Blog

20. Mai 2025

secuvera-SA-2025-01: Privilege Escalation in Automic Agent <24.3.0

Zum 12.05.2025 veröffentlichten wir unser Advisory zu einer Privilege-Escalation-Schwachstelle in der „Agent“-Komponente von Automic Automation. Wir wurden von einem Kunden beauftragt, die verschiedenen Teile der Automic Integration unter die Lupe zu nehmen. Unter anderem konnten wir dabei eine Schwachstelle identifizieren, die darauf beruht, dass der Agent in einem privilegierten Modus ausgeführt wird und so zur Rechteausweitung verwendet werden kann, sofern […]
weiterlesen …

8. Mai 2025

Ein Stück verschimmelte Software – Was ist End-of-Life-Software und warum ist sie nicht mehr gut? #pentestwissen

Software und Lebensmittel Software wird manchmal mit dem Begriff End-of-Life (EoL) gekennzeichnet. Übersetzt bedeutet das so viel wie „Die Software hat ihr Lebensende erreicht“. Was passiert denn nun ab diesem Zeitpunkt? Am besten kennen wir das Überschreiten eines Ablaufdatums vermutlich von Lebensmitteln. Dort gibt es das Mindesthaltbarkeitsdatum, und wie es der Name schon vermuten lässt, müssen Produkte mindestens bis zu […]
weiterlesen …

10. April 2025

NIS-2 konkret: Anhang zur EU-Durchführungsverordnung greift Anforderungen auf

Während die Regierung noch auf dem Weg ist, arbeitsfähig zu werden, und daher eine Verabschiedung der NIS2- und KRITIS-Gesetze zeitlich noch nicht absehbar ist, hat sich etwas wirklich Erfreuliches weitgehend unterhalb des Radars der Öffentlichkeit im Bereich NIS2 getan.  Ich bin betroffen, was tun? Betroffene fragen sich derzeit oft, Es gibt jetzt einen Fingerzeig: Die EU selbst hat mit der […]
weiterlesen …

12. August 2024

Studie: Klartextpasswörter in Passwortspeichern

Prologue Die Speicherung von Klartextdaten im Prozessspeicher ist ein Problem für die Cybersicherheit. Diese Schwachstelle hat sogar ihre eigene Klassifizierung: CWE-316: Cleartext Storage of Sensitive Information in Memory Malware auf dem Gerät eines Nutzers ist meist in der Lage, den Speicher anderer Prozesse zu lesen und diese Daten ausnutzen. Ein ernstes Problem sind Passwörter und andere sensible Daten, die ein […]
weiterlesen …

9. Juli 2024

Work-Life-Balance ist Bullshit

Als Geschäftsführer spreche ich mit allen Bewerber:innen im Einstellungsprozess. Sie fragen mich gerne mal nach „Work-Life-Balance“. Meist antworte ich mit dem Satz „Das gibt’s hier nicht.“ Die Irritation löse ich natürlich auf. Ich halte das Konzept für ausgemachten Schwachsinn. Warum das Konzept Work-Life-Balance Unsinn ist Die meisten sehen bei Work-Life-Balance eine Waage vor sich: Auf der einen Seite Arbeit, auf […]
weiterlesen …

ältere Artikel