social.bund.de is one of the many independent Mastodon servers you can use to participate in the fediverse.
Dies ist der Mastodon-Server der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Administered by:

Server stats:

99
active users

#CERTWarnung

0 posts0 participants0 posts today

❗ ❗
In dem weit verbreiteten Ingress NGINX Controller für Kubernetes wurden kritische geschlossen, die entfernten Angreifenden eine vollständige Clusterübernahme ermöglichen können. Administratoren sollten schnellstmöglich ihre Cluster prüfen und Patches installieren.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Kubernetes - Kritische Schwachstelle im Ingress NGINX Controller ermöglicht ClusterübernahmeAm 24. März 2025 veröffentlichte Kubernetes Advisories zu mehreren Schwachstellen im weit verbreiteten Ingress NGINX Controller für Kubernetes. Dieser wird häufig als Reverse Proxy und Load Balancer eingesetzt, um externen HTTP(s) Traffic auf interne Kubernetes-Services weiterzuleiten. Insgesamt wurden fünf Schwachstellen geschlossen, wovon vier die unautorisierte Ausführung von Code aus der Ferne (RCE) ermöglichen. Hervorzuheben ist dabei insbesondere die nach CVSS:3.1 mit 9.8 als "kritisch" bewertete Sicherheitslücke CVE-2025-1974. Den drei weiteren RCE-Verwundbarkeiten wird mit jeweils 8.8 eine "hohe" Kritikalität attestiert (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514). Das IT-Sicherheitsunternehmen Wiz veröffentlichte weitere Details zu den schwerwiegendsten Schwachstellen, die demnach einen Angreifer dazu in die Lage versetzen können, aus der Ferne unautorisierten Zugriff auf sensible Daten zu erlangen und somit letztendlich das gesamte Cluster zu übernehmen. Aufgrund des großen Gefährdungspotentials bezeichnet das IT-Sicherheitsunternehmen den Sachverhalt auch als "IngressNightmare".  Betroffen von der Schwachstelle sind die Versionen: < v1.11.0 v1.11.0 - 1.11.4 v1.12.0 Eine Ausnutzung der genannten Schwachstellen ist bislang nicht bekannt.

❗ ❗
In dieser Woche veröffentlichten Sicherheitsforscher einen Proof of Concept-Exploit zu einer in SonicOS. Demnach könnten Angreifer Sessions von aktiven SSLVPN-Usern kapern und unbefugt Zugriff auf Netzwerke erhalten. Betreiber von SonicWall Firewalls sollten daher zeitnah die Empfehlungen des Herstellers prüfen, da kurzfristig mit Angriffsversuchen gerechnet werden muss: bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: SonicWall SonicOS - Proof-of-Concept Exploit für Schwachstelle im SSLVPN veröffentlichtAm 7. Januar veröffentlichte SonicWall ein Advisory zu mehreren Schwachstellen im Firewall-Betriebssystem SonicOS. Unter anderem wurde eine schwerwiegende Schwachstelle in der SSLVPN Komponente von SonicOS geschlossen, welche die Umgehung der Authentifizierung ermöglicht (CWE-287). Die Sicherheitslücke mit der Kennung CVE-2024-53704 wurde nach dem Common Vulnerability Scoring System (CVSS) mit 8.2 ("hoch") bewertet. Am 28. Januar veröffentlichten IT-Sicherheitsforscher von Rapid 7 zu der Schwachstelle ein Proof-of-Concept Exploit sowie technische Details. Demnach kann ein nicht-authentifizierter Angreifer den SSLVPN Authentifizierungs-Vorgang umgehen, indem er eine existierende authentifizierte SSLVPN Client-Session kapert. In der Folge werden Angreifer in die Lage versetzt, auf interne Netzwerke zuzugreifen. Für die Ausnutzung benötigt der Angreifer keine Kenntnis über Benutzername oder Passwort. Eine womöglich implementierte Multi-Faktor-Authentifizierung (MFA) würde ebenfalls nicht greifen.

❗❗
Ivanti veröffentlichte gestern Details zu beobachteten Angriffen auf seine Cloud Services Appliance (CSA). Institutionen, die CSA in Version 4.6 (EOL) verwenden, sollten den vom 10.9. installieren oder besser auf CSA 5.0 wechseln.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Ivanti Cloud Services Appliance –Schwachstellen werden aktiv ausgenutzt

❗❗
Aktive Ausnutzung einer und noch kein Patch: Institutionen, die Firewalls von Palo Alto Networks einsetzen, sollten die Hinweise des Herstellers beachten und kurzfristig handeln:
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.3: Palo Alto Networks Firewalls - Aktive Ausnutzung einer ungepatchten SchwachstelleAm 12. April 2024 veröffentlichte das Unternehmen Palo Alto Networks ein Advisory zu einer aktiv ausgenutzten Schwachstelle in PAN-OS, dem Betriebssystem der Firewalls des Herstellers. Bei der Sicherheitslücke mit der Kennung CVE-2024-3400 handelt es sich um eine OS Command Injection im GlobalProtect Gateway Feature, die einem unauthentifizierten Angreifenden aus der Ferne das Ausführen von Code mit Root-Rechten auf der Firewall ermöglicht. Die Schwachstelle wurde nach dem Common Vulnerability Scoring System (CVSS) mit dem höchsten Wert 10.0 ("kritisch"; CVSS 4.0) bewertet. Die Patches (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) werden nach Angaben im Advisory voraussichtlich am 14. April 2024 veröffentlicht. Palo Alto Networks gibt an, eine begrenzte Anzahl an Angriffen mittels dieser Schwachstelle beobachtete zu haben. Update 1: Am 15. April 2024 gab der Hersteller die Hotfixes 11.1.2-h3, 11.0.4-h1 und 10.2.9-h1 heraus, welche die Schwachstelle schließen. Das IT-Sicherheitsunternehmen Volexity veröffentlichte letzte Woche einen Blogbeitrag zur beobachteten Ausnutzung von CVE-2024-3400. Dort enthalten sind Details zum Vorgehen der Angreifenden sowie Indikatoren einer Kompromittierung. Update 2: Palo Alto Networks hat das Advisory angepasst und weist darauf hin, dass der bisherige Workaround, das Deaktivieren der Telemetrie-Funktion, nicht mehr vor dem Ausnutzen der Schwachstelle CVE-2024-3400 schützt. Des Weiteren wird eine zunehmend breite Ausnutzung beobachtet und Exploits sind öffentlich verfügbar. Update 3: Neben den physischen Geräten von Palo Alto können auch Produkte anderer Hersteller, welche die verwundbaren PAN-OS Versionen (beispielsweise als virtuelle Maschine) integriert und Global Protect konfiguriert haben, anfällig sein.

❗❗
@CISACyber
und
@Mandiant
veröffentlichten Berichte über mögliche persistente Malware auf Ivanti Systemen. Ivanti stellt daher eine aktualisierte Version des Integritätsprüfungs-Tools zur Verfügung, um diese besser erkennen zu können.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.4: Zero-Day Schwachstellen bei Cyber-Angriffen auf verschiedene Ivanti-Produkte genutztAm Abend des 10. Januar 2024 veröffentlichte der Hersteller Ivanti ein Advisory zu zwei bislang ungepatchten Schwachstellen in mehreren Produkten, die bereits für Cyber-Angriffe ausgenutzt werden. Betroffen sind demnach folgende Lösungen: - Ivanti Connect Secure (ehemals Ivanti Pulse Secure) - Ivanti Policy Secure - Ivanti Neurons for Zero Trust Access (ZTA) (siehe weiter unten) Grundsätzlich sind alle derzeit im Support befindlichen Versionen dieser Produkte betroffen. Für ältere, nicht mehr unterstützte Patchstände hat der Hersteller bislang keine Untersuchungen vorgenommen. In Ivantis Neurons for ZTA Gateways liegen die Schwachstellen zwar grundsätzlich vor, können im laufenden Betrieb bislang jedoch nicht angegriffen werden. Bei den entdeckten Attacken kombinierten Angreifende eine Authentication Bypass- (CVE-2023-46805) (CVSS-Bewertung: 8.2) und eine Command Injection-Schwachstelle (CVE-2024-21887) (CVSS-Bewertung: 9.1) miteinander, um aus der Ferne Schadcode auf den Ivanti-Geräten auszuführen. Der Hersteller berichtet von Angriffen auf weniger als 10 Kunden. Update 1: Volexity veröffentlichte am 15. Januar 2024 einen Blogbeitrag über eine breite Ausnutzung der Schwachstellen. Mehr als 1.700 kompromittierte Ivanti Connect Secure Instanzen konnten von Volexity weltweit identifiziert werden. Update 2: Am 31. Januar 2024 informierte der Hersteller über die Entdeckung einer neuen Privilege Escalation (CVE-2024-21888) sowie einer Server Side Request Forgery (SSRF) Schwachstelle (CVE-2024-21893) in den o.g. Produkten. Ivanti gibt an, dass die SSRF Schwachstelle (CVE-2024-21893), die Angreifenden ohne Authentifizierung Zugriff auf bestimmte Ressourcen erlaubt, bereits ausgenutzt wurde. Ivanti hat inzwischen erste Patches für Ivanti Connect Secure veröffentlicht, die schnellstmöglichst installiert werden sollten. Ebenso steht eine neue Mitigationsmaßnahme zur Verfügung, die, falls kein Patch installiert werden kann, eingespielt werden sollte. Es wurde außerdem beobachtet, dass Angreifende Detektionsmaßnahmen umgehen und sich auf interne Systeme ausbreiten konnten. Update 3: Am Abend des 8. Februar informierte Ivanti über die Entdeckung einer weiteren Schwachstelle in der Security Assertion Markup Language (SAML)-Komponente der o.g. Geräte. Mithilfe einer XML External Entity (XXE)-Sicherheitslücke könnten Angreifende in die Lage versetzt werden, ohne Authentifizierung auf geschützte Bereiche von Ivanti Connect Secure, Policy Secure oder ZTA Gateways zuzugreifen. Die Schwachstelle mit der Kennung CVE-2024-22024 wurde nach dem Common Vulnerability Scoring System (CVSS) mit einer hohen Kritikalität (8.3) bewertet. Betroffen sind nur bestimmte Software-Versionen, darunter jedoch auch Patchstände von Anfang Februar, für die Patches bereitstehen, welche eingespielt werden müssen. Eine Ausnutzung von CVE-2024-22024 ist bislang nicht bekannt. Update 4: Ivanti hat eine neue Version des externen Integritätsprüfungs-Tools (ICT) veröffentlicht, das nun alle Dateien auf dem System anzeigen kann sowie einen unverschlüsselten Snapshot zur Analyse zur Verfügung stellt. Die IT-Sicherheitsforscher von Mandiant konnten bei Analysen von beobachteter Malware auf Ivanti Appliances feststellen, dass Angreifende versuchten, persistente Malware zu installieren, die nicht durch das Zurücksetzen oder durch ein Update entfernt wird. Bislang sind jedoch keine Fälle bekannt, in denen derartige Installationsversuche erfolgreich waren.

❗❗
Microsoft gab bekannt, dass auf eine kritische in , die im Rahmen des Februar-Patchdays geschlossen wurde, bereits Angriffe stattfinden.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: Microsoft Exchange - Aktive Ausnutzung einer Zero-Day-SchwachstelleAm 14. Februar 2024 aktualisierte Microsoft sein Advisory zu einer Schwachstelle in Microsoft Exchange Server (CVE-2024-21410), die der Hersteller im Rahmen des Februar Patchdays geschlossen hatte. Ergänzt wurde der Hinweis, dass die Sicherheitslücke bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen. Die Bewertung nach dem Common Vulnerability Scoring System (CVSS) in Version 3.1 ist mit einem Wert von 9.8 daher "kritisch". Diese sogenannten NTLM-Relay-Angriffe können durch die Schutzfunktion Extended Protection (EP), auch Extended Protection for Authentication (EPA) genannt, unterbunden werden, die das Update Exchange Server 2019 CU14 standardmäßig aktiviert. Betroffen sind Versionen von Microsoft Exchange Server vor Cumulative Update 14 für Exchange Server 2019, ohne aktiviertes Extended-Protection-Feature.

❗❗
Für eine OS Command Injection in den sehr weitverbreiteten NAS-Lösungen wurde -Code veröffentlicht. Betreiber sollten schnellstmöglich die empfohlenen Schutzmaßnahmen prüfen!
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.0: QNAP - Proof-of-Concept für Schwachstelle in QNAP QTS, QuTS hero und QuTScloud veröffentlichtAm 13. Februar 2024 veröffentlichte der Hersteller QNAP ein Advisory zu mehreren Schwachstellen in den Betriebssystemen QTS, QuTS hero und QuTScloud. Diese kommen in zahlreichen Network Attached Storage (NAS)-Lösungen des Herstellers zum Einsatz. Den Hinweisen des Unternehmens zufolge könnte es Angreifenden gelingen, aus der Ferne ohne Authentifizierung Befehle auf QNAP-Geräten auszuführen. Ausschlaggebend hierfür ist zum einen die Schwachstelle CVE-2023-50358, zum anderen die Sicherheitslücke CVE-2023-47218. Beide Verwundbarkeiten wurden nach dem Common Vulnerability Scoring System (CVSS) zwar nur mit einer mittleren Kritikalität (5.8) bewertet, die äußerst hohe Anzahl an über das Internet erreichbaren Geräten - sowohl in Deutschland als auch im Allgemeinen - könnte jedoch zu großen Schäden führen. Zusätzlich begünstigt wird diese Bedrohung aufgrund der Tatsache, dass die IT-Sicherheitsforschenden von Unit42 nun Proof of Concept (PoC)-Hinweise zu den Schwachstellen herausgegeben haben. Die Veröffentlichung erfolgte, nachdem die Sicherheitsforschenden seit November 2023 mit QNAP bezüglich des o.g. Sachverhalts im vertraulichen Austausch waren. Grund dafür waren Beobachtungen von Unit42, die das Team im Rahmen eines IT-Sicherheitsvorfalls gemacht hatte.

❗❗
In einer Veröffentlichung hat heute über zwei weitere in Ivanti Connect Secure, Policy Secure und ZTA informiert. IT-Sicherheitsverantwortliche sollten die empfohlenen Schutzmaßnahmen kurzfristig prüfen.
bsi.bund.de/SharedDocs/Cybersi

Bundesamt für Sicherheit in der InformationstechnikVersion 1.4: Zero-Day Schwachstellen bei Cyber-Angriffen auf verschiedene Ivanti-Produkte genutztAm Abend des 10. Januar 2024 veröffentlichte der Hersteller Ivanti ein Advisory zu zwei bislang ungepatchten Schwachstellen in mehreren Produkten, die bereits für Cyber-Angriffe ausgenutzt werden. Betroffen sind demnach folgende Lösungen: - Ivanti Connect Secure (ehemals Ivanti Pulse Secure) - Ivanti Policy Secure - Ivanti Neurons for Zero Trust Access (ZTA) (siehe weiter unten) Grundsätzlich sind alle derzeit im Support befindlichen Versionen dieser Produkte betroffen. Für ältere, nicht mehr unterstützte Patchstände hat der Hersteller bislang keine Untersuchungen vorgenommen. In Ivantis Neurons for ZTA Gateways liegen die Schwachstellen zwar grundsätzlich vor, können im laufenden Betrieb bislang jedoch nicht angegriffen werden. Bei den entdeckten Attacken kombinierten Angreifende eine Authentication Bypass- (CVE-2023-46805) (CVSS-Bewertung: 8.2) und eine Command Injection-Schwachstelle (CVE-2024-21887) (CVSS-Bewertung: 9.1) miteinander, um aus der Ferne Schadcode auf den Ivanti-Geräten auszuführen. Der Hersteller berichtet von Angriffen auf weniger als 10 Kunden. Update 1: Volexity veröffentlichte am 15. Januar 2024 einen Blogbeitrag über eine breite Ausnutzung der Schwachstellen. Mehr als 1.700 kompromittierte Ivanti Connect Secure Instanzen konnten von Volexity weltweit identifiziert werden. Update 2: Am 31. Januar 2024 informierte der Hersteller über die Entdeckung einer neuen Privilege Escalation (CVE-2024-21888) sowie einer Server Side Request Forgery (SSRF) Schwachstelle (CVE-2024-21893) in den o.g. Produkten. Ivanti gibt an, dass die SSRF Schwachstelle (CVE-2024-21893), die Angreifenden ohne Authentifizierung Zugriff auf bestimmte Ressourcen erlaubt, bereits ausgenutzt wurde. Ivanti hat inzwischen erste Patches für Ivanti Connect Secure veröffentlicht, die schnellstmöglichst installiert werden sollten. Ebenso steht eine neue Mitigationsmaßnahme zur Verfügung, die, falls kein Patch installiert werden kann, eingespielt werden sollte. Es wurde außerdem beobachtet, dass Angreifende Detektionsmaßnahmen umgehen und sich auf interne Systeme ausbreiten konnten. Update 3: Am Abend des 8. Februar informierte Ivanti über die Entdeckung einer weiteren Schwachstelle in der Security Assertion Markup Language (SAML)-Komponente der o.g. Geräte. Mithilfe einer XML External Entity (XXE)-Sicherheitslücke könnten Angreifende in die Lage versetzt werden, ohne Authentifizierung auf geschützte Bereiche von Ivanti Connect Secure, Policy Secure oder ZTA Gateways zuzugreifen. Die Schwachstelle mit der Kennung CVE-2024-22024 wurde nach dem Common Vulnerability Scoring System (CVSS) mit einer hohen Kritikalität (8.3) bewertet. Betroffen sind nur bestimmte Software-Versionen, darunter jedoch auch Patchstände von Anfang Februar, für die Patches bereitstehen, welche eingespielt werden müssen. Eine Ausnutzung von CVE-2024-22024 ist bislang nicht bekannt. Update 4: Ivanti hat eine neue Version des externen Integritätsprüfungs-Tools (ICT) veröffentlicht, das nun alle Dateien auf dem System anzeigen kann sowie einen unverschlüsselten Snapshot zur Analyse zur Verfügung stellt. Die IT-Sicherheitsforscher von Mandiant konnten bei Analysen von beobachteter Malware auf Ivanti Appliances feststellen, dass Angreifende versuchten, persistente Malware zu installieren, die nicht durch das Zurücksetzen oder durch ein Update entfernt wird. Bislang sind jedoch keine Fälle bekannt, in denen derartige Installationsversuche erfolgreich waren.