Joseph Lee

Greenbone entdeckt CVE-2025-0994: Aktiv ausgenutzte Schwachstelle in Trimble Cityworks

Trimble Cityworks, eine Software für das Enterprise Asset Management (EAM) und die Verwaltung öffentlicher Gebäude, wird aktiv angegriffen. Die Kampagne begann als unbekannte Schwachstelle (Zero Day), wird aber jetzt als CVE-2025-0994 mit einem CVSS-Wert von 8.6 geführt. Es handelt sich um einen Fehler bei der Deserialisierung [CWE-502], der einem authentifizierten Angreifer ermöglichen könnte, beliebigen Code aus der Ferne auszuführen (Remote Code Execution; RCE). Greenbone enthält eine Erkennung für CVE-2025-0994 im Enterprise Feed.

Die aktive Ausnutzung von CVE-2025-0994 ist eine reale und gegenwärtige Gefahr. Trimble hat eine Erklärung veröffentlicht, in der die Angriffe auf das Produkt bestätigt werden. Dank der Transparenz des Herstellers hat die CISA (Cybersecurity and Infrastructure Security Agency) CVE-2025-0994 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen und einen ICS-Hinweis sowie ein CSAF-2.0-Dokument veröffentlicht. CSAF 2.0-Advisorys sind maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen für den dezentralen Austausch von Cybersicherheitsinformationen.

Obwohl viele Medienberichte und einige Plattformen, die Bedrohungsinformationen sammeln, darauf hinweisen, dass es einen öffentlichen Proof-of-Concept (PoC) gibt, ist das einzige Suchergebnis auf GitHub lediglich ein Versionserkennungstest. Das bedeutet, dass es unwahrscheinlich ist, dass wenig qualifizierte Hacker leicht an Angriffen teilnehmen können. Die Fehlinformationen sind vermutlich auf schlecht konzipierte Algorithmen in Verbindung mit mangelnder menschlicher Kontrolle vor der Veröffentlichung von Bedrohungsdaten zurückzuführen.

Wer ist durch CVE-2025-0994 gefährdet?

Trimble Cityworks wurde vor allem für Kommunalverwaltungen und Anbieter kritischer Infrastrukturen wie Wasser- und Abwassersysteme, Energie, Verkehrssysteme, staatliche Industrieanlagen und Kommunikationsagenturen entwickelt und wird von ihnen genutzt. Cityworks erweitert geografische Informationssysteme (GIS) durch die Integration von Lösungen für die Verwaltung von Anlagen und öffentlichen Arbeiten direkt in Esri ArcGIS. Die Software soll Organisationen bei der Verwaltung der Infrastruktur, der Planung von Wartungsarbeiten und der Verbesserung der betrieblichen Effizienz helfen. Neben der CISA haben auch mehrere andere Regierungsbehörden Warnungen zu dieser Sicherheitslücke herausgegeben, darunter die US-Umweltschutzbehörde (EPA), das kanadische Zentrum für Cybersicherheit und der Bundesstaat New York.

Eigenen Angabe zufolge bediente Trimble Cityworks im Jahr 2019 über 700 Kunden in Nordamerika, Europa, Australien und dem Nahen Osten. Während spezielle Zahlen für Kommunalverwaltungen in den USA, Kanada und der EU nicht öffentlich bekannt gegeben werden, zeigen eine Suche auf Shodan und eine Censys-Karte jeweils nur etwa 100 öffentlich zugängliche Instanzen von Cityworks. Es wird jedoch davon ausgegangen, dass die Anwendung eine hohe Akzeptanz bei Kommunalverwaltungen und Versorgungsunternehmen hat. Wenn CVE-2025-0994 öffentlich zugänglich ist, könnte ein Angreifer einen ersten Zugang erhalten [T1190]. Für Angreifer, die bereits Fuß gefasst haben, ist die Schwachstelle eine Gelegenheit für laterale Bewegungen [TA0008] und stellt eine leichte Beute für Insider-Angriffe dar.

Technische Beschreibung von CVE-2025-0994

CVE-2025-0994 ist eine Schwachstelle in der Deserialisierung [CWE-502], die in Versionen von Trimble Cityworks vor 15.8.9 und Cityworks mit Office Companion vor 23.10 gefunden wurde. Sie entsteht durch die unsachgemäße Deserialisierung von nicht vertrauenswürdigen serialisierten Daten, die es einem authentifizierten Angreifer ermöglicht, beliebigen Code aus der Ferne auf dem Microsoft Internet Information Services (IIS) Webserver des Ziels auszuführen.

Die Serialisierung ist ein Prozess, bei dem Softwarecode oder Objekte kodiert werden, um zwischen Anwendungen übertragen und dann in dem von einer Programmiersprache verwendete Originalformat rekonstruiert zu werden. Wenn Trimble Cityworks serialisierte Objekte verarbeitet, werden nicht vertrauenswürdige Eingaben nicht ordnungsgemäß validiert oder bereinigt. Dieser Fehler ermöglicht es einem Angreifer mit authentifiziertem Zugriff, speziell gestaltete serialisierte Objekte zu senden, die eine beliebige Codeausführung auf dem zugrunde liegenden IIS-Server auslösen können. Die Deserialisierung von Daten aus nicht authentifizierten Quellen scheint an sich schon ein signifikanter Designfehler zu sein, aber das Versäumnis, serialisierte Daten ordnungsgemäß zu bereinigen, ist eine besondere Unsicherheit.

Konsequenzen der Ausnutzung von CVE-2025-0994 könnten sein:

  • Unbefugter Zugriff auf sensible Daten
  • Unterbrechung der Dienste für kritische Infrastruktursysteme
  • Mögliche vollständige Kompromittierung des betroffenen IIS-Webservers

Abhilfe gegen CVE-2025-0994 in Trimble Cityworks

Trimble hat gepatchte Versionen von Cityworks veröffentlicht, die die Schwachstelle in der Deserialisierung beheben. Diese Patches umfassen Cityworks 15.8.9 und Cityworks 23.10. On-premise-Anwender müssen sofort auf die gepatchte Version aktualisieren, während Kunden von Cityworks Online (CWOL) diese Updates automatisch erhalten.

Trimble wies darauf hin, dass bei einigen Vor-Ort-Installationen IIS mit überprivilegierten Identitätsberechtigungen ausgeführt wird, was die Angriffsfläche vergrößert. IIS sollte weder auf lokaler noch auf Domänenebene über administrative Berechtigungen verfügen. Befolgen Sie die Anweisungen von Trimble in den neuesten Cityworks-Versionshinweisen, um die IIS-Identitätskonfigurationen richtig anzupassen.

Empfohlene Aktionen für On-premises-Anwender von Trimble Cityworks:

  • Aktualisieren Sie die Cityworks 15.x-Versionen auf 15.8.9 und die 23.x-Versionen auf 23.10.
  • Prüfen Sie die IIS-Identitätsberechtigungen, um sicherzustellen, dass sie mit dem Prinzip der geringsten Rechte übereinstimmen.
  • Beschränken Sie die Stammkonfiguration des Anhangsverzeichnisses auf Ordner, die nur Anhänge enthalten.
  • Verwenden Sie eine Firewall, um den Zugriff auf den IIS-Server nur auf vertrauenswürdige interne Systeme zu beschränken.
  • Verwenden Sie ein VPN, um den Fernzugriff auf Cityworks zu ermöglichen, anstatt den Dienst öffentlich zugänglich zu machen.

Zusammenfassung

CVE-2025-0994 stellt ein ernsthaftes Sicherheitsrisiko für Trimble Cityworks-Benutzer dar, die größtenteils aus Behörden und kritischen Infrastrukturumgebungen stammen. Da bereits eine aktive Ausnutzung beobachtet wurde, müssen Organisationen sofortige Patches und Sicherheitsmaßnahmen implementieren, um das Risiko zu minimieren. Greenbone hat die Erkennung von CVE-2025-0994 zum Enterprise Feed hinzugefügt, sodass Kunden einen Überblick über ihre Gefährdungslage erhalten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Januar 2025 Threat Report: Der Lohn der Vorbereitung

In diesem Jahr werden viele große Unternehmen weltweit gezwungen sein, sich mit der Ursache von Cyberangriffen auseinanderzusetzen. Viele bekannte Schwachstellen sind ein offenes Einfallstor für eingeschränkte Netzwerkressourcen. In unserem ersten Threat Report des Jahres 2025 gehen wir auf einige katastrophale Sicherheitsverletzungen aus 2024 ein und befassen uns mit Sicherheitslücken, die im letzten Monat gefährlich wurden.

Die hier besprochenen Schwachstellen kratzen jedoch nur an der Oberfläche. Im Januar 2025 wurden über 4.000 neue CVEs (Common Vulnerabilities and Exposures) veröffentlicht, 22 mit der maximalen CVSS-Punktzahl von 10 und 375 mit kritischem Schweregrad. Die Flut von kritischen Schwachstellen in Edge-Networking-Geräten ist noch nicht abgeebbt. Neu angegriffene Schwachstellen in Produkten von globalen Tech-Giganten wie Microsoft, Apple, Cisco, Fortinet, Palo Alto Networks, Ivanti, Oracle und anderen wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen.

Software-Lieferkette: Die Verantwortung der User

Wir alle arbeiten mit Software, die wir nicht selbst entwickelt haben. Daher spielt Vertrauen eine große Rolle. Wo das Vertrauen wackelt, sei es aus Angst vor mangelnder Sorgfalt, Böswilligkeit oder menschlichem Versagen, liegt die Verantwortung für die Cybersicherheit immer noch beim Endbenutzer. Die Absicherung gegen Risiken hängt in hohem Maß von technischem Wissen und gemeinsamen Anstrengungen ab. Verteidiger müssen sich im Jahr 2025 dessen bewusst sein.

Wenn die Sicherheit der Lieferkette versagt, fragen Sie nach den Gründen! Hat der Softwareanbieter die erforderlichen Tools zur Verfügung gestellt, damit Sie die Kontrolle über die Ergebnisse Ihrer Sicherheitsbemühungen übernehmen können? Führt Ihr Security-Team eine sorgfältige Erkennung und Behebung von Schwachstellen durch? Sind Ihre Ressourcen mit starken Zugangskontrollen segmentiert? Wurden die Mitarbeiter darin geschult, Phishing-Angriffe zu erkennen? Wurden noch andere, angemessene Cybersicherheitsmaßnahmen ergriffen? Unternehmen müssen ihre Resilienz gegen Ransomware stärken, das heißt, sie müssen regelmäßig die Schwachstellen bewerten und das Patchmanagement priorisieren. Darüber hinaus sollten sie überprüfen, ob zuverlässige Backup-Strategien bestehen, die die Recovery-Ziele erfüllen, und andere grundlegende Sicherheitskontrollen etablieren, um sensible Daten zu schützen und Ausfallzeiten zu vermeiden.

Erfolg durch Vorbereitung

Der Jahresbericht 2024 des britischen NCSC (National Cyber Security Center) zeichnet ein düsteres Bild: Die Zahl der bedeutenden Cyberangriffe hat sich im Vergleich zu 2023 verdreifacht. Aus der Vogelperspektive hat das CSIS (Center for International Strategic & International Studies) eine umfangreiche Liste der wichtigsten Cybervorfälle des Jahres 2024 veröffentlicht. Die Bedrohungslandschaft wurde durch den Russland-Ukraine-Konflikt geprägt und den weltweit beschleunigten Umschwung weg von der Globalisierung hin zur Feindseligkeit.

Check Point Research fand heraus, dass 96 % aller Schwachstellen, die 2024 ausgenutzt wurden, über ein Jahr alt waren. Dies sind positive Erkenntnisse für proaktive Verteidiger. Unternehmen, die ein Schwachstellenmanagement betreiben, sind wesentlich besser gegen gezielte Ransomware und Massenangriffe gewappnet. Klar ist: Proaktive Cybersicherheit reduziert die Kosten einer Sicherheitsverletzung.

Sehen wir uns zwei der wichtigsten Sicherheitsverletzungen aus dem Jahr 2024 an:

  • Das Change Healthcare Datenleck: Im Jahr 2024 gingen die Sicherheitsverletzungen im Gesundheitswesen gegenüber dem Rekordjahr 2023 insgesamt zurück. Der Ransomware-Angriff auf Change Healthcare stellte jedoch mit 190 Millionen betroffenen Personen einen neuen Rekord auf, wobei sich die Gesamtkosten bisher auf 2,457 Milliarden Dollar belaufen. Der Bundesstaat Nebraska hat nun eine Klage eingereicht gegen Change Healthcare, weil das Unternehmen veraltete IT-Systeme betreibt, die nicht den Sicherheitsstandards für Unternehmen entsprechen. Nach Angaben von IBM sind Sicherheitsverletzungen im Gesundheitswesen mit durchschnittlich 9,77 Millionen Dollar im Jahr 2024 am kostspieligsten.
  • Typhoon-Teams brechen in neun amerikanische TK-Unternehmen ein: Das Suffix „Typhoon“ wird von Microsofts Namenskonvention für Bedrohungsakteure für Gruppen mit chinesischem Ursprung verwendet. Der staatlich unterstützte chinesische Angreifer Salt Typhoon war in die Netzwerke von mindestens neun großen US-Telekommunikationsunternehmen eingedrungen und hatte auf die Anruf- und Text-Metadaten der Benutzer sowie auf Audioaufnahmen von hochrangigen Regierungsvertretern zugegriffen. Volt Typhoon drang in die Netzwerke von Singapore Telecommunications (SingTel) und anderen Telekommunikationsbetreibern weltweit ein. Die „Typhoons“ nutzten Schwachstellen in veralteten Netzwerkgeräten aus, darunter ungepatchte Microsoft Exchange Server, Cisco-Router, Fortinet- und Sophos-Firewalls sowie Ivanti-VPN-Anwendungen. Greenbone ist in der Lage, alle bekannten Software-Schwachstellen im Zusammenhang mit Salt Typhoon und Volt Typhoon-Angriffen zu erkennen [1][2].

UK: Verbot von Ransomware-Zahlungen im öffentlichen Sektor?

Die britische Regierung hat im Rahmen der Ransomware-Bekämpfung ein Verbot von Lösegeldzahlungen durch öffentliche Einrichtungen und Betreiber kritischer Infrastrukturen vorgeschlagen, um Cyberkriminelle davon abzuhalten, sie ins Visier zu nehmen. In einem neuen Bericht des National Audit Office (NAO), der unabhängigen britischen Aufsichtsbehörde für öffentliche Ausgaben, heißt es jedoch, dass „die Cyberbedrohung für die britische Regierung ernst ist und schnell voranschreitet“.

Das FBI, die CISA und die NSA raten von Lösegeldzahlungen ab. Schließlich garantiert die Zahlung eines Lösegelds nicht die Wiederherstellung verschlüsselter Daten oder verhindert die Veröffentlichung gestohlener Daten und kann sogar zu weiterer Erpressung ermutigen. Auf der anderen Seite räumt der Security-Thinktank von IBM ein, dass viele kleine und mittlere Unternehmen die durch Ransomware verursachten Ausfallzeiten finanziell nicht verkraften könnten. Auch wenn beide Seiten gute Argumente haben: Kann es zu einem positiven Ergebnis führen, wenn Cyber-Kriminelle bereichert werden und die Förderung lokaler Talente vernachlässigt wird?

Schwachstelle in SonicWall SMA 1000 aktiv ausgenutzt

Microsoft Threat Intelligence hat die aktive Ausnutzung von SonicWall SMA 1000 Gateways über CVE-2025-23006 (CVSS 9.8 Kritisch) aufgedeckt. Die Schwachstelle wird durch die unsachgemäße Behandlung nicht vertrauenswürdiger Daten während der Deserialisierung verursacht [CWE-502]. Über sie kann ein nicht authentifizierter Angreifer mit Zugriff auf die interne Appliance Management Console (AMC) oder die Schnittstelle der Central Management Console (CMC) beliebige Betriebssystembefehle ausführen. SonicWall hat den Hotfix Version 12.4.3-02854 veröffentlicht, um die Schwachstelle zu beheben.

Obwohl kein öffentlich zugänglicher Exploit-Code identifiziert wurde, haben zahlreiche Regierungsbehörden Warnungen herausgegeben, darunter das deutsche BSI CERT-Bund, das kanadische Center for Cybersecurity, CISA und der britische NHS (National Health Service). Greenbone kann SonicWall-Systeme erkennen, die von CVE-2025-23006 betroffen sind, indem es die im Service-Banner angegebene Version per Fernzugriff überprüft.

CVE-2024-44243 für persistente Rootkits in macOS

Der Januar 2025 war ein Monat voller Herausforderungen für die Apple-Sicherheit. Microsoft Threat Intelligence hat Zeit für einen Sicherheitstest von macOS gefunden und dabei eine Schwachstelle entdeckt, die es installierten Apps ermöglichen könnte, den Systemintegritätsschutz (SIP) des Betriebssystems zu verändern. Laut Microsoft könnten Angreifer auf diese Weise Rootkits und persistente Malware installieren und Transparency, Consent and Control (TCC) umgehen, das Anwendungen auf Ordnerbasis granulare Zugriffsberechtigungen gewährt. Obwohl noch kein aktiver Angriff gemeldet wurde, hat Microsoft technische Details zu den Erkenntnissen veröffentlicht.

Als der Januar zu Ende ging, wurde eine Reihe von 88 neuen CVEs veröffentlicht, von denen 17 einen kritischen Schweregrad (CVSS) aufweisen und das gesamte Spektrum der Apple-Produkte betreffen. Eine davon, CVE-2025-24085, wurde bei aktiven Angriffen beobachtet und in den KEV-Katalog der CISA aufgenommen. Darüber hinaus wurden zwei potenziell ausnutzbare Schwachstellen in den Chips der M-Serie von Apple mit den Bezeichnungen SLAP und FLOP entdeckt, denen jedoch noch keine CVEs zugeordnet wurden. Bei SLAP machten sich die Forscher die Schwachstellen des Chips zunutze, um die Heap-Allokationstechniken von Safari WebKit auszunutzen und JavaScript-String-Metadaten zu manipulieren, um spekulative Out-of-bounds-Lesevorgänge zu ermöglichen, sodass sie sensible DOM-Inhalte aus anderen geöffneten Website-Tabs extrahieren konnten. Für FLOP demonstrierten die Forscher, dass sensible Daten aus Safari und Google Chrome gestohlen werden können, indem sie die Javascript-Typüberprüfung in Safari WebKit und die Site Isolation von Chrome über WebAssembly umgehen.

Außerdem wurden fünf schwerwiegende Sicherheitslücken veröffentlicht, die Microsoft Office für macOS betreffen. Jede von ihnen kann einem Angreifer Remote Code Execution (RCE) ermöglichen. Zu den betroffenen Produkten gehören Microsoft Word (CVE-2025-21363), Excel (CVE-2025-21354 und CVE-2025-21362) und OneNote (CVE-2025-21402) für macOS. Es sind zwar noch keine technischen Details zu diesen Schwachstellen verfügbar, aber alle haben hohe CVSS-Bewertungen und Benutzer sollten so bald wie möglich ein Update durchführen.

Der Greenbone Enterprise Feed erkennt fehlende macOS-Sicherheitsupdates und viele andere CVEs, die Anwendungen für macOS betreffen, einschließlich der fünf neu entdeckten CVEs in Microsoft Office für Mac.

6 CVEs in Rsync mit Server- und Client-Übernahme

Die Kombination von zwei neu entdeckten Schwachstellen kann die Ausführung von beliebigem Code auf anfälligen Rsyncd-Servern ermöglichen, während nur anonymer Lesezugriff besteht. CVE-2024-12084, ein Heap Buffer Overflow, und CVE-2024-12085, ein Informationsleck, sind die Übeltäter. Öffentliche Mirrors, die Rsyncd verwenden, stellen das höchste Risiko dar, da sie von Natur aus keine Zugriffskontrolle haben.

Die Forscher fanden außerdem heraus, dass ein als Waffe eingesetzter Rsync-Server beliebige Dateien auf verbundenen Clients lesen und schreiben kann. Dies kann den Diebstahl sensibler Informationen und möglicherweise die Ausführung von Schadcode durch Änderung ausführbarer Dateien ermöglichen.

Hier ist eine Zusammenfassung der neuen Schwachstellen, geordnet nach CVSS-Schweregrad:

  • CVE-2024-12084 (CVSS 9.8 Kritisch): Unsachgemäße Handhabung der Prüfsummenlänge ermöglicht einen Heap Buffer Overflow und RCE.
  • CVE-2024-12085 (CVSS 7.5 Hoch): Uninitialisierte Stack-Inhalte können sensible Informationen preisgeben.
  • CVE-2024-12087 (CVSS 6.5 Medium): Die Path Traversal-Schwachstelle in Rsync ermöglicht Zugriff auf nicht autorisierte Dateien.
  • CVE-2024-12088 (CVSS 6.5 Medium): Path Traversal über die Option –safe-links kann beliebiges Schreiben von Dateien außerhalb des vorgesehenen Verzeichnisses ermöglichen.
  • CVE-2024-12086 (CVSS 6.1 Medium): Rsync-Server können beliebige Client-Dateien durchsickern lassen, wenn sie von einem Client auf einen Server kopiert werden.
  • CVE-2024-12747 (CVSS 5.6 Medium): Unsachgemäße Handhabung symbolischer Links führt zu einem Wettlauf, der die Erweiterung von Privilegien ermöglicht, wenn ein Admin-Benutzer den Rsyncd-Prozess kontrolliert.

Insgesamt stellen diese Schwachstellen ein ernsthaftes Risiko für RCE, Datenexfiltration und die Installation dauerhafter Malware sowohl auf Rsyncd-Servern als auch auf ahnungslosen Clients dar. Benutzer müssen auf die gepatchte Version aktualisieren, auf allen Systemen, die rsync verwendet haben, gründlich nach Indicators of Compromise (IoC) suchen und möglicherweise die Infrastruktur für die Dateifreigabe neu einrichten. Greenbone ist in der Lage, alle bekannten Schwachstellen in Rsync und die Nichteinhaltung wichtiger Sicherheitsupdates zu erkennen.

CVE-2025-0411: 7-Zip bietet MotW-Bypass

Am 25. Januar 2025 wurde die Sicherheitslücke CVE-2025-0411 (CVSS 7.5 Hoch) veröffentlicht, die das Archivierungsprogramm 7-Zip betrifft. Die Schwachstelle ermöglicht die Umgehung der Windows-Sicherheitsfunktion Mark of the Web (MotW) über speziell gestaltete Archivdateien. MotW kennzeichnet Dateien, die aus dem Internet heruntergeladen werden, mit einem Zone Identifier alternate data stream (ADS) und warnt, wenn sie aus einer nicht vertrauenswürdigen Quelle stammen. 7-Zip-Versionen vor 24.09 geben das MotW-Flag jedoch nicht an Dateien in verpackten Archiven weiter. Die Ausnutzung der Sicherheitslücke CVE-2025-0411, um die Kontrolle über das System eines Opfers zu erlangen, erfordert menschliche Interaktion. Die Zielpersonen müssen ein trojanisiertes Archiv öffnen und dann eine darin enthaltene bösartige Datei ausführen.

Interessanterweise haben Untersuchungen von Cofence ergeben, dass Regierungswebsites auf der ganzen Welt über CVE-2024-25608, eine Schwachstelle in der digitalen Plattform Liferay, für Credential-Phishing, Malware und Command-and-Control-Operationen (C2) missbraucht werden. Diese Schwachstelle ermöglicht es Angreifern, Benutzer von vertrauenswürdigen .gov-URLs auf bösartige Phishing-Seiten umzuleiten. Die Kombination der Umleitung von einer vertrauenswürdigen .gov-Domäne mit der 7-Zip-Schwachstelle birgt erhebliches Potenzial für die heimliche Verbreitung von Malware.

In Anbetracht der Risiken sollten Nutzer manuell auf die Version 24.09 aktualisieren, die seit Ende 2024 verfügbar ist. Wie bereits in der Einleitung erwähnt, liegt die Sicherheit der Software-Lieferkette oft in einer Grauzone, da wir alle von Software abhängig sind, die sich unserer Kontrolle entzieht. Bemerkenswert ist, dass 7-Zip vor der Veröffentlichung von CVE-2025-0411 die Benutzer nicht auf eine Sicherheitslücke hingewiesen hat. Und obwohl 7-Zip Open-Source ist, enthält das des Produkts GitHub-Konto nicht viele Details oder Kontaktinformationen für eine verantwortungsvolle Offenlegung.

Darüber hinaus hat das CVE eine DFN-CERT– und eine BSI CERT-Bund-Meldung ausgelöst [1][2]. Greenbone kann das Vorhandensein von anfälligen Versionen von 7-Zip erkennen.

Zusammenfassung

Diese Ausgabe unseres monatlichen Threat Reports befasst sich mit wichtigen Sicherheitsverletzungen aus dem Jahr 2024 und neu entdeckten kritischen Sicherheitslücken im Januar 2025. Die Software-Lieferkette stellt für alle großen und kleinen Unternehmen ein erhöhtes Risiko dar, sowohl durch Open-Source- als auch durch Closed-Source-Produkte. Open-Source-Software bietet jedoch Transparenz und die Möglichkeit für die Beteiligten, sich proaktiv für ihre eigenen Security-Resultate einzusetzen, entweder gemeinsam oder unabhängig. Obwohl die Kosten für Cybersicherheit beträchtlich sind, werden fortschreitende technische Fähigkeiten zunehmend ein entscheidender Faktor für die Sicherheit von Unternehmen und Staaten sein. Das Glück begünstigt diejenigen, die vorbereitet sind.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Aufregende neue Funktionen für Greenbone Enterprise Appliances sind da

Wir freuen uns, die Veröffentlichung mehrerer Funktions-Updates für unser Greenbone Operating System (GOS), den Software-Stack hinter unseren physischen und virtuellen Enterprise Appliances, bekannt zu geben. Die Updates führen neue Front-End-Funktionen ein, die das Schwachstellenmanagement im Unternehmen verbessern, sowie leistungssteigernde Back-End-Funktionen. Die neuesten Updates des Greenbone Operating System (GOS), Version 24.10, spiegeln das Engagement von Greenbone wider, Best Practices für eine grundlegende Cybersicherheit zu fördern und Unternehmen in die Lage zu versetzen, Sicherheitslücken schneller als je zuvor zu priorisieren und zu schließen.

In diesem Beitrag stellen wir Ihnen die neuesten Funktionen und Verbesserungen vor, die unsere Enterprise Appliances zu noch leistungsfähigeren Tools für das Exposure Management und die Einhaltung von Cybersicherheitsvorschriften machen.

GOS 24.10 bringt alle neuen Funktionen

Der Greenbone Security Assistant (GSA) ist das Tor des IT-Administrators zur Transparenz von IT-Security. Das Web-Interface des GSA präsentiert sich in einem völlig neuen Gewand. Die aktualisierte Version zeichnet sich durch ein modernes, minimalistisches Erscheinungsbild aus, das den Schwerpunkt auf Nützlichkeit und Benutzerfreundlichkeit legt und gleichzeitig alle Möglichkeiten von Greenbone in Reichweite bereitstellt. Aber das neue Aussehen ist nur die Oberfläche. Schauen wir uns einige tiefgreifendere Änderungen an.

Die neue Ansicht des Compliance Audit Reports

Die Einhaltung von Vorschriften zur Cybersicherheit wird immer wichtiger. Neue Regulierungen in der EU wie der Digital Operational Resilience Act (DORA), die Network and Information Security Directive 2 (NIS2) und der Cyber Resilience Act (CRA) verlangen von Unternehmen mehr proaktive Maßnahmen zum Schutz ihren digitalen Infrastrukturen. Andere Faktoren wie Cybersecurity-Versicherungen, die Notwendigkeit einer stärkeren Überwachung durch Dritte und die Rechenschaftspflicht gegenüber den Kunden wirken sich auf die Art und Weise aus, wie Unternehmen ihre Cybersecurity-Aktivitäten beaufsichtigen.

Das GOS 24.10-Update enthält eine brandneue, auf die Einhaltung von Vorschriften ausgerichtete Compliance-Ansicht. Die aktualisierte Benutzeroberfläche ermöglicht einen besseren Einblick in Cybersecurity-Risiken und unterstützt die Ausrichtung an IT-Governance-Zielen. Sie enthält Reports für Compliance-Audits, neue Dashboard-Anzeigen und Filteroptionen. Dadurch lassen sich die auf Compliance ausgerichteten Daten von den regulären Scan-Berichten unterscheiden. In den Delta-Audit-Berichten werden die Fortschritte bei der Einhaltung der Vorschriften durch visuelle Indikatoren und Tooltips hervorgehoben, die eine einfache Identifizierung ermöglichen.

EPSS-Unterstützung mit KI-gestützter Priorisierung

Da die Zahl der neuen CVEs (Common Vulnerabilities and Exposures) weiter zunimmt, ist es wichtig, Schwachstellen zu priorisieren, um sich auf die Bedrohungen mit den größten Auswirkungen konzentrieren zu können. Das Exploit Prediction Scoring System (EPSS) ist eine KI-gestützte Metrik, die die Wahrscheinlichkeit schätzt, dass ein CVE in freier Wildbahn ausgenutzt wird. EPSS wendet maschinelles Lernen (ML) auf historische Daten an, um vorherzusagen, bei welchen neuen CVEs das Risiko eines aktiven Angriffs am höchsten ist.

EPSS-Daten sind jetzt in unsere Enterprise Appliances integriert. Regelmäßig aktualisierte Wahrscheinlichkeiten zur Ausnutzung für alle aktiven CVEs sind in der Greenbone-Plattform nicht verfügbar. Administratoren können zusätzlich zum traditionellen Schweregrad im CVSS (Common Vulnerability Scoring System) aktuelle Werte für die Wahrscheinlichkeit und die Perzentile von Exploits nutzen und sich so auf die kritischsten Schwachstellen in ihrem Betrieb konzentrieren.

Mehr Möglichkeiten für anpassbare CSV- und JSON-Berichte

Greenbone war schon immer auf Einfachheit und Flexibilität ausgerichtet. So erfüllen die Lösungen ein breites Spektrum an besonderen betrieblichen Anforderungen. GOS 24.10 führt den Export von Berichten im JSON-Format ein. Außerdem können die Benutzer jetzt die Felder in exportierten CSV- und JSON-Berichten anpassen. So können sie Reports direkt von Greenbone aus anpassen, um den Berichtsanforderungen genauer zu entsprechen und sich auf das zu konzentrieren, was für die Analyse, die Einhaltung von Vorschriften oder die Entscheidungsfindung wesentlich ist.

Zusätzliche Backend-Optimierungen

Um die Flexibilität und Genauigkeit des Schwachstellenabgleichs zu verbessern, hat Greenbone mehrere Backend-Optimierungen eingeführt, die sich auf die Handhabung von CPE (Common Platform Enumeration) und das Feed-Management konzentrieren. Hier ein Blick auf die Neuerungen:

  • Das Backend kann CPEv2.3-Strings in CPEv2.2-URIs konvertieren und beide Versionen für einen zuverlässigeren Abgleich der betroffenen Produkte speichern. Zukünftige Entwicklungen werden möglicherweise einen fortgeschrittenen Abgleich im laufenden Betrieb umfassen, der die Bewertung von Schwachstellen noch präziser macht.
  • Greenbone Enterprise Appliances unterstützen jetzt JSON-basierte CVE-, CPE-, EPSS- und CERT-Feeds sowie gzip-Datenkompression.

Zusammenfassung

Mit der Veröffentlichung einer neuen Runde von Updates stärkt Greenbone die Flaggschiff-Produkte der Greenbone Enterprise Appliances. Die Updates führen ein modernisiertes GSA-Web-Interface ein, eine auf die Einhaltung von Vorschriften ausgerichtete Audit-Berichtsansicht für mehr Transparenz und verbesserte CSV- und JSON-Exportfunktionen, die den Anwendern die Kontrolle über die Berichtsdaten geben. Außerdem wurden die verfügbaren Optionen für die Priorisierung von Schwachstellenrisiken um KI-basiertes EPSS erweitert. Schließlich gewährleisten Backend-Optimierungen die nahtlose Kompatibilität mit neuen CPE-Formaten und JSON-basierten Feeds. Zusammengenommen ergänzen diese Funktionen die anpassungsfähigen Schwachstellenmanagement-Funktionen von Greenbone und ermöglichen es Unternehmen, aufkommenden Bedrohungen mit branchenführender Schwachstellenerkennung und -priorisierung einen Schritt voraus zu sein.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

#GreenboneGoesGlobal: Starker Auftritt auf der ITASEC 2025 in Bologna

Vom 3. bis 8. Februar 2025 findet in Bologna die ITASEC statt, Italiens wichtigste Konferenz für Cybersicherheit. Als Platin-Sponsor setzt Greenbone ein starkes Zeichen für europäische Zusammenarbeit und digitale Sicherheit. Mit diesem Schritt zeigen wir, wie sehr wir auf globale Präsenz und den direkten Austausch mit den Kunden setzen.

Die „Due Torri“, zwei mittelalterliche Türme, prägen das Bild der historischen Altstadt Bolognas. (Foto: Markus Feilner, CC-BY 2016)

Die „Due Torri“, zwei mittelalterliche Türme, prägen das Bild der historischen Altstadt Bolognas. (Foto: Markus Feilner, CC-BY 2016)

 

Neue Perspektiven in Italien und weltweit

„Wir stellen bei Greenbone mehr und mehr fest, wie wichtig unser Schwachstellenmanagement für Kunden aus ganz Europa ist, und wie wichtig diesen Kunden eine direkte Kommunikation mit uns vor Ort ist“, erklärt Marketing-Vorstand Elmar Geese. Um diesem Bedarf gerecht zu werden, hat Greenbone die italienische Tochtergesellschaft OpenVAS S.R.L. gegründet. Gleichzeitig expandiert Greenbone in andere Regionen. Auf dem Zettel stehen eine neue Tochtergesellschaft in den Niederlanden und ein verstärktes Engagement auf dem asiatischen Markt.

Wir werden auf der ITASEC nicht nur mit einem Stand vertreten sein, sondern uns auch inhaltlich einbringen: Dirk Boeing, Senior Consultant und Cybersicherheitsexperte bei Greenbone, spricht am 6.2. um 11:00 Uhr auf dem Panel „Security Management in the NIS2 Era“.

Besuchen Sie uns in Bologna!

Die alljährliche ITASEC findet auf dem Campus der „Alma Mater Studiorum Università di Bologna“ statt, der ältesten Universität Europas, die seit 1088 Wissenschaftsgeschichte schreibt – ein idealer Ort für eine Konferenz, die sich der Sicherheit in der digitalen Zukunft widmet. Organisiert wird die Messe vom CINI Cybersecurity National Lab, wobei 2025 ganz das Thema der Sicherheit und Rechte im Cyberspace im Vordergrund steht. Das zeigt sich auch in der Kooperation mit der SERICS-Konferenz (Security and Rights in the Cyber Space), die von der SERICS-Stiftung im Rahmen des knapp 200 Milliarden Euro schweren italienischen „National Recovery and Resilience Plan“ (NRRP) unterstützt wird.

Die ITASEC an der Universität Bologna bietet eine hervorragende Gelegenheit, Greenbone live zu erleben und mehr über unsere Lösungen zu erfahren. Und das ist erst der Anfang: 2025 sind wir in Italien beispielsweise am 5. und 6. März auf der CyberSec Italia in Rom. Und vom 18.3. bis 19.3. ist Greenbone auf dem Kongress „Digitaler Staat“ in Berlin, ab 19.3. auch auf der secIT in Hannover. Wir freuen uns auf Ihren Besuch!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Dezember 2024 Threat Report: Ein Rekordjahr für IT-Risiken

Im Jahr 2024 verlangte die geopolitische Instabilität, gekennzeichnet durch die Konflikte in der Ukraine und im Nahen Osten, nach einer stärkeren Cybersicherheit sowohl im öffentlichen als auch im privaten Sektor. China nahm die US-Verteidigung, Versorgungsunternehmen, Internetprovider und das Transportwesen ins Visier, während Russland koordinierte Cyberangriffe auf US-amerikanische und europäische Staaten startete, um die öffentliche Meinung zu beeinflussen und Uneinigkeit unter den westlichen Verbündeten über den Ukraine-Krieg zu schaffen. Am Ende von 2024 blicken wir auf eine hektische Cybersicherheitslandschaft am Rande des Abgrunds zurück.

2024 war ein weiteres Rekordjahr für CVE-Veröffentlichungen (Common Vulnerabilities and Exposures). Auch wenn es sich bei vielen Meldungen um sogenannte „AI Slop“-Meldungen [1][2] handelt, gleicht die schiere Menge der veröffentlichten Schwachstellen einen großen Heuhaufen. Da IT-Sicherheitsteams versuchen, die hoch riskanten „Nadeln“ in einem noch größeren „Heuhaufen“ zu finden, steigt die Wahrscheinlichkeit, dass sie übersehen werden. 2024 war auch ein Rekordjahr für Ransomware-Auszahlungen in Bezug auf Volumen und Umfang sowie für Denial-of-Service-Angriffe (DoS).

Zusätzlich fiel auch die „National Vulnerability Database“ des NIST (National Institute of Standards and Technology) aus, von der weltweit viele Organisationen betroffen waren, darunter auch Security-Anbieter. Der CVE-Scanner von Greenbone basiert auf dem CPE-Abgleich (Common Platform Enumeration) und ist von dem Ausfall des NIST NVD betroffen. Der primäre Scan-Motor von Greenbone, OpenVAS Scanner, ist jedoch nicht betroffen. OpenVAS interagiert direkt mit Diensten und Anwendungen, sodass unsere Entwickler anhand der Details aus den ersten CVE-Berichten zuverlässige Schwachstellentests erstellen können.

Im Jahr 2025 wird das Glück den Unternehmen hold sein, die vorbereitet sind. Angreifer nutzen Cyber-Intelligenz vermehrt als Waffe; die durchschnittliche Time-to-Exploit (TTE) beträgt nur noch Tage oder sogar Stunden. Der Aufstieg der KI wird neue Herausforderungen für die Cybersicherheit mit sich bringen. Neben diesen Fortschritten bleiben traditionelle Bedrohungen wie für die Cloud-Sicherheit oder für Software-Lieferketten von entscheidender Bedeutung. Sicherheitsanalysten sagen voraus, dass grundlegende Netzwerkgeräte wie VPN-Gateways, Firewalls und andere Edge-Geräte auch im Jahr 2025 ein begehrtes Ziel sein werden.

In dieser Ausgabe unseres monatlichen Threat Reports befassen wir uns mit den bedrohlichsten Schwachstellen und aktiven Kampagnen zu deren Ausnutzung, die im Dezember 2024 aufgetaucht sind.

Mitel MiCollab: ein blitzartig ausgenutzter Zero-Day

Sobald Schwachstellen veröffentlicht werden, stürzen sich Angreifer mit zunehmender Geschwindigkeit auf sie. Für einige Schwachstellen gibt es innerhalb von Stunden öffentlichen Proof-of-Concept-Exploit-Code (PoC), sodass den Verteidigern nur eine minimale Reaktionszeit bleibt. Anfang Dezember beobachteten die Forscher von GreyNoise die Ausnutzung von Mitel MiCollab am selben Tag, an dem der PoC-Code veröffentlicht wurde. Mitel MiCollab vereint Sprache, Video, Messaging, Präsenz und Konferenzen auf einer Plattform. Die neuen Schwachstellen haben neben der amerikanischen CISA (Cybersecurity and Infrastructure Security Agency) auch beim belgischen National Center for Cybersecurity, dem Australian Signals Directorate (ASD) und dem britischen National Health Service (NHS) Warnungen hervorgerufen. Die Behebung der jüngsten Sicherheitslücken in MiCollab wird als dringend angesehen.

Hier einige Details zu den neuen aktiv ausgenutzten CVEs in Mitel MiCollab:

  • CVE-2024-41713 (CVSS 7.8 Hoch): Die „Path Traversal“-Schwachstelle in der NPM-Komponente (NuPoint Unified Messaging) von Mitel MiCollab ermöglicht den unauthentifizierten Zugriff auf Dateien durch Ausnutzung der „…/“-Technik in HTTP-Anfragen. Dies kann hochsensible Dateien offenlegen.
  • CVE-2024-35286 (CVSS 10 Kritisch): Eine SQL-Injection-Schwachstelle in der NPM-Komponente von Mitel MiCollab, die es einem böswilligen Akteur ermöglicht, einen SQL-Injection-Angriff auszuführen.

Seit Mitte 2022 hat die CISA drei weitere CVEs in Mitel-Produkten aufgespürt, von denen bekannt ist, dass sie für Ransomware-Angriffe genutzt werden. Greenbone kann Endpunkte erkennen, die für diese hochgradig gefährlichen CVEs anfällig sind, und zwar mit aktiven Prüfungen [4][5].

SSL-VPNs von Array Networks von Ransomware ausgenutzt

CVE-2023-28461 (CVSS 9.8 Kritisch) ist eine Schwachstelle für Remote Code Execution (RCE) in den Array AG Series und vxAG SSL VPN Appliances von Array Networks. Die Geräte, vom Hersteller angepriesen als Präventivmaßnahme gegen Ransomware, werden nun aktiv in jüngsten Ransomware-Angriffen ausgenutzt. Array Networks selbst wurde Anfang dieses Jahres von der Dark Angels Ransomware-Bande angegriffen [1][2].

Jüngsten Berichten zufolge hält Array Networks einen beträchtlichen Marktanteil im Bereich Application Delivery Controller (ADC). Laut dem WW Quarterly Ethernet Switch Tracker von IDC ist das Unternehmen mit einem Marktanteil von 34,2 % Marktführer in Indien. Array Networks hat Patches für betroffene Produkte mit ArrayOS AG 9.4.0.481 und früheren Versionen veröffentlicht. Der Greenbone Enterprise Feed enthält einen Erkennungstest für CVE-2023-28461, seit dieser Ende März 2023 bekanntgegeben wurde.

CVE-2024-11667 in Zyxel Firewalls

CVE-2024-11667 (CVSS 9.8 Kritisch) in den Firewall-Appliances von Zyxel wird aktiv in aktuellen Ransomware-Angriffen ausgenutzt. Eine „Directory Traversal“-Schwachstelle in der Web-Management-Schnittstelle könnte es einem Angreifer ermöglichen, Dateien über eine böswillig gestaltete URL herunter- oder hochzuladen. Zyxel Communications ist ein taiwanesisches Unternehmen, das sich auf die Entwicklung und Herstellung von Netzwerkgeräten für Unternehmen, Dienstanbieter und Verbraucher spezialisiert hat. Berichten zufolge liegt der Marktanteil von Zyxel bei etwa 4,2 % in der ITK-Branche mit einer vielfältigen globalen Präsenz, zu der auch große Fortune-500-Unternehmen gehören.

In Fällen wie diesem ist ein „Defense in Depth“-Ansatz für die Cybersicherheit besonders wichtig. Wenn Angreifer ein Netzwerkgerät wie eine Firewall kompromittieren, erhalten sie in der Regel nicht sofort Zugriff auf hochsensible Daten. Der anfängliche Zugriff ermöglicht es den Angreifern jedoch, den Netzwerkverkehr zu überwachen und das Netzwerk des Opfers auf der Suche nach wertvollen Zielen zu durchforsten.

Zyxel empfiehlt, Ihr Gerät auf die neueste Firmware zu aktualisieren, den Fernzugriff vorübergehend zu deaktivieren, wenn Updates nicht sofort angewendet werden können, und die bewährten Verfahren zur Sicherung verteilter Netzwerke anzuwenden. CVE-2024-11667 betrifft die Firmware-Versionen V5.00 bis V5.38 der Zyxel ATP-Serie, die Firmware-Versionen V5.00 bis V5.38 der USG FLEX-Serie, die Firmware-Versionen V5.10 bis V5.38 der USG FLEX 50(W)-Serie und die Firmware-Versionen V5.10 bis V5.38 der USG20(W)-VPN-Serie. Greenbone kann die Sicherheitslücke CVE-2024-11667 bei allen betroffenen Produkten erkennen.

Kritische Schwachstellen in Apache Struts 2

CVE-2024-53677 (CVSS 9.8 Kritisch), ein unbeschränkter Dateiupload [CWE-434], der Apache Struts 2 betrifft, ermöglicht es Angreifern, ausführbare Dateien in Web-Root-Verzeichnisse hochzuladen. Wenn eine Web-Shell hochgeladen wird, kann die Schwachstelle zu unautorisierter Remote Code Execution führen. Apache Struts ist ein Java-basiertes Open-Source-Framework für Webanwendungen, das sowohl im öffentlichen als auch im privaten Sektor, einschließlich Behörden, Finanzinstituten und anderen großen Organisationen, weit verbreitet ist [1]. PoC-Exploit-Code (Proof-of-Concept) ist öffentlich verfügbar, und CVE-2024-53677 wird aktiv ausgenutzt, was das Risiko erhöht.

Die Sicherheitslücke wurde ursprünglich unter der Bezeichnung CVE-2023-50164 geführt und im Dezember 2023 veröffentlicht [2][3]. Ähnlich wie bei einer kürzlich aufgetretenen Schwachstelle in VMware vCenter war der ursprüngliche Patch jedoch unwirksam, was zum erneuten Auftreten der Schwachstelle führte. CVE-2024-53677 betrifft die Komponente FileUploadInterceptor, sodass Anwendungen, die dieses Modul nicht verwenden, nicht betroffen sind. Benutzer sollten ihre Struts2-Instanz auf Version 6.4.0 oder höher aktualisieren und auf den neuen Datei-Upload-Mechanismus umstellen. Weitere neue kritische CVEs in beliebter Open-Source-Software (OSS) von Apache:

Die Apache Software Foundation (ASF) folgt bei ihren Projekten einem strukturierten Prozess, der die private Berichterstattung und die Veröffentlichung von Patches vor der öffentlichen Bekanntgabe fördert, so dass Patches für alle oben genannten CVEs verfügbar sind. Greenbone kann Systeme erkennen, die für CVE-2024-53677 anfällig sind, ebenso wie andere kürzlich bekannt gewordene Schwachstellen in Produkten der ASF Foundation.

Palo Altos Secure DNS wird aktiv für DoS ausgenutzt

CVE-2024-3393 (CVSS 8.7 Hoch) ist eine DoS-Schwachstelle (Denial of Service) in der DNS-Sicherheitsfunktion von PAN-OS. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Firewalls der PA-Serie, VM-Serie, CN-Serie und Prisma Access-Geräte über bösartige Pakete, die auf Datenebene gesendet werden, neu zu starten. Durch wiederholtes Auslösen dieses Zustands können Angreifer die Firewall dazu bringen, in den Wartungsmodus zu wechseln. Die CISA hat die Schwachstelle CVE-2024-3393 als aktiv ausgenutzt identifiziert. Sie ist eine von fünf weiteren aktiv ausgenutzten Schwachstellen in Palo-Alto-Produkten, die allein in den letzten zwei Monaten aufgetreten sind.

Laut den von Palo Alto veröffentlichten Empfehlungen sind nur Geräte mit einer DNS Security License oder Advanced DNS Security License und aktivierter Protokollierung betroffen. Es wäre eine einfache Annahme zu sagen, dass diese Bedingungen bedeuten, dass Top-Tier-Unternehmenskunden betroffen sind. Greenbone kann mit einem Versionserkennungstest Geräte identifizieren, die von CVE-2024-3393 betroffen sind.

Microsoft-Sicherheit im Jahr 2024: Wer hat die Fenster offengelassen?

Auch wenn es unfair wäre, Microsoft für die Bereitstellung anfälliger Software im Jahr 2024 verantwortlich zu machen, hat das Redmonder BigTech die Sicherheitserwartungen sicherlich nicht übertroffen. 2024 wurden insgesamt 1.119 CVEs in Microsoft-Produkten offengelegt; 53 erreichten einen kritischen Schweregrad (CVSS > 9.0), 43 wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, und mindestens vier waren bekannte Vektoren für Ransomware-Angriffe. Obwohl der Vergleich grob ist, gab es im Linux-Kernel mehr (3.148) neue CVEs, aber nur drei wurden als kritisch eingestuft und nur drei wurden in den KEV-Katalog der CISA aufgenommen. Hier sind die Details zu den neuen aktiv ausgenutzten CVEs in Microsoft Windows:

  • CVE-2024-35250 (CVSS 7.8 Hoch): Eine Schwachstelle zur Ausweitung von Privilegien, die es einem Angreifer mit lokalem Zugriff auf ein System ermöglicht, Privilegien auf Systemebene zu erlangen. Die Schwachstelle wurde im April 2024 entdeckt, und im Oktober wurde PoC-Exploit-Code online gestellt.
  • CVE-2024-49138 (CVSS 7.8 Hoch): Eine Heap-basierte „Buffer Overflow“-Schwachstelle [CWE-122] zur Erweiterung von Privilegien; dieses Mal im Treiber des Microsoft Windows Common Log File System (CLFS). Obwohl es keinen öffentlich zugänglichen Exploit gibt, haben Security-Forschende Hinweise darauf, dass diese Sicherheitslücke ausgenutzt werden kann, indem ein bösartiges CLFS-Protokoll erstellt wird, um privilegierte Befehle auf der Ebene der Systemberechtigungen auszuführen.

Die Erkennung und Entschärfung dieser neuen Windows CVEs ist von entscheidender Bedeutung, da sie aktiv angegriffen werden. Beide wurden in Microsofts Dezember-Patch-Release gepatcht. Greenbone kann CVE-2024-35250 und CVE-2024-49138 erkennen sowie alle anderen als CVEs veröffentlichten Sicherheitslücken von Microsoft.

Zusammenfassung

2024 unterstrich die anhaltende Herausforderung in der Cybersicherheit mit rekordverdächtigen Enthüllungen von Schwachstellen, Ransomware-Auszahlungen, DoS-Angriffen und einem alarmierenden Anstieg aktiver Ausnutzung von Schwachstellen. Die schnelle Verwandlung von Schwachstellen in Angriffswaffen unterstreicht die Notwendigkeit einer kontinuierlichen Strategie für das Schwachstellenmanagement und eines Defense-in-Depth-Ansatzes.

Im Dezember gab es neue kritische Schwachstellen in Mitel-, Apache- und Microsoft-Produkten. Weitere Netzwerkprodukte: VPNs von Array Networks und Firewalls von Zyxel werden jetzt von Ransomware-Akteuren ausgenutzt, was noch einmal bestätigt, dass proaktive Maßnahmen zur Erkennung und Patchen von Schwachstellen ergriffen werden müssen. Auf dem Weg ins Jahr 2025 wird Fortuna diejenigen begünstigen, die hierauf vorbereitet sind; Unternehmen müssen wachsam bleiben, um die Risiken in einer zunehmend feindlichen Cyberlandschaft im Zaum zu halten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Jetzt patchen! Cleo-Produkte werden aktiv für Ransomware-Angriffe ausgenutzt

Das Schlimmste, was es aus sicherheitstechnischer Sicht in der IT gibt, ist eine aktiv ausgenutzte RCE-Schwachstelle (Remote Code Execution) mit Systemprivilegien, die keine Benutzerinteraktion erfordert. Sicherheitslücken wie diese können Software betreffen, die in Fortune-500-Unternehmen weit verbreitet ist, und werden damit zu tickenden Zeitbomben. Wenn sich fortschrittliche, hartnäckige Bedrohungsakteure auf eine solche Schwachstelle oder CVE (Common Vulnerabilities and Exposures) stürzen, wird ihre Behebung zur Notfallmaßnahme. In jüngster Zeit erfüllte CVE-2024-50623 (jetzt auch als CVE-2024-55956 verfolgt), die mehr als 4.200 Benutzer der MFT-Software (Managed File Transfer) von Cleo betrifft, all diese Voraussetzungen für eine Katastrophe. Sie wurde zum wichtigen Momentum in Ransomware-Kampagnen, die mehrere Fortune-500-Unternehmen betreffen, welche jetzt im Rampenlicht der Berichterstattung über Cybersicherheit stehen.

Diese Cybersecurity-News gibt einen Überblick über die Ereignisse im Zusammenhang mit CVE-2024-50623 und CVE-2024-55956 sowie die damit verbundenen Ransomware-Kampagnen. Auch wenn Sie kein betroffenes Produkt verwenden, erhalten Sie hier wertvolle Einblicke in den Lebenszyklus von Schwachstellen und die Risiken der Software-Lieferketten von Drittanbietern. 

CVE-2024-50623 und CVE-2024-55956: Chronik der Ereignisse

Der Lebenszyklus von Sicherheitslücken ist komplex. In unserem früheren Artikel über das Schwachstellenmanagement der nächsten Generation finden Sie eine ausführliche Erklärung, wie dieser Prozess abläuft. In diesem Bericht stellen wir den Ablauf der Offenlegung und Behebung von CVE-2024-50623 und anschließend CVE-2024-55956 vor, als ein fehlgeschlagener Patch-Versuch des Softwareanbieters Cleo entdeckt und von Ransomware-Akteuren ausgenutzt wurde. Unser Greenbone Enterprise Feed enthält Erkennungsmodule für beide CVEs [1][2], die es Unternehmen ermöglichen, anfällige Systeme zu identifizieren und Notfallmaßnahmen zu ergreifen. Hier die zeitliche Abfolge der bisherigen Ereignisse:

  • Oktober 2024: CVE-2024-50623 (CVSS 10 Kritisch), das mehrere Cleo-MFT-Produkte betrifft, wurde vom Hersteller veröffentlicht, und eine gepatchte Version 5.8.0.21 wurde freigegeben.
  • November 2024: CVE-2024-50623 wurde zur Gewinnung von Daten genutzt und wirkte sich auf mindestens zehn Organisationen weltweit aus, darunter Blue Yonder, ein von Fortune-500-Unternehmen genutzter Lieferkettenmanagement-Service.
  • Dezember 2024: Sicherheitsforscher von Huntress identifizieren eine aktive Ausnutzung von CVE-2024-50623, mit der das ursprüngliche Patch (Version 5.8.0.21) umgangen werden kann.
  • Dezember 2024: Huntress beobachtet einen deutlichen Anstieg der Ausnutzung. Dies könnte darauf zurückzuführen sein, dass der Exploit-Code im Rahmen eines Malware-as-a-Service-Geschäftsmodells für Internetkriminalität verkauft wird, oder einfach darauf, dass die Angreifer ihre Aufklärungsarbeit abgeschlossen und eine breit angelegte Kampagne mit maximaler Wirkung gestartet haben.
  • Dezember 2024: Dem Softwarehersteller Cleo wird eine aktive Ausnutzung und ein PoC-Exploit-Code (Proof of Concept) gemeldet.
  • Dezember 2024: Der Hersteller Cleo gibt eine Erklärung ab, in der er einräumt, dass seine Produkte trotz Sicherheits-Patches ausnutzbar sind, und gibt zusätzliche Hinweise zur Schadensbegrenzung heraus.
  • Dezember 2024: Wachtowr Labs veröffentlichte einen detaillierten technischen Bericht, der beschreibt, wie CVE-2024-50623 eine RCE über Arbitrary File Write [CWE-434] ermöglicht. Cleo veröffentlicht eine Anleitung zur Schadensbegrenzung und aktualisiert und den Patch auf Version 5.8.0.24.
  • Dezember 2024: Ein neuer Name, CVE-2024-55956 (CVSS 10 Kritisch), wird für die Verfolgung dieser anhaltenden Schwachstelle herausgegeben, und die CISA (Cybersecurity & Infrastructure Security Agency) fügt die Schwachstelle ihrem KEV-Katalog (Known Exploited Vulnerabilities) hinzu, der die Verwendung in Ransomware-Angriffen kennzeichnet.

Cleo-Produkte für Ransomware-Attacken missbraucht

Die von CVE-2024-50623 und CVE-2024-55956 ausgehende Gefahr für das globale Business ist hoch. Diese beiden CVEs betreffen potenziell mehr als 4.200 Kunden von Cleo LexiCom, einem Desktop-basierten Client für die Kommunikation mit großen Handelsnetzen, Cleo VLTrader, einer auf mittlere Unternehmen zugeschnittenen Lösung auf Serverebene, und Cleo Harmony für große Unternehmen.

Die CVEs wurden kürzlich in einer Ransomware-Kampagne als erste Zugangsvektoren verwendet. Der Ransomware-Angriff von Termite zog im November 2024 auch Blue Yonder, eine Tochtergesellschaft von Panasonic, in Mitleidenschaft. Blue Yonder ist eine Plattform für das Lieferkettenmanagement, die von großen Technologie-Unternehmen wie Microsoft, Lenovo und Western Digital sowie von rund 3.000 anderen globalen Unternehmen aus vielen Branchen genutzt wird; Bayer, DHL und 7-Eleven, um nur einige zu nennen. Der Ausfall des von Blue Yonder gehosteten Dienstes führte bei StarBucks zu Unterbrechungen in der Gehaltsabrechnung. Zu den jüngsten erfolgreichen Ransomware-Angriffen hat sich auch die Ransomware-Gruppe Clop bekannt.

In der zweiten Phase einiger Einbrüche in IT-Systeme listeten die Angreifer Active Directory Domänen [DS0026] auf, installierten Web-Shells [T1505.003], um sich festzusetzen [TA0003], und versuchten, Daten aus dem Netzwerk des angegriffenen Systems herauszufiltern [TA0010], nachdem sie den ersten Zugriff via RCE erhalten hatten. Eine ausführliche technische Beschreibung der Architektur der Termite-Ransomware ist verfügbar.

Behandlung von CVE-2024-50623 und CVE-2024-55956

Instanzen von Cleo-Produkten der Version 5.8.0.21 sind immer noch anfällig für Cyberangriffe. Der neueste Patch, Version 5.8.0.24, ist erforderlich, um die Anfälligkeit zu verringern. Alle Benutzer werden dringend gebeten, die Aktualisierungen rasch durchzuführen. Zu den weiteren Schutzmaßnahmen und bewährten Praktiken gehören die Deaktivierung der Autorun-Funktionalität in Cleo-Produkten, das Entfernen des Zugriffs aus dem Internet oder die Verwendung von Firewall-Regeln, um den Zugriff nur auf autorisierte IP-Adressen zu beschränken, sowie das Blockieren der IP-Adressen der in die Angriffe verwickelten Endpunkte.

Zusammenfassung

Cleo Harmony, VLTrader und LexiCom vor Version 5.8.0.24 werden aufgrund von kritischen RCE-Schwachstellen (CVE-2024-50623 und CVE-2024-55956) aktiv ausgenutzt. Diese Schwachstellen waren der Einstiegspunkt für erfolgreiche Ransomware-Angriffe gegen mindestens zehn Organisationen, von denen Fortune-500-Unternehmen betroffen waren. Greenbone bietet eine Erkennung für die betroffenen Produkte an, und die Benutzer werden dringend gebeten, Patches und Strategien zur Schadensbegrenzung anzuwenden, da Angreifer diese Schwachstellen mit Sicherheit weiterhin ausnutzen werden.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone prüft CIS Google Chrome Benchmarks

Webbrowser sind ein primäres Einfallstor für Unternehmen und folglich auch oft das erste Einfallstor für Cyberangriffe. Mithilfe von Malware, die auf Browser abzielt, könnten Angreifer direkten, unbefugten Zugriff auf das Netzwerk und die Daten eines Zielsystems erlangen. Sie könnten aber auch menschliche Opfer mit Social Engineering dazu bringen, sensible Informationen preiszugeben, um ihnen unbefugten Zugriff, etwa auf Kontodaten, zu gewähren. Im Jahr 2024 wiesen die wichtigsten Browser (Chrome, Firefox und Safari) 59 Schwachstellen mit kritischem Schweregrad (CVSS3 ³ 9) und 256 mit hohem Schweregrad (CVSS3 zwischen 7,0 und 8,9) auf. Zehn CVEs (Common Vulnerabilities and Exposures) aus der Dreiergruppe wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity & Infrastructure Security Agency) aufgenommen. Browser-Sicherheit sollte daher für Sicherheitsteams oberste Priorität haben.

Vor diesem Hintergrund sind wir stolz, die Erweiterung unserer Compliance-Funktionen um CIS Google Chrome Benchmark v3.0.0 Level 1 bekannt zu geben. Mit dieser neuesten Funktion können unsere Enterprise-Feed-Abonnenten ihre Google Chrome-Konfigurationen anhand des branchenführenden Compliance-Frameworks des CIS (Center for Internet Security) überprüfen. Die neuen Google Chrome-Benchmark-Tests werden neben unseren anderen CIS-Kontrollen in kritischen Cybersicherheitsbereichen wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1] [2] eingesetzt.

CIS Google Chrome Benchmark für Windows

Der CIS Google Chrome Benchmark v3.0.0 Level 1 ist jetzt im Greenbone Enterprise Feed verfügbar. Er legt eine gehärtete Konfiguration für den Chrome-Browser fest. Werden die Kontrollen für Windows implementiert, müssen auch Windows-Registry-Schlüssel gesetzt sein, um die Sicherheitskonfiguration von Chrome zu definieren. Eine kontinuierliche Überprüfung ist wichtig, denn wenn der Chrome-Browser auf Benutzerebene verändert wird, wird er anfälliger für Datenlecks, Social-Engineering-Angriffe oder andere Angriffsvektoren.

Unser Enterprise Vulnerability Feed nutzt Compliance-Richtlinien, um Tests auf den Endgeräten durchzuführen und jede Anforderung des CIS-Benchmarks durch einen oder mehrere spezielle Schwachstellentests zu überprüfen. Diese Tests werden in Scankonfigurationen gruppiert, die zur Erstellung von Scan-Aufgaben verwendet werden können, die dann auf Zielsystem-Gruppen zugreifen, um deren Sicherheitsstatus zu überprüfen. Greenbone unterstützt Sie bei der Einhaltung interner Risikovorgaben oder behördlicher Richtlinien.

Warum ist Browser-Security so kritisch?

Ein Großteil der wichtigen Informationen, die in einem durchschnittlichen Unternehmen fließen, wird über den Browser übertragen. Durch die Zunahme von Außendienstmitarbeitern und Cloud-basierten Webanwendungen sind Webbrowser die wichtigste Schnittstelle für geschäftliche Aktivitäten geworden. Es überrascht nicht, dass Internet-Browser in den letzten Jahren zu einer Brutstätte für Angriffe geworden sind. Nationale Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3] [4], das amerikanische CISA [5] [6] und das kanadische Zentrum für Cybersicherheit [7] haben allesamt Empfehlungen zum Umgang mit den von Internetbrowsern ausgehenden Risiken veröffentlicht.

Browser können über technische Schwachstellen und Fehlkonfigurationen ausgenutzt werden, die zu Remote Code Execution (RCE), zum Diebstahl sensibler Daten und zur Übernahme von Konten führen können, sind aber auch ein Einfallstor für Social-Engineering-Angriffe. Die Browsersicherheit muss durch die Implementierung eines gehärteten Sicherheitsprofils, dessen kontinuierliche Überprüfung und durch regelmäßige Updates zur Behebung neu entdeckter Schwachstellen gewährleistet werden. Greenbone kann bekannte Schwachstellen für veröffentlichte CVEs in allen wichtigen Browsern aufspüren. Mit unserer neuesten CIS Google Chrome Benchmark-Zertifizierung sind wir nun in der Lage, die Konformität von Browsern mit Industriestandards zu bestätigen.

Wie der CIS Google Chrome Benchmark die Browsersicherheit verbessert

Jeder CIS-Benchmark wird im Rahmen eines Konsensprüfungsprozesses entwickelt, an dem eine globale Gemeinschaft von Fachexperten aus verschiedenen Bereichen wie Beratung, Softwareentwicklung, Audit, Compliance, Sicherheitsforschung, Betrieb, Regierung und Recht beteiligt ist. Dieser gemeinschaftliche Prozess soll sicherstellen, dass die Benchmarks praxisnah und datengestützt sind und reales Fachwissen widerspiegeln. Somit sind die CIS-Benchmarks ein wichtiger Bestandteil eines soliden Cybersicherheitsprogramms.

Im Allgemeinen konzentrieren sich die CIS-Benchmarks auf sichere technische Konfigurationen und sollten zusammen mit grundlegenden Cyberhygiene-Praktiken verwendet werden, wie z. B. der Überwachung und dem zeitnahen Patchen von Schwachstellen in Betriebssystemen, Anwendungen und Bibliotheken.

Der CIS Google Chrome Benchmark definiert Sicherheitskontrollen wie zum Beispiel:

  • Keine Domäne kann die Überprüfung auf gefährliche Ressourcen wie Phishing-Inhalte und Malware umgehen.
  • Strenge Überprüfung der von Websites ausgestellten SSL/TLS-Zertifikate.
  • Verringerung der allgemeinen Angriffsfläche von Chrome, indem sichergestellt wird, dass die neuesten Updates regelmäßig automatisch eingespielt werden.
  • Der Chrome-Browser ist so konfiguriert, dass er das Abfangen von DNS erkennt, was möglicherweise DNS-Hijacking ermöglichen könnte.
  • Chrome und Erweiterungen können nicht mit anderer Software von Drittanbietern interagieren.
  • Websites und Browser-Erweiterungen können keine Verbindungen mit Medien, dem lokalen Dateisystem oder externen Geräten wie Bluetooth, USB oder Media-Casting-Geräten missbrauchen.
  • Es können nur Erweiterungen aus dem Google Chrome Web Store installiert werden.
  • Alle vom Chrome-Hauptprozess abgezweigten Prozesse werden angehalten, sobald die Chrome-Anwendung geschlossen wurde.
  • SafeSites Inhaltsfilterung blockiert Links zu nicht jugendfreien Inhalten in den Suchergebnissen.
  • Verhindern Sie den Import unsicherer Daten, wie z. B. automatisch ausgefüllte Formulardaten, Standard-Homepage oder andere Konfigurationseinstellungen.
  • Sicherstellen, dass kritische Warnungen nicht unterdrückt werden können.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums entwickeln wir unsere CIS Benchmark-Scan-Konfigurationen ständig weiter. Alle entsprechenden Richtlinien sind an den CIS-Härtungsrichtlinien ausgerichtet und von der CIS zertifiziert, um maximale Sicherheit für System-Audits zu gewährleisten. Darüber hinaus haben wir mit dem Greenbone Security Assistant (GSA) eine neue Konformitätsansicht hinzugefügt, die den Prozess für Unternehmen vereinfacht, die Schwachstellen in ihrer Infrastruktur beseitigen wollen, um Sicherheitsverletzungen zu verhindern.

Zusammenfassung

CIS-Kontrollen sind entscheidend für den Schutz von Systemen und Daten, da sie klare, umsetzbare Anleitungen für sichere Konfigurationen bieten. Der CIS Google Chrome Benchmark ist besonders auf Unternehmensebene wichtig, wo Browser viele Arten sensibler Daten beeinflussen. Greenbone erweitert die branchenführenden Fähigkeiten zur Erkennung von Schwachstellen um einen neuen Compliance-Scan: den CIS Google Chrome Benchmark v3.0.0 Level 1. Mit dieser Zertifizierung stärkt Greenbone die Position als zuverlässiger Verbündeter für proaktive Cybersicherheit. Die neuesten Funktionen spiegeln unser Engagement für die Förderung der IT-Sicherheit und den Schutz vor sich entwickelnden Cyber-Bedrohungen wider.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von