Security

12. Mai 2022

Neue Methodik für mehr Cybersicherheit von IT und OT in kleinen Unternehmen (PRAISE)

secuvera entwickelte im Rahmen des Forschungsprojektes  „PRAISE“ (Practical Industrial Security) zusammen mit den Projektpartnern AWB (Lampertheim) sowie der Hochschule Esslingen (Prof. Dr. Schoop) eine zielgerichtete Cyber-Sicherheitsmethodik für kleine Unternehmen. Gefördert wurde das Forschungsprojekt vom Bundesministerium für Bildung und Forschung (BMBF). Die PRAISE-Methodik hilft dabei, systematisch Schwachstellen in der Firmen-IT und -OT zu identifizieren und Sicherheitslücken zu schließen. Mit geringem Zeit-, […]
weiterlesen …

23. Oktober 2020

BigBlueButton – ein Sicherheitsrisiko?

tl;dr BigBlueButton wird gerade in einigen Medien als „großes Sicherheitsrisiko“ dargestellt. Ist Angst vor dem Einsatz von BBB gerechtfertigt? Sicher nicht. BBB kommt im Standard zwar nicht mit sicheren Grundeinstellungen. Doch schon bevor BBB im Frühling 2020 so populär wurde, konnte man ein sicheres Setup mit den offiziellen Anleitungen hinbekommen. Muss man halt auch lesen 🙊 Schwachstellen in BBB? Logisch. […]
weiterlesen …

11. April 2018

secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt

Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …

30. Januar 2017

secuvera-SA-2017-01 Privilege Escalation in OPSI-Umgebungen (“Rise of the Machines”)

Im Rahmen des intern stattfindenden LabDays habe ich das quelloffene Client-Management-Werkzeugs „Open PC Server Integration“ (=OPSI) der Firma uib GmbH aus Mainz bzw. die auf den Clients ausgebrachte Komponente „opsiclientagent“ mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnte ich eine Schwäche identifizieren, die es mir erlaubt, Befehle auf anderen Systemen auszuführen. Dadurch war ich schließlich in der Lage, administrativen […]
weiterlesen …

1. Juli 2016

Episode 1 – TR-02102-2 kurz und knackig

Dieser Post ist ein teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Was ist die TR? Wie der Name schon sagt handelt es sich um eine technische Richtlinie. Diese besteht aus mehreren Teilen. In Teil 1 geht es um die Bewertung und Empfehlungen zu kryptografischen Verfahren. In Teil 2 geht es dabei speziell um den SSL-nachfolger Transport […]
weiterlesen …