„CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

[datensicherheit.de, 27.09.2024] „Bei der Ausführung von Remote-Code in ,Linux CUPS’ wurden neue Probleme entdeckt“, berichtet Saeed Abbasi, Produktmanager der „Threat Research Unit“ bei Qualys, in einer aktuellen Meldung. Laut einer Untersuchung der „Qualys Threat Research Unit“ sollen mehr als 76.000 Geräte betroffen sein, „von denen mehr als 42.000 öffentlich zugängliche Verbindungen akzeptieren“.

Foto: Qualys

Saeed Abbasi: Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen…

Schwachstelle „CVE-2024-47176“ in „cups-browsed“-Versionen in verschiedenen „UNIX“-Systemen weit verbreitet

Abbasi erläutert: „,CUPS’ (Common Unix Printing System) ist das Standard-Drucksystem für viele ,Unix’-ähnliche Betriebssysteme wie ,GNU/Linux’-Distributionen und ,macOS’. Die Schwachstelle ,CVE-2024-47176‘ in ,cups-browsed’-Versionen ist in verschiedenen ,UNIX’-Systemen weit verbreitet, darunter ,GNU/Linux’-Distributionen, ausgewählte ,BSDs’, möglicherweise ,Oracle Solaris’ und ,Google Chromium/ChromeOS’.“ In einigen Fällen sei sie standardmäßig aktiviert, in anderen nicht.

Diese Schwachstellen ermöglichten es einem nicht authentifizierten Angreifer, die IPP-URLs vorhandener Drucker stillschweigend durch bösartige URLs zu ersetzen. Dies könne dazu führen, „dass auf dem betroffenen Computer beliebige Befehle ausgeführt werden, wenn ein Druckauftrag initiiert wird“. Ein Angreifer könne ein „speziell gestaltetes UDP-Paket“ über das öffentliche Internet an „Port 631“ senden und so die Schwachstellen ohne jegliche Authentifizierung ausnutzen.

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten!

Die Verbreitung von „GNU/Linux“-Systemen als Unternehmensserver, „Cloud“-Infrastrukturen und Kritischen Anwendungen stelle durch die Sicherheitslücke eine große Angriffsfläche dar und betreffe potenziell eine große Anzahl von Servern, Desktops und eingebetteten Geräten weltweit. Angreifer benötigten keine gültigen Anmeldeinformationen, um diese Sicherheitslücke auszunutzen. Abbasi warnt: „Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen und möglicherweise die vollständige Kontrolle über betroffene Systeme zu erlangen. Die Sicherheitslücke hat einen CVSS-Wert von 9,9 und wird damit als ,kritisch’ eingestuft.“

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten. Es gelte den Netzwerkzugriff einzuschränken, nicht unbedingt erforderliche Dienste zu deaktivieren und strenge Zugriffskontrollen zu implementieren. „Linux“-Administratoren müssten sich auf eine schnelle Fehlerbehebung vorbereiten, sobald ein Patch verfügbar ist – „und die Patches natürlich vor dem Einspielen gründlich testen, um Ausfälle zu vermeiden“.

Weitere Informationen zum Thema:

Qualys Community, Saeed Abbasi, 26.09.2024
Critical Unauthenticated RCE Flaws in CUPS Printing Systems

Jörg Vollmer rät angesichts wachsender Ransomware-Bedrohung zur Prävention mit einhergehender Cyber-Hygiene

[datensicherheit.de, 17.02.2022] Nachdem das Entsorgungsunternehmen Otto Dörner laut Medienberichten Opfer eines Ransomware-Angriffs wurde, nimmt auch Jörg Vollmer von Qualys Stellung zu diesem Vorfall: „Zwar fand der Angriff bereits im Januar statt, doch in der Folge sind die Systeme des Unternehmens nach wie vor beeinträchtigt.“ Darüber hinaus hätten die Bedrohungsakteure eine große Datenmenge des Unternehmens verschlüsselt – mit den gestohlenen Daten erpressten die Täter das Unternehmen und forderten es dazu auf, für die Rückgabe der Daten ein Lösegeld zu zahlen. „Der Vorfall ereignet sich nicht lange nach dem Ransomware-Angriff auf das Tanklogistik-Unternehmen Oiltanking; beide Angriffe zeigen auf, dass Cyber-Angriffe zunehmend Kritische Infrastrukturen ins Visier nehmen“, kommentiert Vollmer.

Foto: Qualys

Jörg Vollmer: Nicht erst auf Ransomware-Angriffe reagieren, sondern präventiven Ansatz zur Vermeidung verfolgen!

Gefahr von Ransomware-Angriffen für jeden Betrieb ohne Präventionsmaßnahmen

Kriminelle Akteure fokussierten längst nicht mehr nur Unternehmen bestimmter Größe oder aus einem bestimmten Bereich. Vielmehr könnten Angriffe mittlerweile jeden Betrieb treffen, „der keine Sicherheitsmaßnahmen zur Prävention trifft“, warnt Vollmer und führt aus:

„Wenn die Angreifer erst in das Unternehmensnetzwerk gelangt sind, dann ist es für Sicherheitsmaßnahmen bereits zu spät.“ Daher sei es unbedingt erforderlich, nicht erst auf Angriffe zu reagieren, sondern einen präventiven Ansatz zur Vermeidung von Angriffen zu verfolgen.

Schutz vor Ransomware-Angriffen erfordern durchgehende Kontrolle sämtlicher Assets im Unternehmensnetzwerk

Diese Prävention gehe einher mit entsprechender Cyber-Hygiene und beinhalte den „Vulnerability Management“-Prozess des Unternehmens mit einer exakten Priorisierung der Risiken, Verfolgung der Schwachstellen-Behebung sowie Sicherstellung der Einhaltung von Richtlinien. Um Prozesse zu vereinfachen und Sicherheitsteams zu entlasten, setzten Unternehmen hierfür am besten eine automatisierte Lösung ein, um „Netzwerkkonfigurationen, Backups, Anwendungszugriff und Patches“ auf dem aktuellen Stand zu halten.

Abschließend betont Vollmer: „Ein durchgehender Schutz vor Ransomware-Angriffen wird nur dann gewährleistet, wenn gute Cyber-Hygienepraktiken verfolgt und sämtliche ,Assets‘ im Unternehmensnetzwerk durchgehend in Echtzeit überwacht und verwaltet werden.“

Weitere Informationen zum Thema:

svz.de Zeitung für die Landeshauptstadt, Marco Dittmer, 15.02.2022
Cyberattacke auf Entsorger in MV / Hacker greifen Otto Dörner an und fordern Lösegeld

datensicherheit.de, 16.02.2022
Erfolgreiche Ransomware-Attacke auf Abfallentsorger / Hacker-Attacke unterstreicht, dass jedes Unternehmen und jede Behörde auf der Abschussliste stehen kann

Auch Jörg Vollmer von Qualys kommentiert jüngsten Angriff auf Mineralölhändlerin und -lieferantin

[datensicherheit.de, 02.02.2022] Auch Jörg Vollmer, „General Manager Field Operations DACH und CEE“ bei Qualys, geht in seiner aktuellen Stellungnahme auf den Vorfall vom letzten Januar-Wochenende 2022 ein, bei dem die deutsche Mineralölhändlerin Oiltanking GmbH, welche auch Shell-Tankstellen in Deutschland beliefert, Opfer eines Cyber-Angriffs wurde, wodurch der Betrieb stark beeinträchtigt worden sein soll. Von diesem Angriff betroffen sei zudem die Öllieferantin Mabanaft GmbH – beide Unternehmen sind demnach Tochtergesellschaften der Marquard & Bahls-Gruppe, „die möglicherweise der Einbruchspunkt war“, so Vollmer.

Foto: Qualys

Jörg Vollmer: Sobald kriminelle Akteure Zugriff auf das Unternehmensnetzwerk erlangen, ist der Schaden zumeist irreversibel!

Hinter diesem Cyber-Angriff auf Oiltanking vermutlich Lösegeld fordernde Kriminelle

Fachleute befürchteten, dass hinter dieser Cyber-Attacke auf Oiltanking Lösegeld fordernde Kriminelle stecken könnten. „Sobald kriminelle Akteure Zugriff auf das Unternehmensnetzwerk erlangt haben, ist der dadurch entstandene Schaden in den meisten Fällen irreversibel, wenn die Hacker bereits Daten gesammelt oder manipuliert haben“, warnt Vollmer.

Unternehmen sollten zum Schutz vor Hacker-Angriffen am besten auf einen präventiven Ansatz in Verbindung mit entsprechender Cyber-Hygiene setzen.

Gute Cyber-Hygienepraktiken und Asset-Überwachung in Echtzeit als Basis der Prävention gegen Angriffe

Wichtig sei, „dass Unternehmen ihre Asset-Datenbank immer auf dem aktuellen Stand halten, die Behebung von Schwachstellen lückenlos verfolgen und die Einhaltung von Richtlinien sicherstellen“, so Vollmer. Dies betreffe nicht nur die lokalen IT-Umgebungen, sondern auch hybride Netzwerke. Idealerweise nutzten Unternehmen hierfür eine automatisierte Lösung, mit der System- und Netzwerkkonfigurationen, Anwendungen, Richtlinien und Patches auf dem neuesten Stand gehalten werden könnten.

Vollmers abschließender Rat: „Nur dann, wenn gute Cyber-Hygienepraktiken verfolgt und alle Assets im Unternehmensnetzwerk kontinuierlich in Echtzeit überwacht und verwaltet werden, können diese vor Angriffen von außen geschützt werden, um Ausfälle oder Datendiebstähle zu verhindern.“

Weitere Informationen zum Thema:

Oiltanking DEUTSCHLAND
Oiltanking Deutschland als Tanklagerlogistik-Dienstleister

datensicherheit.de, 02.02.2022
Tank-Logistikunternehmen Oiltanking von Hacker-Attacke betroffen / Hacker-Angriff stört Belieferung der Kunden

datensicherheit.de, 02.02.2022
Mutmaßlicher Ransomware-Angriff auf Oiltanking als Warnruf / Angriffe Cyber-Krimineller zunehmend auf Kritische Infrastrukturen, Versorger und Lieferketten

datensicherheit.de, 02.02.2022
Angriff auf Öl-Lieferanten Oiltanking zeigt: IT-Risiken zunehmend auch OT-Risiken / Auch Tankstellenkette Shell in Folge des Angriffs betroffen

datensicherheit.de, 01.02.2022
Tanklager in Deutschland nach Cyber-Angriff lahmgelegt / IT-Security-Experten geben erste Einschätzung zu Angriff auf Oiltanking

[datensicherheit.de, 29.11.2021] Kriminelle Akteure betrachten Feiertage und Wochenenden offensichtlich als attraktive Zeiträume für Ransomware-Angriffe. Außerhalb der Bürozeiten sei erwartungsgemäß weniger IT-Personal in Unternehmen vorhanden, das Angriffe erkennen und entsprechende Gegenmaßnahmen einleiten könnte. Die Hacker bereiteten sich auf diese Zeiträume gezielt vor, da sie sicher davon ausgehen könnten, dass sie bei Angriffen ein leichtes Spiel hätten und ihnen der Erfolg gesichert sei. Qualys geht in einer aktuellen Stellungnahme auf diese Problematik ein.

Automatisierte Lösung laut Qualys zuverlässiger bei Erkennung und Behebung von Schwachstellen in Echtzeit

Die Anzahl an „Assets“ in Unternehmen steige stetig – gleichzeitig werde das Fachpersonal im Bereich der IT-Security den damit einhergehenden Sicherheitsanforderungen nicht mehr gerecht. Um den Mangel an geschultem Personal auszugleichen, sollten Unternehmen daher verstärkt auf Automatisierung setzen. „So bewahren sie rund um die Uhr den Überblick über sämtliche ihrer ,Assets‘ und können diese durchgehend überwachen und auf mögliche Schwachstellen überprüfen, um mit der Ergreifung geeigneter Maßnahmen auf diese zu reagieren.“
Nicht zuletzt sei eine automatisierte Lösung zuverlässiger bei der Erkennung und Behebung von Schwachstellen in Echtzeit, denn beim Patch-Management sei die Zeit von der Erkennung bis zur Behebung einer Schwachstelle entscheidend für eine lückenlose Gerätesicherheit. So könne selbst bei einer zeitweisen Unterbesetzung in IT-Teams die IT-Sicherheit aufrechterhalten werden.

Anbieter wie Qualys erweitern klassische Incident Response um Prävention, Erkennung und Reaktion bei Sicherheitsbedrohungen auf Endpunkten

Automatisierte Plattformen zur kontinuierlichen Überwachung von Endpunkten, also generelle Services aus der Kategorie „Detection and Response“, ermöglichten es IT-Verantwortlichen, ihre „Assets“ auf mögliche Bedrohungen hin zu untersuchen. So könne ein Diebstahl sensibler Daten von diesen Geräten verhindert werden, „sobald es erste Anzeichen für einen solchen gibt“. Für ein schnelles Reagieren auf Vorfälle sei es essenziell, dass nicht allein dann agiert werde, „wenn es bereits zu einem Sicherheitsvorfall kommt“.
Es seien vielmehr präventive Maßnahmen erforderlich, denn diese entlasteten unterbesetzte Teams bei ihrer Reaktion auf solche Vorfälle, welche sich als falscher Alarm herausstellen. Es gebe Anbieter wie z.B. Qualys, die hierfür die klassische „Incident Response“ erweiterten, und Prävention, Erkennung und Reaktion bei Sicherheitsbedrohungen auf Endpunkten böten. Auf diese Weise könne mit einem proaktiven Ansatz die gesamte Angriffskette überwacht werden, statt lediglich reaktiv bereits bestehende Bedrohungen anzugehen. Mit den richtigen Tools könne also eine Kompromittierung der Unternehmenssysteme zu jeder Zeit im Jahr verhindert werden.

Weitere Informationen zum Thema:

datensicherheit.de, 11.11.2021
Aus aktuellem Anlass: 7 Tipps zu Ransomware-Angriffen für Unternehmen / Michael Scheffler gibt Betrieben Tipps, wie ein Ransomware-Angriff abgewehrt bzw. dessen Auswirkungen reduziert werden können

datensicherheit.de, 28.09.2021
Ransomware: 5 Tipps für Unternehmen, um sich zu schützen / Tanja Hofmann gibt fünf aktuelle Tipps, wie Organisationen ihre IT-Sicherheit verbessern können

Ben Carr kommentiert die jüngsten Angriffe Cyber-Krimineller gegen Twitter

[datensicherheit.de, 19.07.2020] Ben Carr, „CISO“ bei Qualys Inc., geht in seinem aktuellen Kommentar auf die jüngsten Angriffe Cyber-Krimineller gegen die Social-Media-Webplattform Twitter ein. „Das Konto-Highjacking bei Twitter hat die Frage aufgeworfen, wie das bei der beliebten Social-Media-Plattform geschehen konnte und wer das eigentliche Ziel gewesen sein könnte. Infolgedessen fragen sich viele Nutzer von Social-Media-Plattformen, ob ihre eigenen Konten sicher sind.“ Der Qualys-CISO wirft im Kontext dieses Vorfalls selbst kritische Fragen auf, z.B. warum Twitter den eigenen Mitarbeitern weiterhin die Möglichkeit bieten sollte, Benutzerkonten zu kontrollieren, und ob diese Möglichkeit schon einmal intern zum Versenden von Tweets im fremden Namen genutzt wurde – ohne das Wissen der eigentlichen Inhaber der betreffenden Twitter-Konten…

Foto: Qualys Inc.

Ben Carr: Wie immer, wenn es zu gut scheint: eine Lüge!

Angriff: Mittels Social Engineering über Mitarbeiterkonto Zugang zu Twitter erlangt

Die ersten Informationen schienen darauf hinzudeuten, dass der Datenschutzvorfall auf einem Angreifer basiert habe, welcher sich mittels ,Social Engineering‘ über ein Mitarbeiterkonto Zugang zu internen Systemen verschafft habe. Carr erläutert: „Er benutzte dann jenes Konto, um auf ein Verwaltungswerkzeug innerhalb des Twitter-Systems zuzugreifen, das es ihm ermöglichte, die Kontrolle über die Benutzerkonten zu übernehmen.“

Offensichtlich eine Betrugsmasche, um Bitcoin von Followern hochrangiger Twitter-Konten zu erhalten

Mit diesem Tool habe er den Zugriff auf die gekaperten Konten steuern oder sperren können. Während sich die anfängliche Aktivität auf den Verkauf von Vanity-Accounts beschränkt habe, „entwickelte sie sich schnell zu einer Betrugsmasche, um Bitcoin von Followern hochrangiger Twitter-Konten berühmter Persönlichkeiten zu erhalten“. Diese seien aufgefordert worden, Bitcoins im Wert von 1.000 US-Dollar zu bezahlen, um dann im Gegenzug die doppelte Summe in Bitcoins zurückzuerhalten.

Innerhalb weniger Stunden über 100.000 US-Dollar von Followern bei Twitter-Promi-Konten generiert

„Wie immer, wenn es zu gut scheint, um wahr zu sein, ist es das auch in diesem Fall eine Lüge gewesen“, betont Carr. Innerhalb weniger Stunden seien über 100.000 US-Dollar von Followern generiert worden, welche dem Betrug zum Opfer gefallen seien. „Es ist klar, was passiert ist, aber unklar, wie es geschehen konnte. Was die Öffentlichkeit weiß, ist, dass noch viel zu viele Organisationen kritische Benutzerkonten betreiben und Zugang zu diesen haben, ohne dass eine Multifaktor-Authentifizierung zur doppelten Absicherung genutzt wird.“

Mitarbeiter von Twitter konnten offenbar einfach Benutzer-Konten übernehmen und in deren Namen ungefragt Tweets absetzen

Gleichzeitig nähmen viele Organisationen grundlegende „Cyber-Hygiene“ nicht ernst und vernachlässigten das Patchen von Systemen, von denen bekannt sei, dass sie anfällig sind. „Wenn die ersten Berichte der Wahrheit entsprechen, dann können Mitarbeiter von Twitter Konten einfach übernehmen und im Namen der eigentlichen Kontoinhaber Tweets ohne deren Zustimmung versenden“, erläutert Carr. Dies könnte eine der besorgniserregendsten Enthüllungen in diesem Fall sein.

Schnell illegal Geld verdienen: Attacke auf Twitter als „Smash and Grab“-Versuch

Carr wirft Fragen auf: „Warum sollte Twitter den Mitarbeitern weiterhin die Möglichkeit bieten, Benutzerkonten zu kontrollieren? Wurde diese Möglichkeit schon einmal intern genutzt, um Tweets loszuschicken, ohne das Wissen der Kontoinhaber?“ Wenn die wahre Absicht des Angreifers tatsächlich auf die Promi-Accounts abgezielt habe, dann wäre dies nicht öffentlich und in einer Art und Weise geschehen, die noch mehr Schaden anrichten würde. Denn bei der aktuellen Geschichte sei es um einen schnellen digitalen „Smash and Grab“-Versuch gegangen, der darauf abgezielt habe, schnell Geld zu verdienen.

Hohe Verantwortung von Twitter im Kontext der nächsten US-Präsidentschaftswahl

Es hätte laut Carr noch viel schlimmer kommen können: „Man stelle sich vor, dass mitten in der bevorstehenden US-Präsidentschaftswahl ein Twitter-Konto eines der Kandidaten kompromittiert werden würde. Was könnte der potenzielle Schaden eines solchen Vorfalls sein?“ Social-Media-Plattformen hätten eine erhöhte Verantwortung, die Sicherheit des Systems zu gewährleisten, um die Integrität des Diskurses zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2020
Promi-Phishing auf Twitter: Mögliche Angriffswege / Am 15. Juli 2020 wurde die Welt zum Zeugen einer groß angelegten Phishing-Kampagne auf Twitter

datensicherheit.de, 16.07.2020
Twitter: Promi-Konten gehackt / Tim Berghoff erläutert Schutzmaßnahmen für Twitter-Anwender und Nutzer anderer Sozialer Medien

Teile der Webseite sowie Dienste betroffen, Einsatz wird für Spiele beibehalten

Carsten Pinnow im Gespräch mit Wolfgang Kandek, Qualys

[datensicherheit.de, 05.01.2016] Carsten Pinnow (CP) für datensicherheit.de im Gespräch mit Wolfgang Kandek, CTO bei Qualys, zum Ende des Einsatzes von Adobe Flash auf Teilen der Website und für die Services.

CP: Herr Kandek, wie viel sicherer werden Facebook und seine User durch die Nutzung von HTML5 Video anstelle von Flash?

Kandek: Die kurze Antwort lautet, dass die Sicherheit stark verbessert werden sollte. Zum Beispiel konnten alle bis auf drei der von Adobe diesen Monat (Dezember 2015) veröffentlichten Updates für Remote-Code-Ausführung genutzt werden. Wenn diese Aktualisierungsrunde 79 Fehlerkorrekturen beinhaltete, dann bekommt man eine Vorstellung vom Ausmaß des betroffenen Problems.

CP: Ist es aus Sicht der Informationssicherheit nicht ein bisschen kurzsichtig, Flash für Spiele beizubehalten?

© Qualys

Wolfgang Kandek, CTO bei Qualys

Kandek: Flash ist eine potentiell nützliche, eigenständige Plattform. Das Problem besteht darin, dass Flash im Laufe der Zeit immer stärker genutzt wurde und somit eine Codebasis hat, die angegriffen werden kann, wenn sie viele verschiedene Browser- und Gerätekombinationen unterstützen muss. Man könnte zu dem Konzept übergehen, dass Nutzer auf Arbeitsgeräten keine Spiele spielen dürfen und Flash automatisch blockiert wird, aber das kann weitere Probleme verursachen, wenn Flash eine Komponente anderer Arbeitsplätze ist.

Die beste Methode ist, sicherzustellen, dass alle Maschinen, auf denen Flash installiert sein muss, kontinuierlich auf ihre Sicherheit überprüft werden. Denn: Ist Flash zwar vorhanden, jedoch nicht auf dem aktuellen Stand, können diese Assets während dem Durchführen von Updates automatisch blockiert werden.

CP: Wie gefährdet sind Facebook und seine Nutzer durch Hacker, die Flash nutzen könnten, um Zugriff auf die Systeme/Nutzer-Konten zu erlangen?

Kandek: Ich denke nicht, dass Facebook selbst anfällig für Angriffe ist. Das Problem ist vielmehr, dass dadurch genau das angegriffen wird, was Facebook so wertvoll macht: seine Nutzer. Wenn diese Nutzer das Gefühl haben, dass es gefährlich oder riskant ist, Facebook zu nutzen, werden sie die Plattform verlassen. Dieses Risiko einzugehen, kann sich Facebook nicht erlauben.

[datensicherheit.de, 28.01.2015] Qualys, Inc., Anbieter für cloudbasierte Sicherheits- und Compliance-Lösungen, gibt bekannt, dass seine Sicherheitsforscher eine kritische Sicherheitslücke in der GNU-C-Bibliothek (glibc) unter Linux entdeckt haben. Die Lücke versetzt Angreifer in die Lage, aus der Ferne ein gesamtes System zu übernehmen, ohne sich zuvor Anmeldeinformationen für das System verschafft zu haben. Qualys hat in enger, koordinierter Zusammenarbeit mit den Anbietern von Linux-Distributionen einen Patch für alle betroffenen Distributionen entwickelt, der ab sofort bei den jeweiligen Distributoren verfügbar ist.

Die Sicherheitslücke trägt den Namen GHOST (CVE-2015-0235), da sie mithilfe der Funktion gethostbyname ausgelöst werden kann. Sie betrifft zahlreiche Linux-basierende Systeme ab der Version glibc-2.2, die am 10. November 2000 herausgegeben wurde. Sicherheitsforscher von Qualys haben zudem eine Reihe von Faktoren ermittelt, die die Auswirkungen dieses Bugs entschärfen können. Dazu zählt ein Fix, der am 21. Mai 2013 zwischen der Veröffentlichung von glibc-2.17 und glibc-2.18 bereitgestellt wurde. Dieser Fix wurde jedoch nicht als Sicherheitswarnung klassifiziert, weshalb eine Reihe der stabilsten, langfristig unterstützten Distributionen, darunter Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 und Ubuntu 12.04, weiter anfällig blieben.

Kunden von Qualys können GHOST finden, indem sie mit der Cloud-Lösung Qualys Vulnerability Management (VM) beim nächsten Scanzyklus auf die QID 123191 scannen. Dann erhalten sie Berichte mit detaillierten Informationen über ihre unternehmensweite Anfälligkeit. Auf diese Weise können sie sich einen Überblick über die Auswirkungen auf ihr Unternehmen verschaffen und die Beseitigung dieser gravierenden Schwachstelle effizient verfolgen.

„GHOST ist eine Sicherheitslücke, die Remotecodeausführung erlaubt. Dies macht es für einen Angreifer äußerst einfach, einen Rechner auszunutzen. Zum Beispiel könnte ein Angreifer eine einfache E-Mail auf einem Linux-basierten System senden und automatisch vollständigen Zugriff auf diesen Rechner erhalten“, erklärt Wolfgang Kandek, Chief Technical Officer bei Qualys, Inc. „Angesichts der schieren Zahl von Systemen, die auf glibc basieren, betrachten wir diese Schwachstelle als gravierendes Sicherheitsleck, das sofort geschlossen werden sollte. Um das Risiko zu entschärfen, sollten die Anwender am besten einen Patch ihres Linux-Anbieters installieren.“

Weitere Informatione zum Thema:

Qualys Blog
The GHOST Vulnerability

datensicherheit.de, 27.02.2014
Qualys stellt kostenloses Tool für die Top 4 der kritischen Sicherheitskontrollen zur Verfügung

[datensicherheit.de, 27.02.2014] Qualys, Inc. (NASDAQ: QLYS), Anbieter von cloudbasierten Sicherheits- und Compliance-Lösungen, hat in Zusammenarbeit mit dem SANS Institute und dem Council on CyberSecurity ein neues, kostenloses Tool entwickelt, mit dem Unternehmen die Top 4 der kritischen Sicherheitskontrollen implementieren können, um Angriffe abzuwehren. Mit ihm können Unternehmen schnell herausfinden, ob auf den PCs in ihren IT-Umgebungen die vier wichtigsten Sicherheitsvorkehrungen implementiert sind, die nach Einschätzung des Council on CyberSecurity helfen können, 85% aller Cyber-Angriffe zu verhindern.

„Das Qualys Top 4 Tool ist eine außerordentlich elegante und effektive Lösung, mit dem kleine wie auch große Unternehmen und Organisationen feststellen können, wie resistent sie gegen die heutigen hochentwickelten Bedrohungen sind“, so Jonathan Trull, CISO beim US-Bundesstaat Colorado. „Dies ist genau die Art von Partnerschaft zwischen dem öffentlichen und dem privaten Sektor, die unser Land braucht, um den Cyber-Angriffen zu begegnen, die unsere Wirtschaft und unsere kritische Infrastruktur bedrohen.“

Mit dem neuen Top 4 Cloud-Service, der auf der Cloud-Plattform QualysGuard aufsetzt, können Unternehmen schnell und einfach herausfinden, ob auf den Windows-PCs in ihren IT-Umgebungen die folgenden Top 4 Sicherheitsvorkehrungen implementiert sind:

1. Whitelisting von Anwendungen – nur autorisierte Software darf verwendet werden
2. Patches für Anwendungen – Anwendungen, Plug-ins und sonstige Software muss stets up to date sein
3. Patches für Betriebssysteme – Betriebssysteme müssen mit den aktuellsten Fixes auf dem neusten Stand gehalten werden
4. Minimieren von Admin-Rechten – Verhinderung von heimlichen Änderungen durch bösartige Software

Mithilfe der Berichte, die das kostenlose Tool erzeugt, können die IT-Administratoren ihre nicht konformen Endgeräte finden und die notwendigen Maßnahmen treffen, um sie gegen Angriffe resistenter zu machen.

„Die Stärke der kritischen Sicherheitskontrollen liegt darin, dass ihnen das vereinte Know-how von Experten zugrunde liegt, die umfassendes Wissen über die aktuellen Bedrohungen, über reale Angriffe und effektive Abwehrmaßnahmen besitzen“, erklärt Philippe Courtot, Chairman und CEO von Qualys. „Wir haben diesen Cloud-Service in Zusammenarbeit mit dem SANS Institute und dem Council on CyberSecurity entwickelt, damit Unternehmen die Anwendung dieser Kontrollen gewährleisten und diejenigen PCs in ihren IT-Umgebungen ermitteln können, die umgehender Maßnahmen bedürfen.“

Hintergrund: Kritischen Sicherheitskontrollen

Die kritischen Sicherheitskontrollen wurden von einem internationalen Konsortium aus Behörden und Sicherheitsexperten als Richtlinien zum Schutz kritischer IT-Assets, Infrastrukturen und Daten entwickelt. Ihr Zweck ist es, durch fortwährende, automatisierte Absicherung und Überwachung sensibler IT-Infrastrukturen die Abwehrkraft von Unternehmen zu stärken. Die Kontrollen fokussieren auf den Sicherheitsfunktionen, die effektiv vor den neuesten Advanced Targeted Threats schützen. Dabei legen sie starkes Gewicht auf das, was „wirklich funktioniert“, um Kompromittierungen zu vermindern, die Notwendigkeit von Wiederherstellungsmaßnahmen zu minimieren und die diesbezüglichen Kosten zu senken. Laut Empfehlung des Council on Cyber Security kann die Implementierung der Top 4 Kontrollen Unternehmen helfen, die Mehrzahl der Angriffe abzuwehren.

Weitete Informationen zum Thema:

QUALYS
Top 4 Security Controls / Do your PCs make the grade?

[datensicherheit.de, 30.07.2012] Qualys®, Inc., Anbieter im Bereich cloudbasierte Sicherheits- und Compliance-Lösungen, gab vergangene Woche auf der Security B-Sides Las Vegas bekannt, dass sein Service FreeScan jetzt auch Internet Protocol Version 6 (IPv6) unterstützt. FreeScan ist ein kostenloser Dienst, mit dem Unternehmen ihre Websites oder öffentlichen IP-Adressen auf Schwachstellen, Malware und SSL-Probleme testen können. Unternehmen haben nun die Möglichkeit, auch ihre IPv6-Geräte mit FreeScan zu scannen, um mögliche Schwachstellen zu finden und die nötigen Schritte zu ihrer Beseitigung einzuleiten.
IPv6 ist das neue Kommunikationsprotokoll, das entwickelt wurde, weil der Adressraum seines Vorgängers IPv4 zu klein wird. Während Unternehmen zunehmend IPv6 einführen und dessen neue Möglichkeiten zur Verbesserung der Netzwerkleistung und Vernetzbarkeit nutzen, wirft diese Umstellung neue Sicherheitsrisiken auf, auf die viele Unternehmen möglicherweise nicht vorbereitet sind. Zum Beispiel kann die Bereitstellung von IPv6-fähigen Geräten, wie etwa Desktops und Notebooks mit modernen Betriebssystemen, Probleme verursachen. Denn IPv6-Verkehr umgeht eventuell Firewalls, Intrusion-Detection-Systeme und andere Sicherheitsvorrichtungen. Mangelndes Know-how im Bereich Ipv6-Vernetzung könnte somit dazu führen, dass IPv6-Datenverkehr an unbefugte Empfänger gelangt. Außerdem könnte IPv6 mit zunehmender Verbreitung immer stärker ins Visier von Angreifern rücken.
FreeScan, basierend auf der Cloud-Plattform QualysGuard®, ist ein benutzerfreundlicher Service, mit dem die Kunden umfassende Sicherheitsscans für ihre Websites oder öffentlichen IP-Adressen durchführen können. Die Scan-Resultate bieten auch Anleitungen zur Behebung identifizierter Schwachstellen und Beseitigung von Malware-Infektionen.
„Wir freuen uns, dass wir FreeScan jetzt um IPv6-Unterstützung erweitern und Unternehmen mit diesem kostenlosen, nützlichen Dienst helfenkönnen, sicher auf IPv6 umzusteigen“, so Philippe Courtot, Chairman und CEO von Qualys.

Weitere Informationen zum Thema:

Qualys®
Qualys FreeScan – Free Vulnerability Assessment Scanner Tool