Unser neuer Standort in Hannover

Unser neuer Standort in Hannover

Unser neuer Standort in Hannover

Bornheim, 31. Mai 2022. 

Um unseren bereits umfangreichen Service weiter auszubauen agieren wir nun zusätzlich auch von unserem neuen Standort in Hannover. Dort steht unseren Mitarbeitern und Kunden jeweils ein vollwertiger Leitstellenbereich als Security Operations Center (SOC) zur Verfügung.

Der Standort in Hannover wurde bewusst gewählt. Denn auch die zur TÜV AUSTRIA Gruppe gehörige CIPHRON GmbH ist hier ansässig. Mit mehr als zehn Jahren Erfahrung sind die Spezialisten der CIPHRON GmbH für die Absicherung komplexer und kritischer IT-Infrastrukturen ein optimaler Partner, um unsere Services weiter auszubauen.

Machen Sie sich hier gerne ein Bild von unseren Räumlichkeiten:

Certified Security Operations Center GmbH weitet Geschäftstätigkeit aus

Certified Security Operations Center GmbH weitet Geschäftstätigkeit aus

Mit neuen Standorten in Berlin und Hannover bietet die Certified Security Operations Center GmbH ihren Kunden künftig noch mehr Service

Bornheim, 24. Mai 2022. Die Certified Security Operations Center GmbH wurde Anfang 2021 als Joint Venture der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA und der dhpg IT-Services GmbH neu formiert und beschäftigt seitdem an seinem Hauptsitz im rheinischen Bornheim ein Team aus erfahrenen und hochqualifizierten Experten im Bereich der Cybersecurity. Um den bereits umfangreichen Service weiter auszubauen agiert das Unternehmen nun zusätzlich von zwei neuen Standorten in Berlin und Hannover, wo Mitarbeitern und Kunden jeweils ein vollwertiger Leitstellenbereich als Security Operations Center (SOC) zur Verfügung stehen wird. Das SOC as a Service bildet standortübergreifend die Kerndienstleistung der Certified Security Operations Center GmbH und bietet eine Rund-um-die-Uhr-Überwachung der IT-Systeme angeschlossener Kunden. Dabei bedient sich das Unternehmen einer effektiven Kombination aus Sensortechnik und Know-how des spezialisierten Expertenteams: Relevante Ereignisse werden vom System erkannt und durch die Mitarbeiter individuell ausgewertet, bevor nötige Gegenmaßnahmen ergriffen werden.

Noch mehr Service für einen umfassenden Schutz vor Cyberangriffen

Bei akuten Bedrohungen ist die Interaktion mit den Kunden erforderlich. Diese schätzen jedoch nicht nur im Ernstfall den persönlichen Kontakt mit den Security Experten. „Wir stehen im ständigen Austausch mit unseren Kunden, beziehen diese auch in die Weiterentwicklung unserer Services ein und haben daher immer im Blick, wo die Bedürfnisse auf Kundenseite liegen“, erklärt Geschäftsführer Stefan Möller. Und weiter: „Das 24/7-Konzept ist für uns ein zentraler Service, den wir an unserem neuen Standort in Berlin ausgeweitet haben. Hier steht unseren Kunden nicht nur die Rund-um-die-Uhr-Überwachung ihrer Systeme durch unser SOC zur Verfügung. Auch unsere Mitarbeiter werden dort 24 Stunden am Tag erreichbar sein.“ Mit der steigenden Mitarbeiterzahl und größerer regionaler Präsenz verspricht sich das Unternehmen, die wachsenden Anforderungen seiner Kunden noch umfassender zu bedienen. Der neue Standort in Hannover wurde demnach bewusst gewählt. Denn auch die zur TÜV AUSTRIA Gruppe gehörige CIPHRON GmbH ist hier ansässig. Mit mehr als zehn Jahren Erfahrung sind die Spezialisten der CIPHRON GmbH für die Absicherung komplexer und kritischer IT-Infrastrukturen ein optimaler Partner, um die Services der Certified Security Operations Center GmbH weiter auszubauen. „Wir als Certified Security Operations Center GmbH stehen für einen nachhaltigen Schutz vor Cyberangriffen und unsere erste Prämisse besteht darin, diesen weiterhin aufrechtzuerhalten. Da heißt es, am Ball bleiben. Mit der personellen Aufstockung, der damit verbundenen Erweiterung unseres Portfolios um eine 24-Stunden-Erreichbarkeit von Berlin aus und der CIPHRON GmbH als starker Partner am Standort Hannover machen wir einen weiteren wichtigen Entwicklungsschritt und demonstrieren, dass es bei uns keinen Stillstand geben wird“, resümiert der Geschäftsführer.

 

CISA veröffentlicht die am häufigsten ausgenutzten Software-Schwachstellen

CISA veröffentlicht die am häufigsten ausgenutzten Software-Schwachstellen

CISA veröffentlicht die am häufigsten ausgenutzten Software-Schwachstellen

Die US-Behörde für Cybersicherheit CISA hat kürzlich eine Liste der am häufigsten ausgenutzten Software-Schwachstellen veröffentlicht.

Log4Shell, ProxyShell, ProxyLogon, ZeroLogon und Schwachstellen in Zoho ManageEngine AD SelfService Plus, Atlassian Confluence und VMware vSphere Client gehören demnach zu den meistgenutzten Sicherheitslücken im Jahr 2021.

Zu den anderen häufig ausgenutzten Schwachstellen gehörten ein Fehler bei der Remote-Codeausführung in Microsoft Exchange Server (CVE-2020-0688), eine Schwachstelle beim Lesen beliebiger Dateien in Pulse Secure and Pulse Connect Secure (CVE-2019-11510) und ein Fehler bei der Pfadumgehung in Fortinet FortiOS und FortiProxy (CVE-2018-13379):

 

CVE Vulnerability Name Vendor and Product Type
CVE-2021-44228 Log4Shell Apache Log4j Remote code execution (RCE)
CVE-2021-40539 Zoho ManageEngine AD SelfService Plus RCE
CVE-2021-34523 ProxyShell Microsoft Exchange Server Elevation of privilege
CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE
CVE-2021-31207 ProxyShell Microsoft Exchange Server Security feature bypass
CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE
CVE-2021-26858 ProxyLogon Microsoft Exchange Server RCE
CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE
CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE
CVE-2021-26084 Atlassian Confluence Server and Data Center Arbitrary code execution
CVE-2021-21972 VMware vSphere Client RCE
CVE-2020-1472 ZeroLogon Microsoft Netlogon Remote Protocol (MS-NRPC) Elevation of privilege
CVE-2020-0688 Microsoft Exchange Server RCE
CVE-2019-11510 Pulse Secure and Pulse Connect Secure Arbitrary file reading
CVE-2018-13379 Fortinet FortiOS and FortiProxy Path traversal

Quelle: https://www.cisa.gov/uscert/ncas/alerts/aa22-117a

9 der 15 am häufigsten ausgenutzten Schwachstellen waren Schwachstellen bei der Remote-Codeausführung, gefolgt von zwei Schwachstellen bei der Ausweitung von Berechtigungen und je einer Schwachstelle bei der Umgehung von Sicherheitsfunktionen, bei der Ausführung von beliebigem Code, beim Lesen beliebiger Dateien und bei der Pfadumgehung.

Einige dieser für unsere Kunden relevanten Schwachstellen haben wir im Rahmen unseres Cyber-Sicherheitsreports 2021 ausführlich erläutert und Tipps zur Verfügung gestellt, wie Unternehmen sich auch in den kommenden Jahren schützen können.

Um das Risiko der Ausnutzung von öffentlich bekannten Software-Schwachstellen zu verringern, empfehlen die Behörden den Unternehmen, Patches rechtzeitig anzuwenden und ein zentrales Patch-Management-System zu implementieren.

 

Schwachstelle im Exiftool ermöglicht Remote-Code-Ausführung

Schwachstelle im Exiftool ermöglicht Remote-Code-Ausführung

Schwachstelle im Exiftool ermöglicht Remote-Code-Ausführung

Es gibt immer wieder Schwachstellen, die das Potential haben, für sehr weitreichende Probleme zu sorgen, seit langem veröffentlicht aber dennoch wenigen bekannt sind. Eine davon ist eine Schwachstelle im Exiftool.

Die als CVE-2021-22204 (CVSS-Bewertung: 7,8) registrierte Schwachstelle wurde im Rahmen des Bug Bounty-Programms von Gitlab aufgedeckt und bereits in einem am 13. April 2021 veröffentlichten Sicherheitsupdate behoben. Dennoch möchten wir heute näher auf diese mit hohem Schweregrad ausgezeichnete Schwachstelle eingehen, die wir für unsere angeschlossenen Kunden detaillierter untersucht haben.

Detaillierte Analyse

Exiftool ist ein in Perl entwickeltes Tool sowie eine Bibliothek, die Metadaten aus fast allen Dateitypen extrahiert. Die darin entdeckte Schwachstelle ermöglicht einen Angriff mit willkürlicher Remote-Codeausführung, die aus einer falschen Handhabung von DjVu-Dateien durch ExifTool entsteht.

Die Untersuchung des zur Verfügung gestellten Patchs gab uns Aufschluss darüber, wie die Ausnutzung der Schwachstelle genau funktioniert. Es zeigte sich, dass Strings mit Sonderzeichen mit einer Kombination aus Regex und einer eval-Anweisung versehen wurden. Wenn ein Angreifer Perl-Code in die ausgewertete Zeichenkette einschleusen und das "Anführungszeichen-Gefängnis" umgehen könnte, wäre es trivial, beliebigen Perl-Code auszuführen.

Dieser Fehler hat also das Potenzial weitreichende Auswirkungen nach sich zu ziehen. Zumal anzunehmen ist, dass ExifTool im Backend vieler Websites von Unternehmen läuft und die Metadaten aus hochgeladenen Bildern ausliest. Jede dieser Websites kann daher auf triviale Weise durch das Hochladen eines modifizierten Bildes kompromittiert werden. Ein Beispiel: Sicherheitsforschern war es Ende April 2022 gelungen durch Ausnutzung dieser Schwachstelle in den Scan-Dienst „Virustotal“ einzubrechen und ungepatchte Antiviren-Sandboxen von Drittanbietern zu übernehmen. Daher empfehlen wir Patches grundsätzlich so früh wie möglich zu installieren.

Quellen:

https://www.cysrc.com/blog/virus-total-blog/

https://hackerone.com/reports/1154542

https://blog.convisoappsec.com/en/a-case-study-on-cve-2021-22204-exiftool-rce/

https://devcraft.io/2021/05/04/exiftool-arbitrary-code-execution-cve-2021-22204.html

https://nvd.nist.gov/vuln/detail/CVE-2021-22204

Unsere Handlungsempfehlungen:

- Wir empfehlen zu prüfen, ob das Tool tatsächlich verwendet wird. Falls ja, sollte umgehend die gepatchte Version 12.2 4 installiert werden.

- Als Betreiber eines Servers sollten Sie generell darauf achten, stets aktuelle Software zu nutzen und diese regelmäßig zu aktualisieren.

-Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.