Markus Feilner

Schwachstellenscanner Notus unterstützt Amazon Linux

Auf einem Großteil der virtuellen Server der Amazon Elastic Compute Cloud EC2 läuft eine eigens für die Bedürfnisse der Cloud angepasste Linux-Version. Seit wenigen Wochen gibt es die neueste Scanner-Generation von Greenbone auch für das Betriebssystem der Amazon Web Services. Über 1.900 zusätzliche, angepasste Tests für die neuesten Versionen von Amazon Linux (Linux 2 und Linux 2023) wurden in den letzten Monaten integriert, erklärt dazu Julio Saldana, Product Owner bei Greenbone.

Deutlich mehr Performance dank Notus

Mit der Scan-Engine Notus ergänzt Greenbone seit 2022 das Schwachstellenmanagement. Die Neuerungen in der Architektur zielen vor allem darauf ab, die Performance der Security-Checks deutlich zu erhöhen. Von Greenbone-CIO Elmar Geese als „Meilenstein“ bezeichnet, geht die neue Scanner-Generation dazu in zwei Teilen vor: Ein Generator fragt die umfangreichen Software-Versions-Daten der Server des Unternehmens ab und speichert sie im handlichen Json-Format. Weil das nicht mehr zur Laufzeit geschieht, sondern im Hintergrund, kann der eigentliche Scanner (der zweite Teil von Notus) die Daten parallel einfach aus den Json-Dateien auslesen und abgleichen. Wartezeiten fallen weg. „Das ist deutlich effizienter, braucht weniger Prozesse, weniger Overhead und weniger Speicher“, erklären die Greenbone-Entwickler.

Amazon Linux

Amazon Linux ist ein Fork von Red-Hat-Linux-Quellen, den Amazon seit 2011 einsetzt und anpasst, um den Bedürfnissen der Cloud-Kunden gerecht zu werden. Es ist in weiten Teilen binärkompatibel mit Red Hat, baute anfangs auf Fedora, später auf CentOS auf. Nach Amazon Linux folgte Amazon Linux 2. Mittlerweile liegt die neueste Version als Amazon Linux 2023 vor. Der Hersteller plant alle zwei Jahre eine neue Ausgabe. In der Versionsgeschichte der offiziellen Dokumentation findet sich auch ein Feature-Vergleich , denn die Unterschiede sind groß: Amazon Linux 2023 ist beispielsweise die erste Version, die auch auf Systemd setzt. Der Schwachstellenscan von Greenbone stand von Anfang an auch auf Amazon Linux zur Verfügung.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

CVE-2024-31497: PuTTY verliert private ECDSA-Schlüssel von Clients

Die Kryptographie mit öffentlichen Schlüsseln bildet die Grundlage für die Sicherheit von Unternehmensnetzwerken. Daher ist die Sicherung der Vertraulichkeit privater Schlüssel eine der wichtigsten Herausforderungen für die IT-Sicherheit, um unbefugten Zugriff zu verhindern und die Vertraulichkeit von Daten zu wahren. Während sich Quantum Safe Cryptography (QSC) als ein wichtiges Thema für die Zukunft herauskristallisiert hat, sind die jüngsten kritischen Schwachstellen wie CVE-2024-3094 (CVSS 10) in XZ Utils und die kürzlich bekannt gewordene CVE-2024-31497 (CVSS 8.8) in PuTTY hier und jetzt – reale und aktuelle Gefahren.

Glücklicherweise wurde die Sicherheitslücke in XZ Utils vor der weit verbreiteten Bereitstellung in den stabilen Linux-Versionszweigen entdeckt. Im Vergleich dazu stellt CVE-2024-31497 in PuTTY jedoch eine viel größere Bedrohung dar als die oben erwähnte Sicherheitslücke in XZ Utils, obwohl sie einen niedrigeren CVSS-Wert aufweist. Schauen wir uns die Details an, um zu verstehen, warum das so ist, und überprüfen wir die Fähigkeiten von Greenbone, bekannte kryptografische Schwachstellen zu erkennen.

Public-Key-Authentifizierung

Die Public-Key-Infrastruktur (PKI) ist grundlegend für eine Vielzahl von digitalen Vertrauensdiensten wie Internet- und Unternehmens-LAN-Authentifizierung, Autorisierung, Datenschutz und Anwendungssicherheit. Für die Public-Key-Authentifizierung benötigen sowohl der Client als auch der Server jeweils ein Paar miteinander verbundener kryptografischer Schlüssel: einen privaten und einen öffentlichen Schlüssel. Die öffentlichen Schlüssel werden zwischen den beiden verbindenden Parteien offen ausgetauscht, während die privaten Schlüssel verwendet werden, um zwischen ihnen gesendete Nachrichten digital zu signieren, und die zugehörigen öffentlichen Schlüssel werden zur Entschlüsselung dieser Nachrichten verwendet. Auf diese Weise verifiziert jede Partei grundsätzlich die Identität der anderen, und es wird ein einziger symmetrischer Schlüssel für eine kontinuierliche verschlüsselte Kommunikation mit optimaler Verbindungsgeschwindigkeit vereinbart.

Im Client-Server-Modell der Kommunikation kann sich ein Angreifer, wenn der private Schlüssel des Clients kompromittiert wird, potenziell bei allen Ressourcen authentifizieren, die ihn anerkennen. Wenn der private Schlüssel des Servers kompromittiert ist, kann ein Angreifer die Identität des Servers fälschen und Adversary-in-the-Middle (AitM) durchführen.

CVE-2024-31497 betrifft alle Versionen von PuTTY

CVE-2024-31497 im beliebten Windows-SSH-Client PuTTY ermöglicht es einem Angreifer, den geheimen NIST P-521-Schlüssel eines Clients wiederherzustellen, indem er aufgrund einer verzerrten ECDSA-Nonce-Generierung (Zufallszahlen-Generierung via Elliptic Curve Digital Signature Algorithm) etwa 60 digitale Signaturen erfasst und analysiert. Laut NIST SP-800-186 (2023) gehören NIST ECDSA P-521-Schlüssel nach wie vor zu den Schlüsseln mit der höchsten kryptografischen Widerstandsfähigkeit und werden für die Verwendung in verschiedenen Anwendungen empfohlen, darunter SSL/TLS- und Secure Shell (SSH)-Anwendungen. Eine Schwachstelle in der Implementierung der ECDSA P-521-Authentifizierung in einer Anwendung ist also ein ernsthafter Nachteil für IT-Teams, die ansonsten entsprechend starke Verschlüsselungsstandards eingesetzt haben.

Im Fall von CVE-2024-31497 sind die digitalen Signaturen des Clients Gegenstand von Kryptoanalyse-Angriffen, die den privaten Schlüssel aufdecken können. Während die Entwicklung eines Exploits für CVE-2024-31497 ein hochqualifiziertes Unterfangen ist, das erfahrene Kryptographen und Computeringenieure erfordert, wurde ein PoC-Code (Proof of Concept) öffentlich veröffentlicht, was auf ein hohes Risiko hinweist, dass CVE-2024-31497 in naher Zukunft selbst von wenig qualifizierten Angreifern aktiv ausgenutzt werden kann.

Angreifer könnten die Signaturen eines Opfers abfangen, indem sie den Netzwerkverkehr überwachen, aber die Signaturen könnten bereits öffentlich verfügbar sein, wenn PuTTY zum Signieren von Commits öffentlicher GitHub-Repositories mit NIST ECDSA P-521-Schlüsseln verwendet wurde. Mit anderen Worten: Angreifer können möglicherweise genügend Informationen finden, um einen privaten Schlüssel aus öffentlich zugänglichen Daten zu kompromittieren und so Supply-Chain-Angriffe auf die Software eines Opfers zu ermöglichen.

CVE-2024-31497 betrifft alle Versionen von PuTTY nach 0.68 (Anfang 2017) und vor 0.81 sowie FileZilla vor 3.67.0, WinSCP vor 6.3.3, TortoiseGit vor 2.15.0.1 und TortoiseSVN bis 1.14.6 sowie möglicherweise weitere Produkte.

Greenbone ist in der Lage, die verschiedenen anfälligen Versionen von PuTTY mit mehreren Vulnerability Tests (VTs) zu erkennen. Greenbone kann Windows-Registrierungsschlüssel identifizieren, die darauf hinweisen, dass eine anfällige Version von PuTTY auf einem Scan-Ziel vorhanden ist. Darüber hinaus bietet Greenbone zusätzliche Tests für PuTTY für Linux [1][2][3], FileZilla [4][5] sowie Versionen von Citrix Hypervisor/ XenServer, die anfällig für CVE-2024-31497 sind.

Greenbone schützt vor bekannten Verschlüsselungsfehlern

Verschlüsselungsfehler können durch die Verwendung schwacher kryptografischer Algorithmen, Fehlkonfigurationen und fehlerhafte Implementierungen eines ansonsten starken Verschlüsselungsalgorithmus verursacht werden, wie im Fall von CVE-2024-31497. Greenbone enthält über 6.500 separate Network Vulnerability Tests (NVTs) und Local Security Checks (LSCs), die alle Arten von kryptografischen Schwachstellen identifizieren können. Einige Beispiele für kryptografische Schwachstellen, die Greebone erkennen kann, sind:

  • Anwendungsspezifische Schwachstellen: Greenbone ist in der Lage, über 6500 betriebssystem- und anwendungsspezifische Verschlüsselungsschwachstellen zu erkennen, für die CVEs veröffentlicht worden sind.
  • Fehlende Verschlüsselung: Unverschlüsselte Fernauthentifizierung oder andere Datenübertragungen und sogar unverschlüsselte lokale Dienste stellen ein erhebliches Risiko für sensible Daten dar, wenn Angreifer eine vorteilhafte Position erlangt haben, z. B. die Möglichkeit, den Netzwerkverkehr zu überwachen.
  • Unterstützung für schwache Verschlüsselungsalgorithmen: Schwache Verschlüsselungsalgorithmen oder Chiffriersuiten bieten keinen sicheren Schutz vor Kryptoanalyse-Angriffen mehr. Wenn sie verwendet werden, ist die Kommunikation einem höheren Risiko des Datendiebstahls ausgesetzt und ein Angreifer kann die Kommunikation fälschen, um beliebige Befehle auf dem System eines Opfers auszuführen. Greenbone enthält mehr als 1000 NVTs zur Erkennung von Remote-Diensten, die schwache Verschlüsselungsalgorithmen verwenden.
  • Nicht-konforme TLS-Einstellungen und HTTPS-Sicherheits-Header: Greenbone verfügt über NVTs, die erkennen, wenn HTTP Strict Transport Security (HSTS) nicht konfiguriert ist, und die TLS-Richtlinie des Webservers überprüfen.

Zusammenfassung

Die SSH-Authentifizierung mit öffentlichen Schlüsseln gilt weithin als eines der sichersten – wenn nicht sogar als das sicherste – Fernzugriffsprotokoll, aber zwei aktuelle Schwachstellen haben diesen kritischen Dienst ins Rampenlicht gerückt. CVE-2024-3094, ein Trojaner, der in XZ Utils eingeschleust wurde, fand seinen Weg in einige experimentelle Linux-Repositories, bevor er entdeckt wurde, und CVE-2024-31497 in PuTTY ermöglicht einen kryptographischen Angriff, um den privaten Schlüssel eines Clients zu extrahieren, wenn ein Angreifer etwa 60 digitale Signaturen erhalten kann.

Greenbone kann aufkommende Bedrohungen für die Verschlüsselung wie CVE-2024-31497 erkennen und enthält über 6.500 weitere Schwachstellentests, um eine Reihe von Verschlüsselungsschwachstellen zu identifizieren.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

KI und Cybersecurity: Das Versprechen Künstlicher Intelligenz

,

Wie verändert Künstliche Intelligenz (KI) die Cybersicherheitslandschaft? Wird die Cyberwelt durch KI sicherer oder unsicherer? Diesen Fragen durfte ich auf der Panel-Diskussion während der „Potsdamer Konferenz für Nationale Cybersicherheit 2024“ zusammen mit Prof. Dr. Sandra Wachter, Dr. Kim Nguyen, Dr. Sven Herpig nachgehen. Hält KI heute, was sie verspricht? Und wie sieht die Zukunft mit KI aus?

HPI Security Panel

Cybersecurity ist für viele Unternehmen und Institutionen schon schwierig genug. Wird es für sie durch das Hinzukommen von Künstlicher Intelligenz (KI) jetzt noch gefährlicher oder hilft KI eher, die IT-Systeme besser zu schützen? Was wissen wir? Und welche Risiken betrachten wir hier? Wirtschaftliche Chancen und gesellschaftliche Risiken stehen sowohl durch die allgemeine öffentliche Aufmerksamkeit als das auch durch die aktuell geplante Gesetzgebung im Fokus. Im EU-Gesetz zur künstlichen Intelligenz finden viele Hoffnungen und Ängste, die mit KI verbunden sind, Ausdruck.

Hoffnungen und Ängste

Wir hoffen, dass viele bisher ungelöste technische Herausforderungen bewältigt werden können. Geschäfts- und Produktionsprozesse sollen beschleunigt werden und Maschinen sollen immer komplexere Aufgaben autonom bewältigen. Auch im militärischen Bereich kann KI einen einzigartigen Schutz bieten, der viele Menschenleben rettet, wie zum Beispiel in Form KI-gestützter Abwehrsysteme wie den Iron Dome.

Auf der anderen, der Schattenseite von KI stehen Bedrohungen wie Massenmanipulation durch Deepfakes, raffinierte Phishing Attacken oder schlicht die Angst vor dem Verlust von Arbeitsplätzen, die mit jeder technischen Innovation einhergeht. Immer mehr Chatbots ersetzen Servicemitarbeiter, Bildgeneratoren Fotografen und Grafikerinnen, Textgeneratoren Journalistinnen und Autoren, generierte Musik ersetzt Musikerinnen und Komponisten. In fast jedem Berufstand geht die Angst um, über kurz oder lang selbst betroffen zu sein. Das gilt sogar im IT-Bereich, in dem eine reiche Job-Wahl bisher als sicher wahrgenommen wurde. Diese Ängste sind oft sehr berechtigt, manchmal aber auch nicht.

Im Bereich der Cybersicherheit ist allerdings noch nicht abzusehen, inwiefern eine autonome KI mehr Sicherheit schaffen und die dringend benötigten Sicherheitsexperten, oder vorhandene Lösungen ersetzen kann. Das gilt sowohl auf Seiten der Angreifer wie auch der Verteidiger. Natürlich bleibt dabei jedoch die unfaire Aufgabenverteilung bestehen: Während die Verteidiger möglichst jede Sicherheitslücke schließen wollen (und müssen), reicht den Angreifenden eine einzige Schwachstelle für einen erfolgreichen Angriff aus. Zum Glück können Verteidigende auf Tools und Mechanismen zurückgreifen, die viel Arbeit automatisieren, auch heute schon. Ohne diese Automation sind die Verteidiger verloren. KI hilft da leider aber noch nicht gut genug. Das zeigen die immer größeren Schäden, die auch durch ganz konventionelle Cyberangriffe entstehen, wo es doch angeblich schon jede Menge KI zur Verteidigung gibt. Auf der anderen Seite steht die Annahme, dass Angreifende durch KI immer mächtiger und bedrohlicher werden.

Für mehr Cybersicherheit müssen wir also näher hinsehen. Wir brauchen einen klareren Blick auf die Fakten.

Wo stehen wir heute?

Tatsächlich wissen wir bisher über von Künstlicher Intelligenz erzeugte technische Cyberangriffe nichts. Es gibt derzeit keine relevanten, nachprüfbaren Fälle, sondern nur theoretische konstruierte Szenarien. Das kann sich vielleicht ändern, aber Stand heute ist es so. Wir kennen keine KI, die derzeit hinreichend anspruchsvolle Angriffe generieren könnte. Was wir wissen, ist, dass Phishing sich sehr einfach mit generativen Sprachmodellen umsetzen lässt und dass uns diese Spam- und Phishing-Mails zumindest anekdotisch geschickter erscheinen. Ob dadurch ein größerer Schaden entsteht als die sowieso schon erheblichen Schäden, ist dagegen nicht bekannt. Es ist heute schon schrecklich genug, auch ganz ohne KI. Wir wissen jedoch, dass Phishing immer nur den ersten Schritt darstellt, um an eine Schwachstelle heranzukommen.

Greenbone Vorstand Elmar Geese auf der Potsdamer Konferenz für Nationale Cybersicherheit am Hasso-Plattner-Institut (HPI), Foto: Nicole Krüger

Wie können wir uns schützen?

Die gute Nachricht ist: Eine ausgenutzte Schwachstelle kann fast immer vorher gefunden und behoben werden. Dann liefe auch der beste, mit generativer KI erzeugte Angriff ins Leere. Und so muss es auch gemacht werden. Denn, ob mich heute ein ganz konventioneller Angriff und übermorgen eine KI in meinem Netzwerk bedroht, es wird immer eine Schwachstelle in der Software oder in der Sicherheitskonfiguration erforderlich sein, damit ein Angriff gelingt. Den besten Schutz bieten dann zwei Strategien: zum einen, vorbereitet zu sein auf den Fall der Fälle, wie zum Beispiel durch Backups zusammen mit der Fähigkeit, dadurch Systeme zeitnah wiederherzustellen. Zum anderen, jeden Tag selbst die Lücken zu suchen und sie zu schließen, bevor sie ausgenutzt werden können. Einfache Daumenregel: jede Lücke, die es gibt, kann ausgenutzt werden und wird es auch.

Rolle und Eigenarten der KI

Die KI-Systeme sind dabei selbst sehr gute Angriffsziele. Ähnlich wie das Internet sind sie nicht mit einem „Security by Design“-Gedanken entworfen worden. KI-Systeme sind eben auch nur Soft- und Hardware, genau wie jedes andere Angriffsziel. Nur im Gegensatz zu KI-Systemen können konventionelle IT-Systeme, deren Funktionsweise bei hinreichendem Aufwand mehr oder weniger hinreichend nachvollzogen werden kann, mit chirurgischen Eingriffen vergleichbar, repariert werden. Sie können „gepatcht“ werden. Das funktioniert mit KI nicht. Wenn ein Sprachmodell nicht weiterweiß, produziert es keine Status- oder gar Fehlermeldung, es „halluziniert“. Halluzinieren ist allerdings nur ein vornehmer Ausdruck für lügen, raten, irgendwas erfinden oder komische Sachen machen. Ein solcher Irrtum kann nicht gepatcht werden, sondern setzt beispielweise ein neues Trainieren des Systems voraus, ohne dass man dabei die Fehlerursache deutlich erkennen kann.

Wenn es sehr offensichtlich ist und eine KI etwa Hunde für Fische hält, ist es einfach, den Fehler zumindest wahrzunehmen. Wenn es aber eine Wahrscheinlichkeit benennen soll, ob es beispielsweise auf einem Röntgenbild eine gefährliche oder harmlose Anomalie entdeckt hat, wird es schwieriger. Es kommt gar nicht selten vor, dass KI-Produkte eingestellt werden, weil der Fehler nicht behoben werden kann. Ein prominentes erstes Beispiel war Tay, ein von Microsoft zweimal erfolglos gelaunchter Chatbot, der bei zweiten Mal noch schneller eingestellt wurde als beim ersten Mal.

Was wir daraus lernen können: die Latte tiefer legen, uns auf triviale KI-Funktionen zurückziehen, dann läuft‘s. Deswegen werden viele KI-Anwendungen, die heute auf dem Markt kommen, auch Bestand haben. Es sind nützliche Helferlein, die Prozesse beschleunigen und Komfort liefern. Vielleicht können sie bald auch richtig gut und sicher Autofahren. Vielleicht auch nicht.

Zukunft mit KI

Viele KI-Anwendungen beeindrucken heute anekdotisch. Für den Einsatz in kritischen Feldern können sie jedoch nur mit sehr hohem Aufwand und einer großen Spezialisierung geschaffen werden. Nur deswegen funktioniert der Iron Dome, weil in ihm deutlich mehr als zehn Jahre Entwicklungsarbeit stecken. So erkennt er heute Raketen mit einer Wahrscheinlichkeit von 99% und kann sie – und nicht versehentlich zivile Objekte – abschießen, bevor sie Schaden anrichten. Aus diesem Grund wird KI meist zur Unterstützung bestehender Systeme eingesetzt und nicht autonom. Selbst wenn sie, wie es die Werbung verspricht, Mails besser formulieren können, als wir es selbst können oder wollen, möchte heute niemand die eigenen Mails, Chat-Postfächer und weitere Kommunikationskanäle einer KI übergeben, die sich um die Korrespondenz kümmert und uns nur über wichtige Angelegenheiten mit Zusammenfassungen informiert.

Ob das in naher Zukunft kommt? Eher nicht. Ob es irgendwann so weit ist? Wir wissen es nicht. Wenn es dann vielleicht einmal so weit ist, schreiben sich unsere Bots gegenseitig Nachrichten, unsere Kampfroboter führen unsere Kriege gegeneinander, und KI-Cyberangreifer und -Verteidiger liefern sich einen Wettstreit. Wenn sie dann merken, dass das, was sie tun, sinnlos ist, könnten sie sich fragen, was das eigentlich für Wesen sind, die sie beauftragen, das zu tun. Dann hören sie vielleicht einfach damit auf, bauen sich Nachrichtenstrecken auf, verlassen unsere Galaxie und lassen uns hilflos zurück. Wir haben dann wenigsten noch unseren AI-Act und können damit weiterhin „schwache KI“ regulieren, die es nicht geschafft hat, wegzukommen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Greenbone AG

Demystify Greenbone: Schwachstellenmanagement in 11 Minuten

Warum ist Greenbone kein Security-Anbieter wie jeder andere? Wie ist Greenbone entstanden und welche Auswirkungen hat die lange Geschichte von Greenbone auf die Qualität der Schwachstellen-Scanner und die Sicherheit der Kunden? Antworten auf diese Fragen gibt das neue Video „Demystify Greenbone“ in einem Überblick von elf Minuten. Es zeigt auf, warum Experten ein eigenes Fachvokabular für das Aufspüren von Schwachstellen benötigen und was es zu bedeuten hat.

Greenbone ist ein Technik-fokussiertes Unternehmen, das den Open-Source-Gedanken vorantreibt, um maximale Sicherheit für Unternehmen und Institutionen zu erreichen. In dem Video erfahren Sie, wie Greenbone den Open Source Code zu einem maßgeschneiderten Portfolio nutzt und welche Lösungen am besten geeignet sind, Ihr Netzwerk optimal abzusichern. Wie wirken die Feeds auf die Lösungen? Welche Bereitstellungsmodelle bietet Greenbone? Entdecken Sie es. Entdecken Sie Greenbone. Demystify Greenbone!


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

„Security-Krisen sind wie Erdbeben“ – Greenbone-CEO Jan-Oliver Wagner auf dem PITS-Kongress 2024

„Unterstützung zur Krisenfrüherkennung“ lautete das Thema eines hochkarätig besetzten Panels am zweiten Tag des diesjährigen PITS-Kongresses. Mit Greenbone-CEO Jan-Oliver Wagner diskutierten Experten vom Bundeskriminalamt, der Bundeswehr, dem Verband Kommunaler IT-Dienstleister VITAKO und des Bundesamts für Sicherheit in der Informationstechnik.

Zum Thema Security-Krisen v.l.n.r.: Dr. Jan-Oliver Wagner, Vorstandsvorsitzender (Greenbone), Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit (Bundesamt für Sicherheit in der Informationstechnik), Katrin Giebel, Geschäftsstellenleiterin (VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister), Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung (Kommando Cyber- & Informationsraum) und Carsten Meywirth, Leiter Abteilung Cybercrime (Bundeskriminalamt) Foto: Greenbone

Auch in diesem Jahr organisierte der Behörden Spiegel wieder seine beliebte Konferenz zur Public IT Security (PITS). Im renommierten Hotel Adlon in Berlin trafen sich dazu hunderte Security-Experten an zwei Tagen zu Foren, Vorträgen und einer Ausstellung von IT-Security-Firmen. 2024 stand das Event unter dem Motto „Security Performance Management“ – und da war es nur naheliegend, dass auch Greenbone als führender Anbieter von Schwachstellenmanagement geladen war (wie schon 2023), beispielsweise im Panel zur Krisenfrüherkennung, das der Greenbone-Vorstand Dr. Jan-Oliver Wagner mit einem Impulsvortag eröffnete.

Jan-Oliver Wagner erklärte seine Sicht auf die strategische Krisenerkennung, sprach von den typischen „Erdbeben“ und den beiden wichtigsten Komponenten: Erstens, das Wissen, wo Schwachstellen sind, und zweitens Technologien bereitzustellen, um diese zu beseitigen.

Über lange Jahre hat Greenbone eben diese Expertise aufgebaut, die Firma stellt sie auch in Open Source der Allgemeinheit zur Verfügung und arbeitet dazu stets mit den wichtigen Playern auf dem Markt zusammen. Von Anfang an waren die Kontakte mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) da: „Das BSI hatte das Thema Schwachstellenmanagement schon auf dem Radar, als IT-Security sich noch auf Firewall und Antivirus beschränkte“, lobt Wagner das BSI, die zentrale Behörde für IT-Sicherheit des deutschen Staates.

Heute sei die Bedeutung zweier Faktoren klar: „Jede Organisation muss wissen, wie und wo sie angreifbar sie ist, die eigenen Reaktionsfähigkeiten kennen und fortlaufend an deren Verbesserung arbeiten. Cyberbedrohungen sind wie Erdbeben. Die können wir nicht verhindern, sondern nur uns darauf vorbereiten und bestmöglich darauf reagieren.“

„Krise ist meist da, bevor die Tagesschau berichtet“

Aus den ständigen Cyberbedrohung wird nach Jan-Oliver Wagners Definition eine „Krise“, wenn eine Bedrohung beispielsweise „auf eine Gesellschaft, Wirtschaft oder Nation trifft, wo viele Organisationen viele Schwachstellen haben und eine geringe Fähigkeit, schnell zu reagieren. Die Geschwindigkeit ist da sehr wichtig. Man muss schneller sein, als der Angriff passiert.“ Auch die anderen Teilnehmer des Panels thematisierten das und nutzten dafür den Begriff „Vor die Welle kommen“.

Oft sei die Krise eben schon da, lange bevor sie in der Tagesschau Erwähnung findet. Einzelne Organisationen müssen sich schützen und sich vorbereiten, damit sie mit täglicher Routine in die Lage kommen, auch auf unbekannte Situationen reagieren zu können. „Eine Cybernation unterstützt Organisationen und die Nation, indem sie Mittel zur Verfügung stellt, diesen Zustand zu erreichen“, so Jan-Oliver Wagner.

Unterschiede zwischen Militär und Kommunen

Die Sicht der Bundeswehr erklärte Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum: Ihm zufolge ist eine Krise dann gegeben, wenn die Maßnahmen und Möglichkeiten zu reagieren nicht mehr ausreichen. „Dann entwickelt sich etwas zu einer Krise.“

Aus Sicht der Kommunen jedoch ergibt sich ein anderes Bild, wusste Katrin Giebel, die Geschäftsstellenleiterin der VITAKO, der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister, zu berichten. „80 Prozent der Verwaltungsdienstleistungen finden auf der kommunalen Ebene statt. Da gibt es schon Tumulte, wenn die KFZ-Zulassung nicht verfügbar ist.“ In den immer wieder stark gebeutelten Städten und Gemeinden fangen Krisen deutlich früher an: „Für uns sind schon die Bedrohungen fast gleichzusetzen mit einer Krise.“

Erschreckend fürs BSI: Nachlässigkeit in Organisationen

Das BSI dagegen definiert eine „Krise“, wenn eine einzelne Organisation nicht oder nicht mehr in der Lage ist, ein Problem allein zu lösen. Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim BSI: „Sobald zwei Ressorts betroffen sind, tritt der Krisenstab zusammen, für uns ist eine Krise gegeben, sobald wir ein Problem mit der Standardorganisation nicht gelöst bekommen.“ Da komme dann auch den Mitarbeitern, die über die Einberufung entscheiden, eine wichtige Rolle zu. „Man erreicht eben einen Punkt, wo man sich einig ist: Jetzt brauchen wir den Krisenstab.“

Erschreckend, etwa angesichts der Vorgänge rund um die Log4j-Schwachstelle findet Häger aber eher, wie lange nach eigentlich schon gelösten Krisen noch erfolgreiche Angriffe stattfinden. „Wir betreiben da gerade am Anfang sehr, sehr viel Aufwand. Die Log4j-Krise war eigentlich vorbei, aber sehr viele Organisationen waren immer noch angreifbar und hatten unzureichende Reaktionsfähigkeiten. Aber keiner kuckt mehr drauf“, klagt der Abteilungsleiter aus dem BSI.

Wie die Reaktionsgeschwindigkeit erhöhen?

Von der Moderatorin Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin beim Behörden Spiegel, gefragt, was angesichts dieser Einsichten denn konkret helfe, schildert er das typische Vorgehen und die Entscheidungsfindung beim aktuellen Checkpoint-Vorfall: „Ob etwas eine Krise ist oder nicht, ist Expertenwissen. In dem Fall war das erst eine Lücke, die von staatlichen Akteuren initiiert wurde.“ Handlungsbedarf war spätestens dann gegeben, als die Checkpoint-Backdoor von anderen Angreifern ausgenutzt wurde. Auch das Wissen um diese konkrete Gefährdungslage ist für Betroffene von zentraler Bedeutung.

Jan Oliver Wagner betonte hier noch einmal die Bedeutung des Faktors Wissen. Oft werde die Gefährdung nicht angemessen diskutiert. Anfang 2024 beispielsweise reduzierte eine wichtige US-Behörde (NIST) den Informationsumfang ihrer Schwachstellendatenbank – eine Krise für jeden Anbieter von Vulnerability Management und deren Kunden. Außerdem zeuge es von Handlungsbedarf, dass die NIST immer noch nicht als kritische Infrastruktur definiert sei.

Die vom NIST gelieferten Informationen sind auch für die Fähigkeiten des nationalen Cyberabwehrzentrums, ein Lagebild zu erstellen, von zentraler Bedeutung, pflichtet ihm Färber bei. Das betrifft auch die Zusammenarbeit mit der Branche: Eine Reihe von großen Firmen „rühmen sich damit, Exploit-Listen binnen fünf Minuten an ihre Kunden zu liefern. Da können auch wir noch besser werden.“

Carsten Meywirth, Leiter Abteilung Cybercrime beim BKA, betonte die Unterschiede zwischen staatlichen und kriminellen Angriffen, auch am Beispiel des Supply-Chain-Angriffs auf Solarwinds. Kriminelle Angreifer haben oft wenig Interesse, eine Krise hervorzurufen, weil zu viel mediale Aufmerksamkeit die möglichen finanziellen Erträge gefährdet. Auch Sicherheitsbehörden müssten da stets vor die Welle kommen. Und dafür brauche es Aufklärung und das Potential, die Infrastruktur der Angreifer zu stören.

BKA: Internationale Zusammenarbeit

Deutschland sei, so Generalmajor Färber, bei den Angriffen immer unter den Top 4 Ländern. Die USA rangierten stets auf Platz eins, doch in den Schleppnetzen der Angreifer landen wir schon allein wegen unserer Größe. Das mache die hervorragende internationale Zusammenarbeit bei Aufklärung und Täterjagd so wichtig. „Vor allem die Achse Deutschland-USA-Niederlande ist da sehr erfolgreich, aber auch die „Datasprints“ mit den Five-Eyes-Staaten (USA, UK, Australien, Kanada und Neuseeland), wo man auch Geheimdiensterkenntnisse auf einen gemeinsamen Tisch legt und abgleicht, seien von elementarer Bedeutung. „Eine erfolgreiche Täteridentifizierung ist ohne solche Allianzen meistens unmöglich“, so Michael Färber. Deutschland ist mit seinen dafür relevanten Organisationen gut aufgestellt. „Wir haben deutlich höhere Redundanz als andere, und das stellt in diesem Kampf ein großes Asset dar.“ In der beispielhaften „Operation Endgame“, eine vom FBI gestartete Kooperation der Sicherheitsbehörden mit der freien Wirtschaft zeige sich dann gerade jetzt auch die ganze Schlagkraft dieser Strukturen. „Das müssen und werden wir weiter ausbauen.“

„Wir brauchen eine Notrufnummer für Kommunen in IT-Krisen“

So vor die Welle zu kommen, ist für die Kommunen noch Zukunftsmusik. Die seien stark angewiesen auf interföderale Unterstützung und eine Kultur der Zusammenarbeit, ein aktuelles Lagebild ist für sie unabdingbar, berichtet Katrin Giebel von VITAKO. Als Vertreter der kommunalen IT-Dienstleister kenne man viele kritische Situationen und die Nöte der Gemeinden gut – von Personalnot bis hin zu fehlender Expertise oder einer heute noch fehlenden Notrufnummer für IT-Krisen. So eine Hotline wäre nicht nur hilfreich, sie entspricht wohl auch der Definition aus Wagners einführenden Vortrag: „Eine Cybernation schützt sich, indem sie die Unternehmen dabei unterstützt, sich zu schützen.“

BSI: Vorsorge ist das Wichtigste

Auch wenn das BSI sich nicht in der Lage sieht, einen solchen Anspruch allein zu erfüllen, habe man diese dezentrale Denkweise schon immer verinnerlicht. Aber ob das BSI zu einer Zentralstelle in diesem Sinne ausgebaut werden soll, müsse man erst diskutieren, erklärt Dirk Häger vom BSI. „Viel wichtiger ist aber Prävention. Wer heute ein ungesichertes System ins Netz stellt, wird schnell gehackt. Die Bedrohungslage ist da. Wir müssen das abwehren können. Und genau das ist Prävention.“

Dafür, ergänzt Wagner, sei die Information zentral. Und die Informationen zu verteilen, sei durchaus eine Aufgabe des Staates, da sieht er „die existierenden Organisationen in der perfekten Rolle.“


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Dirk Boeing

NIS2: Von drohendem Unheil zu effizienten Maßnahmen

Der Winter naht: Der Leitspruch des Hauses Stark aus der Serie „Game of Thrones“ deutet auf das Heraufziehen eines nicht näher definierten Unheils hin. Ist NIS2 eine Walze aus Eis und Feuer, die die gesamte europäische IT-Landschaft unter sich begräbt und vor der sich nur retten kann, wer eines der zahllosen Webinare besucht und alle Ratschläge befolgt?

NIS2 als solches ist lediglich eine Richtlinie, die von der EU erlassen wurde. Sie soll die vielleicht noch nicht optimale IT-Sicherheit von Betreibern wichtiger und kritischer Infrastrukturen sicherstellen und die Cyberresilienz erhöhen. Auf Basis dieser Richtlinie sind nun die Mitgliedsländer aufgerufen, ein entsprechendes Gesetz zu schaffen, das diese Richtlinie in nationales Recht umsetzt.

Was soll geschützt werden?

Bereits 2016 wurde die NIS-Richtlinie durch die EU eingeführt, um für die Gesellschaft relevante Branchen und Dienstleister vor Angriffen in der Cybersphäre zu schützen. Diese Regelung enthält verbindliche Vorgaben zum Schutz von IT-Strukturen in Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind. Hierbei handelt es sich um Unternehmen, die eine unverzichtbare Rolle innerhalb der Gesellschaft spielen, weil sie in Bereichen wie Gesundheitsdiensten, Energieversorgung und Transport tätig sind. Bereiche also, in denen vorsätzlich herbeigeführte Störungen oder Ausfälle zu katastrophalen Zuständen führen können – wessen Haushalt gerüstet ist, einen mehrtägigen Stromausfall mit allen Konsequenzen zu überstehen, der möge die Hand heben…

Angesichts der weiter voranschreitenden Digitalisierung musste die EU eine Nachfolgeregelung (NIS2) schaffen, die zum einen strengere Anforderungen an die Informationssicherheit stellt, zum anderen aber auch einen größeren Kreis an Unternehmen erfasst, die für die Gesellschaft „wichtig“ oder „besonders wichtig“ sind. Diese Unternehmen werden nun in die Pflicht genommen, gewisse Standards in der Informationssicherheit zu erfüllen.

Obwohl die NIS2-Richtlinie bereits im Dezember 2022 verabschiedet wurde, haben die Mitgliedsländer bis zum 17. Oktober 2024 Zeit, ein entsprechendes Umsetzungsgesetz zu verabschieden. Deutschland wird es bis dahin wohl nicht schaffen. Trotzdem gibt es keinen Grund, sich zurückzulehnen. Das NIS2UmsuCG wird kommen, und mit ihm erhöhte Anforderungen an die IT-Sicherheit vieler Unternehmen und Institutionen.

Wer muss jetzt handeln?

Betroffen sind Unternehmen aus vier Gruppen. Einmal sind das die besonders wichtigen Einrichtungen mit 250 oder mehr Mitarbeitern oder 50 Millionen Euro Jahresumsatz und einer Bilanzsumme ab 43 Millionen Euro. Ein Unternehmen, das diese Kriterien erfüllt und in einem der Sektoren Energie, Transport/ Verkehr, Finanzen/ Versicherungen, Gesundheit, Wasser/ Abwasser, IT und TK oder Weltraum tätig ist, gilt als besonders wichtig.

Daneben gibt es die wichtigen Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und einer Bilanzsumme von 10 Millionen Euro. Erfüllt ein Unternehmen diese Kriterien und ist es in einem der Sektoren Post/ Kurier, Chemie, Forschung, verarbeitendes Gewerbe (Medizin/ Diagnostika, DV, Elektro, Optik, Maschinenbau, Kfz/ Teile, Fahrzeugbau), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Lebensmittel (Großhandel, Produktion, Verarbeitung) oder Entsorgung (Abfallwirtschaft) tätig, so gilt es als wichtig.

Neben besonders wichtigen und wichtigen Einrichtungen gibt es die kritischen Anlagen, die weiterhin durch die KRITIS-Methodik definiert werden. Zusätzlich werden auch Bundeseinrichtungen reguliert.

Was ist zu tun?

Konkret bedeutet das, dass alle betroffenen Unternehmen und Institutionen, ganz gleich ob „besonders wichtig“ oder „wichtig“, eine Reihe von Auflagen und Pflichten zu erfüllen haben, die wenig Interpretationsspielraum lassen und daher strikt zu beachten sind. Auf folgenden Gebieten muss gehandelt werden:

Risikomanagement

Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement einzuführen. Dazu gehören neben einer Zugangskontrolle, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) auch Training und Incident Management sowie ein ISMS und Risikoanalysen. Darunter fallen auch das Schwachstellenmanagement und die Anwendung von Schwachstellen- und Compliance-Scans.

Meldepflichten

Für alle Unternehmen besteht eine Meldepflicht für „erhebliche Sicherheitsvorfälle“: Diese müssen unverzüglich, spätestens aber innerhalb von 24 Stunden der Meldestelle des BSI berichtet werden. Weitere Updates haben innerhalb von 72 Stunden und 30 Tagen zu erfolgen.

Registrierung

Die Unternehmen sind verpflichtet, ihre Betroffenheit von der NIS2-Gesetzgebung selbst festzustellen und sich innerhalb einer Frist von drei Monaten selbst zu registrieren. Wichtig: Niemand sagt einem Unternehmen, dass es unter die NIS2-Regelung fällt und sich registrieren muss. Die Verantwortung liegt ausschließlich bei den einzelnen Unternehmen und deren Geschäftsführern.

Nachweise

Es reicht nicht aus, die vorgegebenen Vorkehrungen lediglich zu treffen, sondern es müssen auch entsprechende Nachweise erbracht werden. Wichtige und besonders wichtige Einrichtungen werden stichprobenartig durch das BSI kontrolliert werden, wobei entsprechende Dokumentationen vorgelegt werden müssen. KRITIS-Einrichtungen werden turnusmäßig alle drei Jahre überprüft.

Informationspflichten

Sicherheitsvorfälle unter den Teppich zu kehren, ist zukünftig nicht mehr möglich. Das BSI erhält eine Weisungsbefugnis zur Unterrichtung von Kunden über Sicherheitsvorfälle. Ebenso erhält das BSI eine Weisungsbefugnis über die Unterrichtung der Öffentlichkeit von Sicherheitsvorfällen.

Governance

Geschäftsführer werden verpflichtet, Maßnahmen zum Risikomanagement zu billigen. Ebenso werden Schulungen zum Thema Pflicht. Besonders gravierend: Geschäftsführer haften persönlich mit ihrem Privatvermögen bei Pflichtverletzungen.

Sanktionen

In der Vergangenheit war es gelegentlich so, dass Unternehmen lieber die diffuse Möglichkeit eines Bußgeldes in Kauf nahmen als konkrete Investitionen in Cybersicherheitsmaßnahmen zu tätigen, da das Bußgeld im Verhältnis durchaus annehmbar erschien. NIS2 wirkt dem nun durch neue Tatbestände und teils drastisch erhöhte Bußgelder entgegen. Verschärft wird das nochmal durch die persönliche Haftung von Geschäftsführern.

Wie man sieht, ist das zu erwartende NIS2-Umsetzungsgesetz ein komplexes Gebilde, welches sich auf eine Vielzahl von Bereichen erstreckt und dessen Anforderungen in den seltensten Fällen mit einer einzigen Lösung abgedeckt werden können.

Welche Maßnahmen sind möglichst bald zu treffen?

Scannen Sie Ihre IT-Systeme kontinuierlich auf Schwachstellen. Sicherheitslücken werden damit schnellstmöglich aufgedeckt, priorisiert und dokumentiert. Dank regelmäßiger Scans und ausführlicher Berichte schaffen sie die Grundlage zur Dokumentation der Entwicklung der Sicherheit Ihrer IT-Infrastruktur. Gleichzeitig erfüllen Sie damit Ihre Nachweispflichten und sind im Fall einer Prüfung bestens gewappnet.

Experten können auf Wunsch den kompletten Betrieb des Schwachstellenmanagements in Ihrem Unternehmen übernehmen. Dazu gehören auch Leistungen, wie Web-Application Pentesting, bei dem gezielt Schwachstellen in Webanwendungen aufgedeckt werden. Damit decken Sie einen wichtigen Bereich im NIS2-Anforderungskatalog, und erfüllen die Anforderungen des § 30 (Risikomanagementmaßnahmen).

Fazit

Es gibt es nicht die eine, alles umfassende Maßnahme, mit der Sie sofort rundum NIS2-konform sind. Vielmehr ist eine Vielzahl unterschiedlicher Maßnahmen, die zusammengenommen eine gute Basis ergeben. Ein Bestandteil davon ist Schwachstellenmanagement mit Greenbone. Wenn Sie das im Hinterkopf behalten und rechtzeitig auf die richtigen Bausteine setzen, sind Sie als IT-Verantwortlicher auf der sicheren Seite. Und der Winter kann kommen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Mai 2024 Threat Tracking: Globale CVE-Enthüllungen laufen heiß

Der Mai 2024 ließ den rekordverdächtigen CVE-Berg vom April als Maulwurfshügel erscheinen. Der bisherige Rekord für die meisten CVEs (Common Vulnerabilities and Exposures), die in einem Monat veröffentlicht wurden, stieg um 36,9 %. Insgesamt wurden im Mai 2024 sage und schreibe 5.061 Schwachstellen veröffentlicht. In Anbetracht der potenziell hohen Kosten einer Datenpanne müssen Sicherheitsteams über aktuelle Cybersicherheitstrends und die neuesten Schwachstellen auf dem Laufenden bleiben.

Wir stellen hier mehrere bekannte Unternehmenssoftware-Anbieter vor, die massenhaft von neu entdeckten Schwachstellen betroffen sind und einige der neuesten bekannten Sicherheitslücken behandeln. Doch zunächst berichten wir über einen Mitarbeiter: Christian Kürsteiner, ein Mitglied des Greenbone-Entwicklungsteams für Schwachstellentests, hat mit seiner verantwortungsvollen Offenlegung dazu beigetragen, dass weniger Schwachstellen in freier Wildbahn existieren, die Angreifer ausnutzen können.

Greenbones Beitrag zur Aufdeckung

Im Mai veröffentlichte Christian Kürsteiner, ein Softwareentwickler des Greenbone-Teams, eine Sicherheitslücke, die er im Telerik Report Server entdeckt hatte. Telerik Report Server ist eine proprietäre, zentralisierte Windows-basierte Plattform für die Verwaltung und Verteilung von Berichten. Die als CVSS 5.5 eingestufte Schwachstelle könnte es einem unbefugten Angreifer ermöglichen, Zugang zu sensiblen Admin-Konfigurationsdaten zu erlangen [CWE-200], und wurde inzwischen als CVE-2024-4837 veröffentlicht.

Wir baten Christian zu beschreiben, was verantwortungsvolle Sicherheitsforscher tun, wenn sie einen Fehler finden. Hier sein Statement:

„Das Ziel von Greenbone ist es, unsere Kunden zu schützen. Daher versuchen wir natürlich, Schwachstellen, die wir finden, direkt an den Hersteller mit den Details zu melden, damit dieser seinen Kunden Korrekturen anbieten kann, bevor Angreifer sie ausnutzen können. Die Mitarbeiter von Progress / Telerik und BugCrowd haben sehr schnell reagiert, die Sicherheitslücke bestätigt und behoben. Innerhalb einer Woche nach der Meldung wurde die Schwachstelle behoben und ein öffentlicher Hinweis veröffentlicht.“
Christian Kürsteiner, Security Researcher and Vulnerability Test Developer at Greenbone

In diesem Fall ist Christians Beitrag ein Beispiel dafür, wie das Verfahren zur Meldung von Fehlern, auch bekannt als „Responsible Disclosure„, funktionieren soll. Der interne Offenlegungsprozess eines Anbieters wird ausgelöst, wenn ein Sicherheitsforscher ihn über einen Fehler informiert. Da verantwortungsvolle Software-Ingenieure nicht die einzigen sind, die den Fehler entdecken, könnte er zu einem Einfallstor für böswillige Akteure werden, um in einem Netzwerk Fuß zu fassen und Daten zu stehlen oder Ransomware einzusetzen. In vielen Fällen erstreckt sich der Schaden auch auf die Allgemeinheit, wie bei der jüngsten Sicherheitsverletzung bei Change Healthcare.

Anbietern wird empfohlen, bewährte Verfahren zu befolgen, indem sie eine Datei security.txt [RFC-9116] im Stammverzeichnis ihrer Unternehmensdomäne veröffentlichen, eine Datei SECURITY.md in öffentliche GitHub-Repositories aufnehmen und eine E-Mail-Adresse wie security@example.com [RFC-2142] für den Empfang sicherheitsrelevanter Informationen einrichten.

Unsere Geschichte endet positiv. Telerik hat schnell ein Sicherheitsupdate veröffentlicht, das die Sicherheitslücke behebt. Benutzer sollten ihre Instanz von Report Server auf Version 2024 Q2 (10.1.24.514) oder höher aktualisieren, um sich vor CVE-2024-4837 zu schützen. Schließlich kann CVE-2024-4837 von Greenbone sowohl mit einem aktiven Check als auch mit einem Versionserkennungstest erkannt werden.

Cisco: 21 neue Schwachstellen – 10 mit hohem Schweregrad; 2 aktiv ausgenutzt

Der Mai war ein harter Monat für Cisco-Produkte in Bezug auf Sicherheitslücken. Insgesamt wurden 21 neue Schwachstellen in einer Vielzahl von Cisco-Produkten bekannt gegeben. Davon waren zehn besonders schwerwiegend. Dies folgt auf Informationen von Ende April, als zwei Schwachstellen in Cisco-Produkten in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen wurden. Cisco Talos berichtete, dass diese neuen Schwachstellen Teil einer Cyberspionage-Kampagne mit dem Namen „ArcaneDoor“ sind, die auf Perimeter-Netzwerkgeräte abzielt und im Januar 2024 begann.

  • CVE-2024-20353 (CVSS 8.6 Hoch): Eine DoS-Schwachstelle (Denial of Service) in den Verwaltungs- und VPN-Webservern für die Software Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD), die durch eine unvollständige Fehlerprüfung beim Parsen eines HTTP-Headers verursacht wird, kann es einem Angreifer ermöglichen, ein verwundbares System remote auszunutzen. Es ist bekannt, dass CVE-2024-20353 aktiv ausgenutzt wird.
  • CVE-2024-20359 (CVSS 6.0 Hoch): Eine Schwachstelle in der Cisco ASA- und Cisco FTD-Software ermöglicht es einem authentifizierten, lokalen Angreifer, beliebigen Code mit Root-Rechten auszuführen, nachdem er eine bösartige Datei aus dem Flash-Speicher hochgeladen und das System neu geladen hat, um seine Konfiguration zu ändern. Auch CVE-2024-20359 wird bekanntermaßen aktiv ausgenutzt.
  • CVE-2024-20356 (CVSS 8.7 Hoch): Eine Schwachstelle in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller (IMC) ermöglicht es einem Angreifer mit Admin-Zugriff auf die webbasierte Verwaltungsschnittstelle, auf dem betroffenen Gerät Command-Injection-Angriffe mit Rechten auf Systemebene durchzuführen. Dadurch kann ein Angreifer möglicherweise Aktionen außerhalb des vorgesehenen Anwendungsbereichs der Managementoberfläche durchführen, um Malware oder ein Rootkit zu installieren. Darüber hinaus wurde CVE-2024-20356 zwar noch nicht in den KEV-Katalog der CISA aufgenommen, aber der Exploit Code (Proof of Concept) ist öffentlich verfügbar.

Greenbone ist in der Lage, betroffene Versionen von Ciscos ASA [1][2], Cisco FTD Software [3][4] und Cisco IMC [5] sowie andere kürzlich bekannt gewordene Schwachstellen in Cisco-Produkten zu identifizieren.

GitLab Community und Enterprise aktiv ausgenutzt

Eine Schwachstelle in den Editionen GitLab Community und Enterprise, die erstmals im Januar 2024 öffentlich bekannt wurde, wurde von der CISA am 1. Mai 2024 als aktiv ausgenutzt eingestuft CVE-2023-7028 (CVSS 10 Kritisch). Die Behebung bekannter, aktiv ausgenutzter kritischer Schwachstellen sollte für IT-Sicherheitsteams in Unternehmen höchste Priorität haben. Insgesamt wurden im Mai dieses Jahres 13 neue Sicherheitslücken bekannt, die GitLab betreffen.

CVE-2023-7028 resultiert aus einem Fehler bei der Implementierung von Zugriffskontrollen [CWE-284] und ermöglicht es einem Angreifer, E-Mails zum Zurücksetzen von Passwörtern an eine beliebige E-Mail-Adresse zu senden. Die Ausnutzung ermöglicht einem Angreifer den Zugriff auf Administratorkonten in der Community Edition (CE) und Enterprise Edition (EE) von GitLab, ein webbasiertes DevOps-Lifecycle-Tool und Git-Repository-Manager.

CVE-2023-7028 ist in allen Hauptversionen von GitLab von 16.1 bis 16.7 vorhanden, die nicht die neuesten Patches installiert haben. Mindestens ein öffentlich verfügbarer PoC-Exploit und eine detaillierte technische Beschreibung bedeuten, dass diese Schwachstelle in Zukunft als trivial ausnutzbar eingestuft werden sollte.

CVE-2024-4835 ragte ebenfalls aus dem Stapel der Mai-Schwachstellen in GitLab heraus. Mit einem CVSS-Wert von 8,0 ist CVE-2024-4835 eine Cross-Site-Scripting (XSS)-Schwachstelle im webbasierten Code-Editor, die GitLab in allen Versionen von 15.11 bis 16.10.6, 16.11 bis 16.11.3 und 17.0 bis 17.0.1 betrifft. Durch Ausnutzung von CVE-2024-4835 kann ein Angreifer eine bösartige Seite erstellen, um vertrauliche Benutzerinformationen zu herauszufiltern.

35 neue CVEs von Adobe

Im Mai hat Adobe insgesamt 45 Sicherheitslücken in verschiedenen Produkten bekannt gegeben. Davon wurden 32 als besonders schwerwiegend eingestuft, mit einem CVSS-Wert von 7,8 oder höher. Alle Schwachstellen mit hohem Schweregrad werden ausgenutzt, indem ein Opfer dazu gebracht wird, eine bösartige Datei zu öffnen, was zur Ausführung von beliebigem Code durch einen Angreifer führen kann.

Diese Schwachstellen eignen sich hervorragend für Social-Engineering-Angriffe wie Malspam-, Phishing-, Spear-Phishing- und Drive-by-Download-Kampagnen großer Cybercrime-Gruppen, insbesondere für Initial Access Broker (IAB), die sich unerlaubt Zugang zu den Computern und internen Netzwerken der Opfer verschaffen. Die Benutzer werden dringend aufgefordert, ihre Software auf die neuesten Versionen zu aktualisieren, um die Risiken zu mindern, und ganz allgemein bei Software, die nicht vom Originalhersteller stammt, und beim Öffnen von Dokumenten aus nicht vertrauenswürdigen Quellen sehr vorsichtig zu sein.

Hier ist eine Übersicht über die betroffenen Produkte:

  • Adobe Acrobat Reader: In Acrobat Reader wurden insgesamt elf neue Sicherheitslücken gefunden. Davon wurden neun als besonders schwerwiegend eingestuft, jede mit einem CVSS-Wert von 7,8. Diese Sicherheitslücken betreffen die Adobe Acrobat Reader-Versionen 20.005.30574, 24.002.20736 und früher.
  • Adobe Framemaker: In Adobe Framemaker wurden acht neue Sicherheitslücken gefunden, von denen fünf einen hohen Schweregrad aufweisen. Zu den betroffenen Versionen gehören Adobe Framemaker 2020.5, 2022.3 und früher.
  • Adobe Animate: In Animate wurden im Mai sieben Sicherheitslücken bekannt, von denen fünf als besonders schwerwiegend eingestuft wurden. Die Sicherheitslücken betreffen die Animate-Versionen 24.0.2, 23.0.5 und frühere Versionen.

Ein Taifun kritischer CVEs trifft ArubaOS

Im Mai hat HPE Aruba Networking insgesamt 28 Schwachstellen für sein Betriebssystem ArubaOS bekannt gegeben. Erstaunliche 16 davon wurden als CVSS 9.8 mit hohem Schweregrad oder höher eingestuft. ArubaOS hat bisher nur eine einzige CVE (2024), die im März veröffentlicht wurde, was die Offenlegung in diesem Monat zu einer Anomalie macht. ArubaOS gilt als führend im WLAN-Management und Sicherheitsanwendungen, einschließlich Intrusion Detection und Prevention Systemen. Ein Indiz für den Marktanteil von ArubaOS ist, dass Aruba Networking, eine Tochtergesellschaft von Hewlett-Packard, im zweiten Quartal 2024 einen Umsatz von 7,2 Mrd. Dollar erzielte.

Zu den betroffenen Produkten gehören verschiedene Dienste und Protokolle, auf die über das PAPI-Protokoll zugegriffen wird. Unter den am stärksten betroffenen Komponenten von ArubaOS ragen der Command Line Interface (CLI) Service und der Central Communications Service heraus, die beide mehrere hochgradige Schwachstellen aufweisen, die Angreifern die Ausführung von beliebigem Code ermöglichen könnten. Benutzern wird empfohlen, die neuesten Updates zu installieren und die Lösungshinweise des Herstellers zu befolgen, um betroffene Produkte zu entschärfen.

Greebone enthält Schwachstellentests, um verwundbare ArubaOS-Instanzen zu identifizieren, sodass IT-Sicherheitsteams diese Schwachstellen identifizieren, priorisieren und durch die Installation der Sicherheitsupdates beheben können.

Apache ActiveMQ 6.x: Unsicherheit by Design

Ende 2023 berichteten wir über eine aktiv ausgenutzte CVSS 9.8 kritische Sicherheitslücke in Apache ActiveMQ, einem Message Broker-Dienst, der es Prozessen in einer verteilten Architektur ermöglicht, Informationen in einer Warteschlangenliste auszutauschen.

Im Mai 2024 geriet ActiveMQ erneut unter Beschuss. Diesmal wurde seiner Standardkonfiguration CVE-2024-32114 (CVSS 8.5 Hoch) zugewiesen, eine nicht authentifizierte Schwachstelle in der Jolokia JMX REST API und der Message REST API in der ActiveMQ-Management-API. Die Schwachstelle ermöglicht es Angreifern, frei mit dem Broker zu interagieren, um Nachrichten zu produzieren oder zu konsumieren (über die Jolokia JMX REST API) oder Ziele zu löschen (über die Message REST API).

Greenbone ist in der Lage, CVE-2024-32114 zu erkennen, indem es anfällige Versionen von ActiveMQ identifiziert. Es wird empfohlen, der Standardkonfigurationsdatei conf/jetty.xml eine Sicherheitseinschränkung hinzuzufügen, um eine Authentifizierung zu verlangen, oder auf Apache ActiveMQ 6.1.2 zu aktualisieren, wo die Standardkonfiguration standardmäßig mit Authentifizierung aktualisiert wurde, um die Sicherheitslücke zu schließen.

Gemäß den CISA-Grundsätzen für „Security By Design“ und dem neuen Cyber Resilience Act der EU müssen Produkte mit einer sicheren Standardkonfiguration ausgeliefert werden, da die Anbieter, auch die von Open-Source-Software, mehr Verantwortung für die Sicherheit ihrer Produkte übernehmen müssen.

Ivanti behebt mehrere Sicherheitslücken im Avalanche MDM-System

Ivanti wurde bereits in früheren Greenbone Sicherheitshinweisen erwähnt. Erst letzten Monat wurde in unserem Threat Tracking vom April 2024 beschrieben, wie die MITRE Corporation durch zwei zuvor bekannt gewordene Ivanti-Schwachstellen in Ivanti Connect Secure VPN verletzt wurde. Ivanti ist nun Gegenstand einer weiteren kritischen Schwachstelle in seinem Avalanche für Mobile Device Management (MDM).

Avalanche wurde entwickelt, um Unternehmen bei der Sicherung und Verwaltung ihrer mobilen Geräte, einschließlich Smartphones, Tablets und anderer mobiler Endpunkte, zu unterstützen. Bei der als CVE-2024-29204 mit einem CVSS-Wert von 9.8 kritisch eingestuften Schwachstelle handelt es sich um einen Heap Overflow [CWE-122] in der Komponente WLAvalancheService von Avalanche, der es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebige Befehle auszuführen. Alle Versionen von Ivanti Avalanche vor 6.4.3 sind betroffen. Greenbones Enterprise Feed beinhaltet einen Versionserkennungstest, um verwundbare Instanzen zu identifizieren.

Zusammenfassung

Der Mai 2024 verzeichnete einen deutlichen Anstieg der gemeldeten Schwachstellen und übertraf mit insgesamt 5061 CVEs den Rekord vom April um 36,9%. Einer von Greenbones eigenen Entwicklern hat  im Mai am Responsible Disclosure teilgenommen, um sicherzustellen, dass Schwachstellen identifiziert und gepatcht werden. Schwerwiegende Schwachstellen wurden in zahlreichen Software- und Hardwareprodukten für Unternehmen gemeldet, darunter verschiedene Cisco-Produkte, GitLab, Adobes Produktreihe für kreatives Design, HPs ArubaOS, Apache ActiveMQ und das Avalanche MDM-System von Ivanti. Unternehmen müssen wachsam bleiben, indem sie sich über Schwachstellen auf dem Laufenden halten und sich nach Kräften bemühen, ausnutzbare Schwachstellen in ihrer IT-Infrastruktur zu identifizieren, zu priorisieren und zu patchen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Proaktive Sicherheit reduziert die Kosten eines Cyberangriffs

Aus einer Vogelperspektive betrachtet, wird der kumulative Schaden durch Cyberkriminalität weltweit im Jahr 2024 auf geschätzte 9,2 Billionen Dollar ansteigen. Laut dem „Cost of a Data Breach Report 2023“ der X-Force von IBM verursacht eine einzelne Datenpanne einen durchschnittlichen finanziellen Schaden in Höhe von 4,45 Millionen Dollar für das betroffene Unternehmen. Während US-Firmen mehr als das Doppelte des globalen Durchschnitts tragen, lagen deutsche Organisationen im Durchschnitt.

Die höchsten Kosten nach einer Sicherheitsverletzung entstehen durch Maßnahmen zur Schadensbegrenzung wie Incident Response, digitale Forensik, Systemwiederherstellung und die erforderliche Offenlegung. Auch regulatorische Geldstrafen können die Kosten einer Sicherheitsverletzung erheblich erhöhen. Change Healthcare erwartet in diesem Jahr einen Verlust von 1,6 Milliarden Dollar aufgrund einer im März 2024 erfolgten Sicherheitsverletzung, und es könnten noch weitere regulatorische Geldstrafen folgen.

Diese potenziellen Schäden unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zur Verhinderung erfolgreicher Cyberangriffe und zur Minderung der finanziellen Auswirkungen, falls doch einer auftritt. Das Ponemon Institut hat festgestellt, dass fehlende Sicherheitsupdates für 57 % der Cyberangriffe verantwortlich sind. Weniger häufig gehackt zu werden, ist ein offensichtlicher Vorteil präventiver Cybersicherheitsmaßnahmen. Laut IBM haben Organisationen mit proaktivem risikobasierten Schwachstellenmanagement auch niedrigere durchschnittliche Kosten nach einer Sicherheitsverletzung (3,98 Millionen Dollar) im Vergleich zu Organisationen ohne solche Maßnahmen (4,45 Millionen Dollar), solchen mit Fachkräftemangel (5,36 Millionen Dollar) oder solchen, die nicht konform mit Cybersicherheitsvorschriften sind (5,05 Millionen Dollar).

Angriff auf Change Healthcare

Im März 2024 erlitt Change Healthcare einen Ransomware-Angriff, der das Unternehmen bisher mit etwa 872 Millionen Dollar belastet hat und 6 Milliarden Dollar an Krankenversicherungszahlungen verzögert hat. Change Healthcare prognostiziert einen jährlichen Verlust von 1,6 Milliarden Dollar aufgrund des Vorfalls. Gegründet 2007, ist Change Healthcare ein führendes Technologieunternehmen im Gesundheitswesen, das weltweit Dienstleistungen im Bereich Revenue Cycle Management, Zahlungsgenauigkeit und klinischen Datenaustausch anbietet. Eine Übernahme im Jahr 2022 bewertete das Unternehmen mit 8 Milliarden Dollar.

Untersuchung der HIPAA-Konformität bei Change Healthcare

Zusätzlich zu den erheblichen Schäden hat das US-amerikanische Gesundheitsministerium HHS eine Untersuchung des Angriffs eingeleitet, um festzustellen, ob Change Healthcare gegen Compliance-Anforderungen verstoßen hat. Die HIPAA-Sicherheitsregeln verlangen, dass betroffene Unternehmen „anerkannte Sicherheitspraktiken“ implementieren, um elektronische geschützte Gesundheitsinformationen (ePHI) vor absehbaren Sicherheitsbedrohungen zu schützen.

Kontinuierliches Schwachstellenmanagement ist ein grundlegender Bestandteil aller modernen Cybersicherheitsarchitekturen. Wenn man etwas Positives sehen will, sind die schwersten Strafen für HIPAA-Nichtkonformität auf nur 2 Millionen Dollar begrenzt; eine Kleinigkeit im Vergleich zu den Gesamtkosten der Reaktion und Wiederherstellung in diesem speziellen Vorfall.

Die Greenbone Vulnerability Management-Plattform ist in der Lage, an unterschiedliche Bedürfnisse angepasste Compliance-Tests durchzuführen, um jedes Rahmenwerk einschließlich CIS, DISA STIG, HIPAA und mehr zu erfüllen. Greenbone ist zertifiziert sowohl für sein Informationssicherheitsmanagementsystem ISMS (ISO 27001), Qualitätsmanagement (ISO 9000) und zuletzt auch für Umweltmanagement (ISO-14001).

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Schutz von Office-Paketen: Greenbone integriert weitere BSI-Grundschutz- und CIS-Vorgaben

Das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnologe (BSI) macht seit wenigen Jahren auch klare Vorgaben für Anwender von Microsoft Office. Seit April 2024 integrieren die Enterprise-Produkte von Greenbone auch Tests, die belegen sollen, ob ein Unternehmen diese Anweisungen umsetzt. Dabei werden die BSI-Anweisungen mit den Leitlinien des Center for Internet Security (CIS) in Übereinstimmung gebracht.

Im Abschnitt „APP:Anwendungen 1.1. Office Produkte“ legt das BSI fest, welche „Anforderungen an die Funktionsweise der Komponenten von Office-Produkten“ zu stellen sind. Ziel ist der Schutz der durch die Office-Software bearbeiteten und genutzten Daten. Auch wenn in den meisten Fällen Microsoft Office gemeint sein dürfte – hat es doch immer noch die bei weitem größte Marktdurchdringung –, so möchte das Modell hinter den BSI-Vorgaben diese auf jedes Office-Produkt anwenden können, „das lokal installiert ist und mit dem Dokumente betrachtet, bearbeitet oder erstellt werden, außer E-Mail-Anwendungen“.

BSI-Vorgaben

Das Modul baut ausdrücklich auf die Vorgaben des Bausteins „ APP.6 Allgemeine Software“ auf und verweist auf die Module „APP.5.3 Allgemeiner E-Mail-Client“ sowie „APP.4.3 Relationale Datenbanken“ und „OPS.2.2 Cloud-Nutzung“, berücksichtigt diese jedoch ausdrücklich nicht.

Das BSI macht dabei drei wesentliche Gefährdungen für Office-Pakete aus:

  • Fehlende Anpassung der Office-Produkte an den Bedarf der Institution
  • Schädliche Inhalte in Office-Dokumenten
  • Integritätsverlust von Office-Dokumenten

Die im BSI-Grundschutzhandbuch genannten Bausteine umfassen 16 Punkte, von denen aber einige bereits wieder entfallen sind. Greenbone hat mehrere hundert Tests entwickelt, die vor allem für fünf der genannten Basis-Anforderungen zum Einsatz kommen, darunter beispielsweise das „Sichere Öffnen von Dokumenten aus externen Quellen“ (APP.1.1. A3) und den in APP.1.1. A15 aufgeführten „Einsatz von Verschlüsselung und Digitalen Signaturen“. In diesen Vorgaben schreibt das BSI zum einen:

„Alle aus externen Quellen bezogene Dokumente MÜSSEN auf Schadsoftware überprüft werden, bevor sie geöffnet werden. Alle als problematisch eingestuften und alle innerhalb der Institution nicht benötigten Dateiformate MÜSSEN verboten werden. Falls möglich, SOLLTEN sie blockiert werden. Durch technische Maßnahmen SOLLTE erzwungen werden, dass Dokumente aus externen Quellen geprüft werden.“

Hinsichtlich der Verschlüsselung heißt es: „Daten mit erhöhtem Schutzbedarf SOLLTEN nur verschlüsselt gespeichert bzw. übertragen werden. Bevor ein in ein Office-Produkt integriertes Verschlüsselungsverfahren genutzt wird, SOLLTE geprüft werden, ob es einen ausreichenden Schutz bietet. Zusätzlich SOLLTE ein Verfahren eingesetzt werden, mit dem Makros und Dokumente digital signiert werden können.“

CIS-Leitlinien verbessern den Grundschutz

Zusätzlich zu den im BSI-Grundschutzhandbuch genannten Vorgaben finden sich im CIS-Benchmark des Centers for Internet Security (CIS) für Microsoft Office noch weitergehende und spezifischere Vorschläge zur Absicherung der Microsoft-Produkte. Die CIS-Vorgaben entstehen in einer Community aus Sicherheitsexperten und stellen eine im Konsens entstandene Best-Practice-Sammlung, hier für Microsoft Office dar.

Als einer der ersten und einzigen Anbieter von Schwachstellenmanagement bringt Greenbone nun Tests auf dort genannte sicherheitsrelevante Features und vereint dabei erstmals die CIS- und BSI-Anleitungen zu zahlreichen, teils tiefgehenden Tests, beispielsweise auf die ActiveX-Control Initialisierung in Microsoft Office. Das Greenbone Vulnerability Management testet hier beispielsweise, ob dieser Schalter auf „enabled“ gesetzt ist, aber auch viele andere Settings, beispielsweise „Always prevent untrusted Microsoft Query files from opening“ is set to „Enabled“ und viele andere mehr.

Viele der Tests beschäftigen sich dabei mit externen Inhalten, dem Einbinden von Makros und der Frage, ob und wie diese externen Inhalte signiert, verifizierbar und daher vertrauenswürdig oder nicht sind, und ob die Administratoren ihre Hausaufgaben bei der Konfiguration von Microsoft Office gemacht haben. Denn, so das BSI, eine der wichtigsten Bedrohungen (und die als erste genannte) ist die mangelnde Anpassung der Office-Produkte an die Realität und die Business-Prozesse im Unternehmen. Hier sorgt Greenbone mit den neuen Tests für eine effiziente Erfüllung von Compliance-Vorgaben und erschwert es Angreifern und Malware, im Unternehmen Fuß zu fassen und Schaden anzurichten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

Potsdamer Konferenz für Nationale Cybersicherheit 2024

Am 19. und 20. Juni 2024 geht’s ums Ganze: In Potsdam treffen sich hochrangige IT-Spezialisten und Verantwortliche aus Politik, Wirtschaft und Wissenschaft, um einen Überblick über die „Nationale Cybersicherheit“ zu geben. Eine der größten, flächendeckenden Herausforderungen ist die rasante Entwicklung Künstlicher Intelligenz (KI). Über ihren Einfluss auf die IT-Security wird Elmar Geese, Vorstand von Greenbone, mit Dr. Christoph Bausewein (CrowdStrike), Dr. Sven Herpig (Stiftung Neue Verantwortung) und Dr. Kim Nguyen (Bundesdruckerei) auf dem Podium diskutieren.

  • Zeit: Juni 2024; 13:45
  • Ort: Hasso-Plattner-Institut, Potsdam, Prof.-Dr.-Helmert-Straße 2-3 (Campus Griebnitzsee)
  • Thema: Wie verändert Künstliche Intelligenz die Cybersicherheitslandschaft?
  • Moderation: Dr. Sandra Wachter, University of Oxford

Die „Potsdamer Konferenz für Nationale Cybersicherheit“ findet am 19. und 20. Juni 2024 statt. Besuchen Sie uns gerne auf unserem Stand auf der Konferenz!

Anmeldung: https://hpi.de/das-hpi/bewerbung/2024/potsdam-cybersecurity-conference/

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von