Schlagwortarchiv für: Cybersicherheit

Greenbone AG

Schwachstellen-Erkennung durch Greenbone: trotz NIST NVD-Ausfall stark

Trotz des Ausfalls der „National Vulnerability Database” (NVD) des amerikanischen „National Institute of Standards and Technology“ (NIST) ist die Greenbone-Engine zur Erkennung von Schwachstellen weiterhin voll funktionsfähig. Sie bietet zuverlässige Schwachstellen-Scans, ohne auf fehlende CVE-Anreicherungsdaten angewiesen zu sein.

Seit 1999 stellt die MITRE Corporation mit Common Vulnerabilities and Exposures (CVE) kostenlose öffentliche Informationen über Schwachstellen zur Verfügung, indem sie Informationen über Software-Schwachstellen veröffentlicht und verwaltet. Das NIST hat diese CVE-Berichte seit 2005 fleißig erweitert und mit Kontext angereichert, um die Bewertung von Cyberrisiken zu verbessern. Anfang 2024 wurde die Cybersecurity-Gemeinschaft überrascht, als die NIST-NVD zum Stillstand kam. Etwa ein Jahr später war der Ausfall noch immer nicht vollständig behoben [1][2]. Bei einer jährlich steigenden Zahl von CVE-Einreichungen haben die Schwierigkeiten des NIST dazu geführt, dass ein großer Prozentsatz ohne Kontext blieb, wie z. B. bei der Bewertung des Schweregrads (CVSS), den Listen betroffener Produkte (CPE) und den Einstufungen von Schwachstellen (CWE).

Die jüngsten von der Trump-Administration angestoßenen politischen Veränderungen haben die Unsicherheit über die Zukunft des Austauschs von Schwachstelleninformationen und der vielen Sicherheitsanbieter, die davon abhängig sind, vergrößert. Der Haushaltsplan für das Geschäftsjahr der CISA enthält bemerkenswerte Kürzungen in bestimmten Bereichen, wie z. B. 49,8 Millionen Dollar weniger für Beschaffung, Bau und Verbesserungen sowie 4,7 Millionen Dollar weniger für Forschung und Entwicklung. Als Reaktion auf die Finanzierungsprobleme hat die CISA Maßnahmen zur Kürzung der Ausgaben ergriffen, darunter Anpassungen bei Verträgen und Beschaffungsstrategien.

Um es klar zu sagen: Das CVE-Programm ist noch nicht ausgefallen. Am 16. April erließ die CISA in letzter Minute eine Anweisung, ihren Vertrag mit MITRE zu verlängern, um den Betrieb des CVE-Programms für weitere elf Monate sicherzustellen, nur wenige Stunden bevor der Vertrag auslaufen sollte. Niemand kann jedoch vorhersagen, wie sich die zukünftigen Ereignisse entwickeln werden. Die potenziellen Auswirkungen auf den Austausch von Informationen sind alarmierend und deuten vielleicht auf eine neue Dimension von „kaltem Cyberkrieg“ hin.

Dieser Artikel enthält einen kurzen Überblick über die Funktionsweise des CVE-Programms und darüber, wie die Erkennungsfunktionen von Greenbone auch während des NIST NVD-Ausfalls aufrechterhalten werden.

Ein Überblick über den Betrieb des CVE-Programms

Die MITRE Corporation ist eine gemeinnützige Organisation, die die Aufgabe hat, die innere Sicherheit der USA an mehreren Fronten zu unterstützen, einschließlich der Verteidigungsforschung zum Schutz kritischer Infrastrukturen und der Cybersicherheit. MITRE betreibt das CVE-Programm, fungiert als primäre CNA (CVE Numbering Authority) und unterhält die zentrale Infrastruktur für die CVE-ID-Zuweisung, die Veröffentlichung von Datensätzen, die Kommunikationsabläufe zwischen allen CNAs und ADPs (Authorized Data Publishers) sowie die Programmverwaltung. MITRE stellt der Öffentlichkeit CVE-Daten über die Website CVE.org und das GitHub-Repository cvelistV5 zur Verfügung, das alle CVE-Datensätze im strukturierten JSON-Format enthält. Das Ergebnis ist eine hocheffiziente, standardisierte Berichterstattung zu Schwachstellen und ein nahtloser Datenaustausch im gesamten Cybersicherheitsökosystem.

Nachdem eine Schwachstellen-Beschreibung von einem CNA an MITRE übermittelt wurde, hat das NIST in der Vergangenheit immer etwas hinzugefügt:

  • CVSS (Common Vulnerability Scoring System): Ein Schweregrad und ein detaillierter Vektorstring, der den Risikokontext für Angriffskomplexität (AC), die Auswirkungen auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) sowie andere Faktoren enthält.
  • CPE (Common Platform Enumeration): Eine speziell formatierte Zeichenfolge, die zur Identifizierung betroffener Produkte dient, indem sie den Produktnamen, den Hersteller, die Versionen und andere architektonische Spezifikationen weitergibt.
  • CWE (Common Weakness Enumeration): Eine Ursachenklassifizierung nach der Art des betreffenden Softwarefehlers.

CVSS ermöglicht es Unternehmen, den Grad des Risikos einer bestimmten Schwachstelle leichter zu bestimmen und dementsprechend strategische Abhilfemaßnahmen zu ergreifen. Da die ersten CVE-Berichte nur eine nicht standardisierte Deklaration des betroffenen Produkts erfordern, ermöglicht es die Ergänzung von CPE durch NIST den Plattformen für das Schwachstellenmanagement, den CPE-Abgleich als schnelle, wenn auch etwas unzuverlässige Methode durchzuführen, um festzustellen, ob eine CVE in der Infrastruktur eines Unternehmens existiert oder nicht.

Einen detaillierteren Einblick in die Funktionsweise des Verfahrens zur Offenlegung von Schwachstellen und wie CSAF 2.0 eine dezentralisierte Alternative zum CVE-Programm von MITRE bietet, finden Sie in unserem Artikel: Wie CSAF 2.0 automatisiertes Schwachstellenmanagement vorantreibt. Als Nächstes wollen wir uns den NIST NVD-Ausfall genauer ansehen und verstehen, was Greenbones Erkennung gegen diesen Ausfall widerstandsfähig macht.

Der NIST-NVD-Ausfall: Was ist passiert?

Seit dem 12. Februar 2024 hat die NVD die Anreicherung von CVEs mit wichtigen Metadaten wie CVSS-, CPE- und CWE-Produktkennungen drastisch reduziert. Das Problem wurde zuerst vom VP of Security von Anchore erkannt. Im Mai 2024 waren etwa 93 % der nach dem 12. Februar hinzugefügten CVEs nicht angereichert. Im September 2024 hatte das NIST seine selbst gesetzte Frist nicht eingehalten; 72,4 % der CVEs und 46,7 % der neu hinzugefügten KEVs (Known Exploited Vulnerabilities) der CISA waren immer noch nicht angereichert [3].

Die Verlangsamung des NVD-Anreicherungsprozesses hatte erhebliche Auswirkungen auf die Cybersecurity-Gemeinschaft, nicht nur, weil angereicherte Daten für Verteidiger entscheidend sind, um Bedrohungen effektiv zu priorisieren, sondern auch, weil einige Schwachstellen-Scanner auf diese angereicherten Daten angewiesen sind, um ihre Erkennungstechniken einzusetzen.

Als Verteidiger der Cybersicherheit lohnt es sich zu fragen: War Greenbone vom Ausfall des NIST NVD betroffen? Die kurze Antwort lautet: Nein. Lesen Sie weiter, um herauszufinden, warum die Erkennungsfähigkeiten von Greenbone gegen den NIST NVD-Ausfall resistent sind.

Greenbone-Erkennungsrate trotz NVD-Ausfall hoch

Ohne angereicherte CVE-Daten werden einige Lösungen für das Schwachstellenmanagement unwirksam, da sie auf den CPE-Abgleich angewiesen sind, um festzustellen, ob eine Schwachstelle in der Infrastruktur eines Unternehmens vorhanden ist.  Greenbone ist jedoch gegen den Ausfall der NIST NVD gewappnet, da unsere Produkte nicht vom CPE-Abgleich abhängen. Die OPENVAS-Schwachstellentests von Greenbone können auf der Grundlage von nicht angereicherten CVE-Beschreibungen erstellt werden. Greenbone erkennt sogar bekannte Schwachstellen und Fehlkonfigurationen, für die es nicht einmal CVEs gibt, wie z. B. CIS-Compliance Benchmarks [4][5].

Für die Erstellung von Schwachstellentests (VT) beschäftigt Greenbone ein engagiertes Team von Software-Ingenieuren, die die zugrunde liegenden technischen Aspekte von Schwachstellen identifizieren. Greenbone verfügt über eine CVE-Scanner-Funktion, die einen herkömmlichen CPE-Abgleich ermöglicht. Im Gegensatz zu Lösungen, die sich ausschließlich auf die CPE-Daten der NIST NVD stützen, um Schwachstellen zu identifizieren, setzt Greenbone jedoch Erkennungstechniken ein, die weit über den grundlegenden CPE-Abgleich hinausgehen. Daher bleiben die Fähigkeiten von Greenbone zur Erkennung von Schwachstellen auch angesichts von Herausforderungen wie dem jüngsten Ausfall der NIST NVD robust.

Um eine hoch belastbare, branchenführende Schwachstellen-Erkennung  zu erreichen, interagiert die Greenbone-Komponente OPENVAS Scanner aktiv mit exponierten Netzwerkdiensten, um eine detaillierte Karte der Angriffsfläche eines Zielnetzwerks zu erstellen. Dies beinhaltet die Identifizierung von Diensten, die über Netzwerkverbindungen zugänglich sind, die Untersuchung dieser Dienste zur Ermittlung von Produkten und die Ausführung individueller Schwachstellentests (VT) für jede CVE- oder Nicht-CVE-Sicherheitslücke, um aktiv zu überprüfen, ob diese vorhanden sind. Der Enterprise Vulnerability Feed von Greenbone enthält über 180.000 VTs, die täglich aktualisiert werden, um die neuesten veröffentlichten Schwachstellen zu identifizieren und eine schnelle Erkennung der neuesten Bedrohungen zu gewährleisten.

Zusätzlich zu seinen aktiven Scan-Funktionen unterstützt Greenbone die agentenlose Datenerfassung über authentifizierte Scans. Greenbone sammelt detaillierte Informationen von den Endpunkten und bewertet die installierten Softwarepakete anhand der veröffentlichten CVEs. Diese Methode ermöglicht eine präzise Erkennung von Schwachstellen, ohne auf die angereicherten CPE-Daten der NVD angewiesen zu sein.

Wichtige Erkenntnisse:

  • Unabhängigkeit von angereicherten CVE-Daten: Die Schwachstellenerkennung von Greenbone ist nicht auf angereicherte CVE-Daten angewiesen, die von der NVD des NIST bereitgestellt werden, wodurch eine unterbrechungsfreie Leistung bei Ausfällen gewährleistet ist. Anhand einer grundlegenden Beschreibung einer Schwachstelle können die Ingenieure von Greenbone ein Erkennungsmodul entwickeln.
  • Erkennung über CPE-Abgleich hinaus: Obwohl Greenbone eine CVE-Scanner-Funktion für den CPE-Abgleich enthält, gehen die Erkennungsfähigkeiten weit über diesen grundlegenden Ansatz hinaus und nutzen mehrere Methoden, die aktiv mit Scan-Zielen interagieren.
  • Angriffsflächen-Mapping: Der OPENVAS-Scanner interagiert aktiv mit exponierten Diensten, um die Angriffsfläche des Netzwerks abzubilden und alle im Netzwerk erreichbaren Dienste zu identifizieren. Greenbone führt auch authentifizierte Scans durch, um Daten direkt von den Interna der Endpunkte zu sammeln. Diese Informationen werden verarbeitet, um verwundbare Pakete zu identifizieren. Angereicherte CVE-Daten wie CPE sind nicht erforderlich.
  • Widerstandsfähigkeit bei Ausfällen der NVD-Anreicherung: Die Erkennungsmethoden von Greenbone bleiben auch ohne NVD-Anreicherung wirksam, da sie die von CNAs bereitgestellten CVE-Beschreibungen nutzen, um genaue aktive Prüfungen und versionsbasierte Schwachstellenbewertungen zu erstellen.

Greenbones Ansatz: praktisch, wirksam und widerstandsfähig

Greenbone ist ein Beispiel für den Gold-Standard in Bezug auf Praktikabilität, Effektivität und Widerstandsfähigkeit und setzt damit einen Maßstab, den IT-Sicherheitsteams anstreben sollten. Durch den Einsatz von aktivem Netzwerk-Mapping, authentifizierten Scans und aktiver Interaktion mit der Zielinfrastruktur gewährleistet Greenbone zuverlässige, belastbare Erkennungsfunktionen in unterschiedlichen Umgebungen.

Dieser höhere Standard ermöglicht es Unternehmen, Schwachstellen selbst in komplexen und dynamischen Bedrohungslandschaften sicher zu erkennen. Auch ohne NVD-Anreicherung bleiben die Erkennungsmethoden von Greenbone effektiv. Mit nur einer allgemeinen Beschreibung können die VT-Ingenieure von Greenbone genaue aktive Prüfungen und produktversionsbasierte Schwachstellenbewertungen entwickeln.

Durch einen grundlegend robusten Ansatz zur Erkennung von Schwachstellen gewährleistet Greenbone ein zuverlässiges Schwachstellenmanagement und hebt sich damit von anderen Anbietern im Bereich der Cybersicherheit ab.

Alternativen zu NVD / NIST / MITRE

Die MITRE-Problematik ist ein Weckruf für die digitale Souveränität, und die EU hat bereits (und schnell) reagiert. Eine lang erwartete Alternative, die EuVD der ENISA, der Agentur der Europäischen Union für Cybersicherheit, ist nun verfügbar und wird in einem unserer nächsten Blogbeiträge vorgestellt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Dennis-Kenji Kipker über die Zukunft von NIS2 in Deutschland und Europa

Mit den Neuwahlen scheint die NIS2-Umsetzung in Deutschland vorerst gestoppt. Während andere europäische Länder schon bereit sind, müssen deutsche Firmen noch mehrere Monate warten, bis sich Rechtssicherheit einstellt. Dabei ist eigentlich alles gesagt, Vorlagen sind gemacht, doch durch den Regierungswechsel ist ein Neustart notwendig.

Wir haben mit einem der führenden Experten für NIS2 gesprochen: Dennis-Kenji Kipker ist Scientific Director des cyberintelligence.institute in Frankfurt am Main, Professor an der Riga Graduate School of Law und berät regelmäßig als Experte beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) und vielen anderen öffentlichen und wissenschaftlichen Einrichtungen.

Warum hat die Bundesregierung den fertigen NIS2-Entwurf verworfen?

Porträt von Prof. Dr. Dennis-Kenji Kipker, Experte für IT-Recht und Cybersicherheit, im Interview zur Umsetzung der NIS2-Richtlinie

Prof. Dr. Dennis-Kenji Kipker

Kipker: Das liegt am sogenannten Diskontinuitätsprinzip. Genau wie bei der alten Regierung müssen da alle unerledigten Vorhaben archiviert werden. „Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS2UmsuCG nicht abgeschlossen werden“ heißt das im Amtsdeutsch. Im Sinne des Diskontinuitätsprinzips müssen mit der Konstituierung eines neu gewählten Bundestages alle vom alten Bundestag noch nicht beschlossenen Gesetzentwürfe neu eingebracht und verhandelt werden. Da fällt dann auch die bereits geleistete Arbeit zu NIS2 hinten runter. Aber man kann natürlich darauf aufbauen, könnte den fast gleichen Text erneut einbringen.

Wird das geschehen?

Kipker: Es gibt einen internen 100-Tage-Plan aus dem Bundesinnenministerium für die Zeit nach der Wahl. Gerüchten zufolge soll in dem Plan das Thema Cybersecurity sehr hoch aufgehängt sein, und gerade NIS2 soll jetzt sehr schnell umgesetzt werden. Wenn man es schafft, das vor Herbst/Winter 2025 (der eigentlich aktuelle Zeitplan) umzusetzen, vermeidet Deutschland zumindest die Peinlichkeit, hier europäisches Schlusslicht zu werden.

Ist das denn realistisch?

Kipker: Man müsste schon sehr viel recyclen, also trotz Diskontinuitätsprinzip Sachen aus der letzten Legislaturperiode übernehmen. Derzeit scheint es, als wolle das noch amtierende Innenministerium genau das erreichen. Ob das realistisch ist, wissen nur die direkt involvierten Politiker und Amtsträger. 100 Tage scheint mir im Berliner Politikbetrieb da aber schon sehr sportlich, auch wenn alle Beteiligten mitziehen. Man müsste einen Haushalt haben, im aktuellen NIS2UmsuCG-Entwurf Überarbeitungsbedarfe erkennen und angehen, aber auch finalisieren und den deutschen Anwendungsbereich des Gesetzes klarer fassen und an das EU-Recht angleichen. Überdies hat man zum Jahresende 2024 und zu Anfang 2025 noch nach der Expertenanhörung zu NIS2 im Bundestag vieles versucht durchzudrücken, was in Teilen doch eher fraglich ist. Das müsste in jedem Fall politisch neu verhandelt und fachlich bewertet werden.

Was schätzen Sie, wann das kommt?

Kipker: Schwer zu sagen, aber selbst, wenn man die 100-Tage-Frist reißt, sollte das schon machbar sein, eine nationale NIS2-Umsetzung vor dem Winter 2025/2026 fertigzustellen. Aber das ist nur eine sehr vorläufige Annahme, die ich immer wieder mal aus „gewöhnlich gut informierten Kreisen“ höre. Eines der Schlusslichter in der europaweiten Umsetzung werden wir so oder so werden, da ändern auch alle aktuellen Ambitionen nichts mehr dran.

Und wie schaut das in anderen europäischen Ländern aus?

Kipker: Da geschieht gerade auch einiges. Man hat beispielsweise erkannt, dass die unterschiedlichen nationalstaatlichen Umsetzungen von NIS2 zu Reibungsverlusten und Mehraufwänden bei den betroffenen Unternehmen führen – das kommt ja nun nicht wirklich überraschend. Es gibt seit einigen Wochen von der European Union Agency For Cybersecurity (ENISA) einen lesenswerten Bericht, der den Reifegrad und die Kritikalität relevanter NIS2-Sektoren im europäischen Vergleich erläutert und bewertet. „NIS360 soll die Mitgliedstaaten und nationalen Behörden bei der Ermittlung von Lücken und der Priorisierung von Ressourcen unterstützen“, schreibt die EU-Cybersicherheitsbehörde. Und wir als cyberintelligence.institute haben im Auftrag des Schweizer Unternehmens Asea Brown Boveri eine umfassende Studie erstellt, die ebenfalls die EU-weite Umsetzung der NIS2-Richtlinie genauer unter die Lupe nimmt.

Welche zentrale Erkenntnis haben Sie dort gewonnen?

Kipker: Der Comparison Report richtet sich vor allem an transnational agierende Unternehmen, die einen ersten Anlaufpunkt für Cybersecurity-Compliance suchen. Vor allem fehlen zentrale administrativen Zuständigkeiten im Sinne eines „One Stop Shop“, und die auseinanderlaufenden Umsetzungsfristen machen Unternehmen Probleme. Stand Ende Januar hatten nur neun EU-Staaten NIS2 in nationales Recht umgesetzt, während bei 18 weiteren Staaten das Gesetzgebungsverfahren noch nicht abgeschlossen war. Eine weitere zentrale Erkenntnis: Nur weil ich in einem EU-Mitgliedstaat NIS2-konform bin, bedeutet das nicht zwangsläufig, dass dies auch für einen anderen Mitgliedstaat gilt.

Dann ist Deutschland zwar kein Vorreiter, aber auch kein Schlusslicht?

Kipker: Wir sind definitiv nicht vorne dabei, aber wenn wir die nationale Umsetzung noch dieses Jahr schaffen, sind wir vielleicht nicht die letzten, aber doch unter den letzten. Meine Vermutung in dieser Hinsicht ist zurzeit: Erst im vierten Quartal 2025 wird es wirklich belastbare Ergebnisse geben. Es wird also knapp, nicht doch noch die rote Laterne umgehängt zu bekommen. Ob das unserem Anspruch an die Cybersicherheit und digitale Resilienz gerecht werden kann, müssen Politikerinnen und Politiker entscheiden.

Wo können sich betroffene Firmen denn über den aktuellen Stand informieren?

Kipker: Es gibt fortlaufend Veranstaltungen und Beteiligungsmöglichkeiten. Am 18. März beispielsweise findet eine Informationsveranstaltung des BSI statt, wo man auch mal nach den Planungen fragen kann. Dann gibt es im Mai 2025 auch den NIS-2-Congress direkt nebenan bei uns in Frankfurt, für den man übrigens gerade den „anerkanntesten NIS-2 Community Leader“ wählen konnte. Hier wird es mit Sicherheit auch das eine oder andere interessante Informationshäppchen aufzuschnappen geben. Ansonsten: Mich jederzeit gerne anschreiben, wenn es Fragen zu NIS2 gibt!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Maximales Desaster für Zyxel: EOL-Router und Ransomware-Angriffe

Jedes Produkt hat ein Ablaufdatum, aber die Kunden haben oft nur eine kurze Vorwarnung und keinen Regressanspruch, wenn ein Anbieter beschließt, ein Produkt auslaufen zu lassen. Sobald ein Anbieter ein Produkt mit End-of-Life (EOL) oder End-of-Service (EOS) kennzeichnet, wird das Management der damit verbundenen Risiken komplexer. Das Risiko vergrößert sich, wenn Cyberkriminelle Schwachstellen finden und ausnutzen, die nie gepatcht werden. Wenn ein EOL-Produkt zukünftig anfällig wird, müssen seine Benutzer selbst zusätzliche Sicherheitskontrollen einführen.

Digitale Darstellung von Gewitterwolken und einem Mülleimer mit Router-Symbol – Sinnbild für Sicherheitsrisiken durch veraltete IT-Produkte und Ransomware-Bedrohungen.

Wenn sich herausstellt, dass der Anbieter diese anfälligen EOL-Produkte immer noch verkauft, kann dies als „perfekter Sturm“ oder größte Katastrophe angesehen werden. In diesem Artikel werden wir mehrere Sicherheitswarnungen für Zyxel-Produkte untersuchen, darunter einige, die als EOL-Produkte eingestuft sind, und eine weitere Schwachstelle, die bei Ransomware-Angriffen ausgenutzt wird.

Jüngste Sicherheitslücken in Zyxel-Produkten

CVE-2024-40891 (CVSS 8.8), eine schwerwiegende Schwachstelle zur Remote Code Execution (RCE) in der Telnet-Implementierung von Zyxel, ist seit Mitte 2024 bekannt. Dennoch hat Zyxel auch fast sechs Monate später noch keinen Patch veröffentlicht und behauptet, die betroffenen Produkte seien EOS und EOL. Anfang 2025 beobachtete GreyNoise die aktive Ausnutzung von CVE-2024-40891 gegen anfällige Zyxel CPE-Netzwerkgeräte. Diese CVE (Common Vulnerabilities and Exposures) und eine weitere RCE-Schwachstelle, CVE-2024-40890 (CVSS 8.8), wurden beide Mitte Februar in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen. Während es sich bei den beiden CVEs um RCE-Schwachstellen nach der Authentifizierung handelte, lieferte eine dritte Sicherheitslücke, CVE-2025-0890 (CVSS 9.8), die am 4. Februar veröffentlicht wurde, das letzte Puzzleteil: extrem schwache Standardanmeldeinformationen für per Fernzugriff zugängliche Dienste – und zwar zusätzlich zum ohnehin unverschlüsselten Telnet-Authentifizierungsprozess.

Die Forscher von VulnCheck, die die Schwachstellen ursprünglich entdeckt hatten, wiesen darauf hin, dass der Hersteller die fehlerhaften Geräte weiterhin verkauft, obwohl er weiß, dass die Schwachstellen aktiv ausgenutzt werden, und nicht die Absicht hat, Patches herauszugeben. Am 25. Februar 2025 wurden einige der betroffenen Produkte immer noch über den offiziellen von Zyxel-Shop auf Amazon verkauft [1][2]. Darüber hinaus wird eine weitere Sicherheitslücke in Zyxel-Produkten, CVE-2024-11667, aktiv für Ransomware-Angriffe durch den Bedrohungsakteur Helldown ausgenutzt.

Im Bereich der Telekommunikationstechnologien hält Zyxel einen geschätzten Marktanteil von 4,19 % und beliefert rund 2.277 Unternehmen, darunter die größten Tech-Giganten der Welt. Die Zyxel-Gruppe mit Hauptsitz im Hsinchu Science Park, Taiwan, ist ein führender Anbieter von Netzwerklösungen für Unternehmen und Privatanwender und weltweit in über 150 Ländern tätig.

Chronik der Ereignisse

  • 07.2024: VulnCheck informiert Zyxel über Sicherheitslücken in Produkten der CPE-Serie.
  • 07.2024: VulnCheck veröffentlicht Informationen zu CVE-2024-40890 und CVE-2024-40891 im Blog.
  • 01.2025: Aktive Ausnutzung von CVE-2024-40891 wurde von GreyNoise gemeldet.
  • 02.2025: VulnCheck veröffentlichte weitere Informationen, die das Risiko, das von Zyxels Position ausgeht, hervorheben und Beweise dafür liefern, dass anfällige Geräte immer noch von dem Anbieter online verkauft werden.
  • 02.2025: Zyxel veröffentlicht einen Sicherheitshinweis, der die betroffenen Produkte als EOL kennzeichnet und besagt, dass sie keine Updates erhalten werden.

Technische Beschreibungen der jüngsten Zyxel-Schwachstellen

Abgesehen von der langsamen Reaktion von Zyxel auf Sicherheitsforscher und der Entscheidung, weiterhin Produkte mit ausnutzbaren Schwachstellen zu verkaufen, gibt es noch weitere Lehren aus der technischen Bewertung der Schwachstellen selbst zu ziehen. Nämlich, wie Produktanbieter weiterhin Produkte mit unverzeihlichen Sicherheitsmängeln vermarkten und sich dabei vor der Verantwortung drücken.

  • CVE-2024-40891 (CVSS 8.8 Hoch): Authentifizierte Benutzer können eine Telnet-Command-Injection aufgrund einer unsachgemäßen Eingabevalidierung in `libcms_cli.so` Befehle werden ungeprüft an eine Shell-Ausführungsfunktion weitergegeben, was eine beliebige RCE ermöglicht. Abgesehen von der Überprüfung, ob der Befehlsstring mit einem zugelassenen Befehl beginnt, hat die Funktion `prctl_runCommandInShellWithTimeout` keine Filterung, was die Verkettung von Befehlen und das Einschleusen beliebiger Befehle ermöglicht.
  • CVE-2024-40890 (CVSS 8.8 Hoch): Eine Post-Authentication Command-Injection-Schwachstelle im CGI-Programm der Legacy-DSL Zyxel VMG4325-B10A Firmware Version 1.00(AAFR.4)C0_20170615 könnte es einem authentifizierten Angreifer ermöglichen, Betriebssystembefehle auf einem betroffenen Gerät auszuführen, indem er eine manipulierte HTTP-POST-Anfrage sendet.
  • CVE-2025-0890 (CVSS 9.8 Kritisch): Die Geräte verwenden schwache Standard-Anmeldeinformationen wie die Benutzernamen und Passwörter admin:1234, zyuser:1234 und supervisor:zyad1234. Keines dieser Konten ist über die Weboberfläche sichtbar, kann aber in der Datei `/etc/default.cfg` des Geräts gefunden werden. Diese Standard-Anmeldeinformationen sind Angreifern bekannt. Die Konten „supervisor“ und „zyuser“ können beide über Telnet aus der Ferne auf Geräte zugreifen. „supervisor“ hat versteckte Rechte, die vollen Systemzugriff gewähren, während „zyuser“ immer noch CVE-2024-40891 für RCE ausnutzen kann. Die Verwendung solcher Standard-Anmeldeinformationen verstößt gegen die CISA-Verpflichtung “Secure by Design“ und gegen den kommenden Cyber Resilience Act (CRA) der EU.

Zu den betroffenen Produkten gehören die Zyxel VMG1312-B Serie (VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A) und zwei Router der Zyxel Business Gateway Serie (SBG3300 und SBG3500). Die Geräte der Zyxel CPE-Serie (Customer Premises Equipment) sind für die Internetanbindung von Privathaushalten und kleinen Unternehmen konzipiert, z. B. als DSL-, Glasfaser- und Wireless-Gateways. Als solche werden sie in der Regel beim Kunden installiert, um ihn mit dem Netzwerk eines Internet Service Providers (ISP) zu verbinden, und sind daher nicht ohne weiteres durch Firewalls vor dem Internet geschützt. In Anbetracht der Art der Zyxel CPE-Geräte und der fraglichen Schwachstellen wäre es nicht überraschend, wenn Zehntausende oder mehr Zyxel-Geräte an bösartigen Botnet-Aktivitäten beteiligt wären.

Greenbone kann EOL Zyxel-Geräte erkennen, die für die oben genannten CVEs anfällig sind.

CVE-2024-11667: Zyxel-Firewalls für Ransomware-Angriffe ausgenutzt

CVE-2024-11667 (CVSS 9.8 Critical), veröffentlicht Ende Dezember 2024, ist ein Path-Traversal-Fehler [CWE-22] in der Web-Management-Konsole der Zyxel ATP- und USG FLEX-Firewall-Serie. Die Schwachstelle wird bekanntermaßen ausgenutzt vom Helldown-Bedrohungsakteur in Ransomware-Angriffen und ist Gegenstand mehrerer nationaler Cybersicherheitshinweise [1][2].

Die Ransomware-Gruppe Helldown tauchte im August 2024 als bemerkenswerter Bedrohungsakteur in der Cybersicherheitslandschaft auf. Diese Gruppe wendet eine doppelte Erpressungsstrategie an, bei der sie sensible Daten von Zielorganisationen exfiltriert und anschließend Ransomware zur Verschlüsselung der Systeme der Opfer einsetzt. Wenn die Lösegeldforderungen nicht erfüllt werden, droht Helldown damit, die gestohlenen Daten auf ihrer Data Leak Site zu veröffentlichen. Helldown nutzt nicht nur diese Zyxel-Schwachstellen aus, sondern ist auch dafür bekannt, Schwachstellen in Windows-Betriebssystemen, VMware ESX und Linux-Umgebungen auszunutzen, wobei häufig kompromittierte VPN-Anmeldedaten verwendet werden, um sich seitlich in Netzwerken zu bewegen.

Zyxel hat einen Hinweis auf die Ransomware-Angriffe und Patches für die betroffenen Produkte veröffentlicht. Greenbone kann Zyxel-Produkte, die von CVE-2024-11667 betroffen sind, mit drei separaten produktspezifischen Versionserkennungstests erkennen [1][2][3].

Zusammenfassung

Die Situation mit Zyxel scheint ein perfekter Sturm zu sein, der zu einer wichtigen Frage führt: Welche Möglichkeiten haben Kunden, wenn ein Anbieter eine Sicherheitslücke in seinem Produkt nicht schließt? Die EOL-Netzwerkgeräte von Zyxel werden nach wie vor aktiv ausgenutzt, mit Schwachstellen, die für unautorisierte willkürliche RCE und andere unautorisierte Aktionen kombiniert werden können. CVE-2024-40891, CVE-2024-40890 und CVE-2025-0890 stehen jetzt auf der KEV-Liste der CISA, während CVE-2024-11667 mit Ransomware-Angriffen in Verbindung gebracht wurde. Die Forscher von VulnCheck, die mehrere dieser CVEs entdeckt haben, haben Zyxel für die schlechte Kommunikation und den Verkauf von ungepatchten EOL-Geräten kritisiert. Greenbone erkennt betroffene Produkte, und mit dem proaktiven Ansatz für das Schwachstellenmanagement können Benutzer die Gefährdung verringern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Aufregende neue Funktionen für Greenbone Enterprise Appliances sind da

Wir freuen uns, die Veröffentlichung mehrerer Funktions-Updates für unser Greenbone Operating System (GOS), den Software-Stack hinter unseren physischen und virtuellen Enterprise Appliances, bekannt zu geben. Die Updates führen neue Front-End-Funktionen ein, die das Schwachstellenmanagement im Unternehmen verbessern, sowie leistungssteigernde Back-End-Funktionen. Die neuesten Updates des Greenbone Operating System (GOS), Version 24.10, spiegeln das Engagement von Greenbone wider, Best Practices für eine grundlegende Cybersicherheit zu fördern und Unternehmen in die Lage zu versetzen, Sicherheitslücken schneller als je zuvor zu priorisieren und zu schließen.

In diesem Beitrag stellen wir Ihnen die neuesten Funktionen und Verbesserungen vor, die unsere Enterprise Appliances zu noch leistungsfähigeren Tools für das Exposure Management und die Einhaltung von Cybersicherheitsvorschriften machen.

GOS 24.10 bringt alle neuen Funktionen

Der Greenbone Security Assistant (GSA) ist das Tor des IT-Administrators zur Transparenz von IT-Security. Das Web-Interface des GSA präsentiert sich in einem völlig neuen Gewand. Die aktualisierte Version zeichnet sich durch ein modernes, minimalistisches Erscheinungsbild aus, das den Schwerpunkt auf Nützlichkeit und Benutzerfreundlichkeit legt und gleichzeitig alle Möglichkeiten von Greenbone in Reichweite bereitstellt. Aber das neue Aussehen ist nur die Oberfläche. Schauen wir uns einige tiefgreifendere Änderungen an.

Die neue Ansicht des Compliance Audit Reports

Die Einhaltung von Vorschriften zur Cybersicherheit wird immer wichtiger. Neue Regulierungen in der EU wie der Digital Operational Resilience Act (DORA), die Network and Information Security Directive 2 (NIS2) und der Cyber Resilience Act (CRA) verlangen von Unternehmen mehr proaktive Maßnahmen zum Schutz ihren digitalen Infrastrukturen. Andere Faktoren wie Cybersecurity-Versicherungen, die Notwendigkeit einer stärkeren Überwachung durch Dritte und die Rechenschaftspflicht gegenüber den Kunden wirken sich auf die Art und Weise aus, wie Unternehmen ihre Cybersecurity-Aktivitäten beaufsichtigen.

Das GOS 24.10-Update enthält eine brandneue, auf die Einhaltung von Vorschriften ausgerichtete Compliance-Ansicht. Die aktualisierte Benutzeroberfläche ermöglicht einen besseren Einblick in Cybersecurity-Risiken und unterstützt die Ausrichtung an IT-Governance-Zielen. Sie enthält Reports für Compliance-Audits, neue Dashboard-Anzeigen und Filteroptionen. Dadurch lassen sich die auf Compliance ausgerichteten Daten von den regulären Scan-Berichten unterscheiden. In den Delta-Audit-Berichten werden die Fortschritte bei der Einhaltung der Vorschriften durch visuelle Indikatoren und Tooltips hervorgehoben, die eine einfache Identifizierung ermöglichen.

EPSS-Unterstützung mit KI-gestützter Priorisierung

Da die Zahl der neuen CVEs (Common Vulnerabilities and Exposures) weiter zunimmt, ist es wichtig, Schwachstellen zu priorisieren, um sich auf die Bedrohungen mit den größten Auswirkungen konzentrieren zu können. Das Exploit Prediction Scoring System (EPSS) ist eine KI-gestützte Metrik, die die Wahrscheinlichkeit schätzt, dass ein CVE in freier Wildbahn ausgenutzt wird. EPSS wendet maschinelles Lernen (ML) auf historische Daten an, um vorherzusagen, bei welchen neuen CVEs das Risiko eines aktiven Angriffs am höchsten ist.

EPSS-Daten sind jetzt in unsere Enterprise Appliances integriert. Regelmäßig aktualisierte Wahrscheinlichkeiten zur Ausnutzung für alle aktiven CVEs sind in der Greenbone-Plattform nicht verfügbar. Administratoren können zusätzlich zum traditionellen Schweregrad im CVSS (Common Vulnerability Scoring System) aktuelle Werte für die Wahrscheinlichkeit und die Perzentile von Exploits nutzen und sich so auf die kritischsten Schwachstellen in ihrem Betrieb konzentrieren.

Mehr Möglichkeiten für anpassbare CSV- und JSON-Berichte

Greenbone war schon immer auf Einfachheit und Flexibilität ausgerichtet. So erfüllen die Lösungen ein breites Spektrum an besonderen betrieblichen Anforderungen. GOS 24.10 führt den Export von Berichten im JSON-Format ein. Außerdem können die Benutzer jetzt die Felder in exportierten CSV- und JSON-Berichten anpassen. So können sie Reports direkt von Greenbone aus anpassen, um den Berichtsanforderungen genauer zu entsprechen und sich auf das zu konzentrieren, was für die Analyse, die Einhaltung von Vorschriften oder die Entscheidungsfindung wesentlich ist.

Zusätzliche Backend-Optimierungen

Um die Flexibilität und Genauigkeit des Schwachstellenabgleichs zu verbessern, hat Greenbone mehrere Backend-Optimierungen eingeführt, die sich auf die Handhabung von CPE (Common Platform Enumeration) und das Feed-Management konzentrieren. Hier ein Blick auf die Neuerungen:

  • Das Backend kann CPEv2.3-Strings in CPEv2.2-URIs konvertieren und beide Versionen für einen zuverlässigeren Abgleich der betroffenen Produkte speichern. Zukünftige Entwicklungen werden möglicherweise einen fortgeschrittenen Abgleich im laufenden Betrieb umfassen, der die Bewertung von Schwachstellen noch präziser macht.
  • Greenbone Enterprise Appliances unterstützen jetzt JSON-basierte CVE-, CPE-, EPSS- und CERT-Feeds sowie gzip-Datenkompression.

Zusammenfassung

Mit der Veröffentlichung einer neuen Runde von Updates stärkt Greenbone die Flaggschiff-Produkte der Greenbone Enterprise Appliances. Die Updates führen ein modernisiertes GSA-Web-Interface ein, eine auf die Einhaltung von Vorschriften ausgerichtete Audit-Berichtsansicht für mehr Transparenz und verbesserte CSV- und JSON-Exportfunktionen, die den Anwendern die Kontrolle über die Berichtsdaten geben. Außerdem wurden die verfügbaren Optionen für die Priorisierung von Schwachstellenrisiken um KI-basiertes EPSS erweitert. Schließlich gewährleisten Backend-Optimierungen die nahtlose Kompatibilität mit neuen CPE-Formaten und JSON-basierten Feeds. Zusammengenommen ergänzen diese Funktionen die anpassungsfähigen Schwachstellenmanagement-Funktionen von Greenbone und ermöglichen es Unternehmen, aufkommenden Bedrohungen mit branchenführender Schwachstellenerkennung und -priorisierung einen Schritt voraus zu sein.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

#GreenboneGoesGlobal: Starker Auftritt auf der ITASEC 2025 in Bologna

Vom 3. bis 8. Februar 2025 findet in Bologna die ITASEC statt, Italiens wichtigste Konferenz für Cybersicherheit. Als Platin-Sponsor setzt Greenbone ein starkes Zeichen für europäische Zusammenarbeit und digitale Sicherheit. Mit diesem Schritt zeigen wir, wie sehr wir auf globale Präsenz und den direkten Austausch mit den Kunden setzen.

Straßenszene in der Altstadt von Bologna mit Blick auf die mittelalterlichen Türme ‚Due Torri‘, Veranstaltungsort der IT-Sicherheitskonferenz ITASEC 2025

Die „Due Torri“, zwei mittelalterliche Türme, prägen das Bild der historischen Altstadt von Bologna. (Foto: Markus Feilner, CC-BY 2016)

 

Neue Perspektiven in Italien und weltweit

„Wir stellen bei Greenbone mehr und mehr fest, wie wichtig unser Schwachstellenmanagement für Kunden aus ganz Europa ist, und wie wichtig diesen Kunden eine direkte Kommunikation mit uns vor Ort ist“, erklärt Marketing-Vorstand Elmar Geese. Um diesem Bedarf gerecht zu werden, hat Greenbone die italienische Tochtergesellschaft OpenVAS S.R.L. gegründet. Gleichzeitig expandiert Greenbone in andere Regionen. Auf dem Zettel stehen eine neue Tochtergesellschaft in den Niederlanden und ein verstärktes Engagement auf dem asiatischen Markt.

Wir werden auf der ITASEC nicht nur mit einem Stand vertreten sein, sondern uns auch inhaltlich einbringen: Dirk Boeing, Senior Consultant und Cybersicherheitsexperte bei Greenbone, spricht am 6.2. um 11:00 Uhr auf dem Panel „Security Management in the NIS2 Era“.

Besuchen Sie uns in Bologna!

Die alljährliche ITASEC findet auf dem Campus der „Alma Mater Studiorum Università di Bologna“ statt, der ältesten Universität Europas, die seit 1088 Wissenschaftsgeschichte schreibt – ein idealer Ort für eine Konferenz, die sich der Sicherheit in der digitalen Zukunft widmet. Organisiert wird die Messe vom CINI Cybersecurity National Lab, wobei 2025 ganz das Thema der Sicherheit und Rechte im Cyberspace im Vordergrund steht. Das zeigt sich auch in der Kooperation mit der SERICS-Konferenz (Security and Rights in the Cyber Space), die von der SERICS-Stiftung im Rahmen des knapp 200 Milliarden Euro schweren italienischen „National Recovery and Resilience Plan“ (NRRP) unterstützt wird.

Die ITASEC an der Universität Bologna bietet eine hervorragende Gelegenheit, Greenbone live zu erleben und mehr über unsere Lösungen zu erfahren. Und das ist erst der Anfang: 2025 sind wir in Italien beispielsweise am 5. und 6. März auf der CyberSec Italia in Rom. Und vom 18.3. bis 19.3. ist Greenbone auf dem Kongress „Digitaler Staat“ in Berlin, ab 19.3. auch auf der secIT in Hannover. Wir freuen uns auf Ihren Besuch!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Jetzt patchen! Cleo-Produkte werden aktiv für Ransomware-Angriffe ausgenutzt

Das Schlimmste, was es aus sicherheitstechnischer Sicht in der IT gibt, ist eine aktiv ausgenutzte RCE-Schwachstelle (Remote Code Execution) mit Systemprivilegien, die keine Benutzerinteraktion erfordert. Sicherheitslücken wie diese können Software betreffen, die in Fortune-500-Unternehmen weit verbreitet ist, und werden damit zu tickenden Zeitbomben. Wenn sich fortschrittliche, hartnäckige Bedrohungsakteure auf eine solche Schwachstelle oder CVE (Common Vulnerabilities and Exposures) stürzen, wird ihre Behebung zur Notfallmaßnahme. In jüngster Zeit erfüllte CVE-2024-50623 (jetzt auch als CVE-2024-55956 verfolgt), die mehr als 4.200 Benutzer der MFT-Software (Managed File Transfer) von Cleo betrifft, all diese Voraussetzungen für eine Katastrophe. Sie wurde zum wichtigen Momentum in Ransomware-Kampagnen, die mehrere Fortune-500-Unternehmen betreffen, welche jetzt im Rampenlicht der Berichterstattung über Cybersicherheit stehen.

Diese Cybersecurity-News gibt einen Überblick über die Ereignisse im Zusammenhang mit CVE-2024-50623 und CVE-2024-55956 sowie die damit verbundenen Ransomware-Kampagnen. Auch wenn Sie kein betroffenes Produkt verwenden, erhalten Sie hier wertvolle Einblicke in den Lebenszyklus von Schwachstellen und die Risiken der Software-Lieferketten von Drittanbietern. 

CVE-2024-50623 und CVE-2024-55956: Chronik der Ereignisse

Der Lebenszyklus von Sicherheitslücken ist komplex. In unserem früheren Artikel über das Schwachstellenmanagement der nächsten Generation finden Sie eine ausführliche Erklärung, wie dieser Prozess abläuft. In diesem Bericht stellen wir den Ablauf der Offenlegung und Behebung von CVE-2024-50623 und anschließend CVE-2024-55956 vor, als ein fehlgeschlagener Patch-Versuch des Softwareanbieters Cleo entdeckt und von Ransomware-Akteuren ausgenutzt wurde. Unser Greenbone Enterprise Feed enthält Erkennungsmodule für beide CVEs [1][2], die es Unternehmen ermöglichen, anfällige Systeme zu identifizieren und Notfallmaßnahmen zu ergreifen. Hier die zeitliche Abfolge der bisherigen Ereignisse:

  • Oktober 2024: CVE-2024-50623 (CVSS 10 Kritisch), das mehrere Cleo-MFT-Produkte betrifft, wurde vom Hersteller veröffentlicht, und eine gepatchte Version 5.8.0.21 wurde freigegeben.
  • November 2024: CVE-2024-50623 wurde zur Gewinnung von Daten genutzt und wirkte sich auf mindestens zehn Organisationen weltweit aus, darunter Blue Yonder, ein von Fortune-500-Unternehmen genutzter Lieferkettenmanagement-Service.
  • Dezember 2024: Sicherheitsforscher von Huntress identifizieren eine aktive Ausnutzung von CVE-2024-50623, mit der das ursprüngliche Patch (Version 5.8.0.21) umgangen werden kann.
  • Dezember 2024: Huntress beobachtet einen deutlichen Anstieg der Ausnutzung. Dies könnte darauf zurückzuführen sein, dass der Exploit-Code im Rahmen eines Malware-as-a-Service-Geschäftsmodells für Internetkriminalität verkauft wird, oder einfach darauf, dass die Angreifer ihre Aufklärungsarbeit abgeschlossen und eine breit angelegte Kampagne mit maximaler Wirkung gestartet haben.
  • Dezember 2024: Dem Softwarehersteller Cleo wird eine aktive Ausnutzung und ein PoC-Exploit-Code (Proof of Concept) gemeldet.
  • Dezember 2024: Der Hersteller Cleo gibt eine Erklärung ab, in der er einräumt, dass seine Produkte trotz Sicherheits-Patches ausnutzbar sind, und gibt zusätzliche Hinweise zur Schadensbegrenzung heraus.
  • Dezember 2024: Wachtowr Labs veröffentlichte einen detaillierten technischen Bericht, der beschreibt, wie CVE-2024-50623 eine RCE über Arbitrary File Write [CWE-434] ermöglicht. Cleo veröffentlicht eine Anleitung zur Schadensbegrenzung und aktualisiert und den Patch auf Version 5.8.0.24.
  • Dezember 2024: Ein neuer Name, CVE-2024-55956 (CVSS 10 Kritisch), wird für die Verfolgung dieser anhaltenden Schwachstelle herausgegeben, und die CISA (Cybersecurity & Infrastructure Security Agency) fügt die Schwachstelle ihrem KEV-Katalog (Known Exploited Vulnerabilities) hinzu, der die Verwendung in Ransomware-Angriffen kennzeichnet.

Cleo-Produkte für Ransomware-Attacken missbraucht

Die von CVE-2024-50623 und CVE-2024-55956 ausgehende Gefahr für das globale Business ist hoch. Diese beiden CVEs betreffen potenziell mehr als 4.200 Kunden von Cleo LexiCom, einem Desktop-basierten Client für die Kommunikation mit großen Handelsnetzen, Cleo VLTrader, einer auf mittlere Unternehmen zugeschnittenen Lösung auf Serverebene, und Cleo Harmony für große Unternehmen.

Die CVEs wurden kürzlich in einer Ransomware-Kampagne als erste Zugangsvektoren verwendet. Der Ransomware-Angriff von Termite zog im November 2024 auch Blue Yonder, eine Tochtergesellschaft von Panasonic, in Mitleidenschaft. Blue Yonder ist eine Plattform für das Lieferkettenmanagement, die von großen Technologie-Unternehmen wie Microsoft, Lenovo und Western Digital sowie von rund 3.000 anderen globalen Unternehmen aus vielen Branchen genutzt wird; Bayer, DHL und 7-Eleven, um nur einige zu nennen. Der Ausfall des von Blue Yonder gehosteten Dienstes führte bei StarBucks zu Unterbrechungen in der Gehaltsabrechnung. Zu den jüngsten erfolgreichen Ransomware-Angriffen hat sich auch die Ransomware-Gruppe Clop bekannt.

In der zweiten Phase einiger Einbrüche in IT-Systeme listeten die Angreifer Active Directory Domänen [DS0026] auf, installierten Web-Shells [T1505.003], um sich festzusetzen [TA0003], und versuchten, Daten aus dem Netzwerk des angegriffenen Systems herauszufiltern [TA0010], nachdem sie den ersten Zugriff via RCE erhalten hatten. Eine ausführliche technische Beschreibung der Architektur der Termite-Ransomware ist verfügbar.

Behandlung von CVE-2024-50623 und CVE-2024-55956

Instanzen von Cleo-Produkten der Version 5.8.0.21 sind immer noch anfällig für Cyberangriffe. Der neueste Patch, Version 5.8.0.24, ist erforderlich, um die Anfälligkeit zu verringern. Alle Benutzer werden dringend gebeten, die Aktualisierungen rasch durchzuführen. Zu den weiteren Schutzmaßnahmen und bewährten Praktiken gehören die Deaktivierung der Autorun-Funktionalität in Cleo-Produkten, das Entfernen des Zugriffs aus dem Internet oder die Verwendung von Firewall-Regeln, um den Zugriff nur auf autorisierte IP-Adressen zu beschränken, sowie das Blockieren der IP-Adressen der in die Angriffe verwickelten Endpunkte.

Zusammenfassung

Cleo Harmony, VLTrader und LexiCom vor Version 5.8.0.24 werden aufgrund von kritischen RCE-Schwachstellen (CVE-2024-50623 und CVE-2024-55956) aktiv ausgenutzt. Diese Schwachstellen waren der Einstiegspunkt für erfolgreiche Ransomware-Angriffe gegen mindestens zehn Organisationen, von denen Fortune-500-Unternehmen betroffen waren. Greenbone bietet eine Erkennung für die betroffenen Produkte an, und die Benutzer werden dringend gebeten, Patches und Strategien zur Schadensbegrenzung anzuwenden, da Angreifer diese Schwachstellen mit Sicherheit weiterhin ausnutzen werden.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone prüft CIS Google Chrome Benchmarks

Webbrowser sind ein primäres Einfallstor für Unternehmen und folglich auch oft das erste Einfallstor für Cyberangriffe. Mithilfe von Malware, die auf Browser abzielt, könnten Angreifer direkten, unbefugten Zugriff auf das Netzwerk und die Daten eines Zielsystems erlangen. Sie könnten aber auch menschliche Opfer mit Social Engineering dazu bringen, sensible Informationen preiszugeben, um ihnen unbefugten Zugriff, etwa auf Kontodaten, zu gewähren. Im Jahr 2024 wiesen die wichtigsten Browser (Chrome, Firefox und Safari) 59 Schwachstellen mit kritischem Schweregrad (CVSS3 ³ 9) und 256 mit hohem Schweregrad (CVSS3 zwischen 7,0 und 8,9) auf. Zehn CVEs (Common Vulnerabilities and Exposures) aus der Dreiergruppe wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity & Infrastructure Security Agency) aufgenommen. Browser-Sicherheit sollte daher für Sicherheitsteams oberste Priorität haben.

Vor diesem Hintergrund sind wir stolz, die Erweiterung unserer Compliance-Funktionen um CIS Google Chrome Benchmark v3.0.0 Level 1 bekannt zu geben. Mit dieser neuesten Funktion können unsere Enterprise-Feed-Abonnenten ihre Google Chrome-Konfigurationen anhand des branchenführenden Compliance-Frameworks des CIS (Center for Internet Security) überprüfen. Die neuen Google Chrome-Benchmark-Tests werden neben unseren anderen CIS-Kontrollen in kritischen Cybersicherheitsbereichen wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1] [2] eingesetzt.

CIS Google Chrome Benchmark für Windows

Der CIS Google Chrome Benchmark v3.0.0 Level 1 ist jetzt im Greenbone Enterprise Feed verfügbar. Er legt eine gehärtete Konfiguration für den Chrome-Browser fest. Werden die Kontrollen für Windows implementiert, müssen auch Windows-Registry-Schlüssel gesetzt sein, um die Sicherheitskonfiguration von Chrome zu definieren. Eine kontinuierliche Überprüfung ist wichtig, denn wenn der Chrome-Browser auf Benutzerebene verändert wird, wird er anfälliger für Datenlecks, Social-Engineering-Angriffe oder andere Angriffsvektoren.

Unser Enterprise Vulnerability Feed nutzt Compliance-Richtlinien, um Tests auf den Endgeräten durchzuführen und jede Anforderung des CIS-Benchmarks durch einen oder mehrere spezielle Schwachstellentests zu überprüfen. Diese Tests werden in Scankonfigurationen gruppiert, die zur Erstellung von Scan-Aufgaben verwendet werden können, die dann auf Zielsystem-Gruppen zugreifen, um deren Sicherheitsstatus zu überprüfen. Greenbone unterstützt Sie bei der Einhaltung interner Risikovorgaben oder behördlicher Richtlinien.

Warum ist Browser-Security so kritisch?

Ein Großteil der wichtigen Informationen, die in einem durchschnittlichen Unternehmen fließen, wird über den Browser übertragen. Durch die Zunahme von Außendienstmitarbeitern und Cloud-basierten Webanwendungen sind Webbrowser die wichtigste Schnittstelle für geschäftliche Aktivitäten geworden. Es überrascht nicht, dass Internet-Browser in den letzten Jahren zu einer Brutstätte für Angriffe geworden sind. Nationale Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3] [4], das amerikanische CISA [5] [6] und das kanadische Zentrum für Cybersicherheit [7] haben allesamt Empfehlungen zum Umgang mit den von Internetbrowsern ausgehenden Risiken veröffentlicht.

Browser können über technische Schwachstellen und Fehlkonfigurationen ausgenutzt werden, die zu Remote Code Execution (RCE), zum Diebstahl sensibler Daten und zur Übernahme von Konten führen können, sind aber auch ein Einfallstor für Social-Engineering-Angriffe. Die Browsersicherheit muss durch die Implementierung eines gehärteten Sicherheitsprofils, dessen kontinuierliche Überprüfung und durch regelmäßige Updates zur Behebung neu entdeckter Schwachstellen gewährleistet werden. Greenbone kann bekannte Schwachstellen für veröffentlichte CVEs in allen wichtigen Browsern aufspüren. Mit unserer neuesten CIS Google Chrome Benchmark-Zertifizierung sind wir nun in der Lage, die Konformität von Browsern mit Industriestandards zu bestätigen.

Wie der CIS Google Chrome Benchmark die Browsersicherheit verbessert

Jeder CIS-Benchmark wird im Rahmen eines Konsensprüfungsprozesses entwickelt, an dem eine globale Gemeinschaft von Fachexperten aus verschiedenen Bereichen wie Beratung, Softwareentwicklung, Audit, Compliance, Sicherheitsforschung, Betrieb, Regierung und Recht beteiligt ist. Dieser gemeinschaftliche Prozess soll sicherstellen, dass die Benchmarks praxisnah und datengestützt sind und reales Fachwissen widerspiegeln. Somit sind die CIS-Benchmarks ein wichtiger Bestandteil eines soliden Cybersicherheitsprogramms.

Im Allgemeinen konzentrieren sich die CIS-Benchmarks auf sichere technische Konfigurationen und sollten zusammen mit grundlegenden Cyberhygiene-Praktiken verwendet werden, wie z. B. der Überwachung und dem zeitnahen Patchen von Schwachstellen in Betriebssystemen, Anwendungen und Bibliotheken.

Der CIS Google Chrome Benchmark definiert Sicherheitskontrollen wie zum Beispiel:

  • Keine Domäne kann die Überprüfung auf gefährliche Ressourcen wie Phishing-Inhalte und Malware umgehen.
  • Strenge Überprüfung der von Websites ausgestellten SSL/TLS-Zertifikate.
  • Verringerung der allgemeinen Angriffsfläche von Chrome, indem sichergestellt wird, dass die neuesten Updates regelmäßig automatisch eingespielt werden.
  • Der Chrome-Browser ist so konfiguriert, dass er das Abfangen von DNS erkennt, was möglicherweise DNS-Hijacking ermöglichen könnte.
  • Chrome und Erweiterungen können nicht mit anderer Software von Drittanbietern interagieren.
  • Websites und Browser-Erweiterungen können keine Verbindungen mit Medien, dem lokalen Dateisystem oder externen Geräten wie Bluetooth, USB oder Media-Casting-Geräten missbrauchen.
  • Es können nur Erweiterungen aus dem Google Chrome Web Store installiert werden.
  • Alle vom Chrome-Hauptprozess abgezweigten Prozesse werden angehalten, sobald die Chrome-Anwendung geschlossen wurde.
  • SafeSites Inhaltsfilterung blockiert Links zu nicht jugendfreien Inhalten in den Suchergebnissen.
  • Verhindern Sie den Import unsicherer Daten, wie z. B. automatisch ausgefüllte Formulardaten, Standard-Homepage oder andere Konfigurationseinstellungen.
  • Sicherstellen, dass kritische Warnungen nicht unterdrückt werden können.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums entwickeln wir unsere CIS Benchmark-Scan-Konfigurationen ständig weiter. Alle entsprechenden Richtlinien sind an den CIS-Härtungsrichtlinien ausgerichtet und von der CIS zertifiziert, um maximale Sicherheit für System-Audits zu gewährleisten. Darüber hinaus haben wir mit dem Greenbone Security Assistant (GSA) eine neue Konformitätsansicht hinzugefügt, die den Prozess für Unternehmen vereinfacht, die Schwachstellen in ihrer Infrastruktur beseitigen wollen, um Sicherheitsverletzungen zu verhindern.

Zusammenfassung

CIS-Kontrollen sind entscheidend für den Schutz von Systemen und Daten, da sie klare, umsetzbare Anleitungen für sichere Konfigurationen bieten. Der CIS Google Chrome Benchmark ist besonders auf Unternehmensebene wichtig, wo Browser viele Arten sensibler Daten beeinflussen. Greenbone erweitert die branchenführenden Fähigkeiten zur Erkennung von Schwachstellen um einen neuen Compliance-Scan: den CIS Google Chrome Benchmark v3.0.0 Level 1. Mit dieser Zertifizierung stärkt Greenbone die Position als zuverlässiger Verbündeter für proaktive Cybersicherheit. Die neuesten Funktionen spiegeln unser Engagement für die Förderung der IT-Sicherheit und den Schutz vor sich entwickelnden Cyber-Bedrohungen wider.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Dirk Boeing

Innovation trifft Resonanz: Greenbone erfolgreich auf der SICW

Die Singapore International Cyber Week (SICW) zählt zu den bedeutendsten Veranstaltungen zur Cybersicherheit weltweit. Wir konnten dort unsere Lösungen einem internationalen Publikum vorstellen – und stießen dabei auf großes Interesse, führten inspirierende Gespräche und erhielten wertvolles Feedback. Drei erfolgreiche Tage in Singapur und ein wichtiger Schritt, um unsere internationale Präsenz zu stärken!

Greenbone-Team und Partner beim gemeinsamen Gruppenfoto am Messestand auf der Singapore International Cyber Week 2024.

Seit ihrer Einführung bringt die SICW jährlich führende Unternehmen, Start-ups, Regierungsorganisationen und Sicherheitsbehörden aus der ganzen Welt zusammen. Ziel ist es, Wissen zu teilen, Partnerschaften zu fördern und innovative Lösungen zu präsentieren, die den wachsenden Herausforderungen im Bereich Cybersicherheit gerecht werden.  Die von der Cyber Security Agency of Singapore (CSA) organisierte Veranstaltung wurde 2016 ins Leben gerufen und findet seitdem jährlich in Singapur statt.

In diesem Jahr hatte Greenbone die Ehre, als Technologiepartner von Huawei auf der SICW vertreten zu sein. An drei spannenden Tagen präsentierten wir unsere Enterprise Appliances einem internationalen Publikum und waren begeistert von der Resonanz.

Großes Interesse an Greenbone-Lösungen 

Wir waren überwältigt vom positiven Feedback der Besucher zu unseren Lösungen – für uns ein starkes Zeichen, dass unsere Cybersicherheitslösungen auch für den asiatischen Markt sehr wichtig sind. Immer wieder haben wir in zahlreichen Gesprächen gemerkt, wie groß das Interesse an einem Schwachstellenscanner mit exzellentem Feed ist, der sich auf das Wesentliche konzentriert und gleichzeitig über seine API die Anbindung an andere Systeme erlaubt.

Prominente Besucher und inspirierende Gespräche 

Besonders gefreut hat uns, dass wir sogar prominente Persönlichkeiten am Stand begrüßen durften. Ein echtes Highlight war der Besuch von John Tan, Commissioner of Cybersecurity und Chief Executive der Cyber Security Agency of Singapore. Sein Interesse und die zahlreichen Gespräche mit potenziellen Kunden und Partnern haben uns darin bestärkt, in Asien weiter Fuß zu fassen.

Gespräch zwischen Standbesuchern vor dem Greenbone-Display mit Weltkarte und Produktinformationen auf der SICW 2024.

Nicht ganz unerwarteter Star unseres Auftritts war „das Beast“, unser Firmenlogo als Plüschtier. Es zauberte vielen Standbesuchern ein Lächeln ins Gesicht und diente oft als sympathischer Icebreaker, der den Einstieg in angeregte und wertvolle Gespräche erleichterte.

Fazit: Momentum für die Zukunft 

Die SICW war für Greenbone ein großer Erfolg. Wir konnten nicht nur unsere Lösungen einem breiten Publikum vorstellen, sondern auch wertvolle Verbindungen knüpfen und das Interesse am asiatischen Markt spürbar verstärken. Der große Zuspruch und die hohe Nachfrage nach unserem „Beast“ zeigt, dass unsere Marke auch emotional sehr gut ankommt – und wir freuen uns darauf, dieses Momentum weiter zu nutzen. 

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

CSAF 2.0: Stakeholder und Rollen

Das Common Security Advisory Framework (CSAF) reguliert die Bereitstellung von maschinenlesbaren Sicherheitshinweisen nach einem standardisierten Prozess, damit sie automatisiert ausgetauscht werden können. Greenbone arbeitet kontinuierlich an der Integration von Technologien, die den CSAF 2.0-Standard für die automatisierte Bereitstellung von Cybersecurity-Informationen nutzen. Eine Einführung in CSAF 2.0 und wie es das Schwachstellenmanagement der nächsten Generation unterstützt, finden Sie in einem früheren Blogbeitrag.

Zu Beginn des Jahres 2024 hat der Ausfall der NIST National Vulnerabilities Database (NVD) den Fluss kritischer Cybersicherheitsinformationen an nachgeschaltete Verbraucher unterbrochen. Dies macht das dezentralisierte CSAF 2.0-Modell zunehmend wichtiger für Cybersicherheitsinformationen, um die Widerstandsfähigkeit gegenüber einem einzelnen Ausfallpunkt zu erhöhen. Wer CSAF 2.0 einführt, kommt einem zuverlässigeren Ökosystem für Cybersicherheitsinformationen einen Schritt näher.

Inhaltsverzeichnis

1. Zusammenfassung
2. Wer sind die CSAF-Stakeholder?
2.1. Rollen im CSAF 2.0-Prozess
2.1.1. CSAF 2.0 Ausstellende Parteien
2.1.1.1. Die Rolle des CSAF-Publishers
2.1.1.2. Die Rolle des CSAF-Providers
2.1.1.3. Die Rolle des Trusted Providers in CSAF
2.1.2. CSAF 2.0 Datenaggregatoren
2.1.2.1. Die Rolle des CSAF-Listers
2.1.2.2. Die Rolle des CSAF-Aggregators
3. Fazit

1. Zusammenfassung

Dieser Artikel stellt die verschiedenen Akteure und Rollen dar, die in der CSAF-2.0-Spezifikation definiert sind. Die Rollen regeln die Mechanismen zur Erstellung, Verbreitung und Nutzung von Sicherheitshinweisen innerhalb des CSAF-2.0-Ökosystems. Das Verständnis, wer die Stakeholder von CSAF sind und welche standardisierten Rollen das CSAF 2.0-Framework definiert, hilft Security-Verantwortlichen klarer zu sehen, wie CSAF funktioniert, ob es für ihre Organisation von Nutzen sein kann und wie CSAF 2.0 zu implementieren ist.

2. Wer sind die CSAF-Stakeholder?

Auf höchster Ebene hat der CSAF-Prozess zwei primäre Stakeholder-Gruppen: vorgelagerte Produzenten, die Cybersicherheitshinweise im CSAF-2.0-Dokumentenformat erstellen und bereitstellen, und nachgelagerte Konsumenten (Endnutzer), die die Hinweise konsumieren und die darin enthaltenen Sicherheitsinformationen anwenden.

Bei den vorgelagerten Herstellern handelt es sich in der Regel um Anbieter von Softwareprodukten (wie Cisco, Red Hat und Oracle), die für die Aufrechterhaltung der Sicherheit ihrer digitalen Produkte und die Bereitstellung öffentlich zugänglicher Informationen über Schwachstellen verantwortlich sind. Zu den vorgelagerten Akteuren gehören auch unabhängige Sicherheitsforscher und öffentliche Einrichtungen, die als Quelle für Cybersicherheitsinformationen dienen, wie die US Cybersecurity Intelligence and Security Agency (CISA) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu den nachgelagerten Verbrauchern gehören private Instanzen, die ihre eigene Cybersicherheit verwalten, staatliche CERT-Agenturen, die mit dem Schutz der nationalen IT-Infrastruktur betraut sind, und Managed Security Service Provider (MSSP), die die Cybersicherheit von Kunden überwachen und managen. Die in den CSAF 2.0-Dokumenten enthaltenen Informationen werden von IT-Sicherheitsteams genutzt, um Schwachstellen in ihrer Infrastruktur zu identifizieren und Abhilfemaßnahmen zu planen, und von Führungskräften, um zu beurteilen, wie IT-Risiken den Betrieb beeinträchtigen.

Schaubild zu den CSAF 2.0 Stakeholdern: Links die Upstream Producers wie Softwareanbieter, Behörden und Forscher, rechts die Downstream Consumers wie CERTs, SOC-Teams und Sicherheitsplattformen – verbunden durch das CSAF 2.0 Advisory Format.

Der CSAF-2.0-Standard definiert spezifische Rollen für vorgelagerte Hersteller, die ihre Beteiligung an der Erstellung und Verbreitung von Hinweis-Dokumenten beschreiben. Diese offiziell definierten Rollen sehen wie folgt aus:

2.1. Rollen im CSAF 2.0-Prozess

CSAF 2.0-Rollen werden in Abschnitt 7.2 definiert. Sie werden in zwei verschiedene Gruppen unterteilt: Ausstellende Parteien („Issuer“) und Datenaggregatoren („Aggregatoren“). Erstere sind direkt an der Erstellung von Beratungsdokumenten beteiligt. Letztere sammeln diese Dokumente und verteilen sie an die Endnutzer, um die Automatisierung für die Verbraucher zu unterstützen. Eine einzelne Organisation kann sowohl die Rolle des Ausstellers als auch die des Aggregators übernehmen, diese Funktionen sollten jedoch als separate Einheiten betrieben werden. Selbstverständlich müssen Organisationen, die als vorgelagerte Produzenten agieren, auch ihre eigene Cybersicherheit gewährleisten. Daher können sie auch nachgelagerte Verbraucher sein, die CSAF-2.0-Dokumente aufnehmen, um ihre eigenen Aktivitäten im Bereich des Schwachstellenmanagements zu unterstützen.

Diagramm der CSAF 2.0 Upstream-Rollen mit den Gruppen Issuing Parties (Producer, Provider, Trusted Provider) und Data Aggregators (Lister, Aggregator), die Cybersicherheitshinweise an Downstream Consumers weiterleiten.

Die spezifischen Verantwortlichkeiten der CSAF-2.0-Issuer und Datenaggregatoren stellen sich wie folgt dar:

2.1.1. CSAF 2.0 Ausstellende Parteien

Issuers sind die Quelle der CSAF-2.0-Cybersecurity-Hinweise. Sie sind jedoch nicht für die Übermittlung der Dokumente an die Endnutzer verantwortlich. Sie müssen angeben, wenn sie nicht wollen, dass ihre Hinweise von Datenaggregatoren aufgelistet oder gespiegelt werden. Außerdem können CSAF 2.0-Aussteller auch als Datenaggregatoren fungieren.

Hier sind die einzelnen Unterrollen innerhalb der Gruppe der ausstellenden Parteien:

2.1.1.1. Die Rolle des CSAF-Publishers

Publisher sind in der Regel Organisationen, die Hinweise nur im Namen ihrer eigenen digitalen Produkte entdecken und weitergeben. Sie müssen die Anforderungen 1 bis 4 in Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Dies bedeutet, dass sie strukturierte Dateien mit gültiger Syntax und Inhalten herausgeben, die den in Abschnitt 5.1 beschriebenen CSAF 2.0-Dateinamenskonventionen entsprechen, und sicherstellen, dass die Dateien nur über verschlüsselte TLS-Verbindungen verfügbar sind. Außerdem müssen sie alle als TLP:WHITE klassifizierten Hinweise öffentlich zugänglich machen.

Alle Publisher müssen über ein öffentlich zugängliches provider-metadata.json-Dokument verfügen, das grundlegende Informationen über die Organisation, ihren CSAF-2.0-Rollenstatus und Links zu einem öffentlichen OpenPGP-Schlüssel enthält, mit dem das provider-metadata.json-Dokument digital signiert wird, um seine Integrität zu verifizieren. Diese Informationen werden von Softwareanwendungen verwendet, die die Hinweise der Publisher für Endbenutzer anzeigen.

2.1.1.2. Die Rolle des CSAF-Providers

Provider stellen CSAF-2.0-Dokumente für die breitere Gemeinschaft zur Verfügung. Zusätzlich zur Erfüllung der gleichen Anforderungen wie ein Publisher muss ein Provider seine provider-metadata.json.-Datei nach einer standardisierten Methode bereitstellen (mindestens eine der Anforderungen 8 bis 10 aus Abschnitt 7.1), eine standardisierte Verteilung für seine Hinweise verwenden und technische Kontrollen implementieren, um den Zugang zu allen Hinweisdokumenten mit dem Status TLP:AMBER oder TLP:RED zu beschränken.

Provider müssen außerdem wählen, ob sie die Dokumente auf der Grundlage eines Verzeichnisses oder auf der Grundlage von ROLIE verteilen wollen. Einfach ausgedrückt, stellt die verzeichnisbasierte Verteilung Hinweisdokumente in einer normalen Verzeichnispfadstruktur zur Verfügung, während ROLIE (Resource-Oriented Lightweight Information Exchange) [RFC-8322] ein RESTful-API-Protokoll ist, das speziell für die Automatisierung der Sicherheit, die Veröffentlichung, das Auffinden und die gemeinsame Nutzung von Informationen entwickelt wurde.

Verwendet ein Provider die ROLIE-basierte Verteilung, muss er auch die Anforderungen 15 bis 17 aus Abschnitt 7.1 erfüllen. Verwendet ein Provider die verzeichnisbasierte Verteilung, so muss er alternativ die Anforderungen 11 bis 14 aus Abschnitt 7.1 erfüllen.

2.1.1.3. Die Rolle des Trusted Providers in CSAF

Trusted Provider sind eine besondere Klasse von CSAF-Providern, die sich ein hohes Maß an Vertrauen und Zuverlässigkeit erworben haben. Sie müssen sich an strenge Sicherheits- und Qualitätsstandards halten, um die Integrität der von ihnen ausgestellten CSAF-Dokumente zu gewährleisten.

Zusätzlich zur Erfüllung aller Anforderungen an einen CSAF-Provider müssen Trusted Provider auch die Anforderungen 18 bis 20 aus Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Diese beinhalten die Bereitstellung eines sicheren kryptographischen Hashs und einer OpenPGP-Signaturdatei für jedes ausgegebene CSAF-Dokument und sie stellen sicher, dass der öffentliche Teil des OpenPGP-Signierschlüssels öffentlich zugänglich gemacht wird.

2.1.2. CSAF 2.0 Datenaggregatoren

Datenaggregatoren konzentrieren sich auf die Sammlung und Weiterverteilung von CSAF-Dokumenten. Sie fungieren als Verzeichnis für CSAF-2.0-Issuers und deren Hinweis-Dokumente sowie als Vermittler zwischen Issuers und Endanwendern. Eine einzelne Instanz kann sowohl als CSAF-Lister als auch als Aggregator fungieren. Datenaggregatoren können je nach den Bedürfnissen ihrer Kunden wählen, welche Hinweis-Dokumente von vorgelagerten Publishern sie auflisten oder sammeln und weiterverteilen.

Hier sind einzelne Unterrollen in der Gruppe der Datenaggregatoren:

2.1.2.1. Die Rolle des CSAF-Listers

Sogenannte „Lister“ sammeln CSAF-Dokumente von mehreren CSAF-Herausgebern und listen sie an einem zentralen Ort auf, um das Auffinden zu erleichtern. Der Zweck eines Listers ist es, als eine Art Verzeichnis für CSAF 2.0-Hinweise zu fungieren, indem URLs konsolidiert werden, unter denen CSAF-Dokumente abgerufen werden können. Es wird nicht davon ausgegangen, dass ein Lister einen vollständigen Satz aller CSAF-Dokumente enthält.

Lister müssen eine gültige aggregator.json-Datei veröffentlichen, die mindestens zwei separate CSAF-Anbieter auflistet. Während ein Lister auch als Issuer fungieren kann, darf er keine gespiegelten Dateien auflisten, die auf eine Domain unter seiner eigenen Kontrolle zeigen.

2.1.2.2. Die Rolle des CSAF-Aggregators

Die Rolle des CSAF-Aggregators stellt den letzten Wegpunkt zwischen den veröffentlichten CSAF-2.0-Hinweis-Dokumenten und dem Endanwender dar. Aggregatoren bieten einen Ort, an dem CSAF-Dokumente durch ein automatisiertes Tool abgerufen werden können. Obwohl Aggregatoren als konsolidierte Quelle für Cybersicherheitshinweise fungieren, vergleichbar mit NIST NVD oder CVE.org der MITRE Corporation, handelt es sich bei CSAF 2.0 um ein dezentralisiertes Modell, im Gegensatz zu einem zentralisierten Modell. Aggregatoren sind nicht verpflichtet, eine umfassende Liste von CSAF-Dokumenten von allen Herausgebern anzubieten. Außerdem können die Herausgeber ihren CSAF-Beratungsfeed kostenlos zur Verfügung stellen oder als kostenpflichtigen Dienst betreiben.

Ähnlich wie Lister müssen Aggregatoren eine aggregator.json-Datei öffentlich zugänglich machen, und CSAF-Dokumente von jedem gespiegelten Issuer müssen in einem separaten Ordner zusammen mit der provider-metadata.json des Issuers abgelegt werden. Im Wesentlichen müssen Aggregatoren die Anforderungen 1 bis 6 und 21 bis 23 aus Abschnitt 7.1 der CSAF-2.0-Spezifikation erfüllen.

CSAF-Aggregatoren sind auch dafür verantwortlich, sicherzustellen, dass jedes gespiegelte CSAF-Dokument eine gültige Signatur (Anforderung 19) und einen sicheren kryptografischen Hash (Anforderung 18) besitzt. Wenn die ausstellende Partei diese Dateien nicht zur Verfügung stellt, muss der Aggregator sie erzeugen.

3. Fazit

Das Verständnis der CSAF 2.0-Stakeholder und -Rollen ist entscheidend für die ordnungsgemäße Umsetzung von CSAF 2.0 und die Nutzung der automatisierten Erfassung und Nutzung wichtiger Cybersicherheitsinformationen. Die CSAF 2.0-Spezifikation definiert zwei Hauptinteressengruppen: vorgelagerte Produzenten, die für die Erstellung von Cybersicherheitshinweisen verantwortlich sind, und nachgelagerte Verbraucher, die diese Informationen zur Verbesserung der Sicherheit nutzen. Zu den Rollen innerhalb von CSAF 2.0 gehören Issuer (Herausgeber, Anbieter und vertrauenswürdige Anbieter), die Hinweise erstellen und verteilen, und Datenaggregatoren wie Lister und Aggregatoren, die diese Hinweise sammeln und an die Endnutzer weitergeben.

Die Mitglieder jeder Rolle müssen sich an bestimmte Sicherheitskontrollen halten, die die sichere Übertragung von CSAF 2.0-Dokumenten unterstützen. Das Traffic Light Protocol (TLP) regelt, wie Dokumente freigegeben werden dürfen und welche Zugriffskontrollen erforderlich sind.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

Greenbone auf der it-sa 2024: Drei spannende Messetage und ein Besucherrekord

Die it-sa 2024 in Nürnberg war nicht nur für die Veranstalter, sondern auch für uns ein voller Erfolg: drei Tage voll inspirierender Gespräche, neuer Kontakte und wichtiger Einblicke in die aktuellen Sicherheitsanforderungen von Kunden und Interessenten. Als eine der wichtigsten Fachmessen für IT-Sicherheit in Europa war die it-sa für uns die ideale Bühne, um die neuesten Entwicklungen einem breiten Publikum vorzustellen. Unsere Keynote, gehalten vom Vorstandsvorsitzenden Dr. Jan-Oliver Wagner, zog zahlreiche Fachbesucher an. Unter dem Titel „Sicher sein und sicher bleiben“ gab er einen Einblick in den Stellenwert unseres Portfolios für eine proaktive Unternehmenssicherheit.

Das Greenbone-Team am Partnerstand auf der it-sa 2024 in Nürnberg.“

Das Greenbone-Team auf der it-sa 2024 freute sich über doppelt so viele Besucher wie im Vorjahr.

 

Keynote: Schwachstellenmanagement als Basis für Cybersicherheit

In seiner Keynote sprach Jan-Oliver Wagner über die wachsende Bedeutung von Schwachstellenmanagement als den fundamentalen Baustein einer umfassenden Sicherheitsstrategie. Unternehmen und Organisationen jeder Größe stehen vor der Herausforderung, die ständig wachsende Bedrohung durch Cyberangriffe zu bewältigen. Besonders im Hinblick darauf, dass die Zahl der Angriffe in den letzten Jahren stark zugenommen hat und schon hohe zweistellige Millionenbeträge für Lösegeldzahlungen aufgerufen wurden, ist klar, dass Cybersicherheit nicht länger nur „nice to have“, sondern überlebensnotwendig ist.

Jan-Oliver Wagner forderte, Bedrohungen möglichst frühzeitig zu erkennen und Risiken proaktiv zu managen. Dabei stellte er das Schwachstellenmanagement als „die erste Verteidigungslinie“ gegen Angreifer dar. Mit den Lösungen von Greenbone können Unternehmen ihre IT-Infrastruktur kontinuierlich auf Sicherheitslücken überprüfen: „Schwachstellenmanagement ist die Basis einer nachhaltigen und hochwirksamen Sicherheitsstrategie.“ Sicherheitsteams stehen dabei oft vor der schwierigen Aufgabe, Risiken angemessen zu beurteilen und die richtigen Entscheidungen zu treffen. „Das Ziel ist es, Angreifern stets einen Schritt voraus zu sein. Unsere Lösungen identifizieren nicht nur Sicherheitslücken, sondern helfen auch zu priorisieren, welche Schwachstellen am dringendsten behoben werden müssen.“

Inspirierende Gespräche und neue Kontakte: die Messe-Highlights

Die Messe ermöglichte es uns, direkt mit Fachbesuchern, Kunden und Partnern in Kontakt zu treten, ihre Fragen zu beantworten und ihre Perspektiven besser zu verstehen. Mit extrem vielen Fachgesprächen in nur drei Messetagen hat sich die Zahl der Besucher an unserem Partnerstand bei ADN gegenüber dem vergangenen Jahr mehr als verdoppelt, berichtet Ingo Conrads, Chief Sales Officer: „Besonders gefreut haben wir uns über die vielen neuen Interessenten und Partner, mit denen wir viele neue Geschäftsmöglichkeiten besprechen konnten.“

Dr. Jan-Oliver Wagner, CEO von Greenbone, bei seiner Keynote ‚Sicher sein und sicher bleiben‘ auf der it-sa 2024 in Nürnberg.

Greenbone-CEO Dr. Jan-Oliver Wagner bei seiner Keynote „Sicher sein und sicher bleiben“ auf der it-sa 2024.

Viele Messebesucher kannten Greenbone bereits als Marke, teils durch den Einsatz von OpenVAS in der Vergangenheit. Doch auch neue Produkte wie „Greenbone Basic“ waren für viele eine Entdeckung, die zeigt, wie umfassend und skalierbar unsere Lösungen inzwischen sind – von Einsteigervarianten bis hin zu Enterprise-Produkten für den öffentlichen Sektor. Gerade die Vielfalt unseres Portfolios und unserer Services hat für Überraschung und Interesse gesorgt. Einen Überblick über die verschiedenen Einsatzmöglichkeiten unserer Lösungen steht auf unserer Webseite zur Verfügung.

Danke für die erfolgreiche Messe!

Die it-sa 2024 war für uns ein voller Erfolg und ein inspirierendes Erlebnis. Einmal mehr hat die Messe gezeigt, wie wichtig Schwachstellenmanagement geworden ist und dass Greenbone hier einen wichtigen Beitrag zur IT-Sicherheit leistet. Besten Dank an unseren Distributionspartner ADN für die hervorragende Zusammenarbeit am Partnerstand – und herzlichen Dank an alle Besucher für die interessanten Gespräche und das wertvolle Feedback!

Gemeinsam setzen wir uns dafür ein, dass Unternehmen sicher sind – und sicher bleiben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von