SAMLStorm: Kritische Schwachstellen bei der Umgehung der Authentifizierung
Am 17. März 2025 wurde das BigID Product Security Incident Response Team (PSIRT) auf zwei (2) kritische Sicherheitslücken aufmerksam gemacht, die als SAMLStorm bekannt sind. Diese Schwachstellen betreffen die xml-crypto Node.js-Bibliothek (v6.0.0 und früher, CVE-2025-29775 & CVE-2025-29774). Wenn diese Schwachstellen ausgenutzt werden, können sie in den betroffenen Anwendungen ohne Benutzerinteraktion zu einer vollständigen Übernahme von Konten, einschließlich Administratorkonten, führen. BigID nutzt diese Bibliotheken, um SAML-Antwortvalidierungen durchzuführen. Die Ausnutzung dieser Schwachstellen hängt von der IdP-Konfiguration für jeden BigID-Tenant ab. Kunden, die BigID Cloud nutzen, haben bereits einen Patch implementiert. Kunden, die BigID On-Premise nutzen, rät BigID dringend zu einem Upgrade auf Release 22.18, Release 218.76, Release 211.74, Release 205.116, Release 198.93. Es gibt zwar keinen öffentlichen Proof-of-Concept, aber die Produkt- und Cloud-Sicherheitsteams von BigID überwachen und beheben das Problem weiterhin und werden entsprechende Updates bereitstellen.
Identifizierung kritischer Schwachstellen - Orch2
Am 21. November 2024 wurde das BigID Product Security Incident Response Team (PSIRT) von einem BigID-Mitarbeiter auf die versehentliche Protokollierung von Tresoranwendungsgeheimnissen in den Orchestrator-Serviceprotokollen aufmerksam gemacht. Das Problem ist auf Kunden beschränkt, die AWS Secrets Manager, HashiCorp und BeyondTrust Tresore verwenden. BigID hat sich bereits mit den betroffenen Kunden auf der Grundlage der besonderen Merkmale ihrer Bereitstellung in Verbindung gesetzt und Hinweise und Abhilfemaßnahmen bereitgestellt. Darüber hinaus wurden bereits Patches für Cloud-Kunden bereitgestellt und für On-Prem-Kunden zum Download veröffentlicht. Orchestrator-Serviceprotokolle sind im Abschnitt "Erweiterte Tools" der Plattform oder in anderen Protokollspeichersystemen verfügbar, an die Kunden die Protokolle weiterleiten können. Kunden, die keine AWS Secrets Manager, HashiCorp oder BeyondTrust Tresore verwenden, sind nicht betroffen.
Angriffe auf UNIX-Systeme über CUPS
Am 26. September wurde ein Angriffsweg, der die CUPS-Pakete betrifft, öffentlich gemacht und erregte in der Sicherheitsgemeinschaft einiges Interesse.
Nach einer gründlichen Untersuchung des Schwachstellenberichts ist klar, dass das BigID-Produkt und die Cloud nicht betroffen sind.
Einzelheiten der Untersuchung
BigID hat festgestellt, dass die Cup-Bibliotheken in der folgenden Liste von Diensten installiert sind:
- bigid-metadaten-suche
- bigid-corr-neu
- bigid-Katalog-Prozessor
- bigid-lineage
- bigid-Berichte
- bigid-konfigurationsdienst
- bigid-snippet-persister
Von den 4 registrierten CVEs wird CVE-2024-47175 in den oben genannten Diensten gekennzeichnet.
Nach Angaben von Red Hat, dem Anbieter des Basis-Images für diese Dienste, ist dies jedoch nicht der Fall:
"RHCOS und RHEL beinhalten libs-cups als eine Build-Abhängigkeit. Die Schwachstelle kann jedoch nicht mit den Client-Bibliotheken allein ausgenutzt werden, es sei denn, ein auf OpenPrinting basierender Druckserver wird aktiv ausgeführt. RHEL und RHCOS haben cups-browsed nicht standardmäßig aktiviert, so dass die Auswirkungen für diese auf 'Niedrig' gesetzt sind.
Da BigID keine druckerbezogenen Funktionen nutzt und die Standardkonfiguration nicht ändert, hat dieses CVE keine Auswirkungen auf das BigID-Produkt. Darüber hinaus gibt die BigID Cloud den betroffenen UDP-Port nicht frei, wodurch der in dem Bericht beschriebene WAN-Angriffsvektor vollständig entschärft wird.
Microsoft und Crowdstrike Ausfälle
Details zur Schwachstelle
Am Freitag, den 19. Juli 2024, wurden zwei voneinander unabhängige Ausfälle gemeldet, die beide Microsoft-Dienste betrafen. BigID hatte nur minimale Auswirkungen auf unsere Dienste und Geschäftsabläufe.
Der erste Ausfall, der sich auf Azure auswirkte, war auf eine Konfigurationsänderung in einem Teil der Azure-Backend-Workloads zurückzuführen. Dies verursachte eine Unterbrechung zwischen Speicher- und Rechenressourcen, was zu Konnektivitätsausfällen führte, die nachgelagerte Microsoft 365-Dienste beeinträchtigten. Die Dienste werden langsam wiederhergestellt und Updates können unter https://status.cloud.microsoft/ abgerufen werden. Infolge des Ausfalls kam es zu einer gewissen Unterbrechung der Verfügbarkeit von https://docs.bigid.com/, das jedoch wieder online ist und wie erwartet funktioniert. Die übrigen BigID-Dienste, Endgeräte und die Abhängigkeit von Partnern sind davon nicht betroffen.
Der zweite Ausfall hängt damit zusammen, dass Crowdstrike nach der Installation des neuesten Updates für den Falcon Sensor den Blue Screen of Death (BSOD) anzeigt. Das Problem wurde identifiziert, isoliert und ein Fix wurde an die Kunden von Crowdstrike verteilt. BigID verwendet keine Produkte von Crowdstrike in seinem Geschäftsbetrieb und ist daher nicht betroffen.
Schneeflocke
Details zur Schwachstelle
Am Freitag, den 31. Mai 2024, meldeten die Forscher von Hudson Rock einen Hackerangriff auf Snowflake, von dem mehrere Organisationen betroffen waren. Snowflake untersuchte diese Berichte umgehend und fand keine Beweise für eine Kompromittierung innerhalb ihrer Umgebung. Snowflake hat alle potenziell betroffenen Kunden benachrichtigt. BigID hat die von Snowflake empfohlenen Maßnahmen befolgt und die bereitgestellten Kompromittierungsindikatoren (IoCs) untersucht. Unsere proaktiven Sicherheitsmaßnahmen und Kontrollen rund um unser Snowflake-Konto haben dafür gesorgt, dass wir von diesem Vorfall nicht betroffen sind.
XZ Utils Sicherheitshinweis
Details zur Schwachstelle
Am Freitag, den 29. März 2024, entdeckten Sicherheitsforscher eine bösartige Hintertür, die in das Komprimierungsprogramm XZ eingebettet ist. Dieses Dienstprogramm ist in Linux-Distributionen weit verbreitet, unter anderem in denen von Red Hat und Debian, und wird als Sicherheitslücke CVE-2024-3094 verfolgt. Der bekannte bösartige Code wurde in den Versionen 5.6.0 und 5.6.1 gefunden, und die Kunden wurden aufgefordert, sofort auf die Version 5.4.6 herunterzusteigen. BigID hat seine Sicherheitsuntersuchung abgeschlossen und kann bestätigen, dass wir nicht von CVE-2024-3094 betroffen sind.
MongoDB Sicherheitshinweis
Details zur Schwachstelle
Am 16. Dezember gab MongoDB öffentlich bekannt, dass es in seinen Unternehmenssystemen zu einem Sicherheitsvorfall gekommen ist, der am 13. Dezember 2023 entdeckt wurde. MongoDB befindet sich noch in der Entwicklung, da sie forensische Firmen und Strafverfolgungsbehörden beauftragt haben, ihre Untersuchungen fortzusetzen. Im Rahmen unseres Engagements für Transparenz und Sicherheit möchten wir mitteilen, dass wir, BigID, MongoDB Atlas für unsere Cloud-basierten Kunden nutzen. Es ist wichtig, darauf hinzuweisen, dass der Zugriff auf MongoDB Atlas über ein von den MongoDB-Unternehmenssystemen getrenntes System authentifiziert wird, und es wurden keine Hinweise darauf gefunden, dass das Authentifizierungssystem des Atlas-Clusters kompromittiert wurde. Nach derzeitigem Kenntnisstand ist MongoDB Atlas nicht betroffen, da keine Sicherheitslücke in einem MongoDB-Produkt im Zusammenhang mit diesem Vorfall festgestellt wurde. Wir halten uns jedoch proaktiv auf der Warnseite auf dem Laufenden und aktualisieren dieses Bulletin entsprechend mit allen weiteren von MongoDB bereitgestellten Updates.
Update: MongoDB Sicherheitshinweis
Am 18. Dezember aktualisierte Mongo den Status des Sicherheitsvorfalls und stufte ihn als Phishing-Angriff mit einem hohen Maß an Vertrauen ein. Es gibt weiterhin keine Beweise für einen unbefugten Zugriff auf MongoDB Atlas-Cluster oder das Authentifizierungssystem des Atlas-Clusters. Die Ermittlungen und die Zusammenarbeit mit den zuständigen Behörden dauern an. MongoDB wird seine Warnseite mit relevanten Informationen aktualisieren, sobald wir die Angelegenheit weiter untersuchen. MongoDB hat eine Liste von Indikatoren für die Kompromittierung (Indicators of Compromise, IOCs) mit den relevanten IPs des Mullvad-VPN-Dienstes bereitgestellt. BigID hat eine nachträgliche Untersuchung durchgeführt und festgestellt, dass keine dieser IPs mit dem BigID Cloud Service kommuniziert hat.
HTTP/2 Zero-Day-Schwachstelle
Details zur Schwachstelle
Am 12. Oktober 2023 gab Cloudflare zusammen mit Google und Amazon AWS die Existenz einer neuartigen Zero-Day-Schwachstelle bekannt, die als "HTTP/2 Rapid Reset"-Angriff bezeichnet wird. Dieser Angriff nutzt eine Schwachstelle im HTTP/2-Protokoll aus, um enorme, hyper-volumetrische Distributed Denial of Service (DDoS)-Angriffe zu generieren. BigID hat unsere Umgebung gescannt und obwohl wir dieses Protokoll verwenden, nutzen wir den HTTP-DDoS-Angriffsschutz von Cloudflare, so dass es keine Auswirkungen auf BigID gibt.
Okta Kunden-Support-Management-System-Verletzung
Details zur Schwachstelle
Im Oktober 2023 meldete Okta eine Sicherheitsverletzung in seinem Kundensupport-Verwaltungssystem, bei der ein kleiner Teil der Kundendaten von einem Hacker heruntergeladen wurde. Ende November bestätigte Okta, dass die Kontaktinformationen aller seiner Kunden kompromittiert wurden. Obwohl BigID Okta für Identitätsdienste nutzt, setzen wir für unsere kritischen Systeme auch die Multi-Faktor-Authentifizierung ein. Infolgedessen waren keine Kundenumgebungen oder -daten von diesem Verstoß betroffen.
Confluence Zero-Day-Schwachstelle CVE-2023-22515
Details zur Schwachstelle
Am 4. Oktober 2023 gab Atlassian eine Sicherheitslücke in seiner Confluence Data Center und Server Software bekannt. BigID verwendet Confluence intern für die Zusammenarbeit und das Wissensmanagement; wir nutzen jedoch die von Atlassian gehostete Confluence Cloud, die von dieser Sicherheitslücke nicht betroffen ist.
Datadog Import-in-the-Middle-Schwachstelle
Details zur Schwachstelle
Am 6. August 2023 wurden wir über eine kürzlich entdeckte Sicherheitslücke in DataDog informiert, einem Dienst, den viele Unternehmen, darunter auch wir, zur Überwachung nutzen. Wir nehmen solche Meldungen sehr ernst, da sie sich auf unseren Dienst sowie auf Ihre Datensicherheit und Ihren Datenschutz auswirken können.
Als Reaktion darauf hat unser Sicherheitsteam fleißig an der Bewertung unserer Systeme gearbeitet. Wir freuen uns, Ihnen mitteilen zu können, dass eine gründliche Überprüfung unserer gesamten Codebasis keine Anzeichen für Schwachstellen ergeben hat, die unseren Code für diese Schwachstellen anfällig machen würden. Daher sind wir zuversichtlich, dass unsere Verwendung von DataDog keine Bedrohung für die Sicherheit unseres Dienstes oder Ihrer Daten darstellt. Im Rahmen unseres Engagements für Transparenz und Sicherheit möchten wir Ihnen jedoch mitteilen, dass wir Versionen von dd-trace einsetzen, die die Sicherheitslücken enthalten. Diese können unter normalen Umständen ein Risiko darstellen, aber wir haben keine unsichere Nutzung in unseren Repositories gefunden.
Als zusätzliche Maßnahme leiten wir diese Informationen an alle unsere Entwicklungsteams weiter, um sicherzustellen, dass sie sich der Situation voll bewusst sind und die notwendigen Maßnahmen ergreifen, um auf Versionen zu aktualisieren, die die oben genannten Sicherheitslücken nicht enthalten. Wir werden die Situation weiterhin genau beobachten und alle notwendigen Schritte unternehmen, um ein Höchstmaß an Datensicherheit zu gewährleisten.
MOVEit Transfer Kritische Sicherheitslücke CVE-2023-34362
Details zur Schwachstelle
Am 1. Juni gab Progress Software eine Sicherheitslücke in ihrer MOVEit Transfer Software bekannt, die zum sicheren Verschieben von Dateien verwendet wird. Dieses Problem ermöglicht es Unbefugten, in die Datenbank der Software einzudringen und die dort gespeicherten Informationen zu ändern. Glücklicherweise verwendet BigID die MOVEit-Software nicht, so dass wir nicht direkt betroffen sind. Wir gehen jedoch proaktiv vor, indem wir uns mit unseren Lieferanten in Verbindung setzen, um herauszufinden, ob sie die Software verwenden und ob wir indirekt davon betroffen sein könnten. Bislang hat keiner unserer wichtigen Lieferanten Probleme gemeldet, die BigID oder unsere Kunden betreffen könnten.
Führend in der Industrie
