Tag Threat Hunting

Deutschland dreimal im Top 10-Ländervergleich mit den meisten potenziell betroffenen Instanzen

Censys, einer der führenden Anbieter von Tools für Threat Intelligence, Threat Hunting und Attack Surface Management, hat sechs Schwachstellen untersucht, die mit Salt Typhoon in Verbindung gebracht werden. Die staatlich unterstützte Gruppe von Bedrohungsakteuren hat bekannte Schwachstellen in öffentlich zugänglichen Schnittstellen zu Netzwerkgeräten ausgenutzt und damit weltweit Telekommunikationsanbieter kompromittiert. Als kritische Schwachstellen ermöglichen sie oft den direkten Zugang zu internen Netzwerken und sensiblen Ressourcen.

Mithilfe der Censys Intelligence Plattform kann untersucht werden, wie viele Geräte weltweit mit Versionen betrieben werden, die für diese Schwachstellen anfällig sind. Ein Verständnis für die Entwicklung der Gefährdung durch Salt Typhoon ermöglicht es, sowohl das Ausmaß der Bedrohung als auch die Reaktion von Unternehmen zu beurteilen. Die Analyse wurde für die folgenden mit Salt Typhoon in Verbindung gebrachten Schwachstellen untersucht:
– CVE-2022-3236: Sophos Firewall RCE (CVSS Score: 9,8)
– CVE-2023-20198: Cisco IOS XE Web UI Privilege Escalation (10,0)
– CVE-2023-20273: Cisco IOS XE Web UI Command Injection (7,2)
– CVE-2023-46805: Ivanti Connect Secure Authentication Bypass (8,2)
– CVE-2024-21887: Ivanti Connect Secure Command Injection (9,1)
– CVE-2023-48788: Fortinet FortiClient EMS SQL Injection (9,8)

Bestätigte IOCs (Indicator of Compromise) sind zwar noch selten, eine Untersuchung dieser Schwachstellen lohnt sich aber dennoch aufgrund ihrer Anfälligkeit für Bedrohungen – auch losgelöst von Salt Typhoon. Die Untersuchung von Censys beschäftigt sich daher mit folgenden Fragen:
– Welche Geräte sind am stärksten betroffen?
– Wie hat sich die Gefährdung im Laufe der Zeit verändert?
– In welchen Ländern sind die meisten betroffenen Instanzen zu beobachten?
– Warum ist die Behebung der Schwachstellen für die Abwehr künftiger Bedrohungen entscheidend?

Zum Zeitpunkt der Untersuchung waren insgesamt bis zu 209.149 Instanzen und Systeme potenziell von der Schwachstelle betroffen. Die Untersuchung zeigt auch die Entwicklung der Expositionen zwischen Oktober 2024 und April 2025 in einem 6-Monats-Trend, was einige interessante Rückschlüsse ermöglicht. Die Analyse von Censys hat außerdem ergeben, dass die meisten Exposures der Schwachstellen in den USA liegen. Eine Ausnahme: Mit 38.787 sind die meisten betroffenen Systeme für Sophos XG Firewall in Deutschland verzeichnet. Die Zahl der Fälle liegt damit mehr als doppelt so hoch wie in den USA mit nur 16.589 Instanzen – obwohl in Deutschland weitaus weniger Internet-Dienste gehostet werden als in den USA insgesamt. Auch bei der Schwachstelle in Fortinet FortiClient EMS gehört Deutschland zu der Top 10 der Länder mit den meisten betroffenen Instanzen. Bei dieser Schwachstelle liegt Deutschland mit 178 potenziell betroffenen Instanzen auf Platz zwei. Auf Platz vier liegt Deutschland außerdem bei der Schwachstelle Ivanti Connect Secure Exposures mit 1.124 Instanzen.

Die Untersuchung unterstreicht, wie wichtig die proaktive Überwachung von potenziellen Schwachstellen ist – auch bei Unternehmen, Behörden und Organisationen, die sich selbst noch nicht als potenzielles Ziel erkennen.

Erfahren Sie unter https://censys.com/blog/the-persistent-threat-of-salt-typhoon-tracking-exposures-of-potentially-targeted-devices mehr über die Ergebnisse der Analyse.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Angreifer proaktiv verfolgen und abwehren mit dem neuen Censys Threat Hunting Module

Einblick in das Dashboard des Censys Threat Hunting Module

Ann Arbor, Michigan, USA, 28. April 2025 – Censys, ein führender Anbieter im Bereich Internet Intelligence, Threat Hunting und Attack Surface Management (ASM), bringt mit dem Censys Threat Hunting Module eine neue Lösung auf den Markt. Das Modul wurde speziell dafür entwickelt, Threat Hunting-Teams dabei zu unterstützen, gegnerische Infrastrukturen aufzuspüren. Als Teil der kürzlich veröffentlichten Internet Intelligence Platform von Censys verschafft die neue Lösung Sicherheitsteams in Unternehmen und Behörden die notwendige Internet-Transparenz, um sich vor Cyberangriffen zu schützen. Als erfahrener Anbieter von Threat Hunting-Lösungen bietet Censys IT-Security-Teams nun ein speziell entwickeltes Modul, um Bedrohungen proaktiv aufzudecken und abzuschwächen, bevor sie Schaden anrichten können.

Das neue Threat Hunting-Modul lässt sich direkt in bestehende Security Operations-Produkte integrieren und trägt dazu bei, die Erkennung von Schwachstellen zu verbessern und das Threat Hunting proaktiver zu gestalten. Das Censys Threat Hunting Module wandelt die Daten der Censys Internet Map automatisch in strukturierte und umsetzbare Erkenntnisse um. Sicherheitsteams können diese Daten nutzen, um bösartige Infrastrukturen zu identifizieren, die von Angreifern für Cyberattacken auf Unternehmen oder Behörden genutzt werden. Mit der neuen Lösung sind Sicherheitsteams in der Lage, Threat Detection und die Untersuchung von Bedrohungen zu beschleunigen. Zudem lässt sich auf Basis der Ergebnisse nahtlos und proaktiv nach neuen und aufkommenden bösartigen Infrastrukturen suchen.

„Eines der größten Probleme für Threat Hunting-Teams ist es, zeitnahe und relevante Daten zu erhalten, die es ihnen ermöglichen, sich proaktiv gegen gezielte Bedrohungen zu verteidigen“, sagt Silas Cutler, Principal Security Researcher bei Censys, der an der Entwicklung der neuen Lösung beteiligt war. „Das neue Censys Threat Hunting Module löst diese Herausforderung, indem es Echtzeit-Transparenz in bestehende bösartige Infrastruktur liefert. Zudem bietet das neue Modul die Möglichkeit, bekannte und neu auftretende Bedrohungen überall im Internet zu finden und zu verfolgen.“

Effektives und proaktives Threat Hunting in Echtzeit

Die Plattform beseitigt die Datenflut und bietet Security-Teams einen zentralen Ort, an dem sie alle Threat Hunting-Daten einsehen können. Dies beinhaltet auch eine Liste aller bekannten Bedrohungen und eine Heatmap, die zeigt, wo sich diese Bedrohungen befinden. Darüber hinaus bietet das Censys Threat Hunting Modul folgende Funktionen:

– Censys Threat Data Set: Dieser Datensatz für Bedrohungen enthält Erkennungen für Red-Team-Tools, Fingerprints und Malware-Operationen. Er bietet auch erweiterten Kontext zu Bedrohungen, darunter Beschreibungen, alternative Namen, Akteure und Referenzlinks.
– CensEye: Die Funktion ermöglicht es, bösartige Infrastrukturen zu identifizieren und zu korrelieren. Dabei werden Hosts und Web-Eigenschaften mit ähnlichen Merkmalen erkannt. Diese Fähigkeit ermöglicht es Analysten, die Ressourcen von Angreifern aufzudecken und sich entwickelnde Bedrohungen schneller und präziser zu verfolgen.
– Erkennung und Scanning in Echtzeit: Das neue Modul bietet IT-Security-Teams auch Threat Detection und die Validierung von On-Demand-Scan-Funktionen in Echtzeit. Live-Scans decken bisher unbekannte Konfigurationen auf, während Rescans systematisch bestehende Dienste und Endpunkte analysieren, um potenzielle Bedrohungen zu bestätigen und Konfigurationsabweichungen zu verfolgen.
– Interaktive Dashboards: Die Plattform bietet Anwendern interaktive Dashboards für einen Einblick in die Struktur und Frameworks von Bedrohungen. So können Sicherheitsteams Daten und Trends untersuchen, Anomalien aufdecken und effektive Untersuchungen einleiten.
– Visualisierung von Zertifikaten und Hosts: Durch die Untersuchung historischer Beziehungen zwischen Hosts und Zertifikaten können Threat Hunting-Teams Zeitpläne erstellen, Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) aufdecken und historische Attribute anzeigen, die bei der Threat Detection genutzt werden können.
– Erweitertes Pivoting und kontextualisierte Hashes: Threat Hunter können ihre verwandten Indikatoren schnell erweitern, indem sie hilfreiche konfigurationsbasierte Hashes wie JARM, JA3, JA4+ und Favicon-Hashes verwenden, um eine umfassende Ansicht der verwandten Infrastruktur zu erstellen.

„Das neue Censys Threat Hunting Module bietet Unternehmen noch nie dagewesene Visibility, Kontext und historische Einblicke in alle mit dem Internet verbundenen Ressourcen, einschließlich bekannten und neuen feindlichen Infrastrukturen“, sagt Brad Brooks, CEO von Censys. „Mit dem neuen Modul können Sicherheitsteams in Unternehmen und Behörden proaktiv nach ausgefeilten Bedrohungen suchen, die auf sie abzielen. Dabei können sie auf den genauesten und umfassendsten Internet Intelligence-Datensatz der Branche zurückgreifen.“

Erfahren Sie mehr über das Censys Threat Hunting Module: https://censys.com/blog/speeding-up-threat-hunting-with-censys.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Präventive Cybersicherheit mit Threat Hunting und Attack Surface Management

Berlin, 15. April 2025 – Censys, Anbieter der führenden Internet Intelligence Platform für Threat Hunting und Attack Surface Management, ist als Aussteller auf der diesjährigen Cyber Threat Intelligence Conference des Verbands FIRST (Forum of Incident Response and Security Teams) vertreten. Die Konferenz findet vom 21. bis 23. April 2025 statt und versammelt internationale Fachleute aus der Cybersicherheit. Als Aussteller präsentiert Censys auf der Veranstaltung seine Plattform zur umfassenden Erkennung, Analyse und Überwachung von internetbasierten Assets und Online-Angriffsflächen. Die Tools Censys Platform und Censys Attack Surface Management ermöglichen eine verlässliche Sicherheits- und Risikoanalyse.

Mit den Lösungen können Kunden einschließlich Unternehmen und Behörden verborgene IT-Risiken aufdecken, schädliche Infrastrukturen aufspüren und digitale Infrastrukturen kontinuierlich überwachen. Auf Basis der Daten sind entsprechende gezielte Gegenmaßnahmen ableitbar, wodurch sich Unternehmen und Behörden proaktiv vor Cyberbedrohungen schützen können. Die Censys Platform baut auf der weltweit größten und genauesten eigenen Internet-Intelligence-Infrastruktur auf, die ständig mehr als fünf Milliarden mit dem Internet verbundene Dienste überwacht.

Censys Platform ist eine einheitliche Plattform, die Security-Teams den proaktiven Schutz vor Cyberbedrohungen ermöglicht. Auf Basis der Censys Internet Map bietet Censys Platform einen ganzheitlichen Überblick über die globale Internetlandschaft und ermöglicht kontextbezogene und historische Einblicke in die von Censys überwachten Geräte und Dienste. Mit der Plattform können IT-Sicherheitsteams Echtzeitdaten über ihre externe Angriffsfläche erhalten, Vorfälle untersuchen und bösartige Infrastrukturen aufspüren. Zudem sind sie in der Lage, benutzerdefinierte Bedrohungsdaten zu erstellen. Dies verbessert die Möglichkeiten, die eigene Infrastruktur proaktiv zu verteidigen oder potenzielle Risiken bei Dritten, beispielsweise Lieferanten, zu erkennen.

Censys Attack Surface Management erkennt alle mit einem Unternehmen oder einer Behörde verbundenen Assets. Kunden erhalten somit ein vollständiges und stets aktuelles Bild ihrer externen IT-Angriffsfläche, einschließlich Drittanbieter. Dies erlaubt es IT-Security-Teams, kritische Schwachstellen oder fortgeschrittene Bedrohungen zu erkennen und priorisiert zu beheben. Mit einer nahtlosen Integration von Bedrohungsdaten, Asset-Discovery und kontinuierlicher Analyse ist das Tool sehr nützlich für Security- und Incident Response-Teams.

„Unsere Tools machen das Internet transparenter und sicherer und versorgen Security-Teams mit aktuellen, strukturierten und verwertbaren Daten über ihre digitalen Infrastrukturen und Assets“, sagt Tabatha von Kölichen, Regional Sales Director D-A-CH & Central Europe bei Censys. „So lassen sich bisher unbekannte Assets aufspüren und entsprechende Gegenmaßnahmen ergreifen, wodurch Unternehmen und Behörden vor Bedrohungen geschützt und den wachsenden Herausforderungen immer einen Schritt voraus sind. Wir freuen uns auf viele spannende Gespräche mit der internationalen Community von Incident Response-Teams auf der Cyber Threat Intelligence Conference in Berlin. Insbesondere freuen wir uns, die neuen, erweiterten Features unserer Censys Platform vorzustellen.“

Unter https://censys.com/resources/advisories finden Sie Einblicke und Hinweise zu aktuellen Bedrohungen weltweit.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Traditionell konzentriert sich das Scannen von Netzwerkdiensten auf Standard-Ports. Diese Vorgehensweise bildet jedoch längst nicht mehr die gesamten modernen IT- und ICS-Sicherheitsinfrastrukturen ab. In der Realität sind Protokolle wie Modbus, ATG und Co. längst nicht mehr nur auf ihren typischen standardmäßigen Ports zu finden. Die Konsequenz? Wer nur Standard-Ports scannt, bleibt blind für zahlreiche sicherheitskritische Systeme. Besonders in kritischen Infrastrukturen, in denen die Sicherheit von Systemen eine wichtige Rolle spielt, kann dies fatale Folgen haben. Deshalb ist es wichtig, die ICS-Scan-Methodik weiterzuentwickeln und mit Messungen und Untersuchungen festzustellen, wo noch gezielter gescannt werden muss. Das kann auch zu überraschenden Ergebnissen führen.

Kommentar von Ariana Mirian, Senior Security Researcher bei Censys

Der Blick über den Tellerrand: Standard-Port +/- 1 Scanning

Viele ICS-Protokolle laufen nicht nur auf ihrem Standard-Port, sondern können auch auf den benachbarten Ports betrieben werden. Um herauszufinden, wo ICS-Protokolle tatsächlich aktiv sind, ist ein gezieltes Scanning auf ihren Standard-Ports sowie deren direkter Umgebung zielführend. So kann beispielsweise beobachtet werden, dass Modbus mit dem Standard-Port 502 häufig auch auf den Ports 501 und 503 aktiv ist.

Für eine gezielte Untersuchung dieses Phänomens kann systematisch nach ICS-Protokollen auf den Standard-Ports sowie angrenzenden Ports gesucht werden. Ein besonders interessanter Test ist das ATG-Protokoll. Automatic Tank Gauges wird zur Überwachung und Verfolgung von Tankinhalten wie Kraftstoff genutzt. Das Protokoll ist zwar nicht das am weitesten verbreitete ICS-Protokoll, wird aber dennoch zahlreich genutzt. Der offizielle Standard-Port für ATG ist 10001, ein gezielter Scan der benachbarten Ports 10000 und 10002 führt zu bemerkenswerten Ergebnissen: Von rund 7.000 identifizierten Hosts, die eine Protokollantwort lieferten, reagierten fast 1.300 Hosts auf den Nicht-Standard-Ports auf ATG-Anfragen. Dies entspricht knapp 20 % der gefundenen Systeme. Ähnliche Ergebnisse zeigen sich für weitere ICS-Protokolle wie WDBRPC, DIGI, FINS, BACNET, S7, IEC 60870-5-104, OPC UA und DNP3. Die Analyse zeigt eine erhebliche Zunahme der erfassten Systeme im Laufe der Beobachtung – in einigen Fällen fast eine Verdopplung der erkannten ICS-Geräte, in anderen Fällen einen moderaten Anstieg.

Anhand dieser Ergebnisse könnte man erwarten, dass die drei Standard-Ports +/- 1 die größten Ports für jedes Protokoll sind. Doch ist dies auch wirklich immer der Fall?

Port-Tweaking: Ports mit ungewöhnlicher Zahlenfolge scannen

Eine weitere interessante Beobachtung betrifft das Modbus-Protokoll. Denn neben dem Standard-Port 502 lässt sich ein auffälliges Muster identifizieren: Viele Modbus-Geräte reagierten auch auf Port 6502. Dabei handelt es sich jedoch keineswegs um eine willkürliche Wahl, sondern vielmehr eine einfache Methode – das Voranstellen einer Ziffer vor bekannte Ports oder den Standard-Port. Dies führt zu einem neuen Ansatz für das Scannen von ICS-Ports: das Port-Tweaking. Port-Tweaking wurde auf Basis der Hypothese aufgebaut, dass Dienste nicht nur auf leicht abweichenden Ports betrieben werden, sondern dass in manchen Fällen eine bestimmte Zahl vorangestellt wird. Ein Beispiel dafür ist HTTPS: Es läuft normalerweise auf Port 443, aber oft auch auf Ports wie 1443, 2443, 3443 und 4443.

Für die Bestätigung dieser Hypothese wurde eine Untersuchung mit Fokus auf ICS-Geräte durchgeführt, die bereits als potenzielle ICS-Hosts erfasst waren, jedoch keine ICS-spezifischen Protokolle wie Modbus oder DNP aufwiesen. Eine Kennzeichnung als potenzielles ICS bedeutet in der Regel, dass eine Art HTTP-basierte Schnittstelle vorhanden ist. Durch gezielte Scans auf Port-Tweaks konnten über 200 zusätzliche ICS-Hosts identifiziert werden, die zuvor unentdeckt geblieben waren. Die häufigsten dabei gefundenen Protokolle waren Modbus und Fox, wobei auch einige andere industrielle Kommunikationsprotokolle erfasst wurden.

Diese Ergebnisse zeigen, dass sich viele ICS-Systeme nicht an gängige Standards halten und dass innovative Scan-Techniken erforderlich sind, um ein vollständigeres Bild der tatsächlich im Internet erreichbaren Systeme zu erhalten. Port-Tweaks sind also bei einigen ICS-Protokollen beobachtbar, bei anderen jedoch nicht. Was also, wenn es andere Hotspots von Ports gibt, die für ICS-Protokolle beliebt sind, die aber keine Port-Tweaks sind? Was, wenn Hersteller standardmäßig einen offenen Port verwenden, der nichts mit dem Standard-Port zu tun hat, sodass dieser leicht übersehen werden kann?

Tiefensuche: 65k-Port-Scans und ihre Erkenntnisse

Für ein noch tieferes Verständnis der Port-Verteilung industrieller Steuerungssysteme wurde eine groß angelegte Analyse aller 65k-Ports durchgeführt. Statt eines blinden Scans des gesamten IOv4-Raums wurde eine gezielte Methode entwickelt:

– Einschränkung auf bereits als ICS identifizierte Hosts: Diese waren besonders relevant, da sie potenziell ICS-Protokolle nutzen, jedoch nicht unbedingt auf bekannten Ports.
– Filtern von Hosts mit zu vielen offenen Ports: Systeme, die bereits eine Vielzahl von offenen Diensten aufwiesen, wurden ausgeschlossen, um gezieltere Analysen zu ermöglichen.
– Ausschluss gängiger Web- und Standard-Ports: Ports wie 80, 443 und ähnliche wurden ignoriert, um den Fokus auf ungewöhnliche ICS-Ports zu legen.
– Scan: ICS-Scans gegen diese Host/Port-Paare und eine Analyse wurden durchgeführt, welche Ports für jedes Protokoll am häufigsten reagieren.

Diese systematische Untersuchung lieferte neben weniger überraschenden Ergebnissen – z.B. DNP3 auf Modbus Standard Port 502, Modbus auf 552 – auch unerwartete Ergebnisse. Beispielsweise wurde das WDBRPC-Protokoll auffällig oft auf Port 111 gefunden – einem Port, der sonst nicht mit ICS-Kommunikation in Verbindung gebracht wird. Bei der Analyse ist zu beachten, dass es sich um einen begrenzten Scan handelte mit Hosts, die mit hoher Wahrscheinlichkeit ansprechbar waren – die Ergebnisse kratzen also nur an der Oberfläche der Aufdeckung von ICS-Geräten.

Der blinde Fleck außerhalb der Standard-Ports

Die Ergebnisse der Untersuchungen zeigen, dass sich das traditionelle Verständnis über die Verteilung industrieller Kommunikationsprotokolle dringend weiterentwickeln muss. Der Fokus auf Standard-Ports reicht schlicht nicht mehr aus für ein umfassendes Bild der ICS-Bedrohungslandschaft. Dass sich viele ICS-Scans und Sicherheitsanalysen ausschließlich auf die Standard-Ports fokussieren, führt wie gezeigt dazu, dass eine große Anzahl potenziell sicherheitskritischer Systeme übersehen wird. Die zunehmende Verlagerung von ICS-Protokollen auf nicht-standardisierte Ports erfordert es, neue Methoden zur Identifikation dieser Systeme zu entwickeln. Für einen umfassenden Überblick über das Internet und Assets muss gezielt nach weiteren Mustern gesucht werden, die auf eine systematische Verschiebung der ICS-Port-Nutzung hindeuten. Klar ist: Die bisherige Herangehensweise muss überdacht werden, um die verborgenen Strukturen industrieller Kommunikation vollständig zu erfassen.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com

Erfolgreicher Cyberangriff ermöglicht Zugriff auf Root-Ebene

Kürzlich wurde eine hochgradige Sicherheitslücke entdeckt, die die iControl REST-Schnittstelle und die TMOS Shell (tmsh)-Komponenten des Systems BIG-IP von F5 betrifft. Bei erfolgreicher Ausnutzung der Schwachstelle können authentifizierte Angreifer beliebige Systembefehle ausführen und so Zugriff auf die BIG-IP-Plattform auf Root-Ebene erlangen. Betroffen von der Sicherheitslücke sind die Versionen 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.5 und 15.1.0 bis 15.1.10 von F5 BIG-IP aller Module.

Aktuell gibt es noch keine Hinweise auf eine aktive Ausnutzung der Sicherheitslücke. Ein öffentlich zugänglicher Proof of Concept (PoC) erhöht aber die Wahrscheinlichkeit, dass die Schwachstelle in Zukunft von Cyberangreifern ausgenutzt werden könnte. Der PoC demonstriert, wie ein Angreifer beliebige Systemfehler als root-Benutzer ausführen kann, wenn er sich mit einem Konto mit geringen Rechten – beispielsweise mit der Rolle Auditor – authentifiziert. Angreifer können die Schwachstelle mit Befehlen wie save ausnutzen, die sich dann mit erweiterten Rechten ausführen lassen. Dadurch kann der Angreifer Änderungen am System vornehmen.

Die Sicherheitslücke wurde vom Hersteller durch mehrere Versionen gepatcht. Zudem ist es empfehlenswert, dass Benutzer eine oder mehrere Gegenmaßnahmen implementieren, um den Zugriff auf die iControl REST-Schnittstelle und die tmsh zu sichern. Dazu gehören beispielsweise das Blocken des iControl REST-Zugriffs über die Verwaltungsschnittstelle für vertrauenswürdige Benutzer, die Einschränkung des Zugriffs auf die BIG-IP-Befehlszeile über SSH, das Blockieren des SSH-Zugriffs über eigene IP-Adressen oder das Blocken des SSH-Zugriffs über die Verwaltungsschnittstelle.

Analyse von Censys

Mit der Censys Internet Plattform für Threat Hunting und Attack Surface Management sind 1.124 exponierte Instanzen des F5 BIG-IP Configuration Utility (ohne virtuelle Hosts) auffindbar. Es kann sein, dass nicht alle dieser Instanzen verwundbar sind, da keine Informationen über spezifische Versionen vorliegen. 30 % der beobachteten, möglicherweise betroffenen Instanzen befinden sich in den USA, auch in Europa befinden sich einige.

Insgesamt nutzen 437.204 Geräte BIG-IP für Load Balancing und andere modulare Dienste der BIG-IP-Plattform. Diese Geräte wurden anhand von Sitzungs-Cookies in den Antwort-Header, die auf die Nutzung von BIG-IP hinweisen, mit BIG-IP in Verbindung gebracht. Diese Geräte sind jedoch nicht zwangsläufig von der Schwachstelle betroffen, da BIG-IP auch häufig als Proxy zwischen Client und Server fungiert.

Mehr Informationen und eine Karte der exponierten Anwendungen finden Sie hier: https://censys.com/cve-2025-20029/.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com

Sicherheitslücken proaktiv erkennen und kompromittierte Systeme identifizieren

Unternehmen stehen täglich vor der Herausforderung, ihre IT-Infrastruktur vor neuen Bedrohungen zu schützen. Eine zentrale Rolle spielt dabei die kontinuierliche Überwachung der Online-Angriffsfläche und potenzieller Angriffspunkte. Ein aktuelles Beispiel für eine kritische Sicherheitslücke ist CVE-2025-23209 im Content Management System Craft CMS 4 und 5. Die Schwachstelle birgt große Risiken für Unternehmen und zeigt, wie wichtig es ist, Angriffsflächen proaktiv zu überwachen. Die Censys Internet Plattform ermöglicht es, potenziell betroffene Systeme weltweit zu identifizieren.

Die Sicherheitslücke in CMS 4 und 5 hängt von der vorherigen Kompromittierung des Sicherheitsschlüssels der Anwendung ab und wurde von der National Vulnerability Database (NVD) in den USA mit einem hohen Bedrohungsfaktor eingestuft. Bei erfolgreicher Ausnutzung kann die Sicherheitslücke eine Remotecodeausführung (Remote Code Execution, RCE) ermöglichen. Ein Ausnutzen der Sicherheitslücke wird dadurch erschwert, dass der Zugriff auf einen Sicherheitsschlüssel erforderlich ist. Da aber noch nicht bekannt ist, wie das System kompromittiert wurde, sollten Nutzer von Craft CMS ihre Sicherheitsschlüssel proaktiv rotieren und einen gepatchten Commit anwenden.

Betroffen von der Sicherheitslücke für RCE sind Installationen von Craft 4 und 5, bei denen der Sicherheitsschlüssel bereits kompromittiert wurde. In Craft CMS 4.13.9. und 5.5.8. wurde die Sicherheitslücke gepatcht. Ohne Aktualisierung der Instanzen kann das Problem durch das Rotieren der Sicherheitsschlüssel entschärft werden.

Mit der Censys Internet Plattform und ihren Threat Intelligence Tools Censys Search und Censys Attack Surface Management sind 144.333 exponierte Anwendungen weltweit zu beobachten, die Craft CMS verwenden und von der Sicherheitslücke betroffen sein können. 50 % der exponierten Instanzen befinden sich in den USA. Auch in Europa und Deutschland gibt es einige exponierte Anwendungen mit Craft CMS. Von den beobachteten Instanzen sind nicht alle verwundbar, da nicht zuverlässig auf die genutzte Version geschlossen werden kann.

Mehr Informationen und eine Karte der exponierten Anwendungen finden Sie hier: https://censys.com/cve-2025-23209/.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com

Geschützt vor Cyberangriffen mit Threat Hunting und Attack Surface Management

Hannover, 06. März 2025 – Censys, ein führender Anbieter von Lösungen für Threat Hunting und Attack Surface Management, nimmt an der secIT 2025 vom 18. bis zum 20. März in Hannover teil. Die Censys Internet Plattform gibt Kunden die Möglichkeit, ihre Online-Angriffsfläche zu verstehen und auf Basis dieser Daten entsprechende Gegenmaßnahmen zu ergreifen. Die Threat Intelligence Tools Censys Search und Censys Attack Surface Management ermöglichen eine verlässliche Sicherheits- und Risikoanalyse – fortlaufend und rund um die Uhr. Auf der secIT 2025 präsentiert Censys seine Lösungen an Stand G15.

Unternehmen können mithilfe der Echtzeit-Analysen der Censys Internet Plattform ihre Angriffsfläche im Internet erkennen und aus den Ergebnissen entsprechende Maßnahmen zur Reduzierung der Bedrohungen ableiten. Mit der weltweit größten eigenen Scan-Infrastruktur werden ständig über 65.000 Ports gescannt und täglich mehr als 5 Milliarden Dienste aktualisiert. Die Plattform von Censys wird von Unternehmen und Organisationen unterschiedlicher Größe und Branchen genutzt und ist auch für kritische Infrastrukturen (KRITIS) und industrielle Steuerungssysteme (ICS) optimal geeignet.

Die Censys Plattform kann für Threat Hunting, die Identifizierung von verdächtigen Infrastrukturen oder die Erkennung von kompromittierten Hosts genutzt werden. Censys Attack Surface Management liefert wichtige Informationen für die Identifizierung und Überwachung von internetbasierten Assets. Diese Daten versetzen Security-Teams in die Lage, fortgeschrittene Bedrohungen zu erkennen und daraufhin zu priorisieren und zu beheben.

Rechtzeitig Bedrohungen erkennen und Maßnahmen ableiten

„Unsere Plattform mit ihren Lösungen Censys Search und Censys Attack Surface Management hilft Unternehmen dabei, digitale Infrastrukturen und Assets besser zu verstehen und zu überwachen“, sagt Tabatha von Kölichen, Regional Sales Director D-A-CH & Central Europe bei Censys. „So ist es möglich, sich vor Bedrohungen zu schützen, bis dato unbekannte Assets aufzuspüren und den wachsenden Herausforderungen immer einen Schritt voraus zu sein. Wir freuen uns, unsere Lösungen auf der secIT 2025 vorzustellen.“

An Stand G15 in der Glashalle erfahren Besucher mehr über die Plattform und Produkte von Censys. Das lokale Censys-Team freut sich auf viele interessante Gespräche auf der secIT in Hannover.

Testweisen Einblick in Censys Search erhalten Interessierte über eine kostenlose Demo: https://search.censys.io.
Unter https://censys.com/de/resources/?searchterm=advisory finden Sie Einblicke und Hinweise zu aktuellen Bedrohungen weltweit.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com

Hinweise zur aktuellen Sicherheitslage und Report zu Bedrohungen für industrielle Steuerungssysteme (ICS)

Censys, ein internationaler Anbieter von Lösungen für Threat Hunting und Attack Surface Management, veröffentlicht regelmäßig Sicherheitshinweise, die gezielt auf aktuelle Sicherheitslücken und Bedrohungen hinweisen. In der am 21. November erscheinenden ICS Research werden außerdem besonders kritische Risiken für industrielle Steuerungssysteme (ICS) aufgezeigt, die durch die Digitalisierung der Fertigungs- und Produktionsprozesse zunehmend in den Fokus von Cyberangriffen geraten sind.

Industrielle Steuerungssysteme, die essenzielle Abläufe in der Produktion und Infrastruktur steuern, stellen für Angreifer ein lukratives Ziel dar. Durch den Angriff auf ICS-Geräte können Angriffe nicht nur wirtschaftliche Verluste, sondern auch reale physische Schäden verursachen. Mithilfe der Censys Internet Intelligence Plattform lassen sich Schwachstellen in den weltweit vernetzten industriellen Systemen identifizieren. Die Plattform liefert zudem wertvolle Einblicke in aktuelle Bedrohungen, die sich gezielt auf ICS-Infrastrukturen richten. Durch diese Bedrohungen können Produktionsprozesse lahmgelegt und die Sicherheit von Anlagen massiv gefährdet werden.

Die Berichte enthalten praktische Hinweise und präventive Maßnahmen, die Unternehmen bei der Abwehr dieser Bedrohungen unterstützen können. So geht es beispielsweise um Schwachstellen im Bereich der Netzwerkarchitektur sowie um die Notwendigkeit einer durchgehenden Überwachung. IT-Verantwortliche und Sicherheitsteams können von den Analysen und Empfehlungen profitieren, um ihre Systeme gezielt abzusichern und Ausfallzeiten zu minimieren. Censys veröffentlicht regelmäßig Hinweise zu aktuellen Schwachstellen und Bedrohungen.

Forschungsbericht zur aktuellen Bedrohungssituation im Bereich ICS

Für den aktuellen Report hat das Forschungsteam von Censys global ungeschützte ICS-Geräte identifiziert. Diese sind riskant, da Hacker die Schwachstellen ausnutzen können, um auf die Systeme zuzugreifen und diese zu manipulieren. Dabei wurden knapp 40.000 ungeschützte, mit dem Internet verbundene ICS-Geräte in den USA identifiziert, von denen 18.000 direkt Industrieanlagen steuern. In Großbritannien wurden ca. 1.500 ungeschützte ICS-Geräte identifiziert. Im Rahmen des Forschungsberichts wurden auch Human-Machine-Interfaces (HMI) untersucht. Das Ergebnis: Knapp 50 % der als ungeschützt identifizierten HMIs im Bereich Wasser und Abwasser in den USA könnten ohne Authentifizierung manipuliert werden. Auch in Deutschland entdeckte das Forschungsteam entsprechende Schwachstellen.

Weitere Informationen und die vollständigen Sicherheitshinweise finden Sie hier: https://censys.com/de/resources/?searchterm=advisory. Die neue ICS Research 2024 erscheint am 21. November, bei Fragen zu dem Forschungsbericht können Sie sich direkt an Censys wenden.

Censys, Inc.™ ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen die umfassendste Echtzeit-Ansicht der Internet-Infrastruktur. Kunden wie Google, Cisco, Microsoft, Samsung, die Schweizer Armee, das U.S. Department of Homeland Security, Cybersecurity & Infrastructure Security Agency und über 50% der Fortune 500 vertrauen auf Censys, um eine kontextualisierte Echtzeit-Sicht auf ihre Internet- und Cloud-Assets zu erhalten. Bei Censys können Sie Sie selbst sein. Wir mögen das so. Vielfalt ist der Motor unserer Mission, und wir engagieren uns für die Einbeziehung von Ethnie, Geschlecht, Alter und Identität. Um mehr zu erfahren, besuchen Sie censys.com und folgen Sie Censys auf Twitter, Mastodon und LinkedIn.

Kontakt
Censys
Tabatha von Kölichen
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Dietzenbach, 3. August 2022 – Controlware erweitert das Portfolio von Cyber Defense Services: Der Systemintegrator und IT-Dienstleister unterstützt seine Kunden mit maßgeschneiderten Threat Hunting Services bei der proaktiven Suche nach bislang unentdeckten Angreifern im Netzwerk.

Jedes Unternehmen kann heute in das Visier von Hackern, Wirtschaftsspionen oder Erpressern geraten – und wenn diese einmal ins Netzwerk eingedrungen sind, ist das Schadenspotenzial enorm: „Cyberkriminelle versuchen heute, möglichst lange unentdeckt zu bleiben. Sie bewegen sich lateral durch die Umgebung, öffnen zusätzliche Hintertüren und eskalieren geduldig ihre Rechte, bis sie Zugang zu den wertvollsten Assets erhalten“, beschreibt Benjamin Heyder, Cyber Defense-Experte bei Controlware, die Anatomie moderner Angriffe. „Nach aktuellen Schätzungen bleiben Angreifer heute im Schnitt zwei Monate unentdeckt – und können in dieser langen Zeitspanne sehr viel Schaden anrichten. Um das zu verhindern, unterstützen wir unsere Kunden mit passgenauen Threat Hunting Services bei der Lokalisierung von cyberkriminellen Aktivitäten in ihren Netzwerken, und helfen ihnen, diese zeitnah zu stoppen.“

Im Rahmen der Threat Hunting Services stellt Controlware den Kunden ein Team erfahrener Security-Experten zur Seite, die die Aktivitäten und Vorgänge im Netzwerk analysieren und mit bekannten Tools, Techniken und Prozessen (TTPs) der Angreifer abgleichen. Die Analysten nutzen dabei leistungsfähige KI-gestützte Analyse-Technologien, um die neuralgischen Punkte im Netzwerk zu überwachen. Hierzu gehören insbesondere:

– Lösungen für Endpoint Detection and Response (EDR), die die Endpoints im Netzwerk durchgehend auf Anhaltspunkte für cyberkriminelles Verhalten überwachen

– Lösungen für Cross-Layered Detection and Response (XDR), die Netzwerk- und Security-Systeme überwachen und Metadaten wie E-Mails und Cloud-Workloads auswerten

Die mit diesen Technologien gesammelten Informationen werden mit umfangreicher Threat-Intelligence führender Hersteller angereichert und mit den im MITRE ATT&CK Framework dokumentierten TTPs abgeglichen. Automatisierte Analysen der Daten ermöglichen es den Experten im Controlware Cyber Defense Center anschließend, Hinweise auf eine erfolgreiche Kompromittierung zu identifizieren und die Cyber-Bedrohungen im Netzwerk zuverlässig zu lokalisieren und abzuwenden.

Benjamin Heyder erklärt: „Threat Hunting entwickelt sich immer mehr zu einem zentralen Baustein moderner Security-Architekturen – ist aber sowohl mit Blick auf die technologischen Komponenten als auch mit Blick auf die Daten-Analyse eine überaus anspruchsvolle Disziplin. Erfahrungsgemäß tun sich selbst erfahrene Security-Teams oft schwer damit, die Flut an eingehenden Threat-, Kontext- und Log-Informationen in geordnete Bahnen zu lenken und auszuwerten. Managed Services sind hier eine sehr gute Alternative: Es muss weder internes Know-how aufgebaut noch in eigene Hardware- oder Software-Lösungen investiert werden – und trotzdem mit der Gewissheit, dass Angreifer im Netzwerk nicht lange unentdeckt bleiben.“

Hintergrund: Das Controlware Cyber Defense Center (CDC)
Controlware betreibt ein eigenes ISO 27001-zertifiziertes Cyber Defense Center in Deutschland, das Kunden bei der Erkennung, Bewertung und Abwehr von Cybergefahren unterstützt. Zu den im CDC bereitgestellten Cyber Defense Services gehören beispielsweise Vulnerability Management Services, Log-Analysen, EDR-Services und Dienstleistungen im Bereich Threat Detection. Das Portfolio ist modular aufgebaut und bietet Kunden die Möglichkeit, ihre Leistungspakete individuell zusammenzustellen und am konkreten Schutzbedarf auszurichten. Dabei können die Angebote auch flexibel mit weiteren Leistungen aus den Bereichen Systemintegration und Beratung kombiniert werden.

Mehr Informationen unter: https://www.controlware.de/services/cyber-defense-services.html

Über Controlware GmbH
Die Controlware GmbH, Dietzenbach, ist mit mehr als 800 Mitarbeitern und einem Umsatz von ca. 330 Mio. Euro einer der führenden unabhängigen Systemintegratoren und Managed Service Provider in Deutschland. Das 1980 gegründete Unternehmen entwickelt, implementiert und betreibt anspruchsvolle IT-Lösungen für die Data Center-, Enterprise- und Campus-Umgebungen seiner Kunden. Das Portfolio erstreckt sich von der Beratung und Planung über Installation und Wartung bis hin zu Management, Überwachung und Betrieb von Kundeninfrastrukturen durch das firmeneigene ISO 27001-zertifizierte Customer Service Center. Zentrale Geschäftsfelder der Controlware sind die Bereiche Network Solutions, Collaboration, Information Security, Application Delivery, Data Center & Cloud sowie IT-Management. Controlware arbeitet eng mit national und international führenden Herstellern zusammen und verfügt bei den meisten dieser Partner über den höchsten Zertifizierungsgrad. Das starke Unternehmen unterhält ein flächendeckendes Vertriebs- und Servicenetz mit 16 Standorten in DACH. Im Bereich der Nachwuchsförderung kooperiert Controlware mit renommierten deutschen Hochschulen und betreut durchgehend um die 50 Auszubildende und Studenten. Zu den Unternehmen der Controlware Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, die Networkers AG und die productware GmbH.

Firmenkontakt
Controlware GmbH
Stefanie Zender
Waldstraße 92
63128 Dietzenbach
+49 6074 858-246
+49 6074 858-220
stefanie.zender@controlware.de
www.controlware.de

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Erlangen-Bubenreuth
+49 9131 812 81-25
+49 9131 812 81-28
michal.vitkovsky@h-zwo-b.de
www.h-zwo-b.de

Dietzenbach, 21. April 2022 – Die neue Schwachstelle „Spring4Shell“ im Spring Framework macht Java-Anwendungen potenziell für Remote Code Executions (RCE) angreifbar. Die Security-Experten von Controlware unterstützen Kunden mit Compromise Assessments, Vulnerability Scans und Threat Hunting dabei, verwundbare Systeme zu lokalisieren und auf einen möglichen Befall zu untersuchen.

Spring4Shell wurde am 31. März 2022 erstmals dokumentiert, als Sicherheitslücke mit der Kennung CVE-2022-22965 versehen und mit einem kritischen CVSS Score von 9,8 bewertet. Nach aktuellem Kenntnisstand betrifft die Schwachstelle Spring MVC- und Spring WebFlux-Anwendungen, die über das Java Development Kit (JDK) 9 oder höher auf einem Apache Tomcat Webserver ausgeführt werden. Kompromittierte Systeme können dabei für gefährliche Remote Code Executions (RCE) missbraucht werden – Unternehmen sollten potenziell anfällige Umgebungen daher mit hoher Dringlichkeit auf verdächtige Prozesse, die aus Java heraus gestartet wurden, untersuchen. Als Datenquelle für diese Analyse eignen sich besonders gut die Endpoint-Telemetrie-Daten der betroffenen Systeme, zum Beispiel solche aus EDR-Lösungen.

„Spring4Shell erinnert in vielen Bereichen an Log4Shell. Die Schwachstelle betrifft zwar nicht ganz so viele Organisationen, doch das Potenzial für gefährliche Remote Code Executions ist ebenso hoch, da die Angreifer beliebigen Code einschleusen und enorme Schäden verursachen können“, warnt Benjamin Heyder, Teamlead Cyber Defense Consulting bei Controlware. „Unternehmen sollten daher schnellstmöglich prüfen, ob ihre Systeme angreifbar sind oder sogar bereits kompromittiert wurden. Dafür empfehlen wir neben Schwachstellen-Scans auch dringend die Durchführung eines individuellen Compromise Assessments.“

Compromise Assessment gibt Klarheit
Nach aktuellen Expertenschätzungen bleiben Kompromittierungen in 98,9 Prozent aller Unternehmen unbemerkt. Bei einem Compromise Assessement wird das Netzwerk eines Unternehmens inklusive aller Devices systematisch untersucht, um Anzeichen für unbefugte Zugriffe, Schadsoftware oder Sicherheitslücken zu entdecken und aktuell laufende oder kürzlich erfolgte Angriffe zu identifizieren. „Ein Compromise Assessment erkennt viele Indikatoren, die ein Intrusion Prevention System oder ein Intrusion Detection System nicht registriert“, erklärt Benjamin Heyder. „Das ermöglicht es den internen Teams, Sicherheitslücken im vorhandenen Ökosystem zuverlässig zu entdecken und Security-Investitionen fundiert zu begründen. Der Großteil unserer Kunden entscheidet sich nach einem vierwöchigen Testbetrieb dafür, das Compromise Assessement in den Regelbetrieb zu überführen – und stellt so die Weichen für einen besseren Schutz und die kontinuierliche Optimierung ihrer Security-Prozesse.“

Neben Compromise Assessments unterstützt Controlware interessierte Unternehmen auch bei externen Vulnerability Scans und beim Threat Hunting sowie bei der darauffolgenden Optimierung ihrer IT-Sicherheitsstrategie. Kontakt und zusätzliche Informationen erhalten interessierte Unternehmen unter: cdc-feedback@controlware.de

Über Controlware GmbH
Die Controlware GmbH, Dietzenbach, ist mit mehr als 800 Mitarbeitern und einem Umsatz von ca. 330 Mio. Euro einer der führenden unabhängigen Systemintegratoren und Managed Service Provider in Deutschland. Das 1980 gegründete Unternehmen entwickelt, implementiert und betreibt anspruchsvolle IT-Lösungen für die Data Center-, Enterprise- und Campus-Umgebungen seiner Kunden. Das Portfolio erstreckt sich von der Beratung und Planung über Installation und Wartung bis hin zu Management, Überwachung und Betrieb von Kundeninfrastrukturen durch das firmeneigene ISO 27001-zertifizierte Customer Service Center. Zentrale Geschäftsfelder der Controlware sind die Bereiche Network Solutions, Collaboration, Information Security, Application Delivery, Data Center & Cloud sowie IT-Management. Controlware arbeitet eng mit national und international führenden Herstellern zusammen und verfügt bei den meisten dieser Partner über den höchsten Zertifizierungsgrad. Das starke Unternehmen unterhält ein flächendeckendes Vertriebs- und Servicenetz mit 16 Standorten in DACH. Im Bereich der Nachwuchsförderung kooperiert Controlware mit renommierten deutschen Hochschulen und betreut durchgehend um die 50 Auszubildende und Studenten. Zu den Unternehmen der Controlware Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, die Networkers AG und die productware GmbH.

Firmenkontakt
Controlware GmbH
Stefanie Zender
Waldstraße 92
63128 Dietzenbach
+49 6074 858-246
+49 6074 858-220
stefanie.zender@controlware.de
www.controlware.de

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Erlangen-Bubenreuth
+49 9131 812 81-25
+49 9131 812 81-28
michal.vitkovsky@h-zwo-b.de
www.h-zwo-b.de