Schwachstellenmanagement Archive - Seite 2 von 9

Schlagwortarchiv für: Schwachstellenmanagement

BSI-Report: Mehr Schwachstellen im Gesundheitssektor

In Krankenhäusern, Arztpraxen, Labors und beim Konsumenten finden sich für Angreifer attraktive Gesundheitsdaten. Der aktuelle Sicherheitsbericht des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zeigt, dass es Angreifer immer attraktiver finden, diese abzuschöpfen.

Seit mehreren Jahren verpflichten die „Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS) und die KRITIS-Gesetzgebungen Institutionen in elf Sektoren dazu, stärkere und präzisere Sicherheitsmaßnahmen anzuwenden – inklusive Meldepflichten, Risikoanalysen und Resilienz-Pläne. Das zeigt im Gesundheitssektor bereits Wirkung: Laut einer aktuellen BSI-Studie landet Healthcare im Jahr 2024 auf Platz zwei bei der Anzahl gemeldeter Datenlecks. Spätestens jetzt ist auch hier Zeit zum Handeln.

Jeder fünfte Vorfall kommt aus dem Healthcare-Sektor

Von den 726 im letzten Jahr beim BSI gemeldeten Vorfällen stammen gut ein Viertel aus dem Transport- und Verkehrssektor, über 19,5 % aber bereits aus der Gesundheitsbranche. Knapp dahinter: Energie (18,8 %) und Finanz- und Versicherungswesen mit 16,5 %. Die Bedrohungslage ist hoch, erst recht in Krankenhäusern und Einrichtungen des Healthcare-Sektors – auch wenn die Meldezahlen mit Vorsicht zu genießen sind. Ob beispielsweise Banken eine ebenso hohe Motivation bei der Meldung von Einbrüchen haben wie Krankenhäuser, erscheint da fraglich.

Dass Gesundheitsdaten im BSI-Report nur auf Platz acht der geleakten Daten landen, darf von der Gefährdung dagegen nicht ablenken. Zum einen sind dort die geleakten Daten der Statistik anhand der Häufigkeit sortiert, und fast alle häufiger geleakten Informationen kommen auch in anderen Kontexten vor (ausgenommen vielleicht die Sozialversicherungsnummer). Doch Bezahldaten, Namen und Adressen sind Daten, die für Angreifer prinzipiell viel attraktiver sein dürften, als die „nackten“ Gesundheitsdaten es sind.

Vorschriften des KRITIS-Dachgesetz

Derweil hat das Kabinett kurz vor Ende der Ampelkoalition noch das KRITIS-Dachgesetz auf den Weg gebracht. Anfang November einigte man sich auf die Details des Gesetzes, das als analoges Komplementär zu NIS2 eine Art schützendes Dach über verschiedene Sektoren spannen soll. Wann der Bundestag das Gesetz noch verabschiedet, ist derweil nicht klar.

Auch der Gesundheitssektor muss ein betriebliches Resilienzmanagement einführen, und dazu gehören die Einrichtung eines betrieblichen Risiko- und Krisenmanagements, die Durchführung von Risikoanalysen und -bewertungen, die Erstellung von Resilienzplänen und die Umsetzung geeigneter Maßnahmen (technisch, personell und organisatorisch) – alles gemessen und organsiert mit Hilfe von „Business Continuity Management“-Systemen (BCMS) und „Information Security Management“-Systemen (ISMS).

Gemessen werden BCMS und ISMS anhand von Reifegraden (von 1 bis 5; je höher, desto besser). Im angesprochenen BSI-Report zeigt sich deren Implementierung noch durchwachsen. Institutionen des Gesundheitswesens liegen im Mittelfeld. Die meisten haben ISMS und BCMS implementiert, aber nur wenige prüfen sie regelmäßig auf Effektivität oder verbessern sie.

Bei den vorgeschriebenen Systemen zur Angriffserkennung haben die meisten Akteure bereits mit der Umsetzung begonnen und die Muss-Bedingungen umgesetzt, nur ein kleiner Teil jedoch hat auch die Soll-Anforderungen etabliert. Einen kontinuierlichen Verbesserungsprozess haben hier nur die wenigsten.

Besondere Bedrohungen im Gesundheitssektor

Auch für Krankenhäuser, Arztpraxen und andere Institutionen gelten die gleichen Regeln und Erfahrungen: Das IT-Sicherheitsmagazin CSO online berichtet von 81 % mehr Ransomware-Angriffen in den letzten Jahren, wobei über 91 Prozent der „Malware-bezogenen Sicherheitsverletzungen“ 2024 mit Ransomware zu tun hatten. Dagegen, so CSO, schützen nur „Multi-Faktor-Authentifizierung und Erkennungs- und Reaktionstechnologien“, wie sie Greenbone mit seinem Schwachstellenmanagement anbietet. Davor sind auch Clouds nicht gefeit: 53 % der Administratoren im Gesundheitswesen geben gegenüber CSO an, „im letzten Jahr einen Cloud-bezogenen Datenverstoß erlebt“ zu haben. Zudem richten Angreifer ihren Fokus zunehmend auf Webseiten, Bot-Netze, Phishing-Aktivitäten und die wachsende Anzahl anfälliger IoT-Geräte, sowohl im Consumer-Bereich als auch an der Netzwerk-Peripherie (Edge).

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

26. November 2024/von Markus Feilner

Innovation trifft Resonanz: Greenbone erfolgreich auf der SICW

Blog

Die Singapore International Cyber Week (SICW) zählt zu den bedeutendsten Veranstaltungen zur Cybersicherheit weltweit. Wir konnten dort unsere Lösungen einem internationalen Publikum vorstellen – und stießen dabei auf großes Interesse, führten inspirierende Gespräche und erhielten wertvolles Feedback. Drei erfolgreiche Tage in Singapur und ein wichtiger Schritt, um unsere internationale Präsenz zu stärken!

Greenbone-Team und Partner beim gemeinsamen Gruppenfoto am Messestand auf der Singapore International Cyber Week 2024.

Seit ihrer Einführung bringt die SICW jährlich führende Unternehmen, Start-ups, Regierungsorganisationen und Sicherheitsbehörden aus der ganzen Welt zusammen. Ziel ist es, Wissen zu teilen, Partnerschaften zu fördern und innovative Lösungen zu präsentieren, die den wachsenden Herausforderungen im Bereich Cybersicherheit gerecht werden. Die von der Cyber Security Agency of Singapore (CSA) organisierte Veranstaltung wurde 2016 ins Leben gerufen und findet seitdem jährlich in Singapur statt.

In diesem Jahr hatte Greenbone die Ehre, als Technologiepartner von Huawei auf der SICW vertreten zu sein. An drei spannenden Tagen präsentierten wir unsere Enterprise Appliances einem internationalen Publikum und waren begeistert von der Resonanz.

Großes Interesse an Greenbone-Lösungen

Wir waren überwältigt vom positiven Feedback der Besucher zu unseren Lösungen – für uns ein starkes Zeichen, dass unsere Cybersicherheitslösungen auch für den asiatischen Markt sehr wichtig sind. Immer wieder haben wir in zahlreichen Gesprächen gemerkt, wie groß das Interesse an einem Schwachstellenscanner mit exzellentem Feed ist, der sich auf das Wesentliche konzentriert und gleichzeitig über seine API die Anbindung an andere Systeme erlaubt.

Prominente Besucher und inspirierende Gespräche

Besonders gefreut hat uns, dass wir sogar prominente Persönlichkeiten am Stand begrüßen durften. Ein echtes Highlight war der Besuch von John Tan, Commissioner of Cybersecurity und Chief Executive der Cyber Security Agency of Singapore. Sein Interesse und die zahlreichen Gespräche mit potenziellen Kunden und Partnern haben uns darin bestärkt, in Asien weiter Fuß zu fassen.

Nicht ganz unerwarteter Star unseres Auftritts war „das Beast“, unser Firmenlogo als Plüschtier. Es zauberte vielen Standbesuchern ein Lächeln ins Gesicht und diente oft als sympathischer Icebreaker, der den Einstieg in angeregte und wertvolle Gespräche erleichterte.

Fazit: Momentum für die Zukunft

Die SICW war für Greenbone ein großer Erfolg. Wir konnten nicht nur unsere Lösungen einem breiten Publikum vorstellen, sondern auch wertvolle Verbindungen knüpfen und das Interesse am asiatischen Markt spürbar verstärken. Der große Zuspruch und die hohe Nachfrage nach unserem „Beast“ zeigt, dass unsere Marke auch emotional sehr gut ankommt – und wir freuen uns darauf, dieses Momentum weiter zu nutzen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

19. November 2024/von Dirk Boeing

CSAF 2.0: Stakeholder und Rollen

Blog

Das Common Security Advisory Framework (CSAF) reguliert die Bereitstellung von maschinenlesbaren Sicherheitshinweisen nach einem standardisierten Prozess, damit sie automatisiert ausgetauscht werden können. Greenbone arbeitet kontinuierlich an der Integration von Technologien, die den CSAF 2.0-Standard für die automatisierte Bereitstellung von Cybersecurity-Informationen nutzen. Eine Einführung in CSAF 2.0 und wie es das Schwachstellenmanagement der nächsten Generation unterstützt, finden Sie in einem früheren Blogbeitrag.

Zu Beginn des Jahres 2024 hat der Ausfall der NIST National Vulnerabilities Database (NVD) den Fluss kritischer Cybersicherheitsinformationen an nachgeschaltete Verbraucher unterbrochen. Dies macht das dezentralisierte CSAF 2.0-Modell zunehmend wichtiger für Cybersicherheitsinformationen, um die Widerstandsfähigkeit gegenüber einem einzelnen Ausfallpunkt zu erhöhen. Wer CSAF 2.0 einführt, kommt einem zuverlässigeren Ökosystem für Cybersicherheitsinformationen einen Schritt näher.

Inhaltsverzeichnis

1. Zusammenfassung
2. Wer sind die CSAF-Stakeholder?
2.1. Rollen im CSAF 2.0-Prozess
2.1.1. CSAF 2.0 Ausstellende Parteien
2.1.1.1. Die Rolle des CSAF-Publishers
2.1.1.2. Die Rolle des CSAF-Providers
2.1.1.3. Die Rolle des Trusted Providers in CSAF
2.1.2. CSAF 2.0 Datenaggregatoren
2.1.2.1. Die Rolle des CSAF-Listers
2.1.2.2. Die Rolle des CSAF-Aggregators
3. Fazit

1. Zusammenfassung

Dieser Artikel stellt die verschiedenen Akteure und Rollen dar, die in der CSAF-2.0-Spezifikation definiert sind. Die Rollen regeln die Mechanismen zur Erstellung, Verbreitung und Nutzung von Sicherheitshinweisen innerhalb des CSAF-2.0-Ökosystems. Das Verständnis, wer die Stakeholder von CSAF sind und welche standardisierten Rollen das CSAF 2.0-Framework definiert, hilft Security-Verantwortlichen klarer zu sehen, wie CSAF funktioniert, ob es für ihre Organisation von Nutzen sein kann und wie CSAF 2.0 zu implementieren ist.

2. Wer sind die CSAF-Stakeholder?

Auf höchster Ebene hat der CSAF-Prozess zwei primäre Stakeholder-Gruppen: vorgelagerte Produzenten, die Cybersicherheitshinweise im CSAF-2.0-Dokumentenformat erstellen und bereitstellen, und nachgelagerte Konsumenten (Endnutzer), die die Hinweise konsumieren und die darin enthaltenen Sicherheitsinformationen anwenden.

Bei den vorgelagerten Herstellern handelt es sich in der Regel um Anbieter von Softwareprodukten (wie Cisco, Red Hat und Oracle), die für die Aufrechterhaltung der Sicherheit ihrer digitalen Produkte und die Bereitstellung öffentlich zugänglicher Informationen über Schwachstellen verantwortlich sind. Zu den vorgelagerten Akteuren gehören auch unabhängige Sicherheitsforscher und öffentliche Einrichtungen, die als Quelle für Cybersicherheitsinformationen dienen, wie die US Cybersecurity Intelligence and Security Agency (CISA) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu den nachgelagerten Verbrauchern gehören private Instanzen, die ihre eigene Cybersicherheit verwalten, staatliche CERT-Agenturen, die mit dem Schutz der nationalen IT-Infrastruktur betraut sind, und Managed Security Service Provider (MSSP), die die Cybersicherheit von Kunden überwachen und managen. Die in den CSAF 2.0-Dokumenten enthaltenen Informationen werden von IT-Sicherheitsteams genutzt, um Schwachstellen in ihrer Infrastruktur zu identifizieren und Abhilfemaßnahmen zu planen, und von Führungskräften, um zu beurteilen, wie IT-Risiken den Betrieb beeinträchtigen.

Schaubild zu den CSAF 2.0 Stakeholdern: Links die Upstream Producers wie Softwareanbieter, Behörden und Forscher, rechts die Downstream Consumers wie CERTs, SOC-Teams und Sicherheitsplattformen – verbunden durch das CSAF 2.0 Advisory Format.

Der CSAF-2.0-Standard definiert spezifische Rollen für vorgelagerte Hersteller, die ihre Beteiligung an der Erstellung und Verbreitung von Hinweis-Dokumenten beschreiben. Diese offiziell definierten Rollen sehen wie folgt aus:

2.1. Rollen im CSAF 2.0-Prozess

CSAF 2.0-Rollen werden in Abschnitt 7.2 definiert. Sie werden in zwei verschiedene Gruppen unterteilt: Ausstellende Parteien („Issuer“) und Datenaggregatoren („Aggregatoren“). Erstere sind direkt an der Erstellung von Beratungsdokumenten beteiligt. Letztere sammeln diese Dokumente und verteilen sie an die Endnutzer, um die Automatisierung für die Verbraucher zu unterstützen. Eine einzelne Organisation kann sowohl die Rolle des Ausstellers als auch die des Aggregators übernehmen, diese Funktionen sollten jedoch als separate Einheiten betrieben werden. Selbstverständlich müssen Organisationen, die als vorgelagerte Produzenten agieren, auch ihre eigene Cybersicherheit gewährleisten. Daher können sie auch nachgelagerte Verbraucher sein, die CSAF-2.0-Dokumente aufnehmen, um ihre eigenen Aktivitäten im Bereich des Schwachstellenmanagements zu unterstützen.

Diagramm der CSAF 2.0 Upstream-Rollen mit den Gruppen Issuing Parties (Producer, Provider, Trusted Provider) und Data Aggregators (Lister, Aggregator), die Cybersicherheitshinweise an Downstream Consumers weiterleiten.

Die spezifischen Verantwortlichkeiten der CSAF-2.0-Issuer und Datenaggregatoren stellen sich wie folgt dar:

2.1.1. CSAF 2.0 Ausstellende Parteien

Issuers sind die Quelle der CSAF-2.0-Cybersecurity-Hinweise. Sie sind jedoch nicht für die Übermittlung der Dokumente an die Endnutzer verantwortlich. Sie müssen angeben, wenn sie nicht wollen, dass ihre Hinweise von Datenaggregatoren aufgelistet oder gespiegelt werden. Außerdem können CSAF 2.0-Aussteller auch als Datenaggregatoren fungieren.

Hier sind die einzelnen Unterrollen innerhalb der Gruppe der ausstellenden Parteien:

2.1.1.1. Die Rolle des CSAF-Publishers

Publisher sind in der Regel Organisationen, die Hinweise nur im Namen ihrer eigenen digitalen Produkte entdecken und weitergeben. Sie müssen die Anforderungen 1 bis 4 in Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Dies bedeutet, dass sie strukturierte Dateien mit gültiger Syntax und Inhalten herausgeben, die den in Abschnitt 5.1 beschriebenen CSAF 2.0-Dateinamenskonventionen entsprechen, und sicherstellen, dass die Dateien nur über verschlüsselte TLS-Verbindungen verfügbar sind. Außerdem müssen sie alle als TLP:WHITE klassifizierten Hinweise öffentlich zugänglich machen.

Alle Publisher müssen über ein öffentlich zugängliches provider-metadata.json-Dokument verfügen, das grundlegende Informationen über die Organisation, ihren CSAF-2.0-Rollenstatus und Links zu einem öffentlichen OpenPGP-Schlüssel enthält, mit dem das provider-metadata.json-Dokument digital signiert wird, um seine Integrität zu verifizieren. Diese Informationen werden von Softwareanwendungen verwendet, die die Hinweise der Publisher für Endbenutzer anzeigen.

2.1.1.2. Die Rolle des CSAF-Providers

Provider stellen CSAF-2.0-Dokumente für die breitere Gemeinschaft zur Verfügung. Zusätzlich zur Erfüllung der gleichen Anforderungen wie ein Publisher muss ein Provider seine provider-metadata.json.-Datei nach einer standardisierten Methode bereitstellen (mindestens eine der Anforderungen 8 bis 10 aus Abschnitt 7.1), eine standardisierte Verteilung für seine Hinweise verwenden und technische Kontrollen implementieren, um den Zugang zu allen Hinweisdokumenten mit dem Status TLP:AMBER oder TLP:RED zu beschränken.

Provider müssen außerdem wählen, ob sie die Dokumente auf der Grundlage eines Verzeichnisses oder auf der Grundlage von ROLIE verteilen wollen. Einfach ausgedrückt, stellt die verzeichnisbasierte Verteilung Hinweisdokumente in einer normalen Verzeichnispfadstruktur zur Verfügung, während ROLIE (Resource-Oriented Lightweight Information Exchange) [RFC-8322] ein RESTful-API-Protokoll ist, das speziell für die Automatisierung der Sicherheit, die Veröffentlichung, das Auffinden und die gemeinsame Nutzung von Informationen entwickelt wurde.

Verwendet ein Provider die ROLIE-basierte Verteilung, muss er auch die Anforderungen 15 bis 17 aus Abschnitt 7.1 erfüllen. Verwendet ein Provider die verzeichnisbasierte Verteilung, so muss er alternativ die Anforderungen 11 bis 14 aus Abschnitt 7.1 erfüllen.

2.1.1.3. Die Rolle des Trusted Providers in CSAF

Trusted Provider sind eine besondere Klasse von CSAF-Providern, die sich ein hohes Maß an Vertrauen und Zuverlässigkeit erworben haben. Sie müssen sich an strenge Sicherheits- und Qualitätsstandards halten, um die Integrität der von ihnen ausgestellten CSAF-Dokumente zu gewährleisten.

Zusätzlich zur Erfüllung aller Anforderungen an einen CSAF-Provider müssen Trusted Provider auch die Anforderungen 18 bis 20 aus Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Diese beinhalten die Bereitstellung eines sicheren kryptographischen Hashs und einer OpenPGP-Signaturdatei für jedes ausgegebene CSAF-Dokument und sie stellen sicher, dass der öffentliche Teil des OpenPGP-Signierschlüssels öffentlich zugänglich gemacht wird.

2.1.2. CSAF 2.0 Datenaggregatoren

Datenaggregatoren konzentrieren sich auf die Sammlung und Weiterverteilung von CSAF-Dokumenten. Sie fungieren als Verzeichnis für CSAF-2.0-Issuers und deren Hinweis-Dokumente sowie als Vermittler zwischen Issuers und Endanwendern. Eine einzelne Instanz kann sowohl als CSAF-Lister als auch als Aggregator fungieren. Datenaggregatoren können je nach den Bedürfnissen ihrer Kunden wählen, welche Hinweis-Dokumente von vorgelagerten Publishern sie auflisten oder sammeln und weiterverteilen.

Hier sind einzelne Unterrollen in der Gruppe der Datenaggregatoren:

2.1.2.1. Die Rolle des CSAF-Listers

Sogenannte „Lister“ sammeln CSAF-Dokumente von mehreren CSAF-Herausgebern und listen sie an einem zentralen Ort auf, um das Auffinden zu erleichtern. Der Zweck eines Listers ist es, als eine Art Verzeichnis für CSAF 2.0-Hinweise zu fungieren, indem URLs konsolidiert werden, unter denen CSAF-Dokumente abgerufen werden können. Es wird nicht davon ausgegangen, dass ein Lister einen vollständigen Satz aller CSAF-Dokumente enthält.

Lister müssen eine gültige aggregator.json-Datei veröffentlichen, die mindestens zwei separate CSAF-Anbieter auflistet. Während ein Lister auch als Issuer fungieren kann, darf er keine gespiegelten Dateien auflisten, die auf eine Domain unter seiner eigenen Kontrolle zeigen.

2.1.2.2. Die Rolle des CSAF-Aggregators

Die Rolle des CSAF-Aggregators stellt den letzten Wegpunkt zwischen den veröffentlichten CSAF-2.0-Hinweis-Dokumenten und dem Endanwender dar. Aggregatoren bieten einen Ort, an dem CSAF-Dokumente durch ein automatisiertes Tool abgerufen werden können. Obwohl Aggregatoren als konsolidierte Quelle für Cybersicherheitshinweise fungieren, vergleichbar mit NIST NVD oder CVE.org der MITRE Corporation, handelt es sich bei CSAF 2.0 um ein dezentralisiertes Modell, im Gegensatz zu einem zentralisierten Modell. Aggregatoren sind nicht verpflichtet, eine umfassende Liste von CSAF-Dokumenten von allen Herausgebern anzubieten. Außerdem können die Herausgeber ihren CSAF-Beratungsfeed kostenlos zur Verfügung stellen oder als kostenpflichtigen Dienst betreiben.

Ähnlich wie Lister müssen Aggregatoren eine aggregator.json-Datei öffentlich zugänglich machen, und CSAF-Dokumente von jedem gespiegelten Issuer müssen in einem separaten Ordner zusammen mit der provider-metadata.json des Issuers abgelegt werden. Im Wesentlichen müssen Aggregatoren die Anforderungen 1 bis 6 und 21 bis 23 aus Abschnitt 7.1 der CSAF-2.0-Spezifikation erfüllen.

CSAF-Aggregatoren sind auch dafür verantwortlich, sicherzustellen, dass jedes gespiegelte CSAF-Dokument eine gültige Signatur (Anforderung 19) und einen sicheren kryptografischen Hash (Anforderung 18) besitzt. Wenn die ausstellende Partei diese Dateien nicht zur Verfügung stellt, muss der Aggregator sie erzeugen.

3. Fazit

Das Verständnis der CSAF 2.0-Stakeholder und -Rollen ist entscheidend für die ordnungsgemäße Umsetzung von CSAF 2.0 und die Nutzung der automatisierten Erfassung und Nutzung wichtiger Cybersicherheitsinformationen. Die CSAF 2.0-Spezifikation definiert zwei Hauptinteressengruppen: vorgelagerte Produzenten, die für die Erstellung von Cybersicherheitshinweisen verantwortlich sind, und nachgelagerte Verbraucher, die diese Informationen zur Verbesserung der Sicherheit nutzen. Zu den Rollen innerhalb von CSAF 2.0 gehören Issuer (Herausgeber, Anbieter und vertrauenswürdige Anbieter), die Hinweise erstellen und verteilen, und Datenaggregatoren wie Lister und Aggregatoren, die diese Hinweise sammeln und an die Endnutzer weitergeben.

Die Mitglieder jeder Rolle müssen sich an bestimmte Sicherheitskontrollen halten, die die sichere Übertragung von CSAF 2.0-Dokumenten unterstützen. Das Traffic Light Protocol (TLP) regelt, wie Dokumente freigegeben werden dürfen und welche Zugriffskontrollen erforderlich sind.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

12. November 2024/von Joseph Lee

Oktober 2024 Threat Report: Ransomware auf dem Vormarsch – Zeit zu reagieren

Blog

Der Oktober war der europäische Aktionsmonat für Cybersecurity (ECSM) und der internationale Monat für „Cybersecurity Awareness“, unter dem Motto „Secure Our World“. Die Einführung von Best Practices für die Online-Sicherheit von Privatpersonen, Unternehmen und kritische Infrastrukturen ist dieses Jahr von entscheidender Bedeutung. Wir freuen uns, zusätzlich zu unserem Angebot für Schwachstellenmanagement in Unternehmen weitere IT-Sicherheitstools über unsere Community Edition, das Community Portal und das lebhafte Community Forum zugänglich zu machen, wo wir Entwicklungen und Funktionen diskutieren und uns gegenseitig unterstützen.

Unsere Kernbotschaft an die Entscheidungsträger für Cybersicherheit: Patchen oder nicht patchen, ist nicht die Frage. Es geht darum, wie man Schwachstellen und Fehlkonfigurationen erkennt, bevor ein Angreifer sie ausnutzen kann. Proaktives Handeln ist gefragt. Sobald Schwachstellen identifiziert sind, müssen sie priorisiert und behoben werden. Warnungen vor einer aktiven Ausnutzung von Sicherheitslücken können zwar helfen, die Prioritäten richtig zu setzen, aber wenn es um wichtige Systeme geht, müssen auch Handlungen folgen. Mit Hilfe von Leistungsindikatoren können Sicherheitsteams und Entscheidungsträger den Fortschritt quantitativ verfolgen und Bereiche mit Verbesserungsbedarf aufzeigen.

Im Threat Tracking-Blogbeitrag dieses Monats geben wir einen Überblick über die diesjährige Ransomware-Landschaft, einschließlich der Ursachen von Ransomware-Angriffen, und stellen einige der wichtigsten Cyber-Bedrohungen vom Oktober 2024 vor.

Internationale Bemühungen zur Bekämpfung von Ransomware

Die internationale „Initiative zur Bekämpfung von Ransomware“ (Counter Ransomware Initiative; CRI), die sich aus 68 Ländern und Organisationen – ohne Russland und China – zusammensetzt, traf sich in Washington, D.C., um die Widerstandsfähigkeit gegen Ransomware weltweit zu bündeln. Die CRI zielt darauf ab, die weltweiten Ransomware-Zahlungen zu reduzieren, den Rahmen für die Meldung von Vorfällen zu verbessern, Partnerschaften mit der Cyber-Versicherungsbranche zu stärken, um die Auswirkungen von Ransomware-Vorfällen zu verringern, und die Widerstandsfähigkeit durch die Festlegung von Standards und bewährten Verfahren zur Verhinderung von und Wiederherstellung nach Ransomware-Angriffen zu verbessern.

Der Digital Defense Report 2024 von Microsoft hat ermittelt, dass die Zahl der Angriffe im Jahr 2024 zwar gestiegen ist, aber weniger davon die Verschlüsselungsphase erreichen. Das Ergebnis ist, dass insgesamt weniger Opfer Lösegeld zahlen. Die Untersuchungen von Coveware, Kaseya und dem Blockchain-Überwachungsunternehmen Chainanalysis bestätigen ebenfalls niedrigere Auszahlungsraten. Dennoch verzeichnen Ransomware-Banden Rekordgewinne: In der ersten Hälfte des Jahres 2024 wurden mehr als 459 Millionen US-Dollar erpresst. In diesem Jahr wurde mit einer Auszahlung in Höhe von 75 Mio. USD ein neuer Höchststand erreicht, wobei ein Trend zur „Großwildjagd“ zu beobachten ist, die eher auf große als auf kleine und mittlere Unternehmen (KMU) abzielt.

Hauptursache für Ransomware

Wie kommen erfolgreiche Ransomware-Angriffe überhaupt zustande? Hier helfen Ursachenanalysen: Laut einer weltweiten Statista-Umfrage sind ausgenutzte Software-Schwachstellen die Hauptursache für erfolgreiche Ransomware-Angriffe, die in 32 % der erfolgreichen Angriffe eine Rolle spielen. In derselben Umfrage wurde die Kompromittierung von Zugangsdaten als zweithäufigste Ursache genannt, während bösartige E-Mails (Malspam und Phishing-Angriffe) an dritter Stelle stehen. Security-Experten von Symantec stellen fest, dass die Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen Anwendungen zum primären Einstiegsvektor bei Ransomware-Angriffen geworden ist. Auch KnowBe4, ein Anbieter von Sicherheitsinformationen, stuft Social Engineering und ungepatchte Software als Hauptursachen für Ransomware ein.

Diese Ergebnisse bringen uns zurück zu unserer anfänglichen Botschaft und unterstreichen die Bedeutung der branchenführenden Kernkompetenz von Greenbone: die Unterstützung von Verteidigern bei der Identifizierung von Schwachstellen, die in ihrer IT-Infrastruktur lauern, damit sie ausnutzbare Sicherheitslücken beheben und schließen können.

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Ende Oktober 2024 warnte Fortinet Kunden vor einer RCE-Schwachstelle kritischen Ausmaßes in FortiManager, dem Flaggschiff-Produkt für das Management von Netzwerksicherheit. Die als „FortiJump“ bezeichnete und als CVE-2024-47575 (CVSS 9.8) geführte Schwachstelle wird als „Fehlende Authentifizierung für kritische Funktion“ [CWE-306] im fgfm-Daemon von FortiManager eingestuft. Googles Mandiant hat rückwirkend Protokolle durchsucht und bestätigt, dass diese Schwachstelle seit Juni 2024 aktiv ausgenutzt wird, und beschreibt die Situation als ein Szenario massenhafter Ausnutzung.

Eine weitere aktiv ausgenutzte Schwachstelle in Fortinet-Produkten, CVE-2024-23113 (CVSS 9.8), wurde im Oktober ebenfalls in den KEV-Katalog der CISA aufgenommen. Diesmal ist der Übeltäter ein extern gesteuerter Format-String in FortiOS, der es einem Angreifer ermöglichen könnte, über speziell gestaltete Pakete nicht autorisierte Befehle auszuführen.

Greenbone kann Geräte erkennen, die für FortiJump anfällig sind, FortiOS-Geräte, die für CVE-2024-23113 [1][2][3] anfällig sind, sowie über 600 weitere Schwachstellen in Fortinet-Produkten.

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Das FBI, die CISA, die NSA und andere US-amerikanische und internationale Sicherheitsbehörden haben eine gemeinsame Warnung vor einer vom Iran unterstützten Kampagne herausgegeben, die sich gegen kritische Infrastruktur-Netze richtet, insbesondere in den Bereichen Gesundheitswesen, Regierung, IT, Technik und Energie. Assoziierte Bedrohungsgruppen werden mit Ransomware-Angriffen in Verbindung gebracht, die sich in erster Linie über öffentlich zugängliche Dienste [T1190] wie VPNs Zugang verschaffen. Zu den weiteren Techniken, die in der Kampagne eingesetzt werden, gehören Brute-Force-Angriffe [T1110], Passwort-Spraying [T1110.003] und MFA Fatigue Attacken.

Die Kampagne steht im Zusammenhang mit der Ausnutzung der folgenden CVEs:

CVE-2024-24919 (CVSS 8.6), eine Offenlegung von Informationen in Check Point Security Gateway VPNs
CVE-2024-21887 (CVSS 9.1), ein Fehler bei der Befehlseingabe in Ivanti Connect Secure und Ivanti Policy Secure
CVE-2024-3400 (CVSS 10), ein Fehler bei der Befehlseingabe in Palo Alto Networks PAN-OS
CVE-2022-1388 (CVSS 9.8), eine Schwachstelle, die die Umgehung der Authentifizierung in F5 BIG-IP ermöglicht, und CVE-2020-5902 (CVSS 9.8), eine Sicherheitslücke zur Remote Code Execution (RCE) in der Benutzeroberfläche von F5 BIG-IP Traffic Management
CVE-2020-1472 (CVSS 5.5), eine Schwachstelle, die zur Ausweitung von Berechtigungen in Microsoft Netlogon Remote Protocol führen kann
CVE-2023-3519 (CVSS 9.8), eine Schwachstelle zur unautorisierten RCE und CVE-2019-19781 (CVSS 9.8), eine Sicherheitslücke, die die Umgehung von Verzeichnissen in Citrix Application Delivery Controller und Gateway erlaubt
CVE-2019-11510 (CVSS 10), ein nicht autorisiertes Lesen von Dateien und CVE-2019-11539 (CVSS 7.2), ein Fehler zur Remote-Ausführung von Befehlen, beide in Pulse Secure Pulse Connect Secure

Greenbone kann alle CVEs erkennen, die im Zusammenhang mit der Kampagne stehen, und gibt Verteidigern mit einem Überblick die Möglichkeit, das Risiko zu mindern. Darüber hinaus ist die Verhinderung von Brute-Force- und Passwort-Spraying-Angriffen ein elementarer Bestandteil der Cybersicherheit, auch wenn sie nicht als CVE erfasst wird. Zwar bieten viele Authentifizierungsdienste von Haus aus keinen Brute-Force-Schutz, doch können zusätzliche Sicherheitsprodukte so konfiguriert werden, dass nach wiederholten Anmeldefehlern eine Sperrzeit verhängt wird. Greenbone kann die Einhaltung der CIS-Sicherheitskontrollen für Microsoft RDP bescheinigen, einschließlich derjenigen, die Brute-Force- und Password-Spraying-Angriffe bei der Anmeldung verhindern.

Schließlich müssen laut Anhang I, Teil I (2)(d) der EU Cyber Resilience Act (CRA) Produkte mit digitalen Elementen „den Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen gewährleisten“, einschließlich Systemen für Authentifizierung, Identitäts- und Zugriffsmanagement, und sollten auch alle Fälle von unbefugtem Zugriff melden. Dies bedeutet, dass die EU in Zukunft von allen Produkten einen eingebauten Brute-Force-Schutz verlangen wird, anstatt sich auf „Rate Limiting“-Tools von Drittanbietern wie fail2ban für Linux zu verlassen.

Unverschlüsselte Cookies in F5 BIG-IP LTM

Die CISA hat beobachtet, dass Cyber-Bedrohungsakteure unverschlüsselte dauerhafte Cookies auf F5 BIG-IP Local Traffic Manager (LTM) Systemen ausnutzen. Sobald die Cookies gestohlen wurden, werden sie verwendet, um andere interne Netzwerkgeräte zu identifizieren, was wiederum eine passive Erkennung von Schwachstellen innerhalb eines Netzwerks ermöglichen kann. Ähnlich wie die meisten Webanwendungen gibt BIG-IP ein HTTP-Cookie zwischen dem Client und dem Server weiter, um User Sessions zu verfolgen. Das Cookie hat standardmäßig den Namen BIGipServer<pool_name> und sein Wert enthält die verschlüsselte IP-Adresse und den Port des Zielservers.

F5 BIG-IP ist eine Suite zur Verwaltung des Netzwerkverkehrs, und LTM ist das Kernmodul, das für Load Balancing und die Verteilung des Datenverkehrs auf die Server sorgt. Die CISA rät Unternehmen, dafür zu sorgen, dass persistente Cookies verschlüsselt werden. F5 bietet eine Anleitung zur Einrichtung der Cookie-Verschlüsselung und mit BIG-IP iHealth ein Diagnosetool, um unverschlüsselte dauerhafte Profile von Cookies zu erkennen.

Obgleich eine aktive Ausnutzung die Bedrohung für Unternehmen erhöht, die diese Schwachstelle nicht behoben haben, ist die Sicherheitslücke seit Anfang 2018 bekannt. Greenbone bietet seit Januar 2018 eine Erkennung für diese Schwachstelle an, sodass Benutzer die Sicherheitslücke, die durch unverschlüsselte Cookies in F5 BIG-IP LTM entsteht, seit ihrer Offenlegung erkennen und schließen können.

Hochgefährliche Schwachstellen in Palo Alto Expedition

In Expedition, einem Migrationstool von Palo Alto, das den Übergang von Security-Konfigurationen von Drittanbietern zu PAN-OS von Palo Alto vereinfachen soll, wurden mehrere neue hochgefährliche Schwachstellen entdeckt. Obwohl noch nicht in aktiven Kampagnen beobachtet, wurden zwei der insgesamt neun CVEs, die Palo Alto im Oktober zugewiesen wurden, mit EPSS-Scores höher als 98 % aller anderen bewertet. EPSS (Exploit Prediction Scoring System) ist ein Vorhersagemodell, das mithilfe von Machine Learning die Wahrscheinlichkeit schätzt, dass ein CVE innerhalb von 30 Tagen nach der Vorhersage in freier Wildbahn ausgenutzt wird.

Hier eine kurze technische Beschreibung der einzelnen CVEs:

CVE-2024-9463 (CVSS 7.5, EPSS 91.34%): Eine OS-Schwachstelle bei der Befehlseingabe in Palo Altos Expedition erlaubt es einem nicht authentifizierten Angreifer, beliebige OS-Befehle als Root-Dateien in Expedition auszuführen, was zur Offenlegung von Benutzernamen, Klartext-Passwörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS Firewalls führt.
CVE-2024-9465 (CVSS 9.1, EPSS 73.86%): Eine SQL-Injection-Schwachstelle in Palo Altos Expedition ermöglicht es einem nicht authentifizierten Angreifer, sensible Datenbankinhalte wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und Geräte-API-Schlüssel auszuspähen. Sobald diese Informationen erlangt wurden, können Angreifer beliebige Dateien auf den betroffenen Systemen erstellen und lesen.

Vier kritische CVEs in Mozilla Firefox

Wie bereits in unserem Threat-Tracking-Blog erwähnt, ist die Browsersicherheit von entscheidender Bedeutung für die Verhinderung von Erstzugriffen, insbesondere bei Arbeitsplatzgeräten. Im Oktober 2024 wurden sieben neue kritische und 19 weitere weniger kritische Sicherheitslücken in Mozilla Firefox < 131.0 und Thunderbird < 131.0.1 bekanntgegeben. Eine davon, CVE-2024-9680, wurde bereits gegen Nutzer des Tor-Netzwerks aktiv ausgenutzt und wurde in den Katalog der bekannten Schwachstellen der CISA aufgenommen. Greenbone enthält Schwachstellentests, um alle betroffenen Mozilla-Produkte zu identifizieren.

Hier die sieben neu veröffentlichten Schwachstellen:

CVE-2024-9680 (CVSS 9.8): Angreifer gelangten zu einer unautorisierten RCE, indem sie eine Use-After-Free-Schwachstelle in Animation Timelines ausnutzten. CVE-2024-9680 wird in freier Wildbahn ausgenutzt.
CVE-2024-10468 (CVSS 9.8): Mögliche Laufbedingungen in IndexedDB können Speicher beschädigen, was zu einem potenziell ausnutzbaren Absturz führt.
CVE-2024-9392 (CVSS 9.8): Ein kompromittierter Inhaltsvorgang ermöglicht das willkürliche Laden von Cross-Origin-Seiten.
CVE-2024-10467, CVE-2024-9401 und CVE-2024-9402 (CVSS 9.8): In Firefox vorhandene Speicherfehler zeigten Anzeichen von Speicherbeschädigung. Sicherheitsexperten vermuten, dass einige dieser Fehler mit genügend Aufwand zur Ausführung von beliebigem Code ausgenutzt werden könnten.
CVE-2024-10004 (CVSS 9.1): Das Öffnen eines externen Links zu einer HTTP-Website, wenn Firefox iOS zuvor geschlossen war und einen HTTPS-Tab geöffnet hatte, konnte dazu führen, dass das Vorhängeschloss-Symbol fälschlicherweise HTTPS anzeigte.

Zusammenfassung

Unser monatlicher Threat Tracking-Blog befasst sich mit den wichtigsten Cybersecurity-Trends und hochriskanten Bedrohungen. Zu den wichtigsten Erkenntnissen für Oktober 2024 gehören die verstärkten Bemühungen zur Bekämpfung von Ransomware auf internationaler Ebene und die Rolle, die ein proaktives Schwachstellenmanagement bei der Verhinderung erfolgreicher Ransomware-Angriffe spielt. Zu den weiteren Höhepunkten gehören aktiv ausgenutzte Schwachstellen von Fortinet und Palo Alto sowie Updates zu einer vom Iran unterstützten Cyberangriffskampagne, die auf öffentliche Dienste kritischer Infrastrukturunternehmen abzielt. Darüber hinaus unterstreichen die unverschlüsselte Cookie-Schwachstelle von F5 BIG-IP LTM, die zur Reconnaissance ausgenutzt wird, und vier neue Mozilla Firefox-Schwachstellen, von denen eine aktiv als Waffe eingesetzt wird, wie notwendig es ist, wachsam zu bleiben.

Greenbone erleichtert die Identifizierung und Behebung dieser und weiterer Schwachstellen und hilft Unternehmen, ihre Widerstandsfähigkeit gegenüber wachsenden Cyber-Bedrohungen zu verbessern. Schnelle Erkennung und rechtzeitiges Patchen sind für die Risikominimierung entscheidend.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

11. November 2024/von Joseph Lee

Stillstand verhindern: Greenbones Beitrag zum Schutz vor DoS-Angriffen

Blog

Ein DoS-Angriff (Denial of Service) kann den kompletten Stillstand bedeuten: Ein wichtiger Dienst fällt aus, eine Anwendung reagiert nicht mehr oder der Zugriff auf das eigene System wird blockiert. DoS-Attacken haben ein klares, zerstörerisches Ziel: digitale Ressourcen lahmzulegen und den Zugriff für legitime Benutzer zu verhindern. Die Folgen einer DoS-Attacke können drastisch sein: von Ausfallzeiten und Betriebsunterbrechungen über finanzielle Verluste bis hin zu erheblichen Risiken für die gesamte Organisation.

Seit mehreren Jahren sind DoS-Angriffe auf dem Vormarsch und haben erhebliche Auswirkungen auf Unternehmen, kritische Infrastrukturen und das Gesundheitssystem. DoS-Angriffe werden auch in ausgeklügelten Cyber-Militärkampagnen und als Mittel zur Erpressung von Lösegeld eingesetzt. Was steckt hinter diesen Angriffen und wie können Sie sich schützen?

Die Bedrohung wächst

Über unbefugten Zugriff können Angreifer durch einfaches Herunterfahren eines Systems einen Systemausfall erzwingen [T1529]. Auch Fehler in der Anwendungslogik können einem Angreifer aus der Ferne ermöglichen, das System zum Absturz zu bringen. So kann er es mit Netzwerkverkehr überfluten, um die Ressourcen zu erschöpfen. Das Blockieren des Kontozugriffs [T1531], die Zerstörung von Daten [T1485] oder der Einsatz von Ransomware [T1486] können die Systemwiederherstellung [T1490] weiter behindern oder die Verteidiger ablenken, während andere Angriffe stattfinden. Gleichzeitig machen gestoppte kritische Dienste auch anfälliger für weitere Cyberangriffe. Wenn zum Beispiel ein Virenscanner deaktiviert ist, kann Malware leichter in ein Netzwerk eindringen; wenn Backup-Dienste nicht funktionieren, ist eine vollständige Wiederherstellung nach einem Ransomware-Angriff kaum mehr möglich.

DoS-Angriffe lieben bekannte Schwachstellen

DoS-Angriffe nutzen oft Schwachstellen in den Spezifikationen von Netzwerkprotokollen, unsachgemäße Protokoll-Implementierungen, fehlerhafte Logik in Softwareanwendungen oder Fehlkonfigurationen. Zu den Softwarefehlern, die DoS-Angriffe ermöglichen, gehören:

Unkontrollierter Ressourcenverbrauch
Buffer overflows
Fehlende Speicherfreigabe
Unsachgemäße Fehlerbehandlung
Asymmetrischer Ressourcenverbrauch (Amplification)
Nichtfreigabe einer Ressource nach Gebrauch

Wenn Schwachstellen wie diese entdeckt werden, beeilen sich die Hersteller, Patches herauszugeben. Allerdings sind nur die Benutzer geschützt, die diese Updates auch installieren. Durch das Scannen von Angriffsflächen auf Netzwerk- und Host-Ebene können IT-Sicherheitsteams auf Schwachstellen aufmerksam werden, die sie anfällig für DoS-Attacken machen. Einmal gewarnt, können Verteidiger aktiv werden und die erforderlichen Updates einspielen oder anfällige Konfigurationen anpassen.

Arten von DoS-Angriffen

DoS-Angriffe nutzen viele verschiedene Techniken, zum Beispiel die Überflutung von Netzwerken mit übermäßigem Datenverkehr, die Ausnutzung von Softwareschwachstellen oder die Manipulation von Funktionen auf Anwendungsebene. Das Verständnis der Funktionsweise von DoS-Angriffen und ihrer potenziellen Auswirkungen ist für Unternehmen entscheidend, um umfassende Verteidigungsstrategien zu entwickeln und das Risiko solcher Störungen zu minimieren.

Zu den wichtigsten Kategorien von DoS-Angriffen gehören:

Volumenbasierte DoS-Angriffe: Volumenbasierte DoS-Attacken überlasten die Netzwerkbandbreite oder Rechenressourcen des Zielsystems wie CPU und RAM mit großen Datenmengen, sodass das Netzwerk nicht mehr in der Lage ist, seinen ursprünglichen Zweck zu erfüllen.
DoS-Angriffe auf Anwendungs- und Protokoll-Ebene: Diese Angriffe zielen auf Schwachstellen in Softwareanwendungen oder Netzwerkprotokollen ab, die sich auf jeder Ebene des Protokoll-Stacks befinden. Eindringlinge nutzen Fehler in einer Protokollspezifikation, eine fehlerhafte Anwendungslogik oder Systemkonfigurationen aus, um das Zielsystem zu destabilisieren oder zum Absturz zu bringen.
Amplification DoS-Angriffe: Bei Amplification-Attacken werden bestimmte Protokolle ausgenutzt, die eine Antwort erzeugen, die größer ist als die ursprüngliche Anfrage. Angreifer senden kleine Anfragen an ihr Ziel, das dann mit großen Paketen antwortet. Diese Taktik verstärkt die Auswirkungen auf das Opfer um das 100-fache der ursprünglichen Anfragegröße.
Reflection DoS-Angriffe: Der Angreifer sendet hierbei eine Anfrage an einen Dienst, ersetzt jedoch die Quell-IP durch die IP-Adresse des Opfers. Der Server sendet dann seine Antwort an das Opfer und „spiegelt“ die gefälschten Anfragen des Angreifers wider. Reflection-Angriffe basieren in der Regel auf UDP (User Datagram Protocol), da es verbindungslos ist. Im Gegensatz zu TCP überprüfen UDP-basierte Dienste die Quell-IP der empfangenen Daten nicht automatisch.
Distributed Denial of Service (DDoS): DDoS-Angriffe nutzen eine große Menge kompromittierter Geräte (oft als Botnet bezeichnet), um überwältigende Mengen an Datenverkehr an ein Ziel zu senden. Botnets bestehen aus gehackten Webservern oder SOHO-Routern (Small Office, Home Office) aus der ganzen Welt und werden zentral von den Angreifern gesteuert. Dass DDoS-Angriffe von vielen verschiedenen IP-Adressen stammen, macht es viel komplizierter, sie zu entschärfen. Legitime Benutzer sind schwierig zu identifizieren, und es ist nahezu unmöglich, die große Anzahl individueller IP-Adressen des Botnets zu blockieren.

Mit Greenbone gegen Systemausfall

Staatliche Cybersicherheitsbehörden aller NATO-Länder wie Deutschland, die USA und Kanada bezeichnen das Schwachstellenmanagement als oberste Priorität bei der Abwehr von DoS-Angriffen. Durch das Scannen nach bekannten Schwachstellen hilft Greenbone, Einfallstore für DoS-Angriffe zu schließen. Greenbone-Lösungen erkennen viele bekannte Fehlkonfigurationen und CIS-Benchmark-Kontrollen und verringern damit den Beitrag menschlichen Versagens zum Problem. Schwachstellentests werden zudem täglich aktualisiert, um die neuesten Sicherheitslücken zu identifizieren, die DoS-Angriffe erlauben könnten.

Die Schwachstellentests von Greenbone beinhalten eine eigene Denial-of-Service-Kategorie, die auch in anderen Testfamilien integriert ist, wie bei Datenbank-DoS-Tests, Webanwendungs-DoS-Tests, Webserver-DoS-Tests oder Windows-DoS-Tests [1][2]. Ebenso gibt es Tests in vielen Produkten für Unternehmensnetze wie für Cisco, F5, Juniper Networks oder Palo Alto, die DoS-spezifische Schwachstellen aufspüren. Wenn Sie Greenbone zum Scannen Ihrer Netzwerke und Endpunkte verwenden, haben Sie Zugriff auf über 4.900 Tests, mit denen sich Schwachstellen identifizieren lassen, die für DoS-Attacken ausgenutzt werden könnten.

Wenn der „Safe Checks“-Schutz von Greenbone für eine Scankonfiguration deaktiviert ist, führt unser Scanner aktive Angriffe wie zum Beispiel Amplification-DoS-Angriffe durch. Da diese Tests ein höheres Risiko bergen, wie etwa die größere Wahrscheinlichkeit von Service-Unterbrechungen, ist die Funktion „Safe Checks“ standardmäßig aktiviert, was bedeutet, dass die erweiterten invasiven Scans nur durchgeführt werden, wenn sie speziell dafür konfiguriert wurden.

Zwar gibt es keine bekannte Cybersicherheitsmaßnahme, die Schutz vor allen DoS-Angriffen wie hochvolumige DDoS-Attacken garantieren kann, doch die proaktive Identifizierung und Behandlung bekannter Schwachstellen beseitigt die „low-hanging fruits“, die Angreifer ausnutzen können. Durch die Beseitigung bekannter Schwachstellen aus der IT-Infrastruktur kann eine Organisation vermeiden, selbst Teil des Problems zu werden – denn gekaperte IT-Ressourcen werden von Angreifern oft für DDoS-Angriffe auf andere genutzt.

Zusammenfassung

DoS-Angriffe (Denial of Service) zielen darauf ab, die Verfügbarkeit von IT-Systemen zu (zer)stören, indem sie diese mit Datenverkehr überschwemmen oder bekannte Software-Schwachstellen ausnutzen. Die umfassenden Lösungen von Greenbone zur Schwachstellenanalyse können potenzielle Eintrittspunkte für DoS-Angriffe identifizieren und ermöglichen es Unternehmen, ihre Abwehr zu stärken und das Risiko solcher Attacken zu minimieren. Durch proaktives Schwachstellenmanagement und kontinuierliche Überwachung unterstützt Greenbone Unternehmen dabei, die Auswirkungen potenziell zerstörerischer DoS-Angriffe zu erkennen und zu mindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

6. November 2024/von Greenbone AG

… und Action! Greenbone auf der it-sa Expo&Congress

Blog

Kommende Woche startet die it-sa, eine der größten Plattformen für IT-Security-Lösungen. Unser CEO Dr. Jan-Oliver Wagner wird am Eröffnungstag, dem 22. Oktober 2024, ab 11:00 Uhr zeigen, wie Unternehmen dauerhaft und in Krisensituationen handlungsfähig bleiben können. Unter dem Titel „Sicher sein und sicher bleiben“ weist er im Forum 6-B Wege aus der wachsenden Bedrohungslage durch Cyberrisiken. Nicht umsonst aber heißt der Überblick über die Möglichkeiten und Potenziale von Schwachstellenmanagement nicht „Vortrag“, sondern „Action“: Handeln ist gefragt!

Werden Sie aktiv!

In Zeiten, in denen Ransomware-Banden mehrstellige Millionenbeträge zu erpressen versuchen, gilt es für Unternehmen und Organisationen, möglichst frühzeitig für die Sicherheit der IT-Systeme mit ihren Daten und Kommunikationswegen tätig zu werden. Jede Investition in die eigene Cybersicherheit macht sich um ein Vielfaches bezahlt, vergleicht man die Anschaffungskosten einer entsprechenden proaktiven Lösung mit den Kosten, die durch den Schaden entstehen – und die mit dem Zahlen von Lösegeldern bei Weitem nicht abgegolten sind. Wie bei jeder Rechnung mit Zins und Zinseszins: Je früher die Investition begonnen wird, desto mehr zahlt sie sich aus.

Die Lösungen von Greenbone setzen am frühestmöglichen Zeitpunkt der Entstehungsgeschichte von Cyberrisiken an: Dem Auffinden von Sicherheitslücken in der eigenen IT-Infrastruktur. So geht das Schwachstellenmanagement Hand in Hand mit einer fundierten Security-Strategie, in deren Rahmen kontinuierlich Sicherheitsdaten bereitgestellt, Systeme überwacht und Ergebnisse verglichen und ausgewertet werden.

Wissensvorsprung verschaffen

Weil Kriminelle ihre Angriffe auf die Netzwerke ihrer Opfer so einfach und so flächendeckend wie möglich gestalten, um ihre Gewinne zu maximieren, sollten IT-Verantwortliche es ihnen hierbei so schwer wie möglich machen. Schwachstellenmanagement bietet Unternehmen einen entscheidenden Vorsprung im Wettlauf mit potenziellen Angreifern. Sicherheitslücken werden zwar häufig schon vor ihrer öffentlichen Bekanntgabe ausgenutzt, sind sie aber erst einmal offiziell bekannt, kommt der Wettlauf zwischen Angreifer und Angegriffenem in die heiße Phase: Angriffsvektoren sollten jetzt schneller geschlossen werden, als Cyberkriminelle sie ausnutzen können.

Risiken managen

Damit das Sicherheitsrisiko gar nicht so weit eskaliert, greifen die Lösungen von Greenbone auf mittlerweile über 180.000 automatisierte Schwachstellentests zu. Sie reduzieren damit die potenzielle Angriffsfläche um 99 Prozent im Vergleich zu Unternehmen, die kein Vulnerability Management einsetzen. Diese immensen Möglichkeiten der Risikominimierung setzen ein umsichtiges Security-Management voraus. Denn je mehr Schwachstellen offengelegt werden, desto drängender wird die Frage, welche Aktionen zuerst eingeleitet werden müssen. Welche IT-Systeme brauchen Soforthilfe? Welche Assets und Interaktionspfade im Unternehmen sind besonders kritisch und durch welche Sicherheitsmaßnahmen zu bevorzugen?

Nur wer plausible Antworten auf diese Fragen hat, wird das Gesamtrisiko für Cyberangriffe auch dauerhaft so gering wie möglich halten können. Welche Prioritäten gesetzt werden sollten und wie eine entsprechende „Triage“ unter Daten und Systemen im operativen Alltag praktiziert werden kann, wird Jan-Oliver Wagner auf der it-sa in der Action „Sicher sein und sicher bleiben“ zeigen. Seien Sie dabei!

Besuchen Sie uns auf unserem Stand 6-346 oder vereinbaren Sie gleich einen Termin und sichern Sie sich Ihr Gratis-Ticket zur Messe. Wir freuen uns auf Ihren Besuch!

Jetzt Termin vereinbaren!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

16. Oktober 2024/von Andreas Bergler

NIS2-Umsetzungsgesetz lässt auf sich warten: Zeit zum Handeln

Blog

Auch wenn die Bundesregierung es wohl nicht geschafft hat, die notwendigen Umsetzungen der NIS2-Richtlinie fristgerecht auf den Weg zu bringen, sollten Unternehmen und Behörden nicht nachlassen. NIS2 kommt, zwar nicht wie geplant noch im Oktober, sondern erst im Frühjahr 2025, doch die Kerninhalte bleiben gleich. Ganz unabhängig vom schlussendlichen Termin gehört professionelles Schwachstellenmanagement wie das von Greenbone zwingend dazu.

Eigentlich hatten alle von NIS2 betroffenen Unternehmen und Organisationen schon acht Jahre Zeit, um sich einzuarbeiten und angemessene Maßnahmen zu treffen. Wer seine Hausaufgaben gemacht hat, wird bemerkt haben: Zwar kommt da viel Arbeit auf Firmen zu, vor allem auf Betreiber kritischer Infrastrukturen, aber das meiste ist doch überaus klar und wohldefiniert. Aber dass die NIS2-Umsetzung und -Einführung dennoch nicht immer einfach ist, zeigt derzeit der Deutsche Bundestag exemplarisch.

Acht Jahre verstrichen, Startschuss verpasst

Theoretisch wäre Ende Oktober der Startschuss für das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) gefallen, doch aus dem von der EU auch für Deutschland verordneten Termin vom 17.10.2024 wird nichts. Die Referentenentwürfe von 2023 und 2024 fanden keine Mehrheit, selbst das Innenministerium ist skeptisch und „rechnet nicht mit einer fristgerechten Einführung der NIS2-Richtlinie“. Das geht aus einer Antwort des Ministeriums auf eine Anfrage des BVMW (Bundesverband mittelständische Wirtschaft – Unternehmerverband Deutschlands) hervor. „Wann die NIS2-Richtlinie kommt, die für den 17. Oktober 2024 geplant war, ist offenbar völlig unklar. In der Antwort des Innenministeriums heißt es lediglich, dass bei einem zügigen parlamentarischen Verfahren ein Inkrafttreten des Gesetzes im ersten Quartal 2025 möglich sei.“

NIS2-Studie: Unternehmen akzeptieren die Vorschriften

Dabei ergibt NIS2 durchaus Sinn und trifft auf hohe Akzeptanz, vor allem in sicherheitsrelevanten Branchen und Firmen, auch wenn diese selbst zugeben müssen, noch nicht perfekt vorbereitet zu sein. 38 Prozent halten NIS2 für überfällig, 67 Prozent gehen davon aus, dass Cyberattacken weiter zunehmen werden, und 84 Prozent wissen: Das Budget wird steigen. 34 Prozent der Unternehmen werden zukünftig in Schwachstellenmanagement investieren. Diese Zahlen stammen aus einer aktuellen, umfangreichen Studie von techconsult im Auftrag von Plusnet, die auch den Sinn und Zweck von NIS2 zusammenfasst: „Unternehmen und Organisationen werden angewiesen, robuste Sicherheitsmaßnahmen zu implementieren, regelmäßige Risikoanalysen durchzuführen und angemessene Schutzmechanismen gegen Cyberangriffe einzurichten. Eine erhöhte Transparenz und Reaktionsfähigkeit sollen dazu beitragen, Bedrohungen schneller zu identifizieren und einzudämmen.“

Top-Investitionsfelder von Unternehmen im Bereich Cybersicherheit: Sicherheitsschulungen (45 %), ISO-Zertifikate (44 %), Awareness-Trainings (42 %), sichere Kommunikation, EDR, SIEM, KI-Lösungen, automatisierte Schwachstellenscans (je 34 %).

Quelle: „NIS2 Readiness in deutschen Unternehmen“ techconsult GmbH/ Plusnet, 2024

Unternehmen und Organisationen werden so verpflichtet, Sicherheitsvorfälle innerhalb von 24-Stunden-Fristen zu melden. KRITIS-Betreiber setzen schon lange auf Systeme zur Angriffserkennung. Vor allem die schon von NIS1 betroffenen Unternehmen (55 %) setzen auf modernste Formen der Cyberabwehr – gegenüber Firmen, die durch NIS2 neu hinzukommen (44 %). Nachlassen sollten CISOs dennoch nicht, es gibt noch viel zu tun: Die von NIS1 betroffenen Unternehmen rangieren laut Studie, auch um zehn Prozent höher als die erweiterten NIS2-Sektoren, „unter anderem bei der Intrusion Detection & Prevention und automatisierten Schwachstellen-Scans“.

51 Prozent aller befragten Unternehmen und Organisationen verwenden SIEM-Lösungen (Security Information and Event Management), um Bedrohungen, Muster und Anomalien in großen Datenmengen frühzeitig zu identifizieren und Sicherheitsvorfälle zu verhindern.

„Diese Fähigkeit ist in Zeiten, in denen Cyberangriffe immer raffinierter werden, besonders wertvoll“, schreiben die Autoren der Studie. Dazu kommen Systemmonitoring, Logging und Reporting sowie Data Loss Prevention.

Neun von zehn Unternehmen wollen mehr in Sicherheit investieren

84 Prozent der Unternehmen und Organisationen werden ihr Security-Budget erhöhen, im Durchschnitt um zehn Prozent, größere Unternehmen sogar bis zu zwölf Prozent. Erst 29 Prozent haben Sicherheitsmaßnahmen voll umgesetzt, weitere 32 Prozent teilweise. Hauptgründe dafür sind der Fachkräftemangel, mangelndes Bewusstsein (Awareness) bei den eigenen Mitarbeitern, aber auch der Zeitplan, also die gebotene Eile.

Gleichwohl betrachten die Firmen die anstehende Umsetzung der NIS2-Richtlinie nicht nur als Kostenfaktor und Belastung, sondern auch als Chance, „die eigene Cyberresilienz zu stärken, Geschäftsprozesse zu optimieren und das Vertrauen von Kunden und Partnern zu gewinnen“.

Kontrastprogramm: Verzögerungen in der Politik

Wer aber die jüngsten Debatten in der Politik und die Analysen von Institutionen wie dem Bundesrechnungshof und Manuel Atug (Sprecher der AG KRITIS) verfolgt, der bekommt schnell den Eindruck, dass auf staatlicher Seite gerade Vertrauen verspielt wird. Sogar der Bundesrechnungshof kritisiert die geplanten Ausnahmen von der NIS2-Regelung für Behörden. Er fordere daher, so das Nachrichtenmagazin heise, den Gesetzesentwurf im parlamentarischen Verfahren nachzubessern. „Ausnahmen von den zentralen Vorgaben zur Informations- und Cybersicherheit sollten begrenzt werden und die Koordinatorin oder der Koordinator für Informationssicherheit sollte angemessene Aufgaben und Befugnisse erhalten, so zwei Kernforderungen. Auch seien die Bedarfe der Bundesbehörden an zusätzlichen Haushaltsmitteln kritisch zu hinterfragen.“

Trotz aller Streitpunkte winkt der Bundesrat Ende September eine Vorlage einfach durch, in „einer Minute und einer Sekunde“, wie Atug süffisant bemerkt. Wirkungslos ist das jedoch nicht, beispielsweise im Gesundheitswesen. Da könnten „künftig große Praxen, Berufsausübungsgemeinschaften und Medizinische Versorgungszentren Betreiber kritischer Anlagen werden“. Aber auch andere große ambulante Einrichtungen, umsatzstarke Praxen aus der Radiologie und Nuklearmedizin, Nephrologie oder Laboratoriumsmedizin könnten so als wichtige Einrichtungen relevant werden und unter die NIS2-Regeln fallen.

Verbrannte Erde, verlorene Zeit?

Es macht es nicht leichter, dass für Krankenhäuser auch noch besondere Übergangsfristen gelten. § 108 SGB V schreibt hier fünf Jahre vor, nun hat man eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. „Erste Nachweise kommen damit erst frühestens 2030“, zeigt sich Atug enttäuscht. Seine Kritik: „Sowohl die Bundesländer als auch das Gesundheitswesen sollen Cybersicherheit nur nach dem Minimalprinzip angehen, was der aktuellen Bedrohungslage als auch dem Lagebild Gesundheit absolut nicht gerecht wird.“ Die vielen Ausnahmen und das Verschweigen bekannter Defizite drohen hier, einen Flickenteppich von Ausnahmen zu schaffen, der niemandem helfe.

Warum Unternehmen jetzt investieren müssen

Die Studie von Plusnet zeigt klar: Das Bewusstsein in betroffenen Betrieben ist da, die Investitionsbereitschaft ebenso. Der Bundesrechnungshof und die AG KRITIS haben nachhaltig und laut bekundet, wie wichtig aktives Handeln jetzt ist – und ebenso laut ihrer Enttäuschung Ausdruck verliehen, dass gerade die Politik da nicht handelt, zumindest nicht angemessen. Unternehmen und Organisationen hingegen sind keineswegs die Hände gebunden: Was kommt, ist klar, auch hier im Greenbone Blog haben wir immer wieder darauf hingewiesen.

Spätestens nächstes Jahr werden viele Aspekte der IT-Security neu aufgerollt, und Schwachstellenmanagement wie Greenbones Enterprise Produkte spielen dabei eine wichtige Rolle.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

15. Oktober 2024/von Markus Feilner

September 2024 Threat Tracking: Geschwindigkeit vor Sicherheit?

Blog

Ein Bericht des Weltwirtschaftsforums von 2023, in dem 151 Führungskräfte von Unternehmen weltweit befragt wurden, ergab, dass 93 % der Cyber-Führungskräfte und 86 % der Unternehmensleiter glauben, dass in den nächsten zwei Jahren eine Cyber-Katastrophe wahrscheinlich ist. Dennoch stellen viele Softwareanbieter die schnelle Entwicklung und Produktinnovation über die Sicherheit. In diesem Monat erklärte CISA-Direktorin Jen Easterly, dass Softwareanbieter „Probleme schaffen, die Bösewichten Tür und Tor öffnen“ und dass „wir kein Cybersicherheitsproblem haben, sondern ein Softwarequalitätsproblem“. Nachgelagert profitieren die Kunden von innovativen Softwarelösungen, sind aber auch den Risiken von schlecht geschriebenen Softwareanwendungen ausgesetzt: finanziell motivierte Ransomware-Angriffe, Wiper-Malware, Spionage durch Nationalstaaten und Datendiebstahl, kostspielige Ausfallzeiten, Rufschädigung und sogar Insolvenz.

So scharfsinnig die Position der Direktorin auch sein mag, so sehr verdeckt sie doch die wahre Cyber-Risikolandschaft. So hat Bruce Schneier bereits 1999 festgestellt, dass die Komplexität der IT die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Fehlkonfigurationen führen [1][2][3]. Greenbone identifiziert sowohl bekannte Software-Schwachstellen als auch Fehlkonfigurationen mit branchenführenden Schwachstellentests und Konformitätstests, die CIS-Kontrollen und andere Standards wie die BSI-Basiskontrollen für Microsoft Office bestätigen.

Letztendlich tragen Unternehmen eine Verantwortung gegenüber ihren Interessengruppen, den Kunden und der Öffentlichkeit. Auf diese Verantwortung müssen sie sich konzentrieren und sich mit grundlegenden IT-Sicherheitsmaßnahmen wie einem Schwachstellenmanagement schützen. Im „September 2024 Threat Tracking“ geben wir einen Überblick über die schwerwiegendsten neuen Entwicklungen in der Cybersicherheitslandschaft, die sowohl für kleine Unternehmen als auch für große Organisationen eine Bedrohung darstellen.

SonicOS in Akira-Ransomware-Kampagnen

CVE-2024-40766 (CVSS 10 Kritisch), eine Sicherheitslücke, die sich auf SonicWalls Flaggschiff-Betriebssystem SonicOS auswirkt, wurde als ein bekannter Vektor für Kampagnen identifiziert, die Akira-Ransomware verbreiten. Akira, ursprünglich in C++ geschrieben, ist seit Anfang 2023 aktiv. Eine zweite, auf Rust basierende Version wurde in der zweiten Hälfte des Jahres 2023 zur dominierenden Variante. Es wird angenommen, dass die Hauptgruppe hinter Akira aus der aufgelösten Conti-Ransomware-Bande stammt. Akira wird jetzt als Ransomware-as-a-Service (RaaS) betrieben, die eine doppelte Erpressungstaktik gegen Ziele in Deutschland und in der EU, Nordamerika und Australien einsetzt. Bis Januar 2024 hatte Akira über 250 Unternehmen und kritische Infrastrukturen kompromittiert und über 42 Millionen US-Dollar erpresst.

Die Taktik von Akira besteht darin, bekannte Schwachstellen für den Erstzugang auszunutzen, beispielsweise:

CVE-2024-37085 in VMware ESXi-Hypervisoren
CVE-2020-3259 und CVE-2023-20269 in Cisco ASA/FTD
CVE-2021-21972 in VMware vCenter Server und VMware Cloud Foundation
CVE-2019-6693 und CVE-2022-40684 in Fortinet FortiOS

Greenbone führt Tests durch, um SonicWall-Geräte zu identifizieren, die für CVE-2024-40766 [1][2] und alle anderen Schwachstellen anfällig sind, die von der Akira-Ransomware-Bande für den Erstzugang ausgenutzt werden.

Wichtiger Patch für Veeam Backup und Wiederherstellung

Ransomware ist die größte Cyber-Bedrohung, insbesondere im Gesundheitswesen. Das US-Gesundheitsministerium (HHS) berichtet, dass in den letzten fünf Jahren große Sicherheitsverletzungen um 256 % und Ransomware-Vorfälle um 264 % zugenommen haben. Unternehmen haben darauf mit proaktiven Cybersicherheitsmaßnahmen reagiert, um den Erstzugriff zu verhindern, sowie mit wirksameren Reaktionen auf Vorfälle einschließlich robusteren Lösungen für Backup and Recovery. Backup-Systeme sind daher ein Hauptziel für Ransomware-Betreiber.

Veeam ist ein weltweit führender Anbieter von Backup-Lösungen für Unternehmen und bewirbt seine Produkte als wirksamen Schutz gegen Ransomware-Angriffe. CVE-2024-40711 (CVSS 10 Kritisch), eine kürzlich bekannt gewordene Schwachstelle in Veeam Backup and Recovery, ist besonders gefährlich, da sie es Hackern ermöglichen könnte, die letzte Schutzlinie gegen Ransomware anzugreifen: Backups. Die Schwachstelle wurde von Florian Hauser von CODE WHITE GmbH, einem deutschen Forschungsunternehmen für Cybersicherheit, entdeckt und gemeldet. Die unbefugte Remote Code Execution (RCE) über CVE-2024-40711 wurde von Sicherheitsforschern innerhalb von 24 Stunden nach der Veröffentlichung verifiziert, und ein Proof-of-Concept-Code ist nun öffentlich online verfügbar, was das Risiko noch erhöht.

Veeam Backup & Replication Version 12.1.2.172 und alle früheren v12-Builds sind anfällig, und Kunden müssen die betroffenen Instanzen dringend patchen. Greenbone kann CVE-2024-40711 in Veeam Backup and Restoration erkennen, sodass IT-Sicherheitsteams den Ransomware-Banden damit einen Schritt voraus sind.

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

RADIUS ist ein leistungsfähiges und flexibles Authentifizierungs-, Autorisierungs- und Abrechnungsprotokoll (AAA), das in Unternehmensumgebungen verwendet wird, um die vom Benutzer eingegebenen Anmeldeinformationen mit einem zentralen Authentifizierungsdienst wie Active Directory (AD), LDAP oder VPN-Diensten abzugleichen. CVE-2024-3596, genannt Blast-RADIUS, ist ein neu veröffentlichter Angriff auf die UDP-Implementierung von RADIUS, der von einer speziellen Website, einem Forschungspapier und Angriffsdetails begleitet wird. Proof-of-Concept-Code ist auch aus einer zweiten Quelle verfügbar.

Blast-RADIUS ist ein AiTM-Angriff (Adversary in the Middle), der eine Schwachstelle in MD5 ausnutzt, die ursprünglich im Jahr 2004 entdeckt und 2009 verbessert wurde. Forschende haben die Zeit, die zum Vortäuschen von MD5-Kollisionen benötigt wird, exponentiell reduziert und ihre verbesserte Version von Hashclash veröffentlicht. Der Angriff ermöglicht es einem aktiven AiTM, der sich zwischen einem RADIUS-Client und einem RADIUS-Server befindet, den Client dazu zu bringen, eine gefälschte Access-Accept-Antwort zu akzeptieren, obwohl der RADIUS-Server eine Access-Reject-Antwort ausgibt. Dies wird erreicht, indem eine MD5-Kollision zwischen der erwarteten Access-Reject- und einer gefälschten Access-Accept-Antwort berechnet wird, die es einem Angreifer ermöglicht, Login-Anfragen zu genehmigen.

Greenbone kann eine Vielzahl anfälliger RADIUS-Implementierungen in Unternehmensnetzwerken schützen, wie F5 BIG-IP [1], Fortinet FortiAuthenticator [2] und FortiOS [3], Palo Alto PAN-OS [4], Aruba CX Switches [5] und ClearPass Policy Manager [6]. Auf Betriebssystemebene schützt Greenbone dabei unter anderem Oracle Linux [7][8], SUSE [9][10][11], OpenSUSE [12][13], Red Had [14][15], Fedora [16][17], Amazon [18], Alma [19][20] und Rocky Linux [21][22].

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

CVE-2024-27348 (CVSS 9.8 Kritisch) ist eine RCE-Sicherheitslücke im Open-Source Apache HugeGraph-Server, die alle Versionen 1.0 vor 1.3.0 in Java8 und Java11 betrifft. HugeGraph-Server bietet eine API-Schnittstelle zum Speichern, Abfragen und Analysieren komplexer Beziehungen zwischen Datenpunkten und wird häufig zur Analyse von Daten aus sozialen Netzwerken, bei Empfehlungsdiensten und zur Betrugserkennung verwendet.

CVE-2024-27348 ermöglicht es Angreifern, die Sandbox-Beschränkungen innerhalb der Gremlin-Abfragesprache zu umgehen, indem sie eine unzureichende Java-Reflection-Filterung verwendet. Ein Angreifer kann die Schwachstelle ausnutzen, indem er bösartige Gremlin-Skripte erstellt und sie über die API an den HugeGraph/gremlin-Endpunkt sendet, um beliebige Befehle auszuführen. Die Schwachstelle kann über einen entfernten, benachbarten oder lokalen Zugriff auf die API ausgenutzt werden und Privilegien erweitern.

In Hacking-Kampagnen wird sie aktiv ausgenutzt. Proof-of-Concept-Exploit-Code [1][2][3] und eine eingehende technische Analyse sind öffentlich verfügbar, sodass Cyberkriminelle einen Vorsprung bei der Entwicklung von Angriffen haben. Greenbone bietet eine aktive Prüfung und einen Versionserkennungstest, um verwundbare Instanzen von Apache HugeGraph-Server zu identifizieren. Den Benutzern wird empfohlen, auf die neueste Version zu aktualisieren.

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

In unserem Blog haben wir dieses Jahr mehrfach über Sicherheitslücken in Ivanti-Produkten berichtet [1][2][3]. September 2024 war ein weiterer heißer Monat für Schwachstellen in Ivanti-Produkten. Ivanti hat endlich die Sicherheitslücke CVE-2024-29847 (CVSS 9.8 Kritisch) gepatcht, eine RCE-Schwachstelle, die Ivanti Endpoint Manager (EPM) betrifft und erstmals im Mai 2024 gemeldet wurde. Proof-of-Concept-Exploit-Code und eine technische Beschreibung sind nun öffentlich verfügbar, was die Bedrohung erhöht. Obwohl es noch keine Hinweise auf eine aktive Ausnutzung gibt, sollte diese Sicherheitslücke mit hoher Priorität behandelt und dringend gepatcht werden.

Im September 2024 identifizierte die CISA jedoch auch vier neue Schwachstellen in Ivanti-Produkten, die aktiv ausgenutzt werden. Greenbone ist in der Lage, alle diese neuen Ergänzungen zu CISA KEV und frühere Schwachstellen in Ivanti-Produkten zu erkennen. Hier die Details:

CVE-2024-29824 (CVSS 9.6 Kritisch): Eine SQL-Injection-Schwachstelle [CWE-89] in der Core-Server-Komponente von Ivanti Endpoint Manager (EPM) 2022 SU5 und früher. Die Ausnutzung erlaubt einem nicht authentifizierten Angreifer mit Netzwerkzugang die Ausführung von beliebigem Code. Der Exploit-Code ist öffentlich auf GitHub verfügbar. Die Sicherheitslücke wurde erstmals im Mai 2024 bekannt gegeben.
CVE-2024-7593 (CVSS 9.8 Kritisch): Eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus [CWE-303] in Ivanti Virtual Traffic Manager (vTM) Version 22 mit Ausnahme der Versionen 22.2R1 oder 22.7R2 kann es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und auf das Admin-Panel zuzugreifen. CVE-2024-7593 wurde erst im August 2024 bekannt gegeben, dennoch ist bereits Exploit-Code verfügbar.
CVE-2024-8963 (CVSS 9.1 Kritisch): Ein Path Traversal [CWE-22] in Ivanti Cloud Services Appliance (CSA) Version 4.6 und früher ermöglicht einem entfernten, nicht authentifizierten Angreifer den Zugriff auf eingeschränkte Funktionen. Die Schwachstelle wurde am 19. September 2024 bekannt gegeben und in die CISA KEV aufgenommen. Ein Fix wurde von Ivanti bereits am 10. September herausgegeben, sodass Benutzer die Schwachstelle beheben können. Die von Ivanti empfohlene Abhilfemaßnahme ist jedoch ein Upgrade auf CSA 5.0. Die CSA-Version 4.6 hat ihr End-of-Life (EOL) für Sicherheitsupdates erst letzten Monat im August 2024 erreicht, aber gemäß seiner EOL-Richtlinie wird Ivanti noch ein Jahr lang Sicherheits-Patches herausgeben. In Verbindung mit der unten beschriebenen Sicherheitslücke CVE-2024-8190 kann die Administrator-Authentifizierung umgangen werden, sodass eine beliebige RCE auf CSA-Geräten möglich ist.
CVE-2024-8190 (CVSS 7.5 Hoch): Eine Schwachstelle zur OS Command Injection [CWE-78] in Ivanti Cloud Services Appliance (CSA) kann remote einem authentifizierten Angreifer RCE ermöglichen. Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen. Die empfohlene Abhilfemaßnahme ist ein Upgrade auf CSA 5.0, um weiterhin unterstützt zu werden. Proof-of-Concept-Exploit-Code ist für CVE-2024-8190 öffentlich verfügbar.

Zusammenfassung

Im Threat-Tracking-Blog dieses Monats haben wir wichtige Entwicklungen im Bereich der Cybersicherheit hervorgehoben, darunter kritische Schwachstellen wie CVE-2024-40766, die von der Ransomware Akira ausgenutzt werden, CVE-2024-40711, die sich auf Veeam Backup auswirkt, und der kürzlich bekannt gewordene BlastRADIUS-Angriff, der sich auf Enterprise AAA auswirken könnte. Proaktive Cybersecurity-Aktivitäten wie regelmäßiges Vulnerability Management und Compliance-Prüfungen tragen dazu bei, die Risiken von Ransomware, Wiper-Malware und Spionagekampagnen zu mindern, und ermöglichen es den Verteidigern, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

10. Oktober 2024/von Joseph Lee

August 2024 Threat Tracking: Bedrohungen auf dem Vormarsch

Blog

In der ersten Hälfte des Jahres 2024 war die Cybersicherheit für viele Unternehmen sehr prekär. Selbst in sehr wichtigen Bereichen führten kritische Schwachstellen zu einer permanenten Bedrohung durch Cyberangriffe. Die Verteidiger stehen damit im ständigen Kampf, die unaufhaltsam entstehenden Sicherheitslücken zu erkennen und zu beheben. Große Unternehmen sind Ziel ausgeklügelter „Großwild-Jagden“ von Ransomware-Banden, die den Ransomware-Jackpot knacken wollen. Die größte Auszahlung aller Zeiten wurde im August gemeldet – 75 Millionen Dollar an die Dark Angels-Bande. Kleine und mittlere Unternehmen sind ebenfalls täglich Ziel von automatisierten „Mass Exploitation“-Angriffen, die ebenfalls häufig auf die Verbreitung von Ransomware abzielen [1][2][3].

Ein kurzer Blick auf die „Top Routinely Exploited Vulnerabilities“ der CISA zeigt, dass Cyberkriminelle zwar neue Informationen zu CVE (Common Vulnerabilities and Exposures) innerhalb weniger Tage oder sogar Stunden in Exploit-Code umwandeln können, ältere Schwachstellen aus den vergangenen Jahren aber immer noch auf ihrem Radar haben.

Im Threat Tracking dieses Monats beleuchten wir einige der größten Risiken für die Cybersicherheit in Unternehmen. Dabei geht es um Schwachstellen, die kürzlich als aktiv ausgenutzt gemeldet wurden, und andere kritische Schwachstellen in IT-Produkten von Unternehmen.

BSI findet Fehler in LibreOffice

OpenSource Security hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Sicherheitslücke in LibreOffice entdeckt. Unter der Bezeichnung CVE-2024-6472 (CVSS 7.8 Hoch) wurde festgestellt, dass Benutzer in LibreOffice-Dokumenten eingebettete unsignierte Makros aktivieren und damit die Einstellung „Hochsicherheitsmodus“ außer Kraft setzen können. Während die Ausnutzung der Schwachstelle menschliche Interaktion erfordert, vermittelt sie ein falsches Gefühl von Sicherheit, da nicht signierte Makros nicht ausgeführt werden können, wenn der Hochsicherheitsmodus aktiviert ist.

KeyTrap: DoS-Angriff gegen DNSSEC

Im Februar 2024 enthüllten Wissenschaftler des deutschen Nationalen Forschungszentrums für Angewandte Cybersicherheit (ATHENE) in Darmstadt den „schlimmsten Angriff auf DNS, der jemals entdeckt wurde“. Den deutschen Forschern zufolge kann ein einziges Paket einen „Denial of Service“ (DoS) verursachen, indem es einen DNS-Resolver während der DNSSEC-Validierung überflutet. Unter dem Namen „KeyTrap“ können Angreifer die Schwachstelle ausnutzen, um Clients, die einen kompromittierten DNS-Server verwenden, am Zugriff auf das Internet oder lokale Netzwerkressourcen zu hindern. Schuld daran ist ein Designfehler in der aktuellen DNSSEC-Spezifikation [RFC-9364], der mehr als 20 Jahre zurückliegt [RFC-3833].

Die im Februar 2024 veröffentlichte und als CVE-2023-50387 (CVSS 7.5 Hoch) verfolgte Sicherheitslücke gilt als trivial und der Proof-of-Concept-Code ist auf GitHub verfügbar. Die Verfügbarkeit von Exploit-Code bedeutet, dass Kriminelle mit geringen Kenntnissen leicht Angriffe starten können. Greenbone kann Systeme mit anfälligen DNS-Anwendungen, die von CVE-2023-50387 betroffen sind, mit lokalen Sicherheitsüberprüfungen (LSC) für alle Betriebssysteme identifizieren.

CVE-2024-23897 in Jenkins hilft, um in indische Bank einzubrechen

CVE-2024-23897 (CVSS 9.8 Kritisch) in Jenkins (Versionen 2.441 und LTS 2.426.2 und früher) wird aktiv ausgenutzt und in Ransomware-Kampagnen verwendet, sogar gegen die National Payments Corporation of India (NPCI). Jenkins ist ein Open-Source Automation Server, der in erster Linie für die kontinuierliche Integration (CI) und die kontinuierliche Bereitstellung (CD) bei Software Development Operations (DevOps) verwendet wird.

Das Command Line Interface (CLI) in den betroffenen Versionen von Jenkins enthält eine Path Traversal-Schwachstelle [CWE-35], die durch eine Funktion verursacht wird, die das @-Zeichen gefolgt von einem Dateipfad durch den tatsächlichen Inhalt der Datei ersetzt. Dies ermöglicht es Angreifern, den Inhalt sensibler Dateien zu lesen, einschließlich solcher, die unbefugten Zugriff und anschließende Codeausführung ermöglichen. CVE-2024-23897 und ihre Verwendung in Ransomware-Angriffen folgen einer gemeinsamen Warnung der CISA und des FBI an Softwarehersteller, in ihren Produkten Schwachstellen in Bezug auf Pfad-Querungen zu beheben [CWE-35]. Greenbone enthält eine aktive Prüfung [1] und zwei Tests zur Versionserkennung [2][3], um verwundbare Versionen von Jenkins unter Windows und Linux zu identifizieren.

2 neue aktiv genutzte CVEs in Apache OFBiz

Apache OFBiz (Open For Business) ist eine beliebte Open-Source Software für ERP (Enterprise Resource Planning) und E-Commece, die von der Apache Software Foundation entwickelt wurde. Im August 2024 warnte die CISA die Cybersecurity Community vor einer aktiven Ausnutzung von Apache OFBiz über CVE-2024-38856 (CVSS 9.8 Kritisch), die Versionen vor 18.12.13 betrifft. CVE-2024-38856 ist eine Path-Traversal-Schwachstelle [CWE-35], die die „Override View“-Funktion von OFBiz betrifft und nicht authentifizierten Angreifern eine Remote Code Execution (RCE) auf dem betroffenen System ermöglicht.

CVE-2024-38856 umgeht eine zuvor gepatchte Schwachstelle, CVE-2024-36104, die erst im Juni 2024 veröffentlicht wurde, was darauf hindeutet, dass die erste Korrektur das Problem nicht vollständig behoben hat. Dies baut auch auf einer anderen Sicherheitslücke in OFBiz aus dem Jahr 2024 auf, CVE-2024-32113 (CVSS 9.8 Kritisch), die ebenfalls aktiv zur Verbreitung des Mirai-Botnetzes ausgenutzt wurde. Schließlich wurden Anfang September 2024 zwei neue CVEs mit kritischem Schweregrad, CVE-2024-45507 und CVE-2024-45195 (CVSS 9.8 Kritisch), zur Liste der Bedrohungen hinzugefügt, die aktuelle Versionen von OFBiz betreffen.

Da aktive Exploits und PoC-Exploits (Proof of Concept) für CVE-2024-38856 [1][2] und CVE-2024-32113 [1][2] zur Verfügung stehen, müssen die Betroffenen dringend einen Patch installieren. Greenbone ist in der Lage, alle vorgenannten CVEs in Apache OFBiz sowohl mit aktiven als auch mit Versionsprüfungen zu erkennen.

CVE-2022-0185 im Linux-Kernel wird aktiv ausgenutzt

CVE-2022-0185 (CVSS 8.4 Hoch), eine Heap-Overflow-Schwachstelle im Linux-Kernel, wurde im August 2024 in die CISA KEV aufgenommen. Öffentlich verfügbarer PoC-Exploit-Code und detaillierte technische Beschreibungen der Schwachstelle haben zur Zunahme von Cyberangriffen unter Ausnutzung von CVE-2022-0185 beigetragen.

Bei CVE-2022-0185 wird in der Linux-Funktion „legacy_parse_param()“ innerhalb der Filesystem-Kontext-Funktionalität die Länge der übergebenen Parameter nicht ordnungsgemäß überprüft. Durch diesen Fehler kann ein nicht privilegierter lokaler User seine Privilegien auf den Root-User ausdehnen.

Greenbone konnte CVE-2022-0185 seit Offenlegung Anfang 2022 über Schwachstellen-Testmodule erkennen, die eine Vielzahl von Linux-Distributionen abdecken, darunter Red Hat, Ubuntu, SuSE, Amazon Linux, Rocky Linux, Fedora, Oracle Linux und Enterprise-Produkte wie IBM Spectrum Protect Plus.

Neue VoIP- und PBX-Schwachstellen

Im August 2024 wurden eine Handvoll CVEs veröffentlicht, die sich auf Sprachkommunikationssysteme in Unternehmen auswirken. Die Schwachstellen wurden in den VoIP-Systemen von Cisco für kleine Unternehmen und in Asterisk, einem beliebten Open-Source-PBX-Zweigstellensystem, aufgedeckt. Schauen wir uns die Einzelheiten an:

Cisco Small Business IP-Telefone mit RCE und DoS

Es wurden drei schwerwiegende Schwachstellen bekannt, die die Web-Management-Konsole der IP-Telefone der Cisco Small Business SPA300 Series und SPA500 Series betreffen. Diese Schwachstellen unterstreichen nicht nur, wie wichtig es ist, Management-Konsolen nicht dem Internet auszusetzen, sondern stellen auch einen Angriffsvektor für Insider oder ruhende Angreifer dar, die sich bereits Zugang zum Netzwerk eines Unternehmens verschafft haben, um ihre Angriffe auf höherwertige Vermögenswerte zu richten und den Geschäftsbetrieb zu stören.

Greenbone erkennt alle neu bekannt gewordenen CVEs in Cisco Small Business IP Phone. Hier eine kurze technische Beschreibung der einzelnen CVEs:

CVE-2024-20454 und CVE-2024-20450 (CVSS 9.8 Kritisch): Ein nicht authentifizierter Angreifer könnte remote beliebige Befehle auf dem zugrundeliegenden Betriebssystem mit Root-Rechten ausführen, da eingehende HTTP-Pakete nicht richtig auf ihre Größe geprüft werden, was zu einem Buffer Overflow führen kann.
CVE-2024-20451 (CVSS 7.5 Hoch): Ein nicht authentifizierter Angreifer kann remote ein betroffenes Gerät dazu bringen, unerwartet neu zu laden, was zu einem Denial of Service führt, da HTTP-Pakete nicht ordnungsgemäß auf ihre Größe überprüft werden.

CVE-2024-42365 in Asterisk PBX Telephonie-Toolkit

Asterisk ist eine Open-Source-Nebenstellenanlage (Private Branch Exchange; PBX) und ein Telefonie-Toolkit. PBX ist ein System zur Verwaltung der in- und externen Anrufweiterleitung und kann traditionelle Telefonleitungen (analog oder digital) oder VoIP (IP PBX) verwenden. CVE-2024-42365, veröffentlicht im August 2024, betrifft die Versionen von Asterisk vor 18.24.2, 20.9.2 und 21.4.2 sowie die zertifizierten Asterisk-Versionen 18.9-cert11 und 20.7-cert2. Auch wurde ein Exploit-Modul für das Metasploit-Framework veröffentlicht, das das Risiko noch erhöht. Eine aktive Ausnutzung in freier Wildbahn wurde jedoch noch nicht beobachtet.

Greenbone kann CVE-2024-42365 über Netzwerk-Scans erkennen. Hier eine kurze technische Beschreibung der Sicherheitslücke:

CVE-2024-42365 (CVSS 8.8 Hoch): Ein AMI-Benutzer mit „write=originate“ kann alle Konfigurationsdateien im Verzeichnis „/etc/asterisk/“ ändern. Er kann entfernte Dateien verkleinern und auf Festplatte schreiben, aber auch an bestehende Dateien anhängen, indem er die FILE-Funktion innerhalb der SET-Anwendung verwendet. Dieses Problem kann zu einer Privilegien-Erweiterung, Remote Code Execution oder zur Fälschung serverseitiger Requests mit beliebigen Protokollen führen.

Browser: eine ständige Bedrohung

CVE-2024-7971 und CVE-2024-7965, zwei neue Schwachstellen im Chrome-Browser mit hohem Schweregrad (CVSS 8.8), werden aktiv durch RCE ausgenutzt. Beide CVE können ausgelöst werden, wenn die Opfer dazu verleitet werden, einfach eine bösartige Webseite zu besuchen. Google räumt ein, dass der Exploit-Code öffentlich zugänglich ist, sodass auch wenig erfahrene Cyberkriminelle in der Lage sind, Angriffe zu starten. Für Google Chrome wurden in den letzten Jahren immer wieder neue Schwachstellen entdeckt und aktiv ausgenutzt. Ein kurzer Blick auf Mozilla Firefox zeigt einen ähnlichen kontinuierlichen Strom kritischer und schwerwiegender Sicherheitslücken; sieben kritische und sechs schwerwiegende Sicherheitslücken wurden im August 2024 in Firefox bekanntgegeben, obwohl keine aktive Ausnutzung dieser Schwachstellen gemeldet wurde.

Der ständige Ansturm auf Sicherheitslücken in den wichtigsten Browsern unterstreicht die Notwendigkeit, dafür zu sorgen, dass Updates installiert werden, sobald sie verfügbar sind. Aufgrund des hohen Marktanteils von Chrome von über 65 % (über 70 %, wenn man den auf Chromium basierenden Microsoft Edge berücksichtigt) erhalten die Schwachstellen dieses Browsers erhöhte Aufmerksamkeit von Cyberkriminellen. In Anbetracht der hohen Anzahl schwerwiegender Schwachstellen, die sich auf die V8-Engine von Chromium auswirken (bisher mehr als 40 im Jahr 2024), könnten Google Workspace-Administratoren in Erwägung ziehen, V8 für alle Nutzer in ihrer Organisation zu deaktivieren, um die Sicherheit zu erhöhen. Weitere Optionen zur Erhöhung der Browsersicherheit in Szenarien mit hohem Risiko sind die Verwendung von Remote-Browser-Isolierung, Netzwerksegmentierung und das Booten von sicheren Baseline-Images, um sicherzustellen, dass Endpunkte nicht gefährdet sind.

Greenbone umfasst aktive authentifizierte Schwachstellentests, um anfällige Versionen von Browsern für Linux, Windows und macOS zu identifizieren.

Zusammenfassung

Neue kritische und remote ausnutzbare Schwachstellen wurden in einem rekordverdächtigen Tempo inmitten eines brandgefährlichen Cyberrisiko-Umfelds aufgedeckt. Von IT-Sicherheitsteams zu verlangen, dass sie zusätzlich zur Anwendung von Patches neu entdeckte Schwachstellen manuell nachverfolgen, stellt eine unmögliche Belastung dar und birgt das Risiko, dass kritische Schwachstellen unentdeckt und somit ungeschützt bleiben. Schwachstellenmanagement gilt als grundlegende Cybersecurity-Aktivität; Verteidiger großer, mittlerer und kleiner Unternehmen müssen Tools wie Greenbone einsetzen, um Schwachstellen in der gesamten IT-Infrastruktur eines Unternehmens automatisch zu suchen und zu melden.

Die Durchführung automatischer Netzwerkschwachstellen-Scans und authentifizierter Scans der Host-Angriffsfläche jedes Systems kann die Arbeitsbelastung der Verteidiger drastisch reduzieren, indem sie ihnen automatisch eine Liste von Abhilfemaßnahmen zur Verfügung stellt, die nach dem Schweregrad der Bedrohung sortiert werden kann.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

26. September 2024/von Joseph Lee

Greenbone Enterprise-Produkte übertreffen alle Netzwerk-Schwachstellen-Scanner

Blog

OpenVAS wurde 2005 ins Leben gerufen, als Nessus von Open Source auf eine proprietäre Lizenz umgestellt wurde. Zwei Unternehmen, Intevation und DN Systems, übernahmen das bestehende Projekt und begannen, es unter einer GPL v2.0-Lizenz weiterzuentwickeln und zu pflegen. Seitdem hat sich OpenVAS zu Greenbone entwickelt, der weltweit meist genutzten und gelobten Open-Source-Lösung für Schwachstellenscanner und Schwachstellenmanagement. Wir sind stolz darauf, Greenbone sowohl als kostenlose Community Edition für Entwickler als auch als eine Reihe von Unternehmensprodukten mit unserem Greenbone Enterprise Feed für den öffentlichen Sektor und private Unternehmen anzubieten.

Als „alter Hase“ kennt Greenbone die Spiele, die Anbieter von Cybersicherheitsprodukten gerne in der Öffentlichkeit spielen. Unsere eigenen Ziele bleiben jedoch davon unberührt, denn wir halten uns an die Wahrheit über unser Produkt und die branchenführende Abdeckung von Schwachstellentests. Als wir den kürzlich von einem Mitbewerber veröffentlichten Benchmark-Bericht zu Netzwerk-Schwachstellen-Scannern 2024 gelesen haben, waren wir gelinde gesagt etwas schockiert.

Als Open-Source-Schwachstellen-Scanner mit der höchsten Anerkennung ist es nur logisch, dass Greenbone in den Wettbewerb um den Spitzenplatz aufgenommen wurde. Wir fühlen uns zwar geehrt, Teil des Tests zu sein, aber einige Fakten haben uns sehr zu denken gegeben. Denn in den Details sehen wir uns gezwungen, einiges klarzustellen…

Was der Benchmark-Test ergibt

Der von Pentest-Tools durchgeführte Benchmark-Test bewertet die führenden Schwachstellen-Scanner anhand zweier Faktoren: der Erkennungsverfügbarkeit (die CVEs, für die jeder Scanner Erkennungstests anbietet) und der Erkennungsgenauigkeit (wie effektiv diese Erkennungstests sind).

Bei dem Benchmark wurden die kostenlose Community Edition von Greenbone und der Greenbone Community Feed mit den Unternehmensprodukten anderer Anbieter verglichen: Qualys, Rapid7, Tenable, Nuclei, Nmap und das eigene Produkt von Pentest-Tools. In dem Bericht belegte Greenbone Platz 5 bei der Erkennungsverfügbarkeit und Platz 4 bei der Erkennungsgenauigkeit. Nicht schlecht, wenn man es mit den Titanen der Cybersicherheitsbranche aufnimmt.

Das einzige Problem ist, dass Greenbone, wie oben erwähnt, auch ein Unternehmensprodukt hat. Wenn die Ergebnisse unter Verwendung unseres Greenbone Enterprise Feeds neu berechnet werden, sind die Ergebnisse nämlich deutlich anders – Greenbone gewinnt haushoch.

Was unsere Recherche ergibt

Balkendiagramm aus dem Benchmark 2024 für Netzwerkschwachstellenscanner: Greenbone Enterprise erreicht mit 78 % Verfügbarkeit und 61 % Genauigkeit die höchsten Werte

Greenbone Enterprise führt das Feld der Schwachstellen-Scanner an.

Die Erkennungsverfügbarkeit unseres Enterprise Feed führt in der gesamten Gruppe

Nach unseren internen Ergebnissen, die im SecInfo-Portal eingesehen werden können, verfügt der Greenbone Enterprise Feed über Erkennungstests für 129 der 164 im Test enthaltenen CVEs. Das bedeutet, dass die Erkennungsverfügbarkeit unseres Enterprise-Produkts um erstaunliche 70,5% höher ist als angegeben, womit wir uns von allen anderen abheben.

Wichtig: Die Greenbone Enterprise Feed Tests sind nicht etwas, das wir nachträglich hinzugefügt haben. Greenbone aktualisiert sowohl die Community- als auch Enterprise-Feeds täglich, und wir sind oft die ersten, die Schwachstellentests veröffentlichen, wenn ein CVE veröffentlicht wird. Ein Blick auf unsere Schwachstellentests zeigt, dass diese vom ersten Tag an verfügbar waren.

Erkennungsgenauigkeit: stark unterschätzt

Zusätzlich kommt hinzu, dass Greenbone nicht wie die anderen Scanner arbeitet. Die Art und Weise, wie Greenbone entwickelt wurde, verleiht ihm starke, branchenführende Vorteile. Zum Beispiel kann unser Scanner über eine API gesteuert werden, die es Benutzer:innen ermöglicht, ihre eigenen Tools zu entwickeln und alle Funktionen von Greenbone auf jede beliebige Weise zu steuern. Zweitens gibt es bei den meisten anderen Schwachstellen-Scannern nicht einmal eine Bewertung der Erkennungsqualität (Quality of Detection, QoD).

Der Autor des Berichts stellte klar, dass er einfach die Standardkonfiguration für jeden Scanner verwendete. Ohne die korrekte Anwendung des QoD-Filters von Greenbone konnte der Benchmark-Test jedoch die tatsächliche CVE-Erkennungsrate von Greenbone nicht angemessen bewerten. Bei Anwendung dieser Ergebnisse liegt Greenbone erneut vorn und erkennt schätzungsweise 112 der 164 CVEs.

Zusammenfassung

Wir fühlen uns zwar geehrt, dass unsere Greenbone Community Edition in einem kürzlich veröffentlichten Benchmark für Netzwerk-Schwachstellen-Scanner den 5. Platz bei der Erkennungsverfügbarkeit und den 4. Platz bei der Erkennungsgenauigkeit belegt, es liegt aber auf der Hand, dass dabei unser Enterprise-Produkt im Rennen sein sollte. Schließlich umfasst der Benchmark auch die Unternehmenslösungen anderer Anbieter.

Bei einer Neuberechnung unter Verwendung des Enterprise Feeds steigt die Erkennungsverfügbarkeit von Greenbone auf 129 der 164 getesteten CVEs, was 70,5% über dem gemeldeten Wert liegt. Außerdem wird bei Verwendung der Standardeinstellungen Greenbones Quality of Detection (QoD) nicht berücksichtigt. Bereinigt um diese Versäumnisse liegt Greenbone an der Spitze der Konkurrenz. Als weltweit meistgenutzter Open-Source-Schwachstellen-Scanner ist Greenbone weiterhin führend bei der Abdeckung von Schwachstellen, der rechtzeitigen Veröffentlichung von Schwachstellentests und wirklich unternehmenstauglichen Funktionen wie einer flexiblen API-Architektur, fortschrittlicher Filterung und Quality-of-Detection-Bewertungen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

23. September 2024/von Greenbone AG

Schlagwortarchiv für: Schwachstellenmanagement

Jeder fünfte Vorfall kommt aus dem Healthcare-Sektor

Vorschriften des KRITIS-Dachgesetz

Besondere Bedrohungen im Gesundheitssektor

Großes Interesse an Greenbone-Lösungen

Prominente Besucher und inspirierende Gespräche

Fazit: Momentum für die Zukunft

Inhaltsverzeichnis

1. Zusammenfassung

2. Wer sind die CSAF-Stakeholder?

2.1. Rollen im CSAF 2.0-Prozess

2.1.1. CSAF 2.0 Ausstellende Parteien

2.1.1.1. Die Rolle des CSAF-Publishers

2.1.1.2. Die Rolle des CSAF-Providers

2.1.1.3. Die Rolle des Trusted Providers in CSAF

2.1.2. CSAF 2.0 Datenaggregatoren

2.1.2.1. Die Rolle des CSAF-Listers

2.1.2.2. Die Rolle des CSAF-Aggregators

3. Fazit

Internationale Bemühungen zur Bekämpfung von Ransomware

Hauptursache für Ransomware

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Unverschlüsselte Cookies in F5 BIG-IP LTM

Hochgefährliche Schwachstellen in Palo Alto Expedition

Vier kritische CVEs in Mozilla Firefox

Zusammenfassung

Die Bedrohung wächst

DoS-Angriffe lieben bekannte Schwachstellen

Arten von DoS-Angriffen

Mit Greenbone gegen Systemausfall

Zusammenfassung

Werden Sie aktiv!

Wissensvorsprung verschaffen

Risiken managen

Acht Jahre verstrichen, Startschuss verpasst

NIS2-Studie: Unternehmen akzeptieren die Vorschriften

Neun von zehn Unternehmen wollen mehr in Sicherheit investieren

Kontrastprogramm: Verzögerungen in der Politik

Verbrannte Erde, verlorene Zeit?

Warum Unternehmen jetzt investieren müssen

SonicOS in Akira-Ransomware-Kampagnen

Wichtiger Patch für Veeam Backup und Wiederherstellung

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

Zusammenfassung

BSI findet Fehler in LibreOffice

KeyTrap: DoS-Angriff gegen DNSSEC

CVE-2024-23897 in Jenkins hilft, um in indische Bank einzubrechen

2 neue aktiv genutzte CVEs in Apache OFBiz

CVE-2022-0185 im Linux-Kernel wird aktiv ausgenutzt

Neue VoIP- und PBX-Schwachstellen

Cisco Small Business IP-Telefone mit RCE und DoS

CVE-2024-42365 in Asterisk PBX Telephonie-Toolkit

Browser: eine ständige Bedrohung

Zusammenfassung

Was der Benchmark-Test ergibt

Was unsere Recherche ergibt

Die Erkennungsverfügbarkeit unseres Enterprise Feed führt in der gesamten Gruppe

Erkennungsgenauigkeit: stark unterschätzt

Zusammenfassung

Produkte & Lösungen

Service & Support

Über uns

Kontakt mit uns

Community