Schlagwortarchiv für: Schwachstelle

Joseph Lee

CVE-2025-34028: Commvault Command Center für RCE ausgenutzt

CVE-2025-34028 (CVSS 10) ist eine Schwachstelle mit maximaler Schweregradbewertung in Commvault Command Center, einer beliebten Verwaltungskonsole für IT-Security-Services wie Datenschutz und Backups in Unternehmensumgebungen. Am 28. April meldete die Cybersecurity and Infrastructure Security Agency (CISA), dass sie aktiv ausgenutzt wird. CVE-2025-34028 stellt außerdem ein erhöhtes Risiko dar, da öffentlich zugänglicher PoC-Exploit-Code (Proof of Concept) existiert und Command Center die Backups und andere Sicherheitskonfigurationen vieler namhafter Unternehmen verwaltet.

Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, Remote Code Execution (RCE) durchzuführen und die vollständige Kontrolle über eine Command Center-Umgebung zu erlangen. Angesichts der Sensibilität und Kritikalität der von Commvault verwalteten IT-Aufgaben birgt der Verlust der vollständigen Kontrolle ein hohes Potenzial für katastrophale Auswirkungen. Wenn beispielsweise Backups deaktiviert werden, könnte ein Unternehmen seine Fähigkeit zur Wiederherstellung nach einem Ransomware-Angriff verlieren. Das macht CVE-2025-34028 zu einem attraktiven Eintrittspunkt für Ransomware-Betreiber und finanziell motivierte Angreifer.

Die von Sonny Macdonald von watchTowr Labs entdeckte Schwachstelle nutzt eine SSRF-Lücke (Server Side Request Forgery) [CWE-918] im Endpunkt deployWebpackage.do von Command Center aus. Bei einem erfolgreichen Angriff lädt ein Angreifer ein infiziertes ZIP-Archiv in einen öffentlich zugänglichen Pfad hoch. Die schädliche ZIP-Datei wird automatisch extrahiert, sodass Angreifer die Ausführung über eine HTTP-GET-Anfrage an die extrahierte Nutzlast auslösen können.

CVE-2025-34028 betrifft die Versionen 11.38.0 bis 11.38.19 auf Linux- und Windows-Plattformen. Greenbone kann CVE-2025-34028 mit einer aktiven Überprüfung erkennen, die eine speziell gestaltete HTTP-POST-Anfrage sendet und überprüft, ob das Ziel eine Verbindung zum Scanner-Host herstellt, was darauf hindeutet, dass es für eine Ausnutzung anfällig ist. Benutzer der betroffenen Versionen werden dringend gebeten, die Patches sofort zu installieren. Sehen wir uns das Risiko durch CVE-2025-34028 genauer an!

Was ist Commvault Command Center?

Commvault Command Center ist eine webbasierte Schnittstelle in Java, mit der Unternehmen Datensicherungs-, Backup- und Recovery-Maßnahmen in großen Umgebungen verwalten können. Commvault vermarktet sich als einzige Plattform mit modularen Komponenten wie Complete Backup & Recovery, HyperScale X und Disaster Recovery. Die meisten Produkte von Commvault nutzen das Command Center als primäre Verwaltungsschnittstelle. Daher wird es zur Konfiguration von Sicherungsaufträgen, Überwachung von Systemen, Wiederherstellung von Daten und zur Verwaltung von Benutzerrollen und Zugriffsrechten verwendet.

Im Jahr 2025 hält Commvault einen Marktanteil von rund 6,2 % bei Backup und Recovery und bedient weltweit über 10.000 Unternehmen aus verschiedenen Branchen wie Banken, Gesundheitswesen, Behörden und Technologie. Die meisten Kunden sind große Unternehmen, von denen 42 % mehr als 1.000 Mitarbeiter beschäftigen. Da Commvault in kritischen Bereichen wie dem Gesundheitswesen, der Regierung und Fortune-500-Unternehmen eingesetzt wird, sind die möglichen Auswirkungen dieser Schwachstelle weitreichend und erheblich.

Technische Beschreibung von CVE-2025-34028

Die Entdeckung und Offenlegung von CVE-2025-34028 wurde von einer vollständigen technischen Beschreibung und einem PoC-Code begleitet. Hier eine kurze Zusammenfassung der Ursache und des Angriffsvektors für CVE-2025-34028:

Die Ursache von CVE-2025-34028 wird als Server Side Request Forgery (SSRF) [CWE-918] klassifiziert. SSRF-Schwachstellen entstehen, wenn eine Anwendung dazu gebracht wird, auf eine Ressource remote zuzugreifen, ohne diese ordnungsgemäß zu validieren. Durch Ausnutzen von SSRF-Schwachstellen kann ein Angreifer möglicherweise Zugriffskontrollen [CWE-284] wie Firewalls umgehen, die den direkten Zugriff auf die URLs verhindern. Man kann sich das so vorstellen, als würde der Angreifer den Server als „Sprungbrett“ benutzen, um Sicherheitsmaßnahmen zu überlisten. Im Fall von CVE-2025-34028 ermöglicht die SSRF-Schwachstelle das uneingeschränkte Hochladen von gefährlichen Dateien [CWE-434].

So funktioniert der Exploit-Prozess für CVE-2025-34028:

Unter den Endpunkten der Command Center-Anwendung fanden die Forscher 58 APIs, die keinerlei Authentifizierung erfordern. Bei der Untersuchung dieser uneingeschränkt nutzbaren APIs entdeckten die Forscher, dass der Endpunkt deployWebpackage.do einen Parameter namens commcellName enthielt, der zur Definition des Hostnamens einer URL verwendet wurde und nicht nach dem Geltungsbereich gefiltert war. Ein weiterer Parameter, servicePack, definiert den lokalen Pfad, in dem die HTTP-Antwort auf diese URL gespeichert werden soll.

Mithilfe einer einfachen Directory-Traversal-Technik, d. h. durch Voranstellen des Parameters „servicePack“ mit „../../“, konnten die Forscher beliebige Dateien an einen benutzerdefinierten Zielort hochladen. Die Command Center-Anwendung verwendete einen fest definierten Dateinamen „dist-cc.zip“, was darauf hindeutete, dass das Programm ein ZIP-Archiv erwartete.

Bei der Bereitstellung einer ZIP-archivierten, ausführbaren Java-Datei (.jsp-Datei) und der Angabe einer nicht authentifizierten Route über den Parameter „servicePack“ wurde eine bösartige .jsp-Nutzlast hochgeladen, automatisch extrahiert und konnte direkt über eine HTTP-GET-Anfrage aufgerufen werden. Dies führte zur Ausführung der .jsp-Datei durch den Apache Tomcat-Webserver von Command Center und zu einer nicht authentifizierten, beliebigen RCE im Namen des Angreifers.

CVE-2025-34028 entschärfen

CVE-2025-34028 betrifft Commvault Command Center Versionen 11.38.0 bis 11.38.19 auf Linux- und Windows-Plattformen und wurde in den Versionen 11.38.20 und 11.38.25 behoben, wobei die Patches am 10. April 2025 veröffentlicht wurden. Für diejenigen, die nicht sofort aktualisieren können, empfiehlt Commvault als vorübergehende Abhilfemaßnahme, die Command Center-Installation vom externen Netzwerkzugriff zu isolieren.

Die Innovation-Releases von Commvault sind häufige, funktionsreiche Update-Tracks, die in der Regel automatisch vom System nach einem vordefinierten Zeitplan aktualisiert werden, ohne dass eine Aktion des Benutzers erforderlich ist. Dies steht im Gegensatz zu LTS-Versionen (Long Term Support), die manuelle Updates erfordern.

Zusammenfassung

CVE-2025-34028 ist eine kritische, nicht authentifizierte RCE-Sicherheitslücke in Commvault Command Center, die keine Benutzerinteraktion erfordert. Die Schwachstelle wurde von der CISA im April 2025 als aktiv ausgenutzt gemeldet. CVE-2025-34028 betrifft Command Center-Versionen 11.38.0 bis 11.38.19 und ermöglicht es Angreifern, die vollständige Kontrolle über Backup-Systeme zu erlangen. CommVault wird von vielen großen Unternehmen weltweit für wichtige Backup- und Wiederherstellungsfunktionen eingesetzt, was CVE-2025-34028 zu einem beliebten Ziel für Ransomware-Angreifer macht. Greenbone kann betroffene Command Center-Instanzen mit einem aktiven Test erkennen, der eine HTTP-POST-Anfrage verwendet, um die Schwachstelle zu überprüfen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Schwachstelle mit CVSS 10: CVE-2024-54085 macht AMI BMC zur Gefahr

Eine Sicherheitslücke der höchsten Gefahrenstufe – CVE-2024-54085, bewertet mit CVSS 10 – ist soeben bekannt geworden. Sie steckt in der weit verbreiteten Software MegaRAC BMC (Baseboard Management Controller) von American Megatrends (AMI) und erlaubt es Angreifern, Authentifizierungsmechanismen zu umgehen und in Systeme einzudringen. AMI ist ein dominanter Player in der Lieferkette für Mainboards – und damit sind potenziell Dutzende namhafter Hardwareanbieter betroffen. Nebst einer ausführlichen technischen Erklärung liegt ein Proof-of-Concept (PoC) bereits vor. Damit ist klar: Die Sicherheitslücke ist nicht mehr nur ein theoretisches Risiko.

Mit dem PoC können Angreifer einen Service Account für die Redfish-Managementkonsole erstellen und damit einen nicht authentifizierten Zugriff auf alle Remote-BMC-Funktionen erhalten. Der Exploit wurde auf HPE Cray XD670, Asus RS720A-E11-RS24U und ASRockRack verifiziert. Andere Analysten haben festgestellt, dass diese CVE zwar im Jahr 2025 veröffentlicht wurde, ihre ID (CVE-2024-54085) aber wahrscheinlich bereits im Jahr 2024 reserviert wurde.

CVE-2024-54085 ermöglicht einem Angreifer:

  • einen Server zu kapern und fernzusteuern
  • Malware auf dem Server zu installieren, einschließlich Ransomware
  • die Firmware für Manipulationen zu ändern
  • Motherboard-Komponenten (BMC oder auch BIOS/UEFI) möglicherweise zu blockieren
  • physischen Schaden durch Überspannung zu verursachen
  • endlose Neustartschleifen einzubringen, die Denial of Service (DoS) hervorrufen

Greenbone kann betroffene Server mit einem Remote-Schwachstellentest erkennen, der aktiv nach einem anfälligen BMC sucht.

Potenzielles Ausmaß der Auswirkungen

Die spezielle Schnittstelle für den MegaRAC BMC, genannt Redfish, ist nur eine von mehreren BMCs, die das Remote-Servermanagement unterstützen. Der Redfish-Standard hat sich auf dem Markt für Unternehmensserver als moderner Ersatz für veraltete Verwaltungsschnittstellen wie IPMI durchgesetzt. Die Auswirkungen werden alle Produkte betreffen, einschließlich OT-, IoT- oder IT-Geräte, die AMIs MegaRAC verwenden. Als früher schon einmal ähnliche Fehler in MegaRAC entdeckt wurden, wirkte sich das auf die Produkte vieler Hersteller aus – angefangen bei Asus, Dell, Gigabyte, Hewlett Packard Enterprise, Lanner und Lenovo, bis zu NVIDIA und Tyan. AMI veröffentlichte am 11. März 2025 Patches, während HPE und Lenovo bereits Updates für die betroffenen Produkte herausgaben.

CVE-2024-54085 technisch gesehen

CVE-2024-54085 ist ein Fehler im SPx-Firmware-Stack (Service Processor) von AMI. Genauer gesagt ist SPx Teil der MegaRAC BMC-Lösung von AMI. BMCs sind Mikrocontroller, die auf der Hauptplatine eines Servers eingebettet sind und Remote Management und Monitoring des Servers ermöglichen, selbst wenn das System ausgeschaltet ist oder nicht reagiert.

CVE-2024-54085 wird als „Authentication Bypass by Spoofing“-Schwachstelle [CWE-290] eingestuft. Die Verwendung der IP-Adresse eines Clients zur Authentifizierung ist ein typisches Szenario, wenn CWE-290 auftritt, da die Quell-IP-Adresse oft vom Absender gefälscht werden kann. Obwohl AMIs Empfehlung nur wenige Details enthält, haben die Forscher von Eclypsium, denen die Entdeckung zugeschrieben wird, einen ausführlichen Artikel zur Erklärung der Ursachen bereitgestellt. CVE-2024-54085 ist in der Tat auf die Verwendung einer IP-Adresse als Authentifizierungsmittel zurückzuführen. Die Lua-basierte Zugriffskontrolllogik von Redfish verwendet HTTP-Header, nämlich entweder den X-Server-Addr-Header oder die Host-Spezifikation, um festzustellen, ob ein HTTP-Request in- oder extern ist, während interne Requests automatisch als authentifiziert gelten.

In BMC-Systemen wie MegaRAC bezieht sich die „Host-Schnittstelle“ auf eine logische und physische Verbindung zwischen dem BMC und dem Hauptserversystem (dem Host). Der Einfachheit halber könnte dies mit der Loopback-Schnittstelle (oft lo genannt) mit der IP-Adresse 127.0.0.1 und dem Hostnamen localhost verglichen werden. In diesem Fall wird der Schnittstelle, die zwischen dem BMC-Chip und dem Host kommuniziert, eine Adresse aus dem Link-Local-IP-Bereich (169.254.0.0 bis 169.254.255.255) zugewiesen. Darüber hinaus ist diese IP-Adresse während des HTTP-Authentifizierungsprozesses von MegaRAC in einer Liste vertrauenswürdiger Adressen enthalten, und ein erfolgreiches Spoofing dieser Adresse führt zu einer Umgehung der Authentifizierung. Durch Reverse Engineering der MegaRAC-Firmware entdeckten Forscher, dass die Link-Local-Adresse 169.254.0.17 auf mehreren BMC-Chips verwendet wird.

Der Fehler hängt auch von der Implementierung eines regulären Ausdrucks ab, der den gesamten Text aus dem X-Server-Addr-Header vor dem ersten Doppelpunkt extrahiert und überprüft, ob dieser Text mit den in einer Redis-Datenbank gespeicherten vertrauenswürdigen IPs übereinstimmt. Die BMC-Chips verwenden Lighttpd als eingebetteten Webserver, der automatisch seinen eigenen X-Server-Addr-Wert hinzufügt. Wenn ein Request bereits diesen vom Client bereitgestellten Header enthält, hängt Lighttpd seinen Wert an den vom Benutzer bereitgestellten Wert an, sodass der Angreifer einen speziell gestalteten Header bereitstellen und den von der Regex extrahierten Wert manipulieren kann. Durch die Bereitstellung eines X-Server-Addr-Werts, der mit der Link-Local-Adresse des Hostsystems übereinstimmt, gefolgt von einem Doppelpunkt (z. B. 169.254.0.17:), kann ein Angreifer den BMC dazu verleiten, die Anfrage so zu behandeln, als käme sie von der internen Host-Schnittstelle, wodurch die Authentifizierung vollständig umgangen wird.

Sobald die Authentifizierung umgangen wurde, wird der Rest der HTTP-Anfrage verarbeitet, sodass der Angreifer beliebige API-Aktionen ausführen kann, z. B. das Erstellen privilegierter Konten, um remote die vollständige Kontrolle über den BMC des Servers zu erlangen und auf dessen Admin-Weboberfläche zuzugreifen.

Schritte zur Eindämmung von CVE-2024-54085

Unternehmen müssen die Hinweise ihrer Hardware-Anbieter genau verfolgen und die richtigen Firmware-Updates herunterladen, sobald sie verfügbar sind. Als vorübergehende Schutzmaßnahme können Unternehmen in ihren Gerätehandbüchern nachsehen, ob Redfish deaktiviert werden kann, wenn es nicht verwendet wird. Da BMCs auch dann aktiv bleiben können, wenn der Hauptserver ausgeschaltet ist, müssen betroffene Systeme als dauerhaft gefährdet behandelt werden, bis die Firmware gepatcht ist, es sei denn, Redfish ist deaktiviert oder das System ist auch vom Netzwerk getrennt (Air-Gap). Sicherheitsteams können auch neue Firewall- oder IPS-Regeln entwickeln, um Versuche zu blockieren, diese Schwachstelle auszunutzen, und anfällige BMC-Managementschnittstellen zu schützen.

Da der Fehler in einer eingebetteten proprietären Firmware liegt, ist das Patchen komplexer als das einfache Anwenden eines routinemäßigen Betriebssystem- oder Anwendungsupdates. Im Gegensatz zu herkömmlicher Software befindet sich die BMC-Firmware auf dem dedizierten Chip des Motherboards. Daher erfordern BMC-Updates in der Regel ein spezielles Software-Utitlity, das vom Gerätehersteller bereitgestellt wird, um die aktualisierte Firmware zu „flashen“. Dieser Prozess führt auch zu Ausfallzeiten, da Administratoren möglicherweise in eine spezielle Umgebung booten und das System nach Abschluss des Firmware-Updates neu starten müssen.

Zusammenfassung

CVE-2024-54085 stellt ein extremes Risiko für die Unternehmensinfrastruktur dar, da es die nicht authentifizierte Fernsteuerung von Servern großer Anbieter wie HPE und Lenovo ermöglicht. Angesichts der dominierenden Präsenz von AMI in Rechenzentren könnte eine Ausnutzung zu Massenausfällen, unbrauchbarer Hardware oder anhaltenden Ausfallzeiten führen, sodass eine sofortige Erkennung und das Patchen der Firmware für alle betroffenen Systeme unerlässlich sind.

Greenbone ist in der Lage, betroffene Server mit einem Remote-Schwachstellentest zu erkennen, der aktiv nach einer ausnutzbaren BMC-Schnittstelle sucht.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Apache Camel: Schwachstellen großgeschrieben

Zwei neue Sicherheitslücken in Apache Camel sollten von Anwendern sofort beachtet werden. Am 9. März 2025 veröffentlichte Apache die Schwachstelle CVE-2025-27636 (CVSS 5.6), eine CVE (Common Vulnerabilities and Exposures) für die Remote Code Execution (RCE). Zwei Tage später, am 11. März, meldete die Security Intelligence Group (SIG) von Akamai eine Technik zur Umgehung des ursprünglichen Patchs, woraufhin CVE-2025-29891 (CVSS 4.2) am 12. März veröffentlicht wurde.

Grüne Grafik mit stilisiertem Kamel in einer Wüstenlandschaft. Rechts daneben ein Button mit der Aufschrift ‚RCE in Apache Camel‘.

Obwohl die beiden Schwachstellen vom Authorized Data Publisher (ADP) der Cybersecurity and Infrastructure Security Agency (CISA) nur mit moderaten CVSS-Scores bewertet wurden, können sie je nach Konfiguration der betroffenen Camel-Instanz schwerwiegende Auswirkungen haben. Beide CVEs haben dieselbe Ursache: eine unsachgemäße Filterung von HTTP-Headern oder HTTP-Parametern bei der Kommunikation mit einer Apache-Camel-Instanz. Wie im Titel angedeutet, geht es um die Groß- und Kleinschreibung. Während diese beim Filtern der Parameter berücksichtigt wurde, wurden die Argumente selbst ohne Berücksichtigung der Groß- und Kleinschreibung angewendet. Darüber hinaus tragen der öffentlich verfügbare PoC-Code (Proof of Concept) und eine relativ vollständige technische Beschreibung zu dem Risiko bei.

Greenbone kann sowohl CVE-2025-27636 als auch CVE-2025-29891 mit Schwachstellentests erkennen, die aktiv nach ausnutzbaren HTTP-Endpunkten suchen. Schauen wir uns die Details an.

Was ist Apache Camel?

Apache Camel ist eine beliebte Open-Source-Java-Bibliothek zur Integration verschiedener Komponenten einer verteilten Unternehmenssystemarchitektur wie APIs oder Microservices. Sie stellt eine vielseitige Plattform für Routing und Datenvermittlung dar, die auf dem Konzept der Enterprise Integration Patterns (EIPs) für das Architekturdesign von Unternehmenssystemen basiert. Apache Camel baut auf EIPs auf und bietet Möglichkeiten zur Implementierung dieser Muster über die domänenspezifischen Sprachen (DSL), die Java, XML, Groovy, YAML und andere umfassen.

Im Jahr 2021 hatte Apache Camel einen Anteil von 3,03 % am Markt für Enterprise Application Integration. Die Software wird von über 5.600 Unternehmen eingesetzt, von denen etwa die Hälfte in den USA ansässig ist. Vertreten ist Camel vor allem bei IT-Technologie- und Dienstleistungen (33 %), in der Softwarebranche (12 %) und bei Finanzdienstleistungen (6 %).

Zwei CVEs in Apache Camel erlauben Header-Injection

Wenn eine der HTTP-basierten Komponenten von Camel Anfragen bearbeitet, soll ein Standardfilter die Offenlegung sensibler Daten oder die Ausführung interner Befehle verhindern. Aufgrund einer fehlerhaften Filterregel, die zwischen Groß- und Kleinschreibung unterscheidet, wurden jedoch nur exakt übereinstimmende Header gefiltert. In der Programmlogik wurden diese Header allerdings nachgelagert ohne Berücksichtigung der Groß- und Kleinschreibung angewendet, wodurch der Filter umgangen werden konnte. Durch die Änderung der Groß- und Kleinschreibung des ersten Zeichens des Headernamens konnte ein Angreifer den Filter umgehen und beliebige Header einschleusen.

Die gute Nachricht ist, dass entweder die camel-bean- oder die camel-exec-Komponente in Kombination mit einer http-basierten Komponente wie camel-http, camel-http4, camel-rest, camel-servlet oder anderen aktiviert werden muss. Außerdem ist die Ausnutzung auf interne Methoden innerhalb des im HTTP-Request-URI angegebenen Bereichs beschränkt. Ein letzter Trost ist, dass diese Schwachstelle nicht als unauthentifizierte Schwachstelle eingestuft wurde. Deshalb ist sie nicht ausnutzbar, wenn die Systementwickler keine Authentifizierung und Autorisierung für eine Camel-HTTP-API implementiert haben.

Am oberen Ende des Risikospektrums kann ein Angreifer, wenn die Camel Exec-Komponente aktiviert und gezielt eingesetzt wird, als Benutzer, der den Camel-Prozess steuert, einen beliebigen RCE ausführen. Dies geschieht, indem der CamelExecCommandExecutable-Header gesendet wird, um einen beliebigen Shell-Befehl anzugeben, der die im Back-End konfigurierten Befehle überschreibt. Wenn die ausnutzbaren Camel-HTTP-APIs über das Internet zugänglich sind, ist das Risiko besonders hoch. Diese Schwachstelle könnte jedoch auch von einem Insider genutzt werden, um sich innerhalb eines Netzwerks seitlich zu bewegen, oder von Angreifern, die sich einen ersten Zugang zum internen Netzwerk einer Organisation verschafft haben.

Eine technische Beschreibung der Exploit-Kette und des Proof of Concept wurde von Akamai zur Verfügung gestellt.

Was ist der geeignete CVSS-Score?

Obwohl CVE-2025-27636 (CVSS 5.6) und CVE-2025-29891 (CVSS 4.2) als mäßig schwer eingestuft wurden, könnten sie kritische Auswirkungen haben, wenn entweder die camel-bean- oder camel-exec-Komponenten in Kombination mit http-basierten Komponenten aktiviert werden. Die Situation macht einige Einschränkungen des CVSS-Scorings (Common Vulnerability Scoring System) deutlich.

Akamai-Forscher berichten, dass die Schwachstelle trivial auszunutzen ist, und haben PoC-Code veröffentlicht, was das Risiko erhöht. Das bedeutet, dass die CVSS-Angriffskomplexität (AC) auf niedrig (L) gesetzt werden sollte. Jedoch hat der CISA-ADP die Angriffskomplexität angesichts dieser Tatsachen als hoch (AC:H) bewertet. Red Hat hat diesen Faktoren Rechnung getragen und den CVSS-Wert für CVE-2025-27636 auf 6,3 erhöht.

Außerdem hat der CISA-ADP für CVE-2025-29891 keine Auswirkungen auf die Vertraulichkeit festgestellt, obwohl die Möglichkeit einer willkürlichen RCE besteht. Wenn jedoch eine Apache Camel-Instanz eine anfällige Konfiguration aufweist, ist eine Bewertung mit hoher Auswirkung für Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) gerechtfertigt, wodurch sich die Kritikalität auf CVSS 9.8 erhöht.

Andererseits hat der CISA-ADP den Wert „Keine“ (N) für die erforderlichen Berechtigungen (PR) zugewiesen. Obwohl der PoC von Akamai keine HTTPS-Verbindung oder Authentifizierung verwendet, wäre es äußerst fahrlässig, eine unverschlüsselte und nicht authentifizierte API zu betreiben. Apache Camel unterstützt die Java Secure Socket Extension (JSSE) API für Transport Layer Security (TLS) oder die Verwendung eines KeyCloak Single Sign-On (SSO) Autorisierungsservers. Camel-Instanzen, bei denen eine Form der Client-Authentifizierung aktiviert ist, sind vor einer Ausnutzung geschützt. In den meisten Fällen sollte der PR-Wert auf Niedrig (L) oder Hoch (H) eingestellt werden, was zu einem verminderten CVSS von 7,3 oder 8,8 führt.

Darüber hinaus wurden die CVEs mit dem Scope-Wert Unchanged (UC) versehen. Gemäß der CVSS v3.1 Spezifikation: „Die Scope-Metrik erfasst, ob eine Schwachstelle in einer verwundbaren Komponente Auswirkungen auf Ressourcen in Komponenten außerhalb ihres Sicherheitsbereichs hat.“ Die Ausführung beliebiger Shell-Befehle auf dem kompromittierten System wird normalerweise mit dem Wert Changed (C) bewertet. Wenn der Camel-Prozess dem Linux/Unix-Root oder einem Windows-Administrator-Benutzer gehört, hätte ein Angreifer praktisch unbegrenzte Kontrolle über ein kompromittiertes System. Angesichts der Vielzahl möglicher CVSS-Bewertungen sollten CVE-2025-27636 und CVE-2025-29891 als kritische Sicherheitslücken betrachtet werden, wenn eine Instanz die Konfigurationsanforderungen erfüllt und keine Authentifizierung anwendet.

Behandlung der CVEs in Apache Camel

CVE-2025-27636 und CVE-2025-29891 betreffen Apache Camel Version 4.10 vor 4.10.2, Version 4.8 vor 4.8.5 und Version 3 vor 3.22.4. Benutzer sollten ein Upgrade auf 4.10.2, 4.8.5 oder 3.22.4 durchführen oder eine benutzerdefinierte Header-Filterung mit removeHeader oder removeHeaders in Camel Routes implementieren. Es sollte beachtet werden, dass die Camel Versionen 4.10.0, 4.10.1, 4.8.0 bis 4.8.4 und 3.10.0 bis 3.22.3 immer noch verwundbar sind, obwohl sie als Sicherheitsupdates betrachtet wurden, die den Fehler behoben haben.

Es wird außerdem dringend empfohlen, dass alle HTTP-Endgeräte in einer verteilten Architektur eine starke Authentifizierung verwenden. Für Apache Camel gibt es folgende Optionen: Verwendung der Java Secure Socket Extension (JSSE) API für TLS mit Camel-Komponenten oder Verwendung eines KeyCloak OAuth 2.0 SSO Autorisierungsservers. Für Legacy-Systeme sollte mindestens die HTTP-Basisauthentifizierung konfiguriert werden.

Zusammenfassung

Benutzer von Apache Camel sollten sofort auf die Versionen 4.10.2, 4.8.5 oder 3.22.4 aktualisieren, um die neu veröffentlichten CVEs, die Apache Camel betreffen, zu entschärfen. Alternativ können Sie benutzerdefinierte Header-Filterung mit removeHeader oder removeHeaders in Camel-Routen implementieren. Eine starke Authentifizierung auf allen HTTP-Endpunkten wird ebenfalls dringend empfohlen, um die Sicherheit zu gewährleisten. Apache Camel unterstützt die JSSE API für TLS oder KeyCloak SSO Lösungen. Greenbone kann sowohl CVE-2025-27636 als auch CVE-2025-29891 mit Schwachstellentests erkennen, die aktiv auf ausnutzbare HTTP-Endpunkte prüfen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Greenbone erkennt CVE-2025-0994: Aktiv ausgenutzte Schwachstelle in Trimble Cityworks

Trimble Cityworks, eine Software für das Enterprise Asset Management (EAM) und die Verwaltung öffentlicher Gebäude, wird aktiv angegriffen. Die Kampagne begann als unbekannte Schwachstelle (Zero Day), wird aber jetzt als CVE-2025-0994 mit einem CVSS-Wert von 8.6 geführt. Es handelt sich um einen Fehler bei der Deserialisierung [CWE-502], der einem authentifizierten Angreifer ermöglichen könnte, beliebigen Code aus der Ferne auszuführen (Remote Code Execution; RCE). Greenbone enthält eine Erkennung für CVE-2025-0994 im Enterprise Feed.

Die aktive Ausnutzung von CVE-2025-0994 ist eine reale und gegenwärtige Gefahr. Trimble hat eine Erklärung veröffentlicht, in der die Angriffe auf das Produkt bestätigt werden. Dank der Transparenz des Herstellers hat die CISA (Cybersecurity and Infrastructure Security Agency) CVE-2025-0994 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen und einen ICS-Hinweis sowie ein CSAF-2.0-Dokument veröffentlicht. CSAF 2.0-Advisorys sind maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen für den dezentralen Austausch von Cybersicherheitsinformationen.

Obwohl viele Medienberichte und einige Plattformen, die Bedrohungsinformationen sammeln, darauf hinweisen, dass es einen öffentlichen Proof-of-Concept (PoC) gibt, ist das einzige Suchergebnis auf GitHub lediglich ein Versionserkennungstest. Das bedeutet, dass es unwahrscheinlich ist, dass wenig qualifizierte Hacker leicht an Angriffen teilnehmen können. Die Fehlinformationen sind vermutlich auf schlecht konzipierte Algorithmen in Verbindung mit mangelnder menschlicher Kontrolle vor der Veröffentlichung von Bedrohungsdaten zurückzuführen.

Wer ist durch CVE-2025-0994 gefährdet?

Trimble Cityworks wurde vor allem für Kommunalverwaltungen und Anbieter kritischer Infrastrukturen wie Wasser- und Abwassersysteme, Energie, Verkehrssysteme, staatliche Industrieanlagen und Kommunikationsagenturen entwickelt und wird von ihnen genutzt. Cityworks erweitert geografische Informationssysteme (GIS) durch die Integration von Lösungen für die Verwaltung von Anlagen und öffentlichen Arbeiten direkt in Esri ArcGIS. Die Software soll Organisationen bei der Verwaltung der Infrastruktur, der Planung von Wartungsarbeiten und der Verbesserung der betrieblichen Effizienz helfen. Neben der CISA haben auch mehrere andere Regierungsbehörden Warnungen zu dieser Sicherheitslücke herausgegeben, darunter die US-Umweltschutzbehörde (EPA), das kanadische Zentrum für Cybersicherheit und der Bundesstaat New York.

Eigenen Angabe zufolge bediente Trimble Cityworks im Jahr 2019 über 700 Kunden in Nordamerika, Europa, Australien und dem Nahen Osten. Während spezielle Zahlen für Kommunalverwaltungen in den USA, Kanada und der EU nicht öffentlich bekannt gegeben werden, zeigen eine Suche auf Shodan und eine Censys-Karte jeweils nur etwa 100 öffentlich zugängliche Instanzen von Cityworks. Es wird jedoch davon ausgegangen, dass die Anwendung eine hohe Akzeptanz bei Kommunalverwaltungen und Versorgungsunternehmen hat. Wenn CVE-2025-0994 öffentlich zugänglich ist, könnte ein Angreifer einen ersten Zugang erhalten [T1190]. Für Angreifer, die bereits Fuß gefasst haben, ist die Schwachstelle eine Gelegenheit für laterale Bewegungen [TA0008] und stellt eine leichte Beute für Insider-Angriffe dar.

Technische Beschreibung von CVE-2025-0994

CVE-2025-0994 ist eine Schwachstelle in der Deserialisierung [CWE-502], die in Versionen von Trimble Cityworks vor 15.8.9 und Cityworks mit Office Companion vor 23.10 gefunden wurde. Sie entsteht durch die unsachgemäße Deserialisierung von nicht vertrauenswürdigen serialisierten Daten, die es einem authentifizierten Angreifer ermöglicht, beliebigen Code aus der Ferne auf dem Microsoft Internet Information Services (IIS) Webserver des Ziels auszuführen.

Die Serialisierung ist ein Prozess, bei dem Softwarecode oder Objekte kodiert werden, um zwischen Anwendungen übertragen und dann in dem von einer Programmiersprache verwendete Originalformat rekonstruiert zu werden. Wenn Trimble Cityworks serialisierte Objekte verarbeitet, werden nicht vertrauenswürdige Eingaben nicht ordnungsgemäß validiert oder bereinigt. Dieser Fehler ermöglicht es einem Angreifer mit authentifiziertem Zugriff, speziell gestaltete serialisierte Objekte zu senden, die eine beliebige Codeausführung auf dem zugrunde liegenden IIS-Server auslösen können. Die Deserialisierung von Daten aus nicht authentifizierten Quellen scheint an sich schon ein signifikanter Designfehler zu sein, aber das Versäumnis, serialisierte Daten ordnungsgemäß zu bereinigen, ist eine besondere Unsicherheit.

Konsequenzen der Ausnutzung von CVE-2025-0994 könnten sein:

  • Unbefugter Zugriff auf sensible Daten
  • Unterbrechung der Dienste für kritische Infrastruktursysteme
  • Mögliche vollständige Kompromittierung des betroffenen IIS-Webservers

Abhilfe gegen CVE-2025-0994 in Trimble Cityworks

Trimble hat gepatchte Versionen von Cityworks veröffentlicht, die die Schwachstelle in der Deserialisierung beheben. Diese Patches umfassen Cityworks 15.8.9 und Cityworks 23.10. On-premise-Anwender müssen sofort auf die gepatchte Version aktualisieren, während Kunden von Cityworks Online (CWOL) diese Updates automatisch erhalten.

Trimble wies darauf hin, dass bei einigen Vor-Ort-Installationen IIS mit überprivilegierten Identitätsberechtigungen ausgeführt wird, was die Angriffsfläche vergrößert. IIS sollte weder auf lokaler noch auf Domänenebene über administrative Berechtigungen verfügen. Befolgen Sie die Anweisungen von Trimble in den neuesten Cityworks-Versionshinweisen, um die IIS-Identitätskonfigurationen richtig anzupassen.

Empfohlene Aktionen für On-premises-Anwender von Trimble Cityworks:

  • Aktualisieren Sie die Cityworks 15.x-Versionen auf 15.8.9 und die 23.x-Versionen auf 23.10.
  • Prüfen Sie die IIS-Identitätsberechtigungen, um sicherzustellen, dass sie mit dem Prinzip der geringsten Rechte übereinstimmen.
  • Beschränken Sie die Stammkonfiguration des Anhangsverzeichnisses auf Ordner, die nur Anhänge enthalten.
  • Verwenden Sie eine Firewall, um den Zugriff auf den IIS-Server nur auf vertrauenswürdige interne Systeme zu beschränken.
  • Verwenden Sie ein VPN, um den Fernzugriff auf Cityworks zu ermöglichen, anstatt den Dienst öffentlich zugänglich zu machen.

Zusammenfassung

CVE-2025-0994 stellt ein ernsthaftes Sicherheitsrisiko für Trimble Cityworks-Benutzer dar, die größtenteils aus Behörden und kritischen Infrastrukturumgebungen stammen. Da bereits eine aktive Ausnutzung beobachtet wurde, müssen Organisationen sofortige Patches und Sicherheitsmaßnahmen implementieren, um das Risiko zu minimieren. Greenbone hat die Erkennung von CVE-2025-0994 zum Enterprise Feed hinzugefügt, sodass Kunden einen Überblick über ihre Gefährdungslage erhalten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Schutz von Office-Paketen: Greenbone integriert weitere BSI-Grundschutz- und CIS-Vorgaben

Das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnologe (BSI) macht seit wenigen Jahren auch klare Vorgaben für Anwender von Microsoft Office. Seit April 2024 integrieren die Enterprise-Produkte von Greenbone auch Tests, die belegen sollen, ob ein Unternehmen diese Anweisungen umsetzt. Dabei werden die BSI-Anweisungen mit den Leitlinien des Center for Internet Security (CIS) in Übereinstimmung gebracht.

Im Abschnitt „APP:Anwendungen 1.1. Office Produkte“ legt das BSI fest, welche „Anforderungen an die Funktionsweise der Komponenten von Office-Produkten“ zu stellen sind. Ziel ist der Schutz der durch die Office-Software bearbeiteten und genutzten Daten. Auch wenn in den meisten Fällen Microsoft Office gemeint sein dürfte – hat es doch immer noch die bei weitem größte Marktdurchdringung –, so möchte das Modell hinter den BSI-Vorgaben diese auf jedes Office-Produkt anwenden können, „das lokal installiert ist und mit dem Dokumente betrachtet, bearbeitet oder erstellt werden, außer E-Mail-Anwendungen“.

BSI-Vorgaben

Das Modul baut ausdrücklich auf die Vorgaben des Bausteins „ APP.6 Allgemeine Software“ auf und verweist auf die Module „APP.5.3 Allgemeiner E-Mail-Client“ sowie „APP.4.3 Relationale Datenbanken“ und „OPS.2.2 Cloud-Nutzung“, berücksichtigt diese jedoch ausdrücklich nicht.

Das BSI macht dabei drei wesentliche Gefährdungen für Office-Pakete aus:

  • Fehlende Anpassung der Office-Produkte an den Bedarf der Institution
  • Schädliche Inhalte in Office-Dokumenten
  • Integritätsverlust von Office-Dokumenten

Die im BSI-Grundschutzhandbuch genannten Bausteine umfassen 16 Punkte, von denen aber einige bereits wieder entfallen sind. Greenbone hat mehrere hundert Tests entwickelt, die vor allem für fünf der genannten Basis-Anforderungen zum Einsatz kommen, darunter beispielsweise das „Sichere Öffnen von Dokumenten aus externen Quellen“ (APP.1.1. A3) und den in APP.1.1. A15 aufgeführten „Einsatz von Verschlüsselung und Digitalen Signaturen“. In diesen Vorgaben schreibt das BSI zum einen:

„Alle aus externen Quellen bezogene Dokumente MÜSSEN auf Schadsoftware überprüft werden, bevor sie geöffnet werden. Alle als problematisch eingestuften und alle innerhalb der Institution nicht benötigten Dateiformate MÜSSEN verboten werden. Falls möglich, SOLLTEN sie blockiert werden. Durch technische Maßnahmen SOLLTE erzwungen werden, dass Dokumente aus externen Quellen geprüft werden.“

Hinsichtlich der Verschlüsselung heißt es: „Daten mit erhöhtem Schutzbedarf SOLLTEN nur verschlüsselt gespeichert bzw. übertragen werden. Bevor ein in ein Office-Produkt integriertes Verschlüsselungsverfahren genutzt wird, SOLLTE geprüft werden, ob es einen ausreichenden Schutz bietet. Zusätzlich SOLLTE ein Verfahren eingesetzt werden, mit dem Makros und Dokumente digital signiert werden können.“

CIS-Leitlinien verbessern den Grundschutz

Zusätzlich zu den im BSI-Grundschutzhandbuch genannten Vorgaben finden sich im CIS-Benchmark des Centers for Internet Security (CIS) für Microsoft Office noch weitergehende und spezifischere Vorschläge zur Absicherung der Microsoft-Produkte. Die CIS-Vorgaben entstehen in einer Community aus Sicherheitsexperten und stellen eine im Konsens entstandene Best-Practice-Sammlung, hier für Microsoft Office dar.

Als einer der ersten und einzigen Anbieter von Schwachstellenmanagement bringt Greenbone nun Tests auf dort genannte sicherheitsrelevante Features und vereint dabei erstmals die CIS- und BSI-Anleitungen zu zahlreichen, teils tiefgehenden Tests, beispielsweise auf die ActiveX-Control Initialisierung in Microsoft Office. Das Greenbone Vulnerability Management testet hier beispielsweise, ob dieser Schalter auf „enabled“ gesetzt ist, aber auch viele andere Settings, beispielsweise „Always prevent untrusted Microsoft Query files from opening“ is set to „Enabled“ und viele andere mehr.

Viele der Tests beschäftigen sich dabei mit externen Inhalten, dem Einbinden von Makros und der Frage, ob und wie diese externen Inhalte signiert, verifizierbar und daher vertrauenswürdig oder nicht sind, und ob die Administratoren ihre Hausaufgaben bei der Konfiguration von Microsoft Office gemacht haben. Denn, so das BSI, eine der wichtigsten Bedrohungen (und die als erste genannte) ist die mangelnde Anpassung der Office-Produkte an die Realität und die Business-Prozesse im Unternehmen. Hier sorgt Greenbone mit den neuen Tests für eine effiziente Erfüllung von Compliance-Vorgaben und erschwert es Angreifern und Malware, im Unternehmen Fuß zu fassen und Schaden anzurichten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

PITS 2024 Public IT Security

Save the date: Der „Fachkongress Deutschlands für IT- und Cyber-Sicherheit bei Staat und Verwaltung“ (12. bis 13. Juni 2024) informiert über aktuelle Trends, Strategien und Lösungen in der IT-Security.

Im Hauptprogramm: „IT-Unterstützung zur Krisenfrüherkennung“ (Moderation: Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin, Behörden Spiegel).

Teilnehmer:

  • Dr. Jan-Oliver Wagner, Vorstandsvorsitzender Greenbone
  • Carsten Meywirth, Leiter Abteilung Cybercrime, Bundeskriminalamt
  • Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum
  • Katrin Giebel, Geschäftsstellenleiterin, VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister
  • Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik

Wo? Berlin, Hotel Adlon Kempinski, Unter den Linden 77
Wann? 13.06.2024; 9:40 Uhr

Schwachstellen in IT-Systemen werden heute immer stärker von böswilligen Angreifern ausgenutzt. Mit Vulnerability Management können Sie Ihre IT-Systeme schützen. Besuchen Sie uns in unserer Lounge an Stand 44. Wir freuen uns auf Sie!

Anmeldung: https://www.public-it-security.de/anmeldung/


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Gemeinsam mit dem BSI: Das neue SMP-Bund-Portal

Wir bei Greenbone freuen uns sehr, in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Greenbone SMP-Bund-Portal einzuführen. Als führender Anbieter von IT-Sicherheitslösungen sind wir stolz darauf, diese speziell auf die Bedürfnisse der Bundesbehörden zugeschnittene Plattform anbieten zu können.

Ein Portal, das Maßstäbe setzt

Das Greenbone SMP-Bund-Portal ist die zentrale Anlaufstelle für IT-Sicherheit und Schwachstellenmanagement. Es wurde entwickelt, um Behörden konkrete Unterstützung bei den aktuellen Herausforderungen der IT-Sicherheit zu bieten.

Viele Vorteile für Bundesbehörden

  1. Einfach verständliche Einblicke: Das Portal bietet klare und anwenderfreundliche Informationen zum Schwachstellenmanagement. Es ist ideal sowohl für Einsteiger als auch für Experten in der IT-Sicherheit.
  2. Exklusive Rahmenvertragskonditionen: Bundesbehörden genießen spezielle Angebote und Vorzüge. Die Ausschreibungspflicht entfällt, was Zeit und Ressourcen spart.
  3. Persönlicher Support: Das kompetente Support-Team steht unseren Kunden stets zur Seite, um Fragen zu beantworten und Unterstützung zu gewährleisten.
  4. Direkter Draht zum Behörden-Sales Team: Fachkundige Beratung unseres Teams, das sich bestens mit den spezifischen Anforderungen für Bundesbehörden auskennt. Wir freuen uns auf die weitere vertrauensvolle Zusammenarbeit mit dem BSI und stehen für Rückfragen gerne zur Verfügung.
  5. Gelegenheit zum Austausch: Nutzen Sie das gemeinsame Forum um Ihre Erfahrungen und Fragen zu teilen.

https://smp-bund.greenbone.net/

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Die Verbindung von Open-Source und Cybersicherheit in Unternehmen: Einblicke von der #OSXP2023 in Paris

Internationale Diskussionsrunde über effektive Cybersicherheit bei der #OSXP2023

Beim renommierten #OSXP2023-Event in Paris haben wir an der Diskussionsrunde „Cybersécurité et open source“ teilgenommen. Dort diskutierten wir intensiv darüber, wie die Cybersicherheit in Unternehmen verbessert werden kann. Das Gremium, bestehend aus internationalen, bekannten Experten aus Wissenschaft und Regierung, konzentrierte sich auf diese Punkte für starke Cybersicherheit.

Diskussionsrunde auf der Open Source Experience 2023 in Paris zum Thema ‚Cybersécurité et open source‘ mit internationalen Expert:innen und Publikum.

1. Die Einstellung zu Sicherheitsthemen

Security by Design: Eine Management-Aufgabe

  • Das Panel betonte, wie wichtig es ist, Sicherheit bereits in den Anfangsphasen der Entwicklung zu berücksichtigen. Dafür ist es nötig, dass die Unternehmensführung Sicherheit in allen Geschäftsbereichen priorisiert.

Eine Mentalität, die auf sichere und geschützte Lösungen ausgerichtet ist

  • Unternehmen sollten eine Kultur entwickeln, bei der Sicherheit ein fester Bestandteil des Denkprozesses ist. Ziel ist es, Lösungen anzubieten, die von Natur aus sicher und geschützt sind.

2. Umsetzung wichtiger Prozesse

Einhaltung von Standards und Automatisierung

  • Es wurde betont, wie wichtig es ist, sich an etablierte Cybersicherheitsstandards zu halten. Empfohlen wird, Prozesse zu automatisieren, um Konsistenz und Effizienz zu gewährleisten.

Keine Umsetzung ohne Sicherheitskonformität

  • Es wurde empfohlen, keine Umsetzungen oder Maßnahmen durchzuführen, ohne die notwendigen Sicherheitsanforderungen zu erfüllen.

3. Ressourcen: Teams stärken und Wachsamkeit erhöhen

Spezialisierte Sicherheitsteams und Schulungen

  • Entscheidend sei, spezialisierte Sicherheitsteams zu haben und regelmäßige Schulungen durchzuführen, um ein hohes Sicherheitsbewusstsein und Vorbereitung zu gewährleisten.

Wachsamkeit als kontinuierliche Aufgabe

  • Ständige Wachsamkeit wurde als Schlüsselressource hervorgehoben, um sicherzustellen, dass Sicherheitsmaßnahmen immer aktuell und wirksam sind.

4. Wesentliche Werkzeuge und Technologien

Verpflichtende Multi-Faktor-Authentifizierung (MFA)

  • Die Implementierung von MFA als obligatorische Maßnahme, um die Sicherheit von Konten erheblich zu verbessern, wurde stark empfohlen.

Schwachstellenscanner und Abhängigkeitsmanagement

  • Der Einsatz von Schwachstellenscannern und das Management von Abhängigkeiten und Konfigurationen wurden als unverzichtbare Werkzeuge bewertet. Plattformen wie GitHub Enterprise mögen ihren Preis haben, bieten aber umfassende Lösungen für diese Bedürfnisse.

Fazit: Schulungen, Achtsamkeit und der Einsatz von Open-Source-Tools

Abschließend betonte das Panel bei #OSXP2023, einschließlich unseres Experten Corentin Bardin, Spezialist für Cybersicherheit und Pentester, die Bedeutung von kontinuierlicher Weiterbildung im sich schnell entwickelnden Bereich der Cybersicherheit. Sie sprachen sich für den Einsatz von Open-Source-Werkzeugen zur Stärkung der Sicherheitsmaßnahmen aus.

Die wichtigste Erkenntnis aus der Diskussion ist das Engagement, sichere Dienstleistungen anzubieten. Es geht nicht nur um Werkzeuge und Prozesse, sondern um die Denkweise und das kontinuierliche Bestreben, wachsam und informiert zu bleiben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Vermutlich pro-russische Hacker versuchen, Sharepoint Schwachstelle auszunutzen

Update vom 06.12.2023:

Letzte Woche berichteten wir über pro-russische Hacktivisten, die nach verwundbaren Sharepoint-Servern scannen, um eine kritische Schwachstelle (CVE-2023-29357) auszunutzen.

Neue Erkenntnisse deuten darauf hin, dass die Gruppe, die sich selbst „Zarya“ nennt, verschiedene Exploit-Versuche unternimmt, darunter Directory-Traversal und das Abzielen auf spezifische Schwachstellen in Systemen wie OpenWRT-Routern.

Die IP-Adresse 212.113.106.100, die mit diesen Aktivitäten in Verbindung steht, wurde bei mehreren unterschiedlichen Exploit-Versuchen beobachtet. Zusätzlich zu einfachen Erkundungen wurden auch spezifische Angriffe auf Konfigurationsdateien und Admin-APIs festgestellt.

Dieser Fall unterstreicht erneut die Bedeutung der Absicherung von Systemen gegen solche Bedrohungen und zeigt, wie ungeschützte oder schlecht konfigurierte Systeme Ziel solcher Angriffe werden können.

Eine kritische Schwachstelle für Sharepoint (CVE-2023-29357), wird von vermutlich pro-russischen Angreifern angegangen, die versuchen, diese Schwachstelle auszunutzen. 

Das Internet Storm Center hat entsprechende Aktivitäten auf seinen Honeypots entdeckt. Der Schweregrad für diese Schwachstelle ist kritisch (ein Wert von 9,8 von 10), und die Angriffskomplexität ist sehr gering, was diese Schwachstelle besonders gefährlich macht. Greenbone-Kunden können von der automatischen Erkennung dieser Schwachstelle in unserem Enterprise Feed profitieren. Microsoft bietet seit dem 12. Juni 2023 ein Sicherheitsupdate an, Microsoft-Kunden, die das Update verpasst haben, sollten es jetzt installieren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von