Zum 12.05.2025 veröffentlichten wir unser Advisory zu einer Privilege-Escalation-Schwachstelle in der „Agent“-Komponente von Automic Automation. Wir wurden von einem Kunden beauftragt, die verschiedenen Teile der Automic Integration unter die Lupe zu nehmen. Unter anderem konnten wir dabei eine Schwachstelle identifizieren, die darauf beruht, dass der Agent in einem privilegierten Modus ausgeführt wird und so zur Rechteausweitung verwendet werden kann, sofern […]
weiterlesen …
Das Drupal-Wiki ist ein Unternehmenswiki für Wissens- und Qualitätsmanagement. Unser Kollege und BSI-zertifizierter Penetrationstester Simon Bieber hat mehrere Fundstellen für persistentes Cross-Site Scripting (XSS) in Drupal-Wiki identifiziert. Die Schwachstelle erlaubt es einem entfernten Angreifer, beliebigen (JavaScript-)Code im Browser des Opfers auszuführen. Hierzu muss der Angreifer eine Wiki-Seite bearbeiten oder einen Kommentar zu einer Wiki-Seite abgeben können. Zusätzlich muss das Opfer […]
weiterlesen …
Schwachstelle in mRemoteNG – CVE-2023-30367
mRemoteNG ist eine beliebte Software bei Administrator:innen. Die Software erleichtert administrative Verbindungen z. B. mit SSH oder RDP in einer gemeinsamen Oberfläche und speichert die Zugangsdaten. Die Konfigurationsdatei wird dabei verschlüsselt gespeichert. Eine durch unseren Kollegen Maximilian Barz gefundene Schwachstelle erlaubt es jedoch, die Verbindungsdaten – also auch die Kennwörter – aus dem Speicher auszulesen. Abhilfe schafft ein (starkes) Kennwort […]
weiterlesen …
Code Analyse – Kann ChatGPT Schwachstellen in Codeschnipseln finden? Auch Code-Analysen werden in der IT-Sicherheitsbranche immer häufiger in Auftrag gegeben. Daher lag es nahe, ChatGPT auf seine Fähigkeiten bei der Erkennung von Schwachstellen zu testen. Die KI wurde mit drei verschiedenen Schwachstellen getestet, die alle aus öffentlich zugänglichen Quellen stammen und als Referenz dienen. Dazu wurde der ChatAI jeweils ein […]
weiterlesen …
Warum das Ausnutzen / Exploiten von Schwachstellen bei einem Penetrationstest nur manchmal sinnvoll sein kann #pentestwissen
„Wenn man eine Schwachstelle findet, dann soll man diese ausnutzen, um den Beweis anzutreten, was mit der Schwachstelle alles möglich sein kann“ So oder so ähnlich formulieren es manche Pentester:innen. Dieser Artikel soll beleuchten, warum nicht jede bei einem Penetrationstest gefundene technische Schwachstelle (vollständig/in Tiefe) ausgenutzt werden sollte und verdeutlichen, wie wir beim Auffinden von Schwachstellen vorgehen. Ein Pentest hat […]
weiterlesen …