Beiträge

Mithilfe der Greenbone-Produkte können bekannte Schwachstellen in einer IT-Infrastruktur aufgespürt werden, um sie anschließend zu beseitigen. Den Schweregrad einer Schwachstelle zu bewerten, ist ein essenzielles Hilfsmittel, um die nachfolgenden Beseitigungsmaßnahmen zu planen und zu priorisieren. CVSS bietet solch eine Bewertung nach einem Kennzahlensystem. Seit 2021 unterstützen die aktuellen Greenbone-Lösungen auch die CVSS-Versionen 3.0 und 3.1. Zur selben Zeit hat Greenbone begonnen, alle Schwachstellentests, für die eine entsprechende Bewertung verfügbar ist, mit dieser zu versehen. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen und es gibt – soweit möglich – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

Hilfreiche Schweregrad-Kennzahlen

Jeder Cyber-Angriff benötigt eine Schwachstelle, um erfolgreich zu sein. Die meisten Schwachstellen, nämlich 999 von 1.000, sind bereits seit über einem Jahr bekannt und können daher proaktiv aufgedeckt und beseitigt werden. Zur Erkennung kommt dabei ein Greenbone-Schwachstellenscanner zum Einsatz, welcher die bekannten Schwachstellen in einer IT-Infrastruktur aufspürt.

Werden Schwachstellen aufgedeckt, können sie anschließend mit den unterschiedlichsten Maßnahmen beseitigt werden. Die am dringendsten zu beseitigenden Schwachstellen sind die, die ein kritisches Risiko für das IT-System darstellen. Für die Auswahl der Maßnahmen und der Reihenfolge, wird eine Priorisierung benötigt.

Zur Priorisierung ist der Schweregrad ein essenzielles Mittel. Wie Schwachstellen aber überhaupt einen Schweregrad erhalten und wie dieser berechnet wird, schauen wir uns hier einmal genauer an.

Wie Bewertungen des Schweregrads entstehen

In der Vergangenheit entdeckten und meldeten unterschiedliche Organisationen und Security-Research-Teams Schwachstellen zur gleichen Zeit und benannten diese mit unterschiedlichen Namen. Dies führte dazu, dass die gleiche Schwachstelle von z. B. mehreren Scannern unter unterschiedlichen Namen gemeldet wurde, was die Kommunikation und den Vergleich der Ergebnisse erschwerte.

Um das zu beheben, gründete MITRE das Projekt „Common Vulnerabilities and Exposures“ (CVE). Jeder Schwachstelle erhielt als zentrale Referenz eine eindeutige Kennzeichnung, die aus dem Veröffentlichungsjahr und einer einfachen Nummer besteht. Die CVE-Datenbank wird genutzt, um Schwachstellen-Datenbanken mit anderen Systemen zu verbinden und den Vergleich von Sicherheitswerkzeugen und -diensten zu ermöglichen.

CVEs enthalten somit keine detaillierten, technischen Informationen oder Informationen bezüglich der Risiken, Auswirkungen oder Beseitigung einer Schwachstelle. In manchen Fällen ist die Version hinterlegt, in der die Schwachstelle beseitigt wurde.

Nähere Informationen zu einer Schwachstelle finden sich in der National Vulnerability Database (NVD). Die NVD – ein Datenspeicher für das Schwachstellenmanagement der US-Regierung – ergänzt die CVEs mit Informationen bezüglich der Beseitigung, den möglichen Auswirkungen, den betroffenen Produkten und auch dem Schweregrad einer Schwachstelle.

Wie berechnet sich der Schweregrad einer Schwachstelle?

Um die Bewertung von Schwachstellen zu ermöglichen, wurde das Common Vulnerability Scoring System (CVSS) entwickelt. Das CVSS ist ein Industriestandard zum Beschreiben der Schweregrade von Sicherheitsrisiken in IT-Systemen. Es wurde von der CVSS Special Interest Group (CVSS-SIG) des Forum of Incident Response and Security Teams (FIRST) entwickelt. Die neueste CVSS-Version ist 3.1.
Der CVSS-Score bewertet Schwachstellen hinsichtlicht verschiedener Kritierien, sogenannter „Metrics“: Base-Score-Metrics, Temporal-Score-Metrics und Environmental-Score-Metrics.

  • Base-Score-Metrics: Die Base-Score-Metrics stellen die grundlegenden Merkmale einer Schwachstelle dar, die unabhängig von der Zeit und der IT-Umgebung sind: Wie gut lässt sich die Schwachstelle ausnutzen und welche Auswirkungen hat dies?
  • Temporal-Score-Metrics: Die Temporal-Score-Metrics stellen Eigenschaften dar, die sich über die Zeit ändern können, aber in unterschiedlichen IT-Umgebungen gleich sind. So würde beispielsweise das Bereitstellen eines Patches durch das bereitstellende Unternehmen den Score senken.
  • Environmental-Score-Metrics: Die Environmental-Score-Metrics stellen die Merkmale dar, die für eine spezifische IT-Umgebung gelten. Relevant sind hierbei, wie gut die betroffene Organisation erfolgreiche Angriffe abfangen können oder welchen Stellenwert ein bestimmtes angreifbares System innerhalb der IT-Infrastruktur hat.

Da im Allgemeinen lediglich die Base-Score-Metrics aussagekräftig sind und dauerhaft bestimmt werden können, werden in der Regel nur diese veröffentlicht und genutzt.

CVSSv3.0/v3.1-Unterstützung seit GOS 21.04

Seit GOS 21.04, welches im April 2021 veröffentlich wurde, werden auch die Versionen 3.0 und 3.1 von CVSS unterstützt. Zwar enthalten einige CVEs – und somit auch die zugehörigen Schwachstellentests – weiterhin CVSS-Daten der Version 2, allerdings betrifft dies hauptsächlich ältere CVEs aus dem Jahr 2015 und früher, für die in der NVD noch keinen CVSS-v3.0/v3.1-Score hinterlegt sind.

Blicken wir auf die größten Änderungen, die die Versionen 3.0 und 3.1 beinhalten.

Im Vergleich zu CVSS Version 2.0 wurden in Version 3.0 zwar die Hauptgruppen der Metrics – Base, Temporal und Environmental – beibehalten, aber neue Kriterien hinzugefügt. Beispielsweise die Metrics „Scope (S)“, was angibt, ob eine Schwachstelle auch andere Bestandteile eines IT-Netzwerks beeinträchtigen kann und „User Interaction (UI)“.

Auch wurden einige bereits vorhandene Kriterien durch neuere ersetzt: so wurde „Authentication (Au)“ zu „Privileges Required (PR)“. Gemessen wird nicht mehr, wie oft sich Angreifende bei einem System authentifizieren müssen, sondern welches Zugriffslevel für einen erfolgreichen Angriff notwendig ist.

Außerdem wurden die Schweregrade feiner unterteilt. In Version 2.0 wurden die Werte von 0 bis 10 auf drei Schweregrade aufgeteilt: „Low“ (0,0 – 3,9), „Medium“ (4,9 – 6,9) und „High“ (7,0 – 10,0). Seit Version 3.0 gibt es fünf Stufen: „None“ (0,0), „Low“ (0,1 – 3,9), „Medium“ (4,0 – 6,9), „High“ (7,0 – 8,9) und „Critical“ (9,0 – 10,0).

CVSS-Version 3.1 brachte keine Änderungen an den Metrics oder den Berechnungsformeln mit sich. Stattdessen lag der Fokus darauf, herauszustellen, dass CVSS den Schweregrad einer Schwachstelle misst und nicht das Risiko, welches sie darstellt. Ein weit verbreiteter Fehler war es, den CVSS-Score als alleiniges Merkmal für das Risiko einer Schwachstelle zu sehen und keine vollumfängliche Risikobewertung vorzunehmen.

In diesem Zuge wurden die Definitionen der Metrics eindeutiger formuliert und das Glossar erweitert.

Vollständige CVSSv3.0/v3.1-Abdeckung im Feed

Mit der Unterstützung von CVSS-v3.0/v3.1 im April 2021 begann Greenbone damit, alle Schwachstellentests, denen ein CVSSv3.0/v3.1-Score in der NVD zugewiesen wurde, zu aktualisieren und mit einem CVSSv3.0/v3.1-Score zu versehen.

Dies erfolgte in täglichen Etappen von 500 – 600 Schwachstellentests. Die Aktualisierung und Umstellung wurde dabei gründlich reviewt und geprüft. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen. Somit gibt es – soweit es möglich ist – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

SiSyPHuS Win10 ist ein Projekt des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Auf Basis einer Analyse der sicherheitskritischen Funktionen im Betriebssystem Microsoft Windows 10, wurden Handlungsempfehlungen zu dessen Härtung entwickelt. Diese Empfehlungen sind jetzt auch in Form einer Compliance-Richtlinie Bestandteil des Greenbone Security Feeds und können für Greenbone-Kunden komfortabel direkt mit den Greenbone-Appliances geprüft werden.

Die Maßnahmen beinhalten unter Anderem Konfigurationsempfehlungen, Kennwortrichtlinien, Verschlüsselungsvorgaben und natürlich Aktualisierungen. Sie helfen dabei, Windows-10-Systeme deutlich sicherer zu machen. Durch die Integration der Compliance-Richtlinie in den Greenbone Security Feed, sind die Maßnahmen einfach in die Prüfroutinen des Greenbone-Schwachstellenmanagements integrierbar.

Weitere Informationen finden Sie hier.

Compliance-Richtlinien werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Produkte, Anwendungen, Betriebssysteme und andere Komponenten bestimmte Vorgaben erfüllen. Das Center for Internet Security (CIS) stellt dafür sogenannte CIS Benchmarks bereit. Auch die Greenbone-Lösungen bieten seit März 2021 die Möglichkeit, die Erfüllung von CIS Benchmarks zu prüfen – mithilfe von neuen Compliance-Richtlinien.

Was versteht man aber überhaupt unter einer Compliance-Richtlinie?

Zusätzlich zu gesetzlichen Vorgaben unterliegen Unternehmen, Organisationen und Behörden oft auch anderen Anforderungen, die für die sichere Konfiguration eines Systems erfüllt werden müssen. Solche Anforderungen können beispielsweise von einem Software- oder Anwendungshersteller für die eigenen Produkte formuliert werden, aber auch von IT-Sicherheits-Organisationen.

Ziel dabei ist es, für die Informations- und Datensicherheit eines Unternehmens oder einer Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, aber auch Empfehlungen, die dafür zu erfüllen sind, werden in einer Richtlinie in schriftlicher Form gebündelt.

Diese Richtlinien bilden die Grundlage für von Greenbone Networks entwickelte Compliance-Richtlinien, also für die Zusammenstellung an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Dabei wird für jede einzelne Anforderung oder Empfehlung ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone Networks zu Scan-Konfigurationen zusammengefasst und zum Greenbone Security Feed hinzugefügt.

Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.


Beispiel: Ein Unternehmen bringt eine Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen zum Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


CIS Benchmarks als maßgebende Security-Richtlinien

Auch das Center for Internet Security (CIS) veröffentlich solche Security-Richtlinien: die sogenannten CIS Benchmarks. CIS ist eine im Jahr 2000 gegründete Non-Profit-Organisation, die Best Practices für die IT-Sicherheit bereitstellen, die von Regierungen, der Industrie und der Wissenschaft genutzt werden.

Mit eines der größten Tätigkeitsfelder der Organisation sind die sogenannten CIS Benchmarks. Dabei handelt es sich um Handlungs- und Konfigurationsempfehlungen für zahlreiche Produkte aus den unterschiedlichsten Produktfamilien. So gibt es beispielweise CIS Benchmarks für Webbrowser wie Mozilla Firefox oder Google Chrome, für Betriebssysteme wie Microsoft Windows oder unterschiedliche Linux-Distributionen, aber auch für die Microsoft-Office-Produkte.

Im Gegensatz zu vielen anderen Security-Standards, die nur grundsätzliche Vorgaben bezüglich der IT-Sicherheit machen – beispielsweise, dass es ein Schwachstellenmanagement geben muss – sind die CIS Benchmarks sehr detailliert. Sie stellen Anforderungen bereit, die erfüllt werden müssen, um ein System zu härten, sprich sicherer zu machen und vor Angriffen zu schützen. Dazu können unter anderem Kriterien für Passwörter, aber auch Vorgaben für bestimmte installierte Software-Versionen gehören.

Die CIS Benchmarks werden von CIS kostenlos als PDF zur Verfügung gestellt und ständig erweitert. Für CIS SecureSuite Member – so wie Greenbone Networks es seit 2021 ist – sind die CIS Benchmarks aber auch über die CIS Workbench in anderen Formaten, zum Beispiel für Microsoft Word oder Excel, verfügbar.

CIS-zertifizierte Compliance-Richtlinien bei Greenbone Networks

Wie auch bei den Security-Richtlinien anderer Unternehmen, Organisationen oder Behörden hat Greenbone Networks nun basierend auf den CIS Benchmarks eigene Compliance-Richtlinien entwickelt. Diese ermöglichen es Nutzern einer Greenbone-Lösung, ihre Netzwerke, Systeme und Anwendungen auf die Anforderungen aus den CIS Benchmarks zu überprüfen. Seit März 2021 sind mehrere Compliance-Richtlinien, die CIS Benchmarks abbilden, im Greenbone Security Feed enthalten.

Und das Besondere daran: Die von Greenbone Networks entwickelten Compliance-Richtlinien sind von CIS zertifiziert! Das bedeutet, dass Nutzer sicher gehen können, dass ihr System gemäß den Härtungsempfehlungen von CIS geprüft wird.

Nutzer können nun also ihre Systeme daraufhin prüfen, ob die Vorgaben von CIS erfüllt werden. Das vereinfacht auch die Vorbereitung von Audits. Wichtige Kriterien können bereits vorab mit einem Scan durch eine Greenbone-Lösung geprüft und gegebenenfalls gefundene Schwachstellen behoben werden.

Doch bei diesen CIS-zertifizierten Compliance-Richtlinien wird es nicht bleiben. Viele weitere Compliance-Richtlinien, die CIS Benchmarks abbilden, sind bei Greenbone Networks in der Planung oder sogar bereits in der Entwicklung.

Es war einer der spektakulärsten Cyberangriffe aller Zeiten: Im Herbst 2019 griffen Hacker SolarWinds an und schleusten im Frühjahr 2020 eine Malware in ein Update der Orion-Plattform von SolarWinds ein. Kunden, die die kompromittierte Version der Netzwerkmanagement-Software installierten, bekamen die Backdoor „SUNBURST“ gleich frei Haus – darunter zahlreiche US-Regierungsbehörden und große Unternehmen. Gut getarnt konnten die Hacker so lange Zeit unbemerkt Daten ausspionieren. Hier erfahren Sie, wie Sie sich mit Greenbone Networks‘ Lösungen vor dem SolarWinds-Angriff schützen können.

Den Cyberkriminellen ist damit ein nahezu perfekter Coup gelungen. Das Perfide daran: Kunden von SolarWinds nutzen die Orion-Plattform eigentlich, um ihre IT-Umgebung zu überwachen. Ausgerechnet eine Software, die schützen soll, bringt also die Gangster ins Haus. Dabei gingen die Angreifer ganz gezielt und äußerst raffiniert vor. Sie attackierten SolarWinds zunächst mit der speziell entwickelten „SUNSPOT“-Malware. Diese infiltrierte eine bösartige Hintertür mit dem Namen „SUNBURST“, manchmal auch „Solorigate“ genannt, in den Produktionsprozess der Produktlinie „SolarWinds Orion-Plattform“. Die Malware wurde direkt in den Code eingebettet und mit einer gültigen Software-Signatur versehen. Dadurch war sie perfekt getarnt. Mit dem kompromittierten Update konnte die Backdoor dann unbemerkt an die Kunden verteilt werden.

Lange Zeit unentdeckt

Am 12. Dezember 2020 wurde SolarWinds über den Vorfall informiert und hat Untersuchungen eingeleitet. Das Sicherheitsunternehmen FireEye, das zu den betroffenen Opfern gehört, veröffentlichte zusätzliche Informationen über den Einbruch in sein Netzwerk. Demzufolge hatten die Cyberkriminellen verschiedene Angriffswerkzeuge von FireEye gestohlen, die das Unternehmen für Tests seiner eigenen Kunden verwendet. Auch andere SolarWinds-Kunden meldeten Sicherheitsverletzungen. Doch damit noch nicht genug: Während der Untersuchung des Vorfalls fanden Sicherheitsforscher eine weitere Backdoor, die offensichtlich von einer zweiten, unabhängigen Hackergruppe stammt. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10148 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. In jüngster Zeit wurden außerdem mehrere neue Schwachstellen entdeckt, die eine vollständige Remote-Codeausführung ermöglichen können, wenn sie nicht gepatcht werden.

Im Greenbone Security Manager (GSM) sind die passenden Schwachstellentests bereits integriert

Rund 18.000 Kunden haben das kompromittierte Update von SolarWinds erhalten und sind damit potenziell vom Hack betroffen. Nicht bei allen sind die Cyberkriminellen aber auch durch die Hintertür eingedrungen und haben Daten abgegriffen. Bisher haben sie sich wohl auf besonders attraktive Ziele konzentriert. Sind Ihre Netzwerke auch gefährdet? Als Kunde von Greenbone Networks können Sie das schnell herausfinden. Denn wir haben sofort reagiert, als der Vorfall bekannt wurde und entsprechende Schwachstellentests in den Greenbone Security Manager integriert. Das Vulnerability Scanning zeigt an, ob Ihre IT-Umgebung über „SUNBURST“/„Solorigate“ oder CVE-2020-10148 verwundbar ist und Sie damit zu den potenziellen Angriffszielen zählen. Außerdem kann der GSM prüfen, ob Sie bereits Opfer von „SUPERNOVA“ oder den zusätzlich von den Hackern genutzten Malware-Tools „TEARDROP“ oder „Raindrop“ geworden sind.

Die Lage ist ernst, aber es gibt gute Lösungen

Wer von den genannten Schwachstellen betroffen ist, sollte sie schließen. SolarWinds hat mittlerweile Hotfixes dafür veröffentlicht. Allzu sicher fühlen dürfen wir uns trotzdem nicht. Denn die unbekannte Hackergruppe ist weiterhin aktiv. Erst vor Kurzem hat das Sicherheitssoftware-Unternehmen Malwarebytes mitgeteilt, dass es Opfer eines Cyberangriffs geworden ist. Offensichtlich stecken dieselben Akteure dahinter wie beim SolarWinds-Hack, obwohl Malwarebytes selbst gar keine SolarWinds-Software einsetzt. Als Angriffsvektor haben die Cyberkriminellen Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen missbraucht. Der Schaden war nach eigenen Angaben glücklicherweise gering und Malwarebytes-Software wurde nicht kompromittiert.

Die Vorfälle zeigen allerdings, dass wir eine neue Dimension der Cyberkriminalität erreicht haben. Die Akteure führen perfekt geplante, komplexe und mehrstufige Attacken durch, bei denen sie zunächst eine vertrauensvolle Software hijacken und dann als blinder Passagier zu vielen anderen lukrativen Opfern vordringen. Um solchen Angriffen so wenig Chancen wie möglich einzuräumen, ist es wichtig, Schwachstellen frühzeitig zu erkennen und zu schließen.

Gibt es eigentlich unabhängige Testberichte über die Lösungen von Greenbone Networks?
Natürlich – wir sind stolz, Ihnen den aktuellen Bericht eines führenden Branchenmagazins vorstellen zu können: „IT-Administrator hat das System [Lösung von Greenbone Networks] ausprobiert und war von dessen Funktionsumfang begeistert.“ (IT-Administrator 01/2021)

Im September 2020 bat das Magazin IT-Administrator – eine deutsche Fachzeitschrift für professionelle System- und Netzwerkadministration – Greenbone Networks darum, einen Testbericht über eine Greenbone-Appliance schreiben zu dürfen.

Der Bericht ist aktuell in der Januarausgabe des Magazins erschienen. Hier können Sie den ausführlichen Bericht lesen.

Im Test nahm IT-Administrator den GSM 150 genauer in Augenschein. Der GSM 150 ist eine physische Appliance für das Schwachstellenmanagement in kleinen bis mittelgroßen Unternehmen oder Organisationen mit mittelgroßen Zweigstellen. Er scannt innerhalb von 24 Stunden bis zu 500 IP-Adressen und kann darüber hinaus auch als Sensor für größere Appliances genutzt werden.

Getestet wurde alles, was auch bei einem standardmäßigen Einsatz eines Greenbone Security Managers zu tun ist: angefangen beim ersten Setup über die Konsole, über das Konfigurieren von Scans auf der Web-Oberfläche bis hin zum Auswerten eines Scanberichts.

Für das Testen der Schwachstellenscans hatte IT-Administrator verschiedene Zielsysteme mit unterschiedlichem Sicherheitsstatus vorbereitet, um die Unterschiede in den Ergebnissen unter die Lupe zu nehmen. Auch authentifizierte Scans waren Teil des Tests.

Lesen Sie den ganzen Artikel hier.