Tag Sicherheitslücke

Erfolgreicher Cyberangriff ermöglicht Zugriff auf Root-Ebene

Kürzlich wurde eine hochgradige Sicherheitslücke entdeckt, die die iControl REST-Schnittstelle und die TMOS Shell (tmsh)-Komponenten des Systems BIG-IP von F5 betrifft. Bei erfolgreicher Ausnutzung der Schwachstelle können authentifizierte Angreifer beliebige Systembefehle ausführen und so Zugriff auf die BIG-IP-Plattform auf Root-Ebene erlangen. Betroffen von der Sicherheitslücke sind die Versionen 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.5 und 15.1.0 bis 15.1.10 von F5 BIG-IP aller Module.

Aktuell gibt es noch keine Hinweise auf eine aktive Ausnutzung der Sicherheitslücke. Ein öffentlich zugänglicher Proof of Concept (PoC) erhöht aber die Wahrscheinlichkeit, dass die Schwachstelle in Zukunft von Cyberangreifern ausgenutzt werden könnte. Der PoC demonstriert, wie ein Angreifer beliebige Systemfehler als root-Benutzer ausführen kann, wenn er sich mit einem Konto mit geringen Rechten – beispielsweise mit der Rolle Auditor – authentifiziert. Angreifer können die Schwachstelle mit Befehlen wie save ausnutzen, die sich dann mit erweiterten Rechten ausführen lassen. Dadurch kann der Angreifer Änderungen am System vornehmen.

Die Sicherheitslücke wurde vom Hersteller durch mehrere Versionen gepatcht. Zudem ist es empfehlenswert, dass Benutzer eine oder mehrere Gegenmaßnahmen implementieren, um den Zugriff auf die iControl REST-Schnittstelle und die tmsh zu sichern. Dazu gehören beispielsweise das Blocken des iControl REST-Zugriffs über die Verwaltungsschnittstelle für vertrauenswürdige Benutzer, die Einschränkung des Zugriffs auf die BIG-IP-Befehlszeile über SSH, das Blockieren des SSH-Zugriffs über eigene IP-Adressen oder das Blocken des SSH-Zugriffs über die Verwaltungsschnittstelle.

Analyse von Censys

Mit der Censys Internet Plattform für Threat Hunting und Attack Surface Management sind 1.124 exponierte Instanzen des F5 BIG-IP Configuration Utility (ohne virtuelle Hosts) auffindbar. Es kann sein, dass nicht alle dieser Instanzen verwundbar sind, da keine Informationen über spezifische Versionen vorliegen. 30 % der beobachteten, möglicherweise betroffenen Instanzen befinden sich in den USA, auch in Europa befinden sich einige.

Insgesamt nutzen 437.204 Geräte BIG-IP für Load Balancing und andere modulare Dienste der BIG-IP-Plattform. Diese Geräte wurden anhand von Sitzungs-Cookies in den Antwort-Header, die auf die Nutzung von BIG-IP hinweisen, mit BIG-IP in Verbindung gebracht. Diese Geräte sind jedoch nicht zwangsläufig von der Schwachstelle betroffen, da BIG-IP auch häufig als Proxy zwischen Client und Server fungiert.

Mehr Informationen und eine Karte der exponierten Anwendungen finden Sie hier: https://censys.com/cve-2025-20029/.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com

Media Alert

Aktuell kursiert eine neue Sicherheitslücke in dem Java-basierten Protokollierungsprogramm Log4j. Log4j wird als Open Source Software von vielen Unternehmen eingesetzt. Durch die nun aufgedeckte Schwachstelle sind daher viele Systeme einem hohen Risiko ausgesetzt, gehackt zu werden. Betroffen sind Unternehmen, die Log4j-Versionen zwischen 2.0 und 2.14.1 nutzen.

Im neuen Trustwave-Blog beschreiben die Security-Experten, wie Unternehmen ihr System vor Cyberangriffen im Zuge der Log4j-Schwachstelle schützen können und welche Schritte dafür notwendig sind: https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/trustwaves-action-response-log4j-zero-day-vulnerability-cve-2021-44228/ .

Wegen Zero-Day-Exploits wie diesem sind Maßnahmen wichtig, die Schwachstellen in Systemen aufdecken und somit Sicherheitslücken so gering wie möglich halten. Eine kontinuierliche Überwachung des Netzwerks ist unvermeidbar, um mögliche Angreifer abwehren zu können. Insbesondere in Zeiten von vermehrten Zero-Day-Schwachstellen wird ein regelmäßiges Update der firmeninternen Cybersecurity wichtiger denn je.

Trustwave ist ein führender Anbieter von Cybersicherheitslösungen und Managed Security Services mit dem Fokus auf Threat Detection and Response. Der Security-Experte unterstützt weltweit Unternehmen bei der Bekämpfung von Cyberkriminalität, beim Schutz von Daten sowie bei der Minimierung von Sicherheitsrisiken. Mit einem umfassenden Portfolio an Managed Security Services, Security-Tests, Beratung, Technologielösungen und Cybersecurity-Schulungen hilft Trustwave Unternehmen dabei, die digitale Transformation sicher zu meistern. Trustwave ist ein Singtel-Unternehmen und der globale Sicherheitszweig von Singtel, Optus und NCS mit Kunden in 96 Ländern.

Firmenkontakt
Trustwave Germany GmbH
Stephen Balogun
The Squaire 12
60549 Frankfurt am Main
+447710 712 125
Stephen.Balogun@trustwave.com
https://www.trustwave.com/de-de/

Pressekontakt
Sprengel & Partner GmbH
Samira Liebscher
Nisterstrasse 3
56472 Nisterau
+49 2661-912600
trustwave@sprengel-pr.com

Startseite

Gesamter Quellcode wird automatisch mit einer validierten und an ein bestimmtes Gerät gebundene Unternehmensidentität signiert

Beyond Identity, der Anbieter von passwortlosen MFA-Lösungen, schließt mit seinem neuen Produkt Secure DevOps eine kritische Sicherheitslücke und schützt die Software-Lieferkette vor Insider-Bedrohungen und kriminellen Angriffen.

Secure DevOps bietet eine einfache, sichere und automatisierte Möglichkeit, um zu bestätigen, dass der gesamte Quellcode, der in ein Unternehmens-Repository gelangt und von der Continuous Integration/Continuous Deployment (CI/CD)-Pipeline verarbeitet wird, mit einem Schlüssel signiert ist. Dieser ist kryptografisch an eine Unternehmensidentität und ein Gerät gebunden und gewährleistet somit Vertrauen, Integrität und Nachvollziehbarkeit für jeden Quellcode, der in das Software-Endprodukt eingebaut wird.

Von SolarWinds bis Kaseya – die Anfälligkeit der Software-Lieferkette und das Schadenspotenzial waren nie größer als heute. Mit der Verlagerung der Softwareentwicklung in die Cloud wurde die Build-Umgebung zu einem attraktiven Ziel für kriminelle Akteure, die eine tiefgreifende und umfassende Kompromittierung von Unternehmen anstreben.
Die Geschwindigkeit und die hoch agilen Prozesse in der Softwareentwicklung verhindern meist jedoch strengere Sicherheitskontrollen. Heute ist es praktisch unmöglich, die Herkunft des Quellcodes nachzuvollziehen, da die Entwickler den Quellcode, der in den Repositories des Unternehmens gespeichert ist, häufig nicht signieren – und diejenigen, die dies tun, in der Regel Schlüssel verwenden, die an eine persönliche Identität und nicht an eine validierte Unternehmensidentität gebunden sind.
Derzeit erfolgt das Signieren von Quellcodes in hohem Maße manuell und erfordert eine zentralisierte Schlüsselverwaltung. Dabei kommt es jedoch zu einer deutlichen Ausweitung der Schlüsselanzahl und dazu, dass Schlüssel nicht vertrauenswürdig sind, da sie von einem Gerät auf ein anderes übertragen werden können. Das Signieren von Binärdateien, die die CI/CD-Pipeline verlassen, ist zwar gängige Praxis, stellt aber nur sicher, dass der Produktionscode vom Unternehmen erstellt wurde und macht den früheren Teil des Prozesses anfällig für böswillige Entwickler oder Angreifer.

„Die agile Softwareentwicklung hat das Innovationstempo beschleunigt und die Rahmenbedingungen für viele Unternehmen verändert“, sagt Johnathan Hunt, Vice President of Security bei GitLab. „Wir sind davon überzeugt, dass Entwickler durch den Einsatz einer einzigen DevOps-Plattform wie GitLab, die Sicherheit in jede Phase des DevOps-Lebenszyklus einbinden, regressive Nacharbeiten reduzieren und Schwachstellen minimieren können. Wir schätzen den Wert, den Beyond Identity für die weitere Stärkung der Sicherheit von Quellcode-Commits und den Schutz vor bösartiger Code-Injektion bietet.“

Die neuartige Lösung von Beyond Identity stellt sicher, dass die Signierschlüssel für den Quellcode vertrauenswürdig sind, indem sie explizit an eine Unternehmensidentität und ein bestimmtes Gerät gebunden werden. Mit einer einfachen, einmaligen Einrichtung für Ingenieure und DevSecOps-Teams erstellt die Lösung unveränderliche GPG-Schlüssel, die an die Systeme der Mitarbeiter gebunden und in Hardware-Enklaven gesichert sind. Das ermöglicht auch eine bessere zentrale Kontrolle und den Widerruf von Schlüsseln. Die Folge ist eine lückenlose Nachverfolgung der Herkunft des Quellcodes zur Qualitätssicherung und forensischen Prüfung.

„Als Cloud-basiertes Unternehmen war der Authentifizierungsansatz von Beyond Identity für uns ein absolutes Muss“, so Mario Duarte, Vice President of Security bei Snowflake. „Beim Betrachten der innovativen Architektur, erkannten wir die unmittelbare Anwendbarkeit und den enormen Nutzen, insbesondere in Bezug auf die Signierung von Quellcode und GitHub. Es war eine perfekte Gelegenheit, um mit Beyond Identity ein Produkt zu entwickeln, das genau auf diese Sicherheitsbedenken zugeschnitten ist.“

„Es ist zwar einfacher, mit dem Signieren des Codes bis nach dem Build zu warten, aber es ist, als würde man einen Vertrag unterschreiben, ohne das Kleingedruckte zu lesen“, sagt TJ Jermoluk, CEO von Beyond Identity. Ähnlich wie bei einem Vertrag stecke der Teufel im Detail zwischen mehreren Entwicklern und einer Vielzahl von Quellcodeübertragungen. „Wie wir in letzter Zeit gesehen haben, können sich bösartige Injektionen jahrelang der Entdeckung entziehen und mehrere Unternehmen gefährden – unabhängig von der Wirksamkeit ihrer organisatorischen Sicherheitsvorkehrungen. Mit Secure Work nehmen wir den Nutzern nicht nur das Risiko und die Last von Passwörtern und Signierschlüsseln aus den Händen, sondern verbessern auch den Zugang und die Produktivität erheblich.“

Mehr Informationen über Secure DevOps von Beyond Identity erfahren Sie hier (https://www.beyondidentity.com/blog/introducing-code-commit-signing-secure-your-sdlc).

Beyond Identity bietet die sicherste Authentifizierungsplattform der Welt. Beyond Identity überwindet die Barrieren zwischen Cybersicherheit, Identitäts- und Gerätemanagement und verändert grundlegend die Methode, wie Nutzer sich anmelden – es eliminiert Passwörter und bietet Anwendern ein reibungsloses Multi-Faktor-Login-Erlebnis. Über die Passwortfreiheit hinaus bietet das Unternehmen den Zero-Trust-Zugang für die Absicherung hybrider Arbeitsumgebungen, in denen eine strenge Kontrolle darüber, welche Benutzer und welche Geräte auf kritische Cloud-Ressourcen zugreifen, unerlässlich ist. Das Unternehmen wurde von Jim Clark und TJ Jermoluk gegründet, die das kommerzielle Internet mit Netscape und @Home Networks mitbegründet haben. Das dynamische Duo stellte ein All-Star-Team zusammen und schuf die weltweit fortschrittlichste passwortlose Identitätsplattform in einer Zeit, in der sich die digitale Transformation auf jedes Unternehmen auswirkt und Cyberattacken zu einem Top-Risiko geworden sind. Das Unternehmen erhielt 105 Millionen Dollar von den führenden Investoren Koch Disruptive Technologies (KDT) und New Enterprise Associates (NEA). Beyond Identity hat seinen Hauptsitz in New York City und Niederlassungen in Boston, Dallas, Miami und London.

Firmenkontakt
Beyond Identity
Helmut Weissenbach
Landsbergerstr. 155
80687 München
+49 89 54 55 82 01
helmut@weissenbach-pr.de
www.weissenbach-pr.de

Pressekontakt
Helmut Weissenbach Public Relations GmbH
Helmut Weissenbach
Landsbergerstr. 155
80687 München
+49 89 54 55 82 01
helmut@weissenbach-pr.de
www.weissenbach-pr.de