Schlagwortarchiv für: Cyber Security
Der Winter naht: Der Leitspruch des Hauses Stark aus der Serie „Game of Thrones“ deutet auf das Heraufziehen eines nicht näher definierten Unheils hin. Ist NIS2 eine Walze aus Eis und Feuer, die die gesamte europäische IT-Landschaft unter sich begräbt und vor der sich nur retten kann, wer eines der zahllosen Webinare besucht und alle Ratschläge befolgt?
NIS2 als solches ist lediglich eine Richtlinie, die von der EU erlassen wurde. Sie soll die vielleicht noch nicht optimale IT-Sicherheit von Betreibern wichtiger und kritischer Infrastrukturen sicherstellen und die Cyberresilienz erhöhen. Auf Basis dieser Richtlinie sind nun die Mitgliedsländer aufgerufen, ein entsprechendes Gesetz zu schaffen, das diese Richtlinie in nationales Recht umsetzt.
Was soll geschützt werden?
Bereits 2016 wurde die NIS-Richtlinie durch die EU eingeführt, um für die Gesellschaft relevante Branchen und Dienstleister vor Angriffen in der Cybersphäre zu schützen. Diese Regelung enthält verbindliche Vorgaben zum Schutz von IT-Strukturen in Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind. Hierbei handelt es sich um Unternehmen, die eine unverzichtbare Rolle innerhalb der Gesellschaft spielen, weil sie in Bereichen wie Gesundheitsdiensten, Energieversorgung und Transport tätig sind. Bereiche also, in denen vorsätzlich herbeigeführte Störungen oder Ausfälle zu katastrophalen Zuständen führen können – wessen Haushalt gerüstet ist, einen mehrtägigen Stromausfall mit allen Konsequenzen zu überstehen, der möge die Hand heben…
Angesichts der weiter voranschreitenden Digitalisierung musste die EU eine Nachfolgeregelung (NIS2) schaffen, die zum einen strengere Anforderungen an die Informationssicherheit stellt, zum anderen aber auch einen größeren Kreis an Unternehmen erfasst, die für die Gesellschaft „wichtig“ oder „besonders wichtig“ sind. Diese Unternehmen werden nun in die Pflicht genommen, gewisse Standards in der Informationssicherheit zu erfüllen.
Obwohl die NIS2-Richtlinie bereits im Dezember 2022 verabschiedet wurde, haben die Mitgliedsländer bis zum 17. Oktober 2024 Zeit, ein entsprechendes Umsetzungsgesetz zu verabschieden. Deutschland wird es bis dahin wohl nicht schaffen. Trotzdem gibt es keinen Grund, sich zurückzulehnen. Das NIS2UmsuCG wird kommen, und mit ihm erhöhte Anforderungen an die IT-Sicherheit vieler Unternehmen und Institutionen.
Wer muss jetzt handeln?
Betroffen sind Unternehmen aus vier Gruppen. Einmal sind das die besonders wichtigen Einrichtungen mit 250 oder mehr Mitarbeitern oder 50 Millionen Euro Jahresumsatz und einer Bilanzsumme ab 43 Millionen Euro. Ein Unternehmen, das diese Kriterien erfüllt und in einem der Sektoren Energie, Transport/ Verkehr, Finanzen/ Versicherungen, Gesundheit, Wasser/ Abwasser, IT und TK oder Weltraum tätig ist, gilt als besonders wichtig.
Daneben gibt es die wichtigen Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und einer Bilanzsumme von 10 Millionen Euro. Erfüllt ein Unternehmen diese Kriterien und ist es in einem der Sektoren Post/ Kurier, Chemie, Forschung, verarbeitendes Gewerbe (Medizin/ Diagnostika, DV, Elektro, Optik, Maschinenbau, Kfz/ Teile, Fahrzeugbau), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Lebensmittel (Großhandel, Produktion, Verarbeitung) oder Entsorgung (Abfallwirtschaft) tätig, so gilt es als wichtig.
Neben besonders wichtigen und wichtigen Einrichtungen gibt es die kritischen Anlagen, die weiterhin durch die KRITIS-Methodik definiert werden. Zusätzlich werden auch Bundeseinrichtungen reguliert.
Was ist zu tun?
Konkret bedeutet das, dass alle betroffenen Unternehmen und Institutionen, ganz gleich ob „besonders wichtig“ oder „wichtig“, eine Reihe von Auflagen und Pflichten zu erfüllen haben, die wenig Interpretationsspielraum lassen und daher strikt zu beachten sind. Auf folgenden Gebieten muss gehandelt werden:
Risikomanagement
Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement einzuführen. Dazu gehören neben einer Zugangskontrolle, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) auch Training und Incident Management sowie ein ISMS und Risikoanalysen. Darunter fallen auch das Schwachstellenmanagement und die Anwendung von Schwachstellen- und Compliance-Scans.
Meldepflichten
Für alle Unternehmen besteht eine Meldepflicht für „erhebliche Sicherheitsvorfälle“: Diese müssen unverzüglich, spätestens aber innerhalb von 24 Stunden der Meldestelle des BSI berichtet werden. Weitere Updates haben innerhalb von 72 Stunden und 30 Tagen zu erfolgen.
Registrierung
Die Unternehmen sind verpflichtet, ihre Betroffenheit von der NIS2-Gesetzgebung selbst festzustellen und sich innerhalb einer Frist von drei Monaten selbst zu registrieren. Wichtig: Niemand sagt einem Unternehmen, dass es unter die NIS2-Regelung fällt und sich registrieren muss. Die Verantwortung liegt ausschließlich bei den einzelnen Unternehmen und deren Geschäftsführern.
Nachweise
Es reicht nicht aus, die vorgegebenen Vorkehrungen lediglich zu treffen, sondern es müssen auch entsprechende Nachweise erbracht werden. Wichtige und besonders wichtige Einrichtungen werden stichprobenartig durch das BSI kontrolliert werden, wobei entsprechende Dokumentationen vorgelegt werden müssen. KRITIS-Einrichtungen werden turnusmäßig alle drei Jahre überprüft.
Informationspflichten
Sicherheitsvorfälle unter den Teppich zu kehren, ist zukünftig nicht mehr möglich. Das BSI erhält eine Weisungsbefugnis zur Unterrichtung von Kunden über Sicherheitsvorfälle. Ebenso erhält das BSI eine Weisungsbefugnis über die Unterrichtung der Öffentlichkeit von Sicherheitsvorfällen.
Governance
Geschäftsführer werden verpflichtet, Maßnahmen zum Risikomanagement zu billigen. Ebenso werden Schulungen zum Thema Pflicht. Besonders gravierend: Geschäftsführer haften persönlich mit ihrem Privatvermögen bei Pflichtverletzungen.
Sanktionen
In der Vergangenheit war es gelegentlich so, dass Unternehmen lieber die diffuse Möglichkeit eines Bußgeldes in Kauf nahmen als konkrete Investitionen in Cybersicherheitsmaßnahmen zu tätigen, da das Bußgeld im Verhältnis durchaus annehmbar erschien. NIS2 wirkt dem nun durch neue Tatbestände und teils drastisch erhöhte Bußgelder entgegen. Verschärft wird das nochmal durch die persönliche Haftung von Geschäftsführern.
Wie man sieht, ist das zu erwartende NIS2-Umsetzungsgesetz ein komplexes Gebilde, welches sich auf eine Vielzahl von Bereichen erstreckt und dessen Anforderungen in den seltensten Fällen mit einer einzigen Lösung abgedeckt werden können.
Welche Maßnahmen sind möglichst bald zu treffen?
Scannen Sie Ihre IT-Systeme kontinuierlich auf Schwachstellen. Sicherheitslücken werden damit schnellstmöglich aufgedeckt, priorisiert und dokumentiert. Dank regelmäßiger Scans und ausführlicher Berichte schaffen sie die Grundlage zur Dokumentation der Entwicklung der Sicherheit Ihrer IT-Infrastruktur. Gleichzeitig erfüllen Sie damit Ihre Nachweispflichten und sind im Fall einer Prüfung bestens gewappnet.
Experten können auf Wunsch den kompletten Betrieb des Schwachstellenmanagements in Ihrem Unternehmen übernehmen. Dazu gehören auch Leistungen, wie Web-Application Pentesting, bei dem gezielt Schwachstellen in Webanwendungen aufgedeckt werden. Damit decken Sie einen wichtigen Bereich im NIS2-Anforderungskatalog, und erfüllen die Anforderungen des § 30 (Risikomanagementmaßnahmen).
Fazit
Es gibt es nicht die eine, alles umfassende Maßnahme, mit der Sie sofort rundum NIS2-konform sind. Vielmehr ist eine Vielzahl unterschiedlicher Maßnahmen, die zusammengenommen eine gute Basis ergeben. Ein Bestandteil davon ist Schwachstellenmanagement mit Greenbone. Wenn Sie das im Hinterkopf behalten und rechtzeitig auf die richtigen Bausteine setzen, sind Sie als IT-Verantwortlicher auf der sicheren Seite. Und der Winter kann kommen.
Das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnologe (BSI) macht seit wenigen Jahren auch klare Vorgaben für Anwender von Microsoft Office. Seit April 2024 integrieren die Enterprise-Produkte von Greenbone auch Tests, die belegen sollen, ob ein Unternehmen diese Anweisungen umsetzt. Dabei werden die BSI-Anweisungen mit den Leitlinien des Center for Internet Security (CIS) in Übereinstimmung gebracht.
Im Abschnitt „APP:Anwendungen 1.1. Office Produkte“ legt das BSI fest, welche „Anforderungen an die Funktionsweise der Komponenten von Office-Produkten“ zu stellen sind. Ziel ist der Schutz der durch die Office-Software bearbeiteten und genutzten Daten. Auch wenn in den meisten Fällen Microsoft Office gemeint sein dürfte – hat es doch immer noch die bei weitem größte Marktdurchdringung –, so möchte das Modell hinter den BSI-Vorgaben diese auf jedes Office-Produkt anwenden können, „das lokal installiert ist und mit dem Dokumente betrachtet, bearbeitet oder erstellt werden, außer E-Mail-Anwendungen“.
BSI-Vorgaben
Das Modul baut ausdrücklich auf die Vorgaben des Bausteins „ APP.6 Allgemeine Software“ auf und verweist auf die Module „APP.5.3 Allgemeiner E-Mail-Client“ sowie „APP.4.3 Relationale Datenbanken“ und „OPS.2.2 Cloud-Nutzung“, berücksichtigt diese jedoch ausdrücklich nicht.
Das BSI macht dabei drei wesentliche Gefährdungen für Office-Pakete aus:
- Fehlende Anpassung der Office-Produkte an den Bedarf der Institution
- Schädliche Inhalte in Office-Dokumenten
- Integritätsverlust von Office-Dokumenten
Die im BSI-Grundschutzhandbuch genannten Bausteine umfassen 16 Punkte, von denen aber einige bereits wieder entfallen sind. Greenbone hat mehrere hundert Tests entwickelt, die vor allem für fünf der genannten Basis-Anforderungen zum Einsatz kommen, darunter beispielsweise das „Sichere Öffnen von Dokumenten aus externen Quellen“ (APP.1.1. A3) und den in APP.1.1. A15 aufgeführten „Einsatz von Verschlüsselung und Digitalen Signaturen“. In diesen Vorgaben schreibt das BSI zum einen:
„Alle aus externen Quellen bezogene Dokumente MÜSSEN auf Schadsoftware überprüft werden, bevor sie geöffnet werden. Alle als problematisch eingestuften und alle innerhalb der Institution nicht benötigten Dateiformate MÜSSEN verboten werden. Falls möglich, SOLLTEN sie blockiert werden. Durch technische Maßnahmen SOLLTE erzwungen werden, dass Dokumente aus externen Quellen geprüft werden.“
Hinsichtlich der Verschlüsselung heißt es: „Daten mit erhöhtem Schutzbedarf SOLLTEN nur verschlüsselt gespeichert bzw. übertragen werden. Bevor ein in ein Office-Produkt integriertes Verschlüsselungsverfahren genutzt wird, SOLLTE geprüft werden, ob es einen ausreichenden Schutz bietet. Zusätzlich SOLLTE ein Verfahren eingesetzt werden, mit dem Makros und Dokumente digital signiert werden können.“
CIS-Leitlinien verbessern den Grundschutz
Zusätzlich zu den im BSI-Grundschutzhandbuch genannten Vorgaben finden sich im CIS-Benchmark des Centers for Internet Security (CIS) für Microsoft Office noch weitergehende und spezifischere Vorschläge zur Absicherung der Microsoft-Produkte. Die CIS-Vorgaben entstehen in einer Community aus Sicherheitsexperten und stellen eine im Konsens entstandene Best-Practice-Sammlung, hier für Microsoft Office dar.
Als einer der ersten und einzigen Anbieter von Schwachstellenmanagement bringt Greenbone nun Tests auf dort genannte sicherheitsrelevante Features und vereint dabei erstmals die CIS- und BSI-Anleitungen zu zahlreichen, teils tiefgehenden Tests, beispielsweise auf die ActiveX-Control Initialisierung in Microsoft Office. Das Greenbone Vulnerability Management testet hier beispielsweise, ob dieser Schalter auf „enabled“ gesetzt ist, aber auch viele andere Settings, beispielsweise „Always prevent untrusted Microsoft Query files from opening“ is set to „Enabled“ und viele andere mehr.
Viele der Tests beschäftigen sich dabei mit externen Inhalten, dem Einbinden von Makros und der Frage, ob und wie diese externen Inhalte signiert, verifizierbar und daher vertrauenswürdig oder nicht sind, und ob die Administratoren ihre Hausaufgaben bei der Konfiguration von Microsoft Office gemacht haben. Denn, so das BSI, eine der wichtigsten Bedrohungen (und die als erste genannte) ist die mangelnde Anpassung der Office-Produkte an die Realität und die Business-Prozesse im Unternehmen. Hier sorgt Greenbone mit den neuen Tests für eine effiziente Erfüllung von Compliance-Vorgaben und erschwert es Angreifern und Malware, im Unternehmen Fuß zu fassen und Schaden anzurichten.
Save the date: Der „Fachkongress Deutschlands für IT- und Cyber-Sicherheit bei Staat und Verwaltung“ (12. bis 13. Juni 2024) informiert über aktuelle Trends, Strategien und Lösungen in der IT-Security.
Im Hauptprogramm: „IT-Unterstützung zur Krisenfrüherkennung“ (Moderation: Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin, Behörden Spiegel).
Teilnehmer:
- Dr. Jan-Oliver Wagner, Vorstandsvorsitzender Greenbone
- Carsten Meywirth, Leiter Abteilung Cybercrime, Bundeskriminalamt
- Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum
- Katrin Giebel, Geschäftsstellenleiterin, VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister
- Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik
Wo? Berlin, Hotel Adlon Kempinski, Unter den Linden 77
Wann? 13.06.2024; 9:40 Uhr
Schwachstellen in IT-Systemen werden heute immer stärker von böswilligen Angreifern ausgenutzt. Mit Vulnerability Management können Sie Ihre IT-Systeme schützen. Besuchen Sie uns in unserer Lounge an Stand 44. Wir freuen uns auf Sie!
Anmeldung: https://www.public-it-security.de/anmeldung/
Nachdem Experten bereits 2023 einen rapiden Zuwachs bei Cyberangriffen auf Kommunen und Behörden feststellen mussten, hören die Schreckensmeldungen auch 2024 nicht auf. Der Handlungsdruck ist enorm, denn ab Oktober tritt die NIS2-Richtline der EU in Kraft und macht Risiko- und Schwachstellenmanagement zur Pflicht.
„Die Gefährdungslage ist so hoch wie nie“ sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner bei der Bitkom Anfang März. Die Frage sei nicht, ob ein Angriff erfolgreich ist, sondern nur wann. Auch die jährlichen Berichte des BSI, zum Beispiel der jüngste Report von 2023 sprächen da Bände. Auffällig sei aber, so Plattner, wie oft Kommunen, Krankenhäuser und andere öffentliche Institutionen im Mittelpunkt der Angriffe stünden. Aber es gebe „kein Maßnahmen- sondern ein Umsetzungsproblem in den Unternehmen und Behörden“. Klar ist: Schwachstellenmanagement wie das von Greenbone kann dabei schützen und helfen, das Schlimmste zu vermeiden.
US-Behörden durch chinesische Hacker unterwandert
Angesichts der zahlreichen gravierenden Sicherheitsvorfälle wird das Schwachstellenmanagement von Jahr zu Jahr wichtiger. Knapp 70 neue Sicherheitslücken kamen in den letzten Monaten täglich hinzu. Einige von Ihnen öffneten tief in US-Behörden hinein Tür und Tor für Angreifer, wie im Greenbone Enterprise Blog berichtet:
Über gravierende Sicherheitslücken waren US-Behörden Medien zufolge seit Jahren durch chinesische Hackergruppen wie die wohl staatlich gesponserte „Volt Typhoon“ unterwandert. Dass Volt Typhoon und ähnliche Gruppierungen ein großes Problem sind, bestätigte sogar Microsoft selbst in einem Blog bereits im Mai 2023. Doch damit nicht genug: „Volt Typhoon macht sich die reichlich auftretenden Sicherheitslücken in VPN-Gateways und Routern der Marken FortiNet, Ivanti, Netgear, Citrix und Cisco zunutze. Diese gelten derzeit als besonders verwundbar“, war bei Heise zu lesen.
Dass der Quasi-Monopolist bei Office, Groupware, Betriebssystemen und diversen Clouddiensten 2023 auch noch zugeben musste, dass er sich den Masterkey für große Teile seiner Microsoft-Cloud hat stehlen lassen, zerstörte das Vertrauen in den Redmonder Softwarehersteller vielerorts. Wer diesen Key besitzt, braucht keine Backdoor mehr für Microsoft-Systeme, schreibt Heise. Vermutet werden hierbei ebenfalls chinesische Hacker.
Softwarehersteller und -Lieferanten
Die Lieferkette für Softwarehersteller steht nicht erst seit log4j oder dem Europäischen Cyber Resilience Act unter besonderer Beobachtung bei Herstellern und Anwendern. Auch das jüngste Beispiel um den Angriff auf den XZ-Komprimierungsalgorithmus in Linux zeigt die Verwundbarkeit von Herstellern. Bei der „#xzbackdoor“ hatte eine Kombination aus purem Zufall und den Aktivitäten von Andres Freund, ein sehr an Performance orientierter, deutscher Entwickler von Open-Source-Software für Microsoft, das Schlimmste verhindert.
Hier tat sich ein Abgrund auf: Nur dank der Open-Source-Entwicklung und einer gemeinsamen Anstrengung der Community kam heraus, dass Akteure über Jahre hinweg mit hoher krimineller Energie und mit Methoden, die sonst eher von Geheimdiensten zu erwarten sind, wechselnde Fake-Namen mit diversen Accounts benutzt hatten. Ohne oder mit nur wenig Benutzerhistorie bedienten sie sich ausgeprägter sozialer Betrugsmaschen, nutzen die notorische Überlastung von Betreibern aus und erschlichen sich das Vertrauen von freien Entwicklern. So gelang es ihnen, fast unbemerkt Schadcode in Software einzubringen. Nur dem Performance-Interesse von Freund war es schließlich zu verdanken, dass der Angriff aufflog und der Versuch scheiterte, eine Hintertür in ein Tool einzubauen.
US-Offizielle sehen auch in diesem Fall Behörden und Institutionen besonders bedroht, selbst wenn der Angriff eher ungezielt, für den massenhaften Einsatz ausgerichtet zu sein scheint. Das Thema ist komplex und noch lange nicht ausgestanden, geschweige denn vollumfänglich verstanden. Sicher ist nur: Die Usernamen der Accounts, die die Angreifer verwendet haben, waren bewusst gefälscht. Wir werden im Greenbone Blog weiter darüber berichten.
Europäische Gesetzgeber reagieren
Schwachstellenmanagement kann solche Angriffe nicht verhindern, aber es leistet unverzichtbare Dienste, indem es Administratoren proaktiv warnt und alarmiert, sobald ein derartiger Angriff bekannt wird – und dies meist, noch bevor ein Angreifer Systeme kompromittieren konnte. Angesichts aller Schwierigkeiten und dramatischen Vorfälle überrascht es nicht, dass auch Gesetzgeber die Größe des Problems erkannt haben und das Schwachstellenmanagement zum Standard und zur Best Practice in mehr und mehr Szenarien erklären.
Gesetze und Regulierungen wie die neue NIS2-Richtline der EU schreiben den Einsatz von Schwachstellenmanagement zwingend vor, auch in der Software-Lieferkette. Selbst wenn NIS2 eigentlich nur für etwa 180.000 Organisationen und Unternehmen der Kritischen Infrastruktur (KRITIS) beziehungsweise „besonders wichtige“ oder „bedeutende“ Unternehmen Europas gilt, sind die Regulierungen grundsätzlich sinnvoll – und ab Oktober Pflicht. Die „Betreiber wesentlicher Dienste“, betont die EU-Kommission, „müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“
Ab Oktober vorgeschrieben: Ein„Minimum an Cyber-Security-Maßnahmen“
Die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2)“ zwingt Unternehmen der europäischen Gemeinschaft, einen „Benchmark eines Minimums an Cyber-Security-Maßnahmen zu implementieren“, darunter auch Risikomanagement, Weiterbildung, Policies und Prozeduren, auch und gerade in der Zusammenarbeit mit Software-Lieferanten. In Deutschland sollen die Bundesländer die genaue Umsetzung der NIS2-Regelungen definieren.
Haben Sie Fragen zu NIS2, dem Cyber Resilience Act (CRA), zu Schwachstellenmanagement allgemein oder den beschriebenen Sicherheitsvorfällen? Schreiben Sie uns! Wir freuen uns darauf, mit Ihnen zusammen, die richtige Compliance-Lösung zu finden und Ihrer IT-Infrastruktur den Schutz zu geben, den sie heute angesichts der schweren Angriffe benötigt.
Zwei Sicherheitslücken in Sharepoint, beide aus dem vergangenen Jahr, bereiten Sharepoint-Administratoren derzeit Kopfzerbrechen. Weil Angreifer eine Kombination aus den beiden Schwachstellen zunehmend häufiger ausnutzen, warnt jetzt auch die Cybersecurity Infrastructure Security Agency CISA. Betroffene Kunden des Greenbone Enterprise Feed werden bereits seit Juni 2023 gewarnt.
Remote Priviledge Execution
Die beiden Schwachstellen CVE-2023-29357 und CVE-2023-24955 zusammen erlauben es Angreifern, aus der Ferne Administratorenrechte im Sharepoint-Server eines Unternehmens zu erlangen. Details über den Angriff wurden bereits im September 2023 auf der Pwn2Own-Konferenz in Vancouver 2023 veröffentlicht und finden sich beispielsweise im Blog der Singapur Starlabs.
Massive Angriffe führten jetzt dazu, dass die CISA jüngst eine Warnung zu diesen Lücken aussprach und die CVE-2023-29357 in ihren Katalog der bekannten Exploited Vulnerabilities aufnahm. Greenbone hat jedoch bereits seit etwa Juni 2023 authentifizierte Versionsprüfungen für beide CVEs und seit Oktober 2023 auch eine aktive Prüfung für CVE-2023-29357. Kunden der Enterprise-Produkte haben diese CVEs bereits seit mehreren Monaten als Bedrohung gemeldet bekommen – im authentifizierten und unauthentifizierten Scan-Modus.
Microsoft rät seinen Kunden auf seiner Webseite zum Update auf die SharePoint Server 2019 Version vom 13 Juni 2023, (KB5002402), die fünf kritische Lücken behebt, darunter auch die erste von der CISA genannte CVE. Ferner sollten alle Administratoren die Installation der Antivirensoftware AMSI durchführen und Microsoft Defender im Sharepoint-Server aktivieren. Anderenfalls könnten Angreifer die Authentifizierung mit gefälschten Authentifizierungstoken umgehen und sich Administratorrechte verschaffen.
Das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen ist ein wichtig, wie die vielen Meldungen über schädigende Schwachstellen belegen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware- oder als virtuelle Appliance. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab.
5 bekannte Juniper Junos-Schwachstellen, die aktiv ausgenutzt werden können
Die CISA hat 5 CVEs im Zusammenhang mit Juniper Junos (auch bekannt als Junos OS) in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die vollständige Exploit-Kette umfasst die Kombination mehrerer CVEs mit geringerem Schweregrad, um eine Remotecodeausführung (RCE) vor der Authentifizierung zu erreichen. Die 5 CVEs reichen in ihrem Schweregrad von CVSS 9.8 Critical bis CVSS 5.3 Medium. Die Greenbone Enterprise Appliances enthalten Schwachstellentests, die betroffene Systeme identifizieren können.
Das Verständnis des zeitlichen Ablaufs der Ereignisse sollte Netzwerkverteidigern helfen, zu begreifen, wie schnell Cyberbedrohungen eskalieren können. In diesem Fall wurde ein Proof-of-Concept (PoC) nur 8 Tage nach der Veröffentlichung des Sicherheitshinweises des Herstellers Juniper veröffentlicht. Sicherheitsforscher beobachteten nur 12 Tage nach der Veröffentlichung einen aktiven Angriff. Doch erst mehrere Monate später bestätigte die CISA die aktive Ausnutzung der Schwachstelle. Die Entwickler von Greenbone fügten bereits am 18. August 2023, unmittelbar nach der Veröffentlichung, Erkennungstests [1][2] für alle betroffenen Versionen der beiden betroffenen Produktreihen (Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie zum Greenbone Enterprise Feed hinzu.
- August 2023: Juniper veröffentlicht einen Sicherheitshinweis für mehrere Sicherheitslücken in Junos OS
- August 2023: Greenbone fügt dem Greenbone Enterprise Feed Erkennungstests [1][2] hinzu.
- August 2023: Proof-of-Concept (PoC), Exploit-Code und eine vollständige Schwachstellenbewertung wurden von WatchTowr Labs veröffentlicht.
- August 2023: Die Cyber-Bedrohungsallianz Shadowserver meldet die Beobachtung einer aktiven Ausnutzung in freier Wildbahn
- August 2023: Rapid7 Threat Research meldet die Beobachtung eines aktiven Angriffs in freier Wildbahn
- Oktober 2023: Ein neues PoC-Beispiel wurde veröffentlicht, das keinen Datei-Upload erfordert.
- November 2023: Die CISA nimmt 5 CVEs, die Juniper Junos betreffen, in ihren KEV-Katalog auf und setzt eine Frist bis zum 17. November 2023, bis zu den Regierungssystemen gepatcht werden müssen.
Hier finden Sie eine kurze Beschreibung der einzelnen CVEs:
- CVE-2023-36844 (CVSS 5.3 Medium): Eine PHP-External-Variable-Modification [CWE-473]-Schwachstelle besteht in J-Web, einem Tool, das für die Fernkonfiguration und -verwaltung von Junos OS verwendet wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, sensible PHP-Umgebungsvariablen zu verändern. CVE-2023-36844 ermöglicht die Verkettung mit anderen Schwachstellen, die zu einem nicht authentifizierten RCE führen.
- CVE-2023-36845 (CVSS 9.8 Kritisch): Eine PHP-External-Variable-Modification-Schwachstelle [CWE-473] in J-Web ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, Code aus der Ferne auszuführen. Mit einer manipulierten Anfrage, die die Variable PHPRC setzt, kann ein Angreifer die PHP-Ausführungsumgebung ändern, um Code einzuschleusen und auszuführen.
- CVE-2023-36846 (CVSS 5.3 Medium): Eine fehlende Authentifizierung für eine kritische Funktion [CWE-306] in Juniper Networks Junos OS ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems mit einer bestimmten Anfrage an user.php über J-Web zu beeinflussen. Ohne Authentifizierung ist ein Angreifer in der Lage, beliebige Dateien hochzuladen [CWE-434], was eine Verkettung mit anderen Schwachstellen einschließlich nicht authentifiziertem RCE ermöglicht.
- CVE-2023-36847 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer böswilligen Anfrage an installAppPackage.php über J-Web kann ein Angreifer beliebige Dateien [CWE-434] ohne Authentifizierung hochladen, was eine Verkettung mit anderen Schwachstellen ermöglichen kann, die zu RCE führen.
- CVE-2023-36851 (CVSS 5.3 Medium): Eine Schwachstelle in Juniper Networks Junos OS mit fehlender Authentifizierung für kritische Funktionen [CWE-306] ermöglicht es einem nicht authentifizierten, netzwerkbasierten Angreifer, die Integrität des Dateisystems zu beeinflussen. Mit einer speziellen Anfrage an webauth_operation.php, die keine Authentifizierung erfordert, ist ein Angreifer in der Lage, beliebige Dateien über J-Web [CWE-434] hochzuladen, was zu einem Verlust der Integrität eines bestimmten Teils des Dateisystems und zu einer Verkettung mit anderen Sicherheitslücken führt.
Verstehen des Angriffsverlaufs
Mehrere der oben aufgeführten CVEs sind als Schwachstellen mit fehlender Authentifizierung für kritische Funktionen [CWE-306] klassifiziert, was bedeutet, dass verschiedene Funktionen der Webanwendung zur Geräteverwaltung von J-Web keine ordnungsgemäßen Authentifizierungsprüfungen implementieren.
Im Folgenden wird zusammengefasst, wie diese Schwachstellen zu einem nicht authentifizierten RCE zusammengefügt wurden:
Die J-Web-Anwendung ist in PHP geschrieben, das, wie die WatchTowr-Forscher feststellten, für seine Benutzerfreundlichkeit auf Kosten der Sicherheit bekannt ist. Im Fall von CVE-2023-36846 implementierte die Datei „webauth_operation.php“ von J-Web eine andere Methode zur Authentifizierung als der Rest der Anwendung. Diese Datei ruft stattdessen die Funktion „sajax_handle_client_request()“ auf und übergibt den Wert „false“ als Parameter „doauth“, was dazu führt, dass keine Authentifizierung durchgeführt wird. Die oben erwähnte Funktion ’sajax_handle_client_request()‘ dient dazu, die in J-Web integrierten Funktionen auszuführen, indem sie als $_POST-Variable angegeben werden, einschließlich der Funktion ‚do_upload()‘, die zum Hochladen von Dateien verwendet wird.
CVE-2023-36845 ist eine Schwachstelle im Junos-Webserver, die es ermöglicht, Systemumgebungsvariablen über das Feld ’name‘ einer HTTP-POST-Anforderung zu setzen, wenn ein ‚Content-Type: multipart/form-data‘-Header verwendet wird. Zwei Exploits, die der Beschreibung von CVE-2023-36845 entsprechen, wurden zuvor für den GoAhead-IoT-Webserver offengelegt und als CVE-2017-17562 und CVE-2021-42342 verfolgt, was darauf hindeutet, dass der Junos-Webserver wahrscheinlich den proprietären GoAhead-Webserver implementiert.
Das Ausführen der hochgeladenen Datei ist möglich, indem die Umgebungsvariable PHPRC gesetzt wird, mit der eine nicht autorisierte PHP-Konfigurationsdatei „php.ini“ geladen wird, die ebenfalls über CVE-2023-36846 hochgeladen wurde und eine bösartige „auto_prepend_file“-Einstellung enthält, die PHP anweist, die erste hochgeladene Datei jedes Mal auszuführen, wenn eine Seite geladen wird. Hier ist die vollständige Beispielkette.
Abschwächung der jüngsten Juniper Junos-Schwachstellen
Die 5 neuen CVEs betreffen Juniper Networks Junos OS auf Ethernet-Switches der EX-Serie und Service-Gateways der SRX-Serie. Konkret handelt es sich um Junos OS Version 20.4 und früher, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4 und 23.2 auf den Geräten der EX- und SRX-Serie.
Die beste Abhilfemaßnahme ist die Installation der Sicherheitspatches für Junos OS. Wenn Sie die offiziell bereitgestellten Sicherheitspatches nicht installieren können, können Sie die J-Web-Schnittstelle vollständig deaktivieren oder Firewalls mit einer Akzeptanzliste konfigurieren, um den Zugriff nur auf vertrauenswürdige Hosts zu beschränken, um einen Missbrauch zu verhindern. Generell kann die strikte Beschränkung des Zugriffs auf kritische Server und Netzwerk-Appliances auf Client-IP-Adressen, die Zugriff benötigen, die Ausnutzung ähnlicher, noch nicht entdeckter, aus der Ferne ausnutzbarer Zero-Day-Schwachstellen verhindern.
Wir bei Greenbone freuen uns sehr, in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Greenbone SMP-Bund-Portal einzuführen. Als führender Anbieter von IT-Sicherheitslösungen sind wir stolz darauf, diese speziell auf die Bedürfnisse der Bundesbehörden zugeschnittene Plattform anbieten zu können.
Ein Portal, das Maßstäbe setzt
Das Greenbone SMP-Bund-Portal ist die zentrale Anlaufstelle für IT-Sicherheit und Schwachstellenmanagement. Es wurde entwickelt, um Behörden konkrete Unterstützung bei den aktuellen Herausforderungen der IT-Sicherheit zu bieten.
Viele Vorteile für Bundesbehörden
- Einfach verständliche Einblicke: Das Portal bietet klare und anwenderfreundliche Informationen zum Schwachstellenmanagement. Es ist ideal sowohl für Einsteiger als auch für Experten in der IT-Sicherheit.
- Exklusive Rahmenvertragskonditionen: Bundesbehörden genießen spezielle Angebote und Vorzüge. Die Ausschreibungspflicht entfällt, was Zeit und Ressourcen spart.
- Persönlicher Support: Das kompetente Support-Team steht unseren Kunden stets zur Seite, um Fragen zu beantworten und Unterstützung zu gewährleisten.
- Direkter Draht zum Behörden-Sales Team: Fachkundige Beratung unseres Teams, das sich bestens mit den spezifischen Anforderungen für Bundesbehörden auskennt. Wir freuen uns auf die weitere vertrauensvolle Zusammenarbeit mit dem BSI und stehen für Rückfragen gerne zur Verfügung.
- Gelegenheit zum Austausch: Nutzen Sie das gemeinsame Forum um Ihre Erfahrungen und Fragen zu teilen.
Internationale Diskussionsrunde über effektive Cybersicherheit bei der #OSXP2023
Beim renommierten #OSXP2023-Event in Paris haben wir an der Diskussionsrunde „Cybersécurité et open source“ teilgenommen. Dort diskutierten wir intensiv darüber, wie die Cybersicherheit in Unternehmen verbessert werden kann. Das Gremium, bestehend aus internationalen, bekannten Experten aus Wissenschaft und Regierung, konzentrierte sich auf diese Punkte für starke Cybersicherheit.
1. Die Einstellung zu Sicherheitsthemen
Security by Design: Eine Management-Aufgabe
- Das Panel betonte, wie wichtig es ist, Sicherheit bereits in den Anfangsphasen der Entwicklung zu berücksichtigen. Dafür ist es nötig, dass die Unternehmensführung Sicherheit in allen Geschäftsbereichen priorisiert.
Eine Mentalität, die auf sichere und geschützte Lösungen ausgerichtet ist
- Unternehmen sollten eine Kultur entwickeln, bei der Sicherheit ein fester Bestandteil des Denkprozesses ist. Ziel ist es, Lösungen anzubieten, die von Natur aus sicher und geschützt sind.
2. Umsetzung wichtiger Prozesse
Einhaltung von Standards und Automatisierung
- Es wurde betont, wie wichtig es ist, sich an etablierte Cybersicherheitsstandards zu halten. Empfohlen wird, Prozesse zu automatisieren, um Konsistenz und Effizienz zu gewährleisten.
Keine Umsetzung ohne Sicherheitskonformität
- Es wurde empfohlen, keine Umsetzungen oder Maßnahmen durchzuführen, ohne die notwendigen Sicherheitsanforderungen zu erfüllen.
3. Ressourcen: Teams stärken und Wachsamkeit erhöhen
Spezialisierte Sicherheitsteams und Schulungen
- Entscheidend sei, spezialisierte Sicherheitsteams zu haben und regelmäßige Schulungen durchzuführen, um ein hohes Sicherheitsbewusstsein und Vorbereitung zu gewährleisten.
Wachsamkeit als kontinuierliche Aufgabe
- Ständige Wachsamkeit wurde als Schlüsselressource hervorgehoben, um sicherzustellen, dass Sicherheitsmaßnahmen immer aktuell und wirksam sind.
4. Wesentliche Werkzeuge und Technologien
Verpflichtende Multi-Faktor-Authentifizierung (MFA)
- Die Implementierung von MFA als obligatorische Maßnahme, um die Sicherheit von Konten erheblich zu verbessern, wurde stark empfohlen.
Schwachstellenscanner und Abhängigkeitsmanagement
- Der Einsatz von Schwachstellenscannern und das Management von Abhängigkeiten und Konfigurationen wurden als unverzichtbare Werkzeuge bewertet. Plattformen wie GitHub Enterprise mögen ihren Preis haben, bieten aber umfassende Lösungen für diese Bedürfnisse.
Fazit: Schulungen, Achtsamkeit und der Einsatz von Open-Source-Tools
Abschließend betonte das Panel bei #OSXP2023, einschließlich unseres Experten Corentin Bardin, Spezialist für Cybersicherheit und Pentester, die Bedeutung von kontinuierlicher Weiterbildung im sich schnell entwickelnden Bereich der Cybersicherheit. Sie sprachen sich für den Einsatz von Open-Source-Werkzeugen zur Stärkung der Sicherheitsmaßnahmen aus.
Die wichtigste Erkenntnis aus der Diskussion ist das Engagement, sichere Dienstleistungen anzubieten. Es geht nicht nur um Werkzeuge und Prozesse, sondern um die Denkweise und das kontinuierliche Bestreben, wachsam und informiert zu bleiben.
Update vom 06.12.2023:
Letzte Woche berichteten wir über pro-russische Hacktivisten, die nach verwundbaren Sharepoint-Servern scannen, um eine kritische Schwachstelle (CVE-2023-29357) auszunutzen.
Neue Erkenntnisse deuten darauf hin, dass die Gruppe, die sich selbst „Zarya“ nennt, verschiedene Exploit-Versuche unternimmt, darunter Directory-Traversal und das Abzielen auf spezifische Schwachstellen in Systemen wie OpenWRT-Routern.
Die IP-Adresse 212.113.106.100, die mit diesen Aktivitäten in Verbindung steht, wurde bei mehreren unterschiedlichen Exploit-Versuchen beobachtet. Zusätzlich zu einfachen Erkundungen wurden auch spezifische Angriffe auf Konfigurationsdateien und Admin-APIs festgestellt.
Dieser Fall unterstreicht erneut die Bedeutung der Absicherung von Systemen gegen solche Bedrohungen und zeigt, wie ungeschützte oder schlecht konfigurierte Systeme Ziel solcher Angriffe werden können.
Eine kritische Schwachstelle für Sharepoint (CVE-2023-29357), wird von vermutlich pro-russischen Angreifern angegangen, die versuchen, diese Schwachstelle auszunutzen.
Das Internet Storm Center hat entsprechende Aktivitäten auf seinen Honeypots entdeckt. Der Schweregrad für diese Schwachstelle ist kritisch (ein Wert von 9,8 von 10), und die Angriffskomplexität ist sehr gering, was diese Schwachstelle besonders gefährlich macht. Greenbone-Kunden können von der automatischen Erkennung dieser Schwachstelle in unserem Enterprise Feed profitieren. Microsoft bietet seit dem 12. Juni 2023 ein Sicherheitsupdate an, Microsoft-Kunden, die das Update verpasst haben, sollten es jetzt installieren.
