSS 4.2) am 12. März veröffentlicht wurde.

Grüne Grafik mit stilisiertem Kamel in einer Wüstenlandschaft. Rechts daneben ein Button mit der Aufschrift ‚RCE in Apache Camel‘.

Obwohl die beiden Schwachstellen vom Authorized Data Publisher (ADP) der Cybersecurity and Infrastructure Security Agency (CISA) nur mit moderaten CVSS-Scores bewertet wurden, können sie je nach Konfiguration der betroffenen Camel-Instanz schwerwiegende Auswirkungen haben. Beide CVEs haben dieselbe Ursache: eine unsachgemäße Filterung von HTTP-Headern oder HTTP-Parametern bei der Kommunikation mit einer Apache-Camel-Instanz. Wie im Titel angedeutet, geht es um die Groß- und Kleinschreibung. Während diese beim Filtern der Parameter berücksichtigt wurde, wurden die Argumente selbst ohne Berücksichtigung der Groß- und Kleinschreibung angewendet. Darüber hinaus tragen der öffentlich verfügbare PoC-Code (Proof of Concept) und eine relativ vollständige technische Beschreibung zu dem Risiko bei.

Greenbone kann sowohl CVE-2025-27636 als auch CVE-2025-29891 mit Schwachstellentests erkennen, die aktiv nach ausnutzbaren HTTP-Endpunkten suchen. Schauen wir uns die Details an.

Was ist Apache Camel?

Apache Camel ist eine beliebte Open-Source-Java-Bibliothek zur Integration verschiedener Komponenten einer verteilten Unternehmenssystemarchitektur wie APIs oder Microservices. Sie stellt eine vielseitige Plattform für Routing und Datenvermittlung dar, die auf dem Konzept der Enterprise Integration Patterns (EIPs) für das Architekturdesign von Unternehmenssystemen basiert. Apache Camel baut auf EIPs auf und bietet Möglichkeiten zur Implementierung dieser Muster über die domänenspezifischen Sprachen (DSL), die Java, XML, Groovy, YAML und andere umfassen.

Im Jahr 2021 hatte Apache Camel einen Anteil von 3,03 % am Markt für Enterprise Application Integration. Die Software wird von über 5.600 Unternehmen eingesetzt, von denen etwa die Hälfte in den USA ansässig ist. Vertreten ist Camel vor allem bei IT-Technologie- und Dienstleistungen (33 %), in der Softwarebranche (12 %) und bei Finanzdienstleistungen (6 %).

Zwei CVEs in Apache Camel erlauben Header-Injection

Wenn eine der HTTP-basierten Komponenten von Camel Anfragen bearbeitet, soll ein Standardfilter die Offenlegung sensibler Daten oder die Ausführung interner Befehle verhindern. Aufgrund einer fehlerhaften Filterregel, die zwischen Groß- und Kleinschreibung unterscheidet, wurden jedoch nur exakt übereinstimmende Header gefiltert. In der Programmlogik wurden diese Header allerdings nachgelagert ohne Berücksichtigung der Groß- und Kleinschreibung angewendet, wodurch der Filter umgangen werden konnte. Durch die Änderung der Groß- und Kleinschreibung des ersten Zeichens des Headernamens konnte ein Angreifer den Filter umgehen und beliebige Header einschleusen.

Die gute Nachricht ist, dass entweder die camel-bean- oder die camel-exec-Komponente in Kombination mit einer http-basierten Komponente wie camel-http, camel-http4, camel-rest, camel-servlet oder anderen aktiviert werden muss. Außerdem ist die Ausnutzung auf interne Methoden innerhalb des im HTTP-Request-URI angegebenen Bereichs beschränkt. Ein letzter Trost ist, dass diese Schwachstelle nicht als unauthentifizierte Schwachstelle eingestuft wurde. Deshalb ist sie nicht ausnutzbar, wenn die Systementwickler keine Authentifizierung und Autorisierung für eine Camel-HTTP-API implementiert haben.

Am oberen Ende des Risikospektrums kann ein Angreifer, wenn die Camel Exec-Komponente aktiviert und gezielt eingesetzt wird, als Benutzer, der den Camel-Prozess steuert, einen beliebigen RCE ausführen. Dies geschieht, indem der CamelExecCommandExecutable-Header gesendet wird, um einen beliebigen Shell-Befehl anzugeben, der die im Back-End konfigurierten Befehle überschreibt. Wenn die ausnutzbaren Camel-HTTP-APIs über das Internet zugänglich sind, ist das Risiko besonders hoch. Diese Schwachstelle könnte jedoch auch von einem Insider genutzt werden, um sich innerhalb eines Netzwerks seitlich zu bewegen, oder von Angreifern, die sich einen ersten Zugang zum internen Netzwerk einer Organisation verschafft haben.

Eine technische Beschreibung der Exploit-Kette und des Proof of Concept wurde von Akamai zur Verfügung gestellt.

Was ist der geeignete CVSS-Score?

Obwohl CVE-2025-27636 (CVSS 5.6) und CVE-2025-29891 (CVSS 4.2) als mäßig schwer eingestuft wurden, könnten sie kritische Auswirkungen haben, wenn entweder die camel-bean- oder camel-exec-Komponenten in Kombination mit http-basierten Komponenten aktiviert werden. Die Situation macht einige Einschränkungen des CVSS-Scorings (Common Vulnerability Scoring System) deutlich.

Akamai-Forscher berichten, dass die Schwachstelle trivial auszunutzen ist, und haben PoC-Code veröffentlicht, was das Risiko erhöht. Das bedeutet, dass die CVSS-Angriffskomplexität (AC) auf niedrig (L) gesetzt werden sollte. Jedoch hat der CISA-ADP die Angriffskomplexität angesichts dieser Tatsachen als hoch (AC:H) bewertet. Red Hat hat diesen Faktoren Rechnung getragen und den CVSS-Wert für CVE-2025-27636 auf 6,3 erhöht.

Außerdem hat der CISA-ADP für CVE-2025-29891 keine Auswirkungen auf die Vertraulichkeit festgestellt, obwohl die Möglichkeit einer willkürlichen RCE besteht. Wenn jedoch eine Apache Camel-Instanz eine anfällige Konfiguration aufweist, ist eine Bewertung mit hoher Auswirkung für Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) gerechtfertigt, wodurch sich die Kritikalität auf CVSS 9.8 erhöht.

Andererseits hat der CISA-ADP den Wert „Keine“ (N) für die erforderlichen Berechtigungen (PR) zugewiesen. Obwohl der PoC von Akamai keine HTTPS-Verbindung oder Authentifizierung verwendet, wäre es äußerst fahrlässig, eine unverschlüsselte und nicht authentifizierte API zu betreiben. Apache Camel unterstützt die Java Secure Socket Extension (JSSE) API für Transport Layer Security (TLS) oder die Verwendung eines KeyCloak Single Sign-On (SSO) Autorisierungsservers. Camel-Instanzen, bei denen eine Form der Client-Authentifizierung aktiviert ist, sind vor einer Ausnutzung geschützt. In den meisten Fällen sollte der PR-Wert auf Niedrig (L) oder Hoch (H) eingestellt werden, was zu einem verminderten CVSS von 7,3 oder 8,8 führt.

Darüber hinaus wurden die CVEs mit dem Scope-Wert Unchanged (UC) versehen. Gemäß der CVSS v3.1 Spezifikation: „Die Scope-Metrik erfasst, ob eine Schwachstelle in einer verwundbaren Komponente Auswirkungen auf Ressourcen in Komponenten außerhalb ihres Sicherheitsbereichs hat.“ Die Ausführung beliebiger Shell-Befehle auf dem kompromittierten System wird normalerweise mit dem Wert Changed (C) bewertet. Wenn der Camel-Prozess dem Linux/Unix-Root oder einem Windows-Administrator-Benutzer gehört, hätte ein Angreifer praktisch unbegrenzte Kontrolle über ein kompromittiertes System. Angesichts der Vielzahl möglicher CVSS-Bewertungen sollten CVE-2025-27636 und CVE-2025-29891 als kritische Sicherheitslücken betrachtet werden, wenn eine Instanz die Konfigurationsanforderungen erfüllt und keine Authentifizierung anwendet.

Behandlung der CVEs in Apache Camel

CVE-2025-27636 und CVE-2025-29891 betreffen Apache Camel Version 4.10 vor 4.10.2, Version 4.8 vor 4.8.5 und Version 3 vor 3.22.4. Benutzer sollten ein Upgrade auf 4.10.2, 4.8.5 oder 3.22.4 durchführen oder eine benutzerdefinierte Header-Filterung mit removeHeader oder removeHeaders in Camel Routes implementieren. Es sollte beachtet werden, dass die Camel Versionen 4.10.0, 4.10.1, 4.8.0 bis 4.8.4 und 3.10.0 bis 3.22.3 immer noch verwundbar sind, obwohl sie als Sicherheitsupdates betrachtet wurden, die den Fehler behoben haben.

Es wird außerdem dringend empfohlen, dass alle HTTP-Endgeräte in einer verteilten Architektur eine starke Authentifizierung verwenden. Für Apache Camel gibt es folgende Optionen: Verwendung der Java Secure Socket Extension (JSSE) API für TLS mit Camel-Komponenten oder Verwendung eines KeyCloak OAuth 2.0 SSO Autorisierungsservers. Für Legacy-Systeme sollte mindestens die HTTP-Basisauthentifizierung konfiguriert werden.

Zusammenfassung

Benutzer von Apache Camel sollten sofort auf die Versionen 4.10.2, 4.8.5 oder 3.22.4 aktualisieren, um die neu veröffentlichten CVEs, die Apache Camel betreffen, zu entschärfen. Alternativ können Sie benutzerdefinierte Header-Filterung mit removeHeader oder removeHeaders in Camel-Routen implementieren. Eine starke Authentifizierung auf allen HTTP-Endpunkten wird ebenfalls dringend empfohlen, um die Sicherheit zu gewährleisten. Apache Camel unterstützt die JSSE API für TLS oder KeyCloak SSO Lösungen. Greenbone kann sowohl CVE-2025-27636 als auch CVE-2025-29891 mit Schwachstellentests erkennen, die aktiv auf ausnutzbare HTTP-Endpunkte prüfen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Greenbone erkennt CVE-2025-0994: Aktiv ausgenutzte Schwachstelle in Trimble Cityworks

Trimble Cityworks, eine Software für das Enterprise Asset Management (EAM) und die Verwaltung öffentlicher Gebäude, wird aktiv angegriffen. Die Kampagne begann als unbekannte Schwachstelle (Zero Day), wird aber jetzt als CVE-2025-0994 mit einem CVSS-Wert von 8.6 geführt. Es handelt sich um einen Fehler bei der Deserialisierung [CWE-502], der einem authentifizierten Angreifer ermöglichen könnte, beliebigen Code aus der Ferne auszuführen (Remote Code Execution; RCE). Greenbone enthält eine Erkennung für CVE-2025-0994 im Enterprise Feed.

Die aktive Ausnutzung von CVE-2025-0994 ist eine reale und gegenwärtige Gefahr. Trimble hat eine Erklärung veröffentlicht, in der die Angriffe auf das Produkt bestätigt werden. Dank der Transparenz des Herstellers hat die CISA (Cybersecurity and Infrastructure Security Agency) CVE-2025-0994 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen und einen ICS-Hinweis sowie ein CSAF-2.0-Dokument veröffentlicht. CSAF 2.0-Advisorys sind maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen für den dezentralen Austausch von Cybersicherheitsinformationen.

Obwohl viele Medienberichte und einige Plattformen, die Bedrohungsinformationen sammeln, darauf hinweisen, dass es einen öffentlichen Proof-of-Concept (PoC) gibt, ist das einzige Suchergebnis auf GitHub lediglich ein Versionserkennungstest. Das bedeutet, dass es unwahrscheinlich ist, dass wenig qualifizierte Hacker leicht an Angriffen teilnehmen können. Die Fehlinformationen sind vermutlich auf schlecht konzipierte Algorithmen in Verbindung mit mangelnder menschlicher Kontrolle vor der Veröffentlichung von Bedrohungsdaten zurückzuführen.

Wer ist durch CVE-2025-0994 gefährdet?

Trimble Cityworks wurde vor allem für Kommunalverwaltungen und Anbieter kritischer Infrastrukturen wie Wasser- und Abwassersysteme, Energie, Verkehrssysteme, staatliche Industrieanlagen und Kommunikationsagenturen entwickelt und wird von ihnen genutzt. Cityworks erweitert geografische Informationssysteme (GIS) durch die Integration von Lösungen für die Verwaltung von Anlagen und öffentlichen Arbeiten direkt in Esri ArcGIS. Die Software soll Organisationen bei der Verwaltung der Infrastruktur, der Planung von Wartungsarbeiten und der Verbesserung der betrieblichen Effizienz helfen. Neben der CISA haben auch mehrere andere Regierungsbehörden Warnungen zu dieser Sicherheitslücke herausgegeben, darunter die US-Umweltschutzbehörde (EPA), das kanadische Zentrum für Cybersicherheit und der Bundesstaat New York.

Eigenen Angabe zufolge bediente Trimble Cityworks im Jahr 2019 über 700 Kunden in Nordamerika, Europa, Australien und dem Nahen Osten. Während spezielle Zahlen für Kommunalverwaltungen in den USA, Kanada und der EU nicht öffentlich bekannt gegeben werden, zeigen eine Suche auf Shodan und eine Censys-Karte jeweils nur etwa 100 öffentlich zugängliche Instanzen von Cityworks. Es wird jedoch davon ausgegangen, dass die Anwendung eine hohe Akzeptanz bei Kommunalverwaltungen und Versorgungsunternehmen hat. Wenn CVE-2025-0994 öffentlich zugänglich ist, könnte ein Angreifer einen ersten Zugang erhalten [T1190]. Für Angreifer, die bereits Fuß gefasst haben, ist die Schwachstelle eine Gelegenheit für laterale Bewegungen [TA0008] und stellt eine leichte Beute für Insider-Angriffe dar.

Technische Beschreibung von CVE-2025-0994

CVE-2025-0994 ist eine Schwachstelle in der Deserialisierung [CWE-502], die in Versionen von Trimble Cityworks vor 15.8.9 und Cityworks mit Office Companion vor 23.10 gefunden wurde. Sie entsteht durch die unsachgemäße Deserialisierung von nicht vertrauenswürdigen serialisierten Daten, die es einem authentifizierten Angreifer ermöglicht, beliebigen Code aus der Ferne auf dem Microsoft Internet Information Services (IIS) Webserver des Ziels auszuführen.

Die Serialisierung ist ein Prozess, bei dem Softwarecode oder Objekte kodiert werden, um zwischen Anwendungen übertragen und dann in dem von einer Programmiersprache verwendete Originalformat rekonstruiert zu werden. Wenn Trimble Cityworks serialisierte Objekte verarbeitet, werden nicht vertrauenswürdige Eingaben nicht ordnungsgemäß validiert oder bereinigt. Dieser Fehler ermöglicht es einem Angreifer mit authentifiziertem Zugriff, speziell gestaltete serialisierte Objekte zu senden, die eine beliebige Codeausführung auf dem zugrunde liegenden IIS-Server auslösen können. Die Deserialisierung von Daten aus nicht authentifizierten Quellen scheint an sich schon ein signifikanter Designfehler zu sein, aber das Versäumnis, serialisierte Daten ordnungsgemäß zu bereinigen, ist eine besondere Unsicherheit.

Konsequenzen der Ausnutzung von CVE-2025-0994 könnten sein:

  • Unbefugter Zugriff auf sensible Daten
  • Unterbrechung der Dienste für kritische Infrastruktursysteme
  • Mögliche vollständige Kompromittierung des betroffenen IIS-Webservers

Abhilfe gegen CVE-2025-0994 in Trimble Cityworks

Trimble hat gepatchte Versionen von Cityworks veröffentlicht, die die Schwachstelle in der Deserialisierung beheben. Diese Patches umfassen Cityworks 15.8.9 und Cityworks 23.10. On-premise-Anwender müssen sofort auf die gepatchte Version aktualisieren, während Kunden von Cityworks Online (CWOL) diese Updates automatisch erhalten.

Trimble wies darauf hin, dass bei einigen Vor-Ort-Installationen IIS mit überprivilegierten Identitätsberechtigungen ausgeführt wird, was die Angriffsfläche vergrößert. IIS sollte weder auf lokaler noch auf Domänenebene über administrative Berechtigungen verfügen. Befolgen Sie die Anweisungen von Trimble in den neuesten Cityworks-Versionshinweisen, um die IIS-Identitätskonfigurationen richtig anzupassen.

Empfohlene Aktionen für On-premises-Anwender von Trimble Cityworks:

  • Aktualisieren Sie die Cityworks 15.x-Versionen auf 15.8.9 und die 23.x-Versionen auf 23.10.
  • Prüfen Sie die IIS-Identitätsberechtigungen, um sicherzustellen, dass sie mit dem Prinzip der geringsten Rechte übereinstimmen.
  • Beschränken Sie die Stammkonfiguration des Anhangsverzeichnisses auf Ordner, die nur Anhänge enthalten.
  • Verwenden Sie eine Firewall, um den Zugriff auf den IIS-Server nur auf vertrauenswürdige interne Systeme zu beschränken.
  • Verwenden Sie ein VPN, um den Fernzugriff auf Cityworks zu ermöglichen, anstatt den Dienst öffentlich zugänglich zu machen.

Zusammenfassung

CVE-2025-0994 stellt ein ernsthaftes Sicherheitsrisiko für Trimble Cityworks-Benutzer dar, die größtenteils aus Behörden und kritischen Infrastrukturumgebungen stammen. Da bereits eine aktive Ausnutzung beobachtet wurde, müssen Organisationen sofortige Patches und Sicherheitsmaßnahmen implementieren, um das Risiko zu minimieren. Greenbone hat die Erkennung von CVE-2025-0994 zum Enterprise Feed hinzugefügt, sodass Kunden einen Überblick über ihre Gefährdungslage erhalten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone prüft CIS Google Chrome Benchmarks

Webbrowser sind ein primäres Einfallstor für Unternehmen und folglich auch oft das erste Einfallstor für Cyberangriffe. Mithilfe von Malware, die auf Browser abzielt, könnten Angreifer direkten, unbefugten Zugriff auf das Netzwerk und die Daten eines Zielsystems erlangen. Sie könnten aber auch menschliche Opfer mit Social Engineering dazu bringen, sensible Informationen preiszugeben, um ihnen unbefugten Zugriff, etwa auf Kontodaten, zu gewähren. Im Jahr 2024 wiesen die wichtigsten Browser (Chrome, Firefox und Safari) 59 Schwachstellen mit kritischem Schweregrad (CVSS3 ³ 9) und 256 mit hohem Schweregrad (CVSS3 zwischen 7,0 und 8,9) auf. Zehn CVEs (Common Vulnerabilities and Exposures) aus der Dreiergruppe wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity & Infrastructure Security Agency) aufgenommen. Browser-Sicherheit sollte daher für Sicherheitsteams oberste Priorität haben.

Vor diesem Hintergrund sind wir stolz, die Erweiterung unserer Compliance-Funktionen um CIS Google Chrome Benchmark v3.0.0 Level 1 bekannt zu geben. Mit dieser neuesten Funktion können unsere Enterprise-Feed-Abonnenten ihre Google Chrome-Konfigurationen anhand des branchenführenden Compliance-Frameworks des CIS (Center for Internet Security) überprüfen. Die neuen Google Chrome-Benchmark-Tests werden neben unseren anderen CIS-Kontrollen in kritischen Cybersicherheitsbereichen wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1] [2] eingesetzt.

CIS Google Chrome Benchmark für Windows

Der CIS Google Chrome Benchmark v3.0.0 Level 1 ist jetzt im Greenbone Enterprise Feed verfügbar. Er legt eine gehärtete Konfiguration für den Chrome-Browser fest. Werden die Kontrollen für Windows implementiert, müssen auch Windows-Registry-Schlüssel gesetzt sein, um die Sicherheitskonfiguration von Chrome zu definieren. Eine kontinuierliche Überprüfung ist wichtig, denn wenn der Chrome-Browser auf Benutzerebene verändert wird, wird er anfälliger für Datenlecks, Social-Engineering-Angriffe oder andere Angriffsvektoren.

Unser Enterprise Vulnerability Feed nutzt Compliance-Richtlinien, um Tests auf den Endgeräten durchzuführen und jede Anforderung des CIS-Benchmarks durch einen oder mehrere spezielle Schwachstellentests zu überprüfen. Diese Tests werden in Scankonfigurationen gruppiert, die zur Erstellung von Scan-Aufgaben verwendet werden können, die dann auf Zielsystem-Gruppen zugreifen, um deren Sicherheitsstatus zu überprüfen. Greenbone unterstützt Sie bei der Einhaltung interner Risikovorgaben oder behördlicher Richtlinien.

Warum ist Browser-Security so kritisch?

Ein Großteil der wichtigen Informationen, die in einem durchschnittlichen Unternehmen fließen, wird über den Browser übertragen. Durch die Zunahme von Außendienstmitarbeitern und Cloud-basierten Webanwendungen sind Webbrowser die wichtigste Schnittstelle für geschäftliche Aktivitäten geworden. Es überrascht nicht, dass Internet-Browser in den letzten Jahren zu einer Brutstätte für Angriffe geworden sind. Nationale Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3] [4], das amerikanische CISA [5] [6] und das kanadische Zentrum für Cybersicherheit [7] haben allesamt Empfehlungen zum Umgang mit den von Internetbrowsern ausgehenden Risiken veröffentlicht.

Browser können über technische Schwachstellen und Fehlkonfigurationen ausgenutzt werden, die zu Remote Code Execution (RCE), zum Diebstahl sensibler Daten und zur Übernahme von Konten führen können, sind aber auch ein Einfallstor für Social-Engineering-Angriffe. Die Browsersicherheit muss durch die Implementierung eines gehärteten Sicherheitsprofils, dessen kontinuierliche Überprüfung und durch regelmäßige Updates zur Behebung neu entdeckter Schwachstellen gewährleistet werden. Greenbone kann bekannte Schwachstellen für veröffentlichte CVEs in allen wichtigen Browsern aufspüren. Mit unserer neuesten CIS Google Chrome Benchmark-Zertifizierung sind wir nun in der Lage, die Konformität von Browsern mit Industriestandards zu bestätigen.

Wie der CIS Google Chrome Benchmark die Browsersicherheit verbessert

Jeder CIS-Benchmark wird im Rahmen eines Konsensprüfungsprozesses entwickelt, an dem eine globale Gemeinschaft von Fachexperten aus verschiedenen Bereichen wie Beratung, Softwareentwicklung, Audit, Compliance, Sicherheitsforschung, Betrieb, Regierung und Recht beteiligt ist. Dieser gemeinschaftliche Prozess soll sicherstellen, dass die Benchmarks praxisnah und datengestützt sind und reales Fachwissen widerspiegeln. Somit sind die CIS-Benchmarks ein wichtiger Bestandteil eines soliden Cybersicherheitsprogramms.

Im Allgemeinen konzentrieren sich die CIS-Benchmarks auf sichere technische Konfigurationen und sollten zusammen mit grundlegenden Cyberhygiene-Praktiken verwendet werden, wie z. B. der Überwachung und dem zeitnahen Patchen von Schwachstellen in Betriebssystemen, Anwendungen und Bibliotheken.

Der CIS Google Chrome Benchmark definiert Sicherheitskontrollen wie zum Beispiel:

  • Keine Domäne kann die Überprüfung auf gefährliche Ressourcen wie Phishing-Inhalte und Malware umgehen.
  • Strenge Überprüfung der von Websites ausgestellten SSL/TLS-Zertifikate.
  • Verringerung der allgemeinen Angriffsfläche von Chrome, indem sichergestellt wird, dass die neuesten Updates regelmäßig automatisch eingespielt werden.
  • Der Chrome-Browser ist so konfiguriert, dass er das Abfangen von DNS erkennt, was möglicherweise DNS-Hijacking ermöglichen könnte.
  • Chrome und Erweiterungen können nicht mit anderer Software von Drittanbietern interagieren.
  • Websites und Browser-Erweiterungen können keine Verbindungen mit Medien, dem lokalen Dateisystem oder externen Geräten wie Bluetooth, USB oder Media-Casting-Geräten missbrauchen.
  • Es können nur Erweiterungen aus dem Google Chrome Web Store installiert werden.
  • Alle vom Chrome-Hauptprozess abgezweigten Prozesse werden angehalten, sobald die Chrome-Anwendung geschlossen wurde.
  • SafeSites Inhaltsfilterung blockiert Links zu nicht jugendfreien Inhalten in den Suchergebnissen.
  • Verhindern Sie den Import unsicherer Daten, wie z. B. automatisch ausgefüllte Formulardaten, Standard-Homepage oder andere Konfigurationseinstellungen.
  • Sicherstellen, dass kritische Warnungen nicht unterdrückt werden können.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums entwickeln wir unsere CIS Benchmark-Scan-Konfigurationen ständig weiter. Alle entsprechenden Richtlinien sind an den CIS-Härtungsrichtlinien ausgerichtet und von der CIS zertifiziert, um maximale Sicherheit für System-Audits zu gewährleisten. Darüber hinaus haben wir mit dem Greenbone Security Assistant (GSA) eine neue Konformitätsansicht hinzugefügt, die den Prozess für Unternehmen vereinfacht, die Schwachstellen in ihrer Infrastruktur beseitigen wollen, um Sicherheitsverletzungen zu verhindern.

Zusammenfassung

CIS-Kontrollen sind entscheidend für den Schutz von Systemen und Daten, da sie klare, umsetzbare Anleitungen für sichere Konfigurationen bieten. Der CIS Google Chrome Benchmark ist besonders auf Unternehmensebene wichtig, wo Browser viele Arten sensibler Daten beeinflussen. Greenbone erweitert die branchenführenden Fähigkeiten zur Erkennung von Schwachstellen um einen neuen Compliance-Scan: den CIS Google Chrome Benchmark v3.0.0 Level 1. Mit dieser Zertifizierung stärkt Greenbone die Position als zuverlässiger Verbündeter für proaktive Cybersicherheit. Die neuesten Funktionen spiegeln unser Engagement für die Förderung der IT-Sicherheit und den Schutz vor sich entwickelnden Cyber-Bedrohungen wider.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von