Schlagwortarchiv für: Schwachstellenerkennung

Trotz des Ausfalls der „National Vulnerability Database” (NVD) des amerikanischen „National Institute of Standards and Technology“ (NIST) ist die Greenbone-Engine zur Erkennung von Schwachstellen weiterhin voll funktionsfähig. Sie bietet zuverlässige Schwachstellen-Scans, ohne auf fehlende CVE-Anreicherungsdaten angewiesen zu sein.

Seit 1999 stellt die MITRE Corporation mit Common Vulnerabilities and Exposures (CVE) kostenlose öffentliche Informationen über Schwachstellen zur Verfügung, indem sie Informationen über Software-Schwachstellen veröffentlicht und verwaltet. Das NIST hat diese CVE-Berichte seit 2005 fleißig erweitert und mit Kontext angereichert, um die Bewertung von Cyberrisiken zu verbessern. Anfang 2024 wurde die Cybersecurity-Gemeinschaft überrascht, als die NIST-NVD zum Stillstand kam. Etwa ein Jahr später war der Ausfall noch immer nicht vollständig behoben [1][2]. Bei einer jährlich steigenden Zahl von CVE-Einreichungen haben die Schwierigkeiten des NIST dazu geführt, dass ein großer Prozentsatz ohne Kontext blieb, wie z. B. bei der Bewertung des Schweregrads (CVSS), den Listen betroffener Produkte (CPE) und den Einstufungen von Schwachstellen (CWE).

Die jüngsten von der Trump-Administration angestoßenen politischen Veränderungen haben die Unsicherheit über die Zukunft des Austauschs von Schwachstelleninformationen und der vielen Sicherheitsanbieter, die davon abhängig sind, vergrößert. Der Haushaltsplan für das Geschäftsjahr der CISA enthält bemerkenswerte Kürzungen in bestimmten Bereichen, wie z. B. 49,8 Millionen Dollar weniger für Beschaffung, Bau und Verbesserungen sowie 4,7 Millionen Dollar weniger für Forschung und Entwicklung. Als Reaktion auf die Finanzierungsprobleme hat die CISA Maßnahmen zur Kürzung der Ausgaben ergriffen, darunter Anpassungen bei Verträgen und Beschaffungsstrategien.

Um es klar zu sagen: Das CVE-Programm ist noch nicht ausgefallen. Am 16. April erließ die CISA in letzter Minute eine Anweisung, ihren Vertrag mit MITRE zu verlängern, um den Betrieb des CVE-Programms für weitere elf Monate sicherzustellen, nur wenige Stunden bevor der Vertrag auslaufen sollte. Niemand kann jedoch vorhersagen, wie sich die zukünftigen Ereignisse entwickeln werden. Die potenziellen Auswirkungen auf den Austausch von Informationen sind alarmierend und deuten vielleicht auf eine neue Dimension von „kaltem Cyberkrieg“ hin.

Dieser Artikel enthält einen kurzen Überblick über die Funktionsweise des CVE-Programms und darüber, wie die Erkennungsfunktionen von Greenbone auch während des NIST NVD-Ausfalls aufrechterhalten werden.

Ein Überblick über den Betrieb des CVE-Programms

Die MITRE Corporation ist eine gemeinnützige Organisation, die die Aufgabe hat, die innere Sicherheit der USA an mehreren Fronten zu unterstützen, einschließlich der Verteidigungsforschung zum Schutz kritischer Infrastrukturen und der Cybersicherheit. MITRE betreibt das CVE-Programm, fungiert als primäre CNA (CVE Numbering Authority) und unterhält die zentrale Infrastruktur für die CVE-ID-Zuweisung, die Veröffentlichung von Datensätzen, die Kommunikationsabläufe zwischen allen CNAs und ADPs (Authorized Data Publishers) sowie die Programmverwaltung. MITRE stellt der Öffentlichkeit CVE-Daten über die Website CVE.org und das GitHub-Repository cvelistV5 zur Verfügung, das alle CVE-Datensätze im strukturierten JSON-Format enthält. Das Ergebnis ist eine hocheffiziente, standardisierte Berichterstattung zu Schwachstellen und ein nahtloser Datenaustausch im gesamten Cybersicherheitsökosystem.

Nachdem eine Schwachstellen-Beschreibung von einem CNA an MITRE übermittelt wurde, hat das NIST in der Vergangenheit immer etwas hinzugefügt:

  • CVSS (Common Vulnerability Scoring System): Ein Schweregrad und ein detaillierter Vektorstring, der den Risikokontext für Angriffskomplexität (AC), die Auswirkungen auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) sowie andere Faktoren enthält.
  • CPE (Common Platform Enumeration): Eine speziell formatierte Zeichenfolge, die zur Identifizierung betroffener Produkte dient, indem sie den Produktnamen, den Hersteller, die Versionen und andere architektonische Spezifikationen weitergibt.
  • CWE (Common Weakness Enumeration): Eine Ursachenklassifizierung nach der Art des betreffenden Softwarefehlers.

CVSS ermöglicht es Unternehmen, den Grad des Risikos einer bestimmten Schwachstelle leichter zu bestimmen und dementsprechend strategische Abhilfemaßnahmen zu ergreifen. Da die ersten CVE-Berichte nur eine nicht standardisierte Deklaration des betroffenen Produkts erfordern, ermöglicht es die Ergänzung von CPE durch NIST den Plattformen für das Schwachstellenmanagement, den CPE-Abgleich als schnelle, wenn auch etwas unzuverlässige Methode durchzuführen, um festzustellen, ob eine CVE in der Infrastruktur eines Unternehmens existiert oder nicht.

Einen detaillierteren Einblick in die Funktionsweise des Verfahrens zur Offenlegung von Schwachstellen und wie CSAF 2.0 eine dezentralisierte Alternative zum CVE-Programm von MITRE bietet, finden Sie in unserem Artikel: Wie CSAF 2.0 automatisiertes Schwachstellenmanagement vorantreibt. Als Nächstes wollen wir uns den NIST NVD-Ausfall genauer ansehen und verstehen, was Greenbones Erkennung gegen diesen Ausfall widerstandsfähig macht.

Der NIST-NVD-Ausfall: Was ist passiert?

Seit dem 12. Februar 2024 hat die NVD die Anreicherung von CVEs mit wichtigen Metadaten wie CVSS-, CPE- und CWE-Produktkennungen drastisch reduziert. Das Problem wurde zuerst vom VP of Security von Anchore erkannt. Im Mai 2024 waren etwa 93 % der nach dem 12. Februar hinzugefügten CVEs nicht angereichert. Im September 2024 hatte das NIST seine selbst gesetzte Frist nicht eingehalten; 72,4 % der CVEs und 46,7 % der neu hinzugefügten KEVs (Known Exploited Vulnerabilities) der CISA waren immer noch nicht angereichert [3].

Die Verlangsamung des NVD-Anreicherungsprozesses hatte erhebliche Auswirkungen auf die Cybersecurity-Gemeinschaft, nicht nur, weil angereicherte Daten für Verteidiger entscheidend sind, um Bedrohungen effektiv zu priorisieren, sondern auch, weil einige Schwachstellen-Scanner auf diese angereicherten Daten angewiesen sind, um ihre Erkennungstechniken einzusetzen.

Als Verteidiger der Cybersicherheit lohnt es sich zu fragen: War Greenbone vom Ausfall des NIST NVD betroffen? Die kurze Antwort lautet: Nein. Lesen Sie weiter, um herauszufinden, warum die Erkennungsfähigkeiten von Greenbone gegen den NIST NVD-Ausfall resistent sind.

Greenbone-Erkennungsrate trotz NVD-Ausfall hoch

Ohne angereicherte CVE-Daten werden einige Lösungen für das Schwachstellenmanagement unwirksam, da sie auf den CPE-Abgleich angewiesen sind, um festzustellen, ob eine Schwachstelle in der Infrastruktur eines Unternehmens vorhanden ist.  Greenbone ist jedoch gegen den Ausfall der NIST NVD gewappnet, da unsere Produkte nicht vom CPE-Abgleich abhängen. Die OPENVAS-Schwachstellentests von Greenbone können auf der Grundlage von nicht angereicherten CVE-Beschreibungen erstellt werden. Greenbone erkennt sogar bekannte Schwachstellen und Fehlkonfigurationen, für die es nicht einmal CVEs gibt, wie z. B. CIS-Compliance Benchmarks [4][5].

Für die Erstellung von Schwachstellentests (VT) beschäftigt Greenbone ein engagiertes Team von Software-Ingenieuren, die die zugrunde liegenden technischen Aspekte von Schwachstellen identifizieren. Greenbone verfügt über eine CVE-Scanner-Funktion, die einen herkömmlichen CPE-Abgleich ermöglicht. Im Gegensatz zu Lösungen, die sich ausschließlich auf die CPE-Daten der NIST NVD stützen, um Schwachstellen zu identifizieren, setzt Greenbone jedoch Erkennungstechniken ein, die weit über den grundlegenden CPE-Abgleich hinausgehen. Daher bleiben die Fähigkeiten von Greenbone zur Erkennung von Schwachstellen auch angesichts von Herausforderungen wie dem jüngsten Ausfall der NIST NVD robust.

Um eine hoch belastbare, branchenführende Schwachstellen-Erkennung  zu erreichen, interagiert die Greenbone-Komponente OPENVAS Scanner aktiv mit exponierten Netzwerkdiensten, um eine detaillierte Karte der Angriffsfläche eines Zielnetzwerks zu erstellen. Dies beinhaltet die Identifizierung von Diensten, die über Netzwerkverbindungen zugänglich sind, die Untersuchung dieser Dienste zur Ermittlung von Produkten und die Ausführung individueller Schwachstellentests (VT) für jede CVE- oder Nicht-CVE-Sicherheitslücke, um aktiv zu überprüfen, ob diese vorhanden sind. Der Enterprise Vulnerability Feed von Greenbone enthält über 180.000 VTs, die täglich aktualisiert werden, um die neuesten veröffentlichten Schwachstellen zu identifizieren und eine schnelle Erkennung der neuesten Bedrohungen zu gewährleisten.

Zusätzlich zu seinen aktiven Scan-Funktionen unterstützt Greenbone die agentenlose Datenerfassung über authentifizierte Scans. Greenbone sammelt detaillierte Informationen von den Endpunkten und bewertet die installierten Softwarepakete anhand der veröffentlichten CVEs. Diese Methode ermöglicht eine präzise Erkennung von Schwachstellen, ohne auf die angereicherten CPE-Daten der NVD angewiesen zu sein.

Wichtige Erkenntnisse:

  • Unabhängigkeit von angereicherten CVE-Daten: Die Schwachstellenerkennung von Greenbone ist nicht auf angereicherte CVE-Daten angewiesen, die von der NVD des NIST bereitgestellt werden, wodurch eine unterbrechungsfreie Leistung bei Ausfällen gewährleistet ist. Anhand einer grundlegenden Beschreibung einer Schwachstelle können die Ingenieure von Greenbone ein Erkennungsmodul entwickeln.
  • Erkennung über CPE-Abgleich hinaus: Obwohl Greenbone eine CVE-Scanner-Funktion für den CPE-Abgleich enthält, gehen die Erkennungsfähigkeiten weit über diesen grundlegenden Ansatz hinaus und nutzen mehrere Methoden, die aktiv mit Scan-Zielen interagieren.
  • Angriffsflächen-Mapping: Der OPENVAS-Scanner interagiert aktiv mit exponierten Diensten, um die Angriffsfläche des Netzwerks abzubilden und alle im Netzwerk erreichbaren Dienste zu identifizieren. Greenbone führt auch authentifizierte Scans durch, um Daten direkt von den Interna der Endpunkte zu sammeln. Diese Informationen werden verarbeitet, um verwundbare Pakete zu identifizieren. Angereicherte CVE-Daten wie CPE sind nicht erforderlich.
  • Widerstandsfähigkeit bei Ausfällen der NVD-Anreicherung: Die Erkennungsmethoden von Greenbone bleiben auch ohne NVD-Anreicherung wirksam, da sie die von CNAs bereitgestellten CVE-Beschreibungen nutzen, um genaue aktive Prüfungen und versionsbasierte Schwachstellenbewertungen zu erstellen.

Greenbones Ansatz: praktisch, wirksam und widerstandsfähig

Greenbone ist ein Beispiel für den Gold-Standard in Bezug auf Praktikabilität, Effektivität und Widerstandsfähigkeit und setzt damit einen Maßstab, den IT-Sicherheitsteams anstreben sollten. Durch den Einsatz von aktivem Netzwerk-Mapping, authentifizierten Scans und aktiver Interaktion mit der Zielinfrastruktur gewährleistet Greenbone zuverlässige, belastbare Erkennungsfunktionen in unterschiedlichen Umgebungen.

Dieser höhere Standard ermöglicht es Unternehmen, Schwachstellen selbst in komplexen und dynamischen Bedrohungslandschaften sicher zu erkennen. Auch ohne NVD-Anreicherung bleiben die Erkennungsmethoden von Greenbone effektiv. Mit nur einer allgemeinen Beschreibung können die VT-Ingenieure von Greenbone genaue aktive Prüfungen und produktversionsbasierte Schwachstellenbewertungen entwickeln.

Durch einen grundlegend robusten Ansatz zur Erkennung von Schwachstellen gewährleistet Greenbone ein zuverlässiges Schwachstellenmanagement und hebt sich damit von anderen Anbietern im Bereich der Cybersicherheit ab.

Alternativen zu NVD / NIST / MITRE

Die MITRE-Problematik ist ein Weckruf für die digitale Souveränität, und die EU hat bereits (und schnell) reagiert. Eine lang erwartete Alternative, die EuVD der ENISA, der Agentur der Europäischen Union für Cybersicherheit, ist nun verfügbar und wird in einem unserer nächsten Blogbeiträge vorgestellt.

Wem sollten Sie vertrauen, wenn es darum geht, Ihre Organisation vor digitalen Bedrohungen zu schützen? Realität ist, dass eine hoch belastbare IT-Sicherheit aus einem Netzwerk starker Partnerschaften, tiefgreifender Verteidigungsmaßnahmen, mehrstufiger Sicherheitskontrollen und regelmäßiger Audits besteht. Diese Maßnahmen müssen kontinuierlich überwacht, gemessen und verbessert werden. Schwachstellenmanagement war zwar schon immer eine zentrale Instanz für die Sicherheit, ist aber dennoch ein sich schnell veränderndes Instrument. Im Jahr 2025 hat die kontinuierliche und priorisierte Eindämmung von Bedrohungen einen großen Einfluss auf die Schutzwirkung, da die Zeit immer kürzer wird, in der eine Sicherheitslücke von Angreifern ausgenutzt wird.

Im Threat Report vom März heben wir die Bedeutung des Schwachstellenmanagements und der branchenführenden Erkennungsrate von Greenbone hervor, indem wir die neuesten kritischen Bedrohungen untersuchen. Aber diese neuen Bedrohungen sind nur die Spitze des Eisbergs. Im März 2025 hat Greenbone 5.283 neue Schwachstellentests zum Enterprise Feed hinzugefügt. Sehen wir uns einige der wichtigen Erkenntnisse aus einer hochaktiven Bedrohungslandschaft an!

Einbruch ins US-Finanzministerium: Wie kam es dazu?

Ende Dezember 2024 gab das US-Finanzministerium bekannt, dass staatlich unterstützte chinesische Hacker sein Netzwerk angegriffen hatten. Daraufhin verhängte es Anfang Januar 2025 Sanktionen. Bei forensischen Untersuchungen stieß man auf einen gestohlenen BeyondTrust-API-Schlüssel als Ursache. Der Anbieter hat bestätigt, dass 17 weitere Kunden von diesem Fehler betroffen waren. Eingehendere Untersuchungen ergaben, dass der API-Schlüssel unter Ausnutzung einer Sicherheitslücke in einer Funktion zur Umgehung nicht vertrauenswürdiger Eingaben innerhalb von PostgreSQL gestohlen wurde.

Wenn eine ungültige zwei Byte lange UTF-8-Zeichenfolge an eine anfällige PostgreSQL-Funktion übermittelt wird, wird nur das erste Byte umgangen, sodass ein einfaches Anführungszeichen ohne Bereinigung durchgelassen wird, was zum Auslösen eines SQL-Injection-Angriffs [CWE-89] genutzt werden kann. Die ausnutzbaren Funktionen sind PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() und PQescapeStringConn(). Alle Versionen von PostgreSQL vor 17.3, 16.7, 15.11, 14.16 und 13.19 sind betroffen, ebenso wie zahlreiche Produkte, die von diesen Funktionen abhängen.

CVE-2024-12356, (CVSS 9.8) und CVE-2024-12686, (CVSS 7.2) wurden für BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS) herausgegeben, und CVE-2025-1094 (CVSS 8.1) befasst sich mit dem Fehler in PostgreSQL. Das Problem ist Gegenstand mehrerer nationaler CERT-Hinweise, darunter der deutsche BSI Cert-Bund (WID-SEC-2024-3726) und das kanadische Centre for Cybersecurity (AV25-084). Die Schwachstelle wurde in die Liste der bekannten ausgenutzten Schwachstellen (KEV) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen, und es ist ein Metasploit-Modul verfügbar, das anfällige BeyondTrust-Produkte ausnutzt – was das Risiko noch erhöht. Greenbone kann die oben genannten CVEs (Common Vulnerabilities and Exposures) sowohl in BeyondTrust-Produkten als auch in PostgreSQL-Instanzen erkennen, die für CVE-2025-1094 anfällig sind.

Advanced: 3,1 Millionen Pfund Geldstrafe wegen fehlender technischer Kontrollen

Diesen Monat verhängte das britische Information Commissioner’s Office (ICO) eine Geldstrafe in Höhe von 3,07 Millionen Britische Pfund gegen die Advanced Computer Software Group Ltd. gemäß der britischen Datenschutz-Grundverordnung (GDPR) wegen Sicherheitsmängeln. Der Fall ist ein Beispiel dafür, wie der durch einen Ransomware-Angriff verursachte finanzielle Schaden durch behördliche Geldbußen noch weiter verschärft werden kann. Der ursprünglich vorgeschlagene Betrag war mit 6,09 Millionen Britische Pfund sogar noch höher. Da das Opfer jedoch nach dem Vorfall mit dem NCSC (National Cyber Security Centre), der NCA (National Crime Agency) und dem NHS (National Health Service) kooperierte, wurde eine freiwillige Einigung in Höhe von 3.076.320 Pfund genehmigt. Die Betriebskosten und Erpressungszahlungen wurden zwar nicht öffentlich bekannt gegeben, dürften aber die Gesamtkosten des Vorfalls um weitere 10 bis 20 Millionen Pfund erhöhen.

Advanced ist ein bedeutender IT- und Softwareanbieter für Gesundheitsorganisationen, darunter auch der NHS. Im August 2022 wurde Advanced kompromittiert. Angreifer verschafften sich Zugang zu seiner Tochtergesellschaft für Gesundheit und Pflege, was zu einem schweren Ransomware-Vorfall führte. Durch den Verstoß wurden kritische Dienste wie NHS 111 unterbrochen und das Gesundheitspersonal daran gehindert, auf personenbezogene Daten von 79.404 Personen zuzugreifen, darunter auch sensible Pflegeinformationen.

Das ICO kam zu dem Schluss, dass Advanced zum Zeitpunkt des Vorfalls über eine unvollständige MFA-Abdeckung verfügte, keine umfassenden Schwachstellen-Scans durchführte und über mangelhafte Patch-Management-Praktiken verfügte – Faktoren, die zusammengenommen ein Versäumnis bei der Umsetzung angemessener technischer und organisatorischer Maßnahmen darstellten. Organisationen, die sensible Daten verarbeiten, müssen Sicherheitskontrollen als nicht verhandelbar betrachten. Unzureichendes Patch-Management ist nach wie vor eine der am häufigsten ausgenutzten Sicherheitslücken in modernen Angriffsketten.

Doppelte Gefahr: Die kritische Rolle von Backups beim Schutz vor Ransomware

Backups sind die letzte Verteidigungslinie einer Organisation gegen Ransomware, und die meisten hochentwickelten APT-Akteure (Advanced Persistent Threat) sind dafür bekannt, dass sie die Backups ihrer Opfer ins Visier nehmen. Sind die Backups kompromittiert, ist es wahrscheinlicher, dass Lösegeldforderungen gestellt werden. Im Jahr 2025 könnte dies Verluste in Höhe von mehreren Millionen Dollar bedeuten. Im März 2025 wurden zwei neue massive Bedrohungen für Backup-Dienste aufgedeckt: CVE-2025-23120, eine neue kritische Sicherheitslücke in Veeam, wurde bekannt, und es wurden Kampagnen beobachtet, die auf CVE-2024-48248 in NAKIVO Backup & Replication abzielten. Betroffene Systeme sollten daher dringend identifiziert und gepatcht werden.

Im Oktober 2024 warnte unser Threat Report vor einer weiteren Schwachstelle in Veeam (CVE-2024-40711), die für Ransomware-Angriffe ausgenutzt wird. Insgesamt ist es für CVEs in Veeam Backup and Replication sehr wahrscheinlich, aktiv für PoC-Exploits (Proof of Concept) und Ransomware-Angriffe verwendet zu werden. Hier sind die Details zu beiden neu auftretenden Bedrohungen:

  • CVE-2024-48248 (CVSS 8.6): Versionen von NAKIVO Backup & Replication vor 11.0.0.88174 ermöglichen nicht autorisierte Remote Code Execution (RCE) über eine Funktion namens getImageByPath, die das Lesen von Dateien remote ermöglicht. Dies schließt Datenbankdateien ein, die Klartext-Anmeldeinformationen für jedes System enthalten, mit dem NAKIVO eine Verbindung herstellt und es sichert. Eine vollständige technische Beschreibung und ein Proof of Concept sind verfügbar, weshalb diese Schwachstelle nun als aktiv ausgenutzt verfolgt wird.
  • CVE-2025-23120 (CVSS 9.9): Angreifer mit Domain User Access können die Deserialisierung von manipulierten Daten via .NET-Remoting auslösen. Veeam versucht, gefährliche Typen über eine Blacklist einzuschränken, aber Forscher haben schon ausnutzbare Klassen entdeckt, die nicht auf der Liste stehen, etwa xmlFrameworkDs und BackupSummary. Diese erweitern die DataSet-Klasse von .NET – ein bekannter RCE-Vektor – und ermöglichen die Ausführung von beliebigem Code als SYSTEM auf dem Backup-Server. Der Fehler ist Gegenstand nationaler CERT-Warnmeldungen weltweit, darunter HK, CERT.be, and CERT-In. Veeam empfiehlt ein Upgrade auf Version 12.3.1, um die Schwachstelle zu beheben. 

Greenbone kann anfällige NAKIVO- und Veeam-Instanzen erkennen. Unser Enterprise Feed verfügt über eine aktive Prüfung und Versionsprüfung für CVE-2024-48248 in NAKIVO Backup & Replication sowie über einen Remote-Versions-Check für den Softwarefehler in Veeam.

IngressNightmare: Unauthentifizierte Übernahme in 43 % der Kubernetes-Cluster

Kubernetes ist das weltweit beliebteste Tool zur Container-Orchestrierung in Unternehmen. Seine Ingress-Funktion ist eine Netzwerkkomponente, die den externen Zugriff auf Dienste innerhalb eines Clusters verwaltet, in der Regel HTTP- und HTTPS-Traffic. Eine Schwachstelle namens IngressNightmare hat schätzungsweise 43 % der Kubernetes-Cluster einem nicht authentifizierten Fernzugriff ausgesetzt – annähernd 6.500 Cluster, darunter auch Fortune-500-Unternehmen. 

Die Ursache sind überzogene Standardberechtigungen [CWE-250] und uneingeschränkter Netzwerkzugang [CWE-284] im Ingress-NGINX-Controller-Tool, das auf dem NGINX Reverse Proxy basiert. IngressNightmare ermöglicht es Angreifern, die vollständige und unbefugte Kontrolle über Workloads, APIs oder sensible Daten in Multi-Tenant- und Produktiv-Clustern zu erlangen. Eine vollständige technische Analyse ist bei den Forschern von Wiz erhältlich, die darauf hinweisen, dass Kubernetes-Admission-Controller standardmäßig ohne Authentifizierung direkt zugänglich sind und Hackern eine attraktive Angriffsfläche bieten.

Der vollständige Angriffsverlauf, um eine beliebige RCE gegen eine betroffene K8-Instanz zu erreichen, erfordert die Ausnutzung von Ingress-NGINX; zunächst CVE-2025-1974 (CVSS 9.8), um eine binäre Datenlast als Anfragetext hochzuladen. Sie sollte größer als 8 KB sein, während ein Content-Length-Header angegeben wird, der größer als die tatsächliche Inhaltsgröße ist. Dadurch wird NGINX veranlasst, den Anfragetext als Datei zu speichern, und der falsche Content-Length-Header bedeutet, dass die Datei nicht gelöscht wird, da der Server auf weitere Daten wartet [CWE-459].

In der zweiten Phase dieses Angriffs müssen CVE-2025-1097, CVE-2025-1098 oder CVE-2025-24514 (CVSS 8.8) ausgenutzt werden. Diese CVEs versagen alle in ähnlicher Weise bei der ordnungsgemäßen Bereinigung von Eingaben [CWE-20], die an Admission Controller übermittelt werden. Ingress-NGINX konvertiert Ingress-Objekte in Konfigurationsdateien und validiert sie mit dem Befehl nginx -t, sodass Angreifer eine begrenzte Anzahl von NGINX-Konfigurationsanweisungen ausführen können. Forscher fanden heraus, dass das Modul ssl_engine so angestoßen werden kann, dass es die in der ersten Phase hochgeladene Binärnutzlast der gemeinsam genutzten Bibliothek lädt. Obwohl die Ausnutzung nicht trivial ist und noch kein öffentlicher PoC-Code existiert, werden erfahrene Bedrohungsakteure die technische Analyse leicht in effektive Exploits umwandeln können.

Das Canadian Centre for Cyber Security hat eine CERT-Empfehlung (AV25-161) für IngressNightmare herausgegeben. Die gepatchten Ingress-NGINX-Versionen 1.12.1 und 1.11.5 sind verfügbar, und Anwender sollten so schnell wie möglich upgraden. Wenn ein Upgrade des Ingress NGINX Controllers nicht sofort möglich ist, können vorübergehende Zwischenlösungen helfen, das Risiko zu verringern. Strenge Netzwerkrichtlinien können den Zugriff auf die Admission Controller eines Clusters einschränken, sodass nur der Kubernetes API Server zugänglich ist. Alternativ kann die Admission Controller-Komponente von Ingress-NGINX vollständig deaktiviert werden.

Greenbone ist in der Lage, IngressNightmare-Schwachstellen mit einem aktiven Test zu erkennen, der das Vorhandensein aller oben genannten CVEs [1][2] überprüft.

CVE-2025-29927: Next.js Framework unter Beschuss

Eine neue Schwachstelle in Next.js, CVE-2025-29927 (CVSS 9.4), wird aufgrund der Beliebtheit des Frameworks und der Einfachheit der Ausnutzung als hohes Risiko eingestuft [1][2]. Das Risiko wird dadurch erhöht, dass Exploit Code als PoC öffentlich verfügbar ist und Forscher von Akamai bereits aktive Scans beobachtet haben, die das Internet nach anfälligen Apps durchsuchen. Mehrere nationale CERTs (Computer Emergency Response Teams) haben Warnmeldungen zu diesem Problem herausgegeben, darunter CERT.NZ, Australian Signals Directorate (ASD), das deutsche BSI Cert-Bund (WID-SEC-2025-062) und das kanadische Centre for Cyber Security (AV25-162).

Next.js ist ein React-Middleware-Framework für die Erstellung von Full-Stack-Webanwendungen. Middleware bezieht sich auf Komponenten, die zwischen zwei oder mehr Systemen sitzen und die Kommunikation und Orchestrierung übernehmen. Bei Webanwendungen wandelt Middleware eingehende HTTP-Anfragen in Antworten um und ist oft auch für die Authentifizierung und Autorisierung verantwortlich. Aufgrund von CVE-2025-29927 können Angreifer die Authentifizierung und Autorisierung der Next.js-Middleware umgehen, indem sie einfach einen schädlichen HTTP-Header setzen.

Wenn die Verwendung von HTTP-Headern für die Verwaltung des internen Prozessablaufs einer Webanwendung eine schlechte Idee zu sein scheint, ist CVE-2025-29927 der Beweis dafür. Da benutzerseitige Header nicht korrekt von internen Headern unterschieden wurden, sollte diese Schwachstelle den Status von eklatanter Fahrlässigkeit erhalten. Angreifer können die Authentifizierung umgehen, indem sie einfach den Header „x-middleware-subrequest“ zu einer Anfrage hinzufügen und ihn mit mindestens so vielen Werten wie der MAX_RECURSION_DEPTH (5) überladen. Zum Beispiel:

„x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware“

Der Fehler wurde in den Next.js-Versionen 15.2.3, 14.2.25, 13.5.9 und 12.3.5 behoben. Benutzer sollten den Upgrade-Leitfaden des Anbieters befolgen. Wenn ein Upgrade nicht möglich ist, wird empfohlen, den Header „x-middleware-subrequest“ aus den HTTP-Anfragen zu filtern. Greenbone ist in der Lage, anfällige Instanzen von Next.js mit einer aktiven Überprüfung und einer Versionsprüfung zu erkennen.

Zusammenfassung

Die Bedrohungslandschaft im März 2025 war geprägt von anfälligen und aktiv ausgenutzten Backup-Systemen, unverzeihlich schwacher Authentifizierungslogik, hohen Bußgeldern und zahlreichen anderen kritischen Software-Schwachstellen. Vom Angriff auf das US-Finanzministerium bis hin zu den Folgen der Ransomware Advanced ist das Thema klar: Vertrauen fällt nicht vom Himmel. Die Widerstandsfähigkeit gegenüber Cyberkriminalität muss verdient werden; sie muss durch mehrstufige Sicherheitskontrollen gefestigt und durch Verantwortlichkeit untermauert werden. 

Greenbone spielt weiter eine entscheidende Rolle mit der Bereitstellung zeitnaher Erkennungstests für neu auftretende Bedrohungen und standardisierter Compliance-Audits, die eine Vielzahl von Unternehmensarchitekturen unterstützen. Organisationen, die der Cyberkriminalität immer einen Schritt voraus sein wollen, müssen ihre Infrastruktur proaktiv scannen und Sicherheitslücken schließen, sobald sie auftreten.