Thought Leadership
Kommentar: Risiken und Lösungsansätze
Forscher der Ruhr-Universität Bochum haben eine Schwachstelle entdeckt, die die Risiken verdeutlicht, die mit nicht verwalteten SSH-Schlüsseln verbunden sind.
Dieser Angriffsvektor ist seit langem bekannt, ihm wurde bis dato aber wenig Aufmerksamkeit geschenkt.
Kommentar
GitHub hat einen privaten SSH-Schlüssel rotieren müssen, nachdem er versehentlich in einem öffentlichen Repository veröffentlicht wurde. Das Unternehmen muss sich genauer ansehen, wie es seine SSH-Schlüssel verwaltet, da eine Aufdeckung dieser Art – egal wie kurz – angesichts des hohen Maßes an Privilegien, die diese Maschinenidentitäten genießen, schwerwiegende Folgen haben könnte.
Brute-Force-Angriffe auf SSH-Server
GuardiCore, Innovator für Rechenzentrums- und Cloud-Sicherheit, hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die „Butter“ genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt.
Im August dieses Jahres hat sich ein neues Botnetz auf den Weg gemacht und attackiert schlecht gesicherte SSH-Server. SophosLabs hat sich das unter dem Namen Chalubo oder auch ChaCha-Lua-bot aktive Schadprogramm näher angeschaut und herausgefunden, dass es die riesige Anzahl globaler Linux-Server angeht, die SSH (Secure Shell)
Venafi gibt die Ergebnisse einer Umfrage bekannt, wie Handelsunternehmen Secure Shell (SSH) implementieren und verwalten. Den Ergebnissen der Umfrage zeigt, dass SSH-Schlüssel nicht regelmäßig verwaltet und schlecht abgesichert werden, obwohl sie den höchsten administrativen Zugang ermöglichen.
Mit Key Manager Plus von ManageEngine können IT-Abteilungen ab sofort Secure-Shell(SSH)-Schlüssel, Secure-Sockets-Layer(SSL)-Zertifikate und andere digitale Schlüssel mit einem zentralen Tool verwalten.
Veranstaltungen
Stellenmarkt
- Cloud Architect* (m/f/d)
Tecan Software Competence Center GmbH, Wiesbaden - Ingenieur Elektrotechnik / Informatik / Maschinenbau als Sachverständiger Funktionale Sicherheit für Embedded Systems (w/m/d)
TÜV SÜD AG, München - Mobile Device Management System-Administrator*in (m/w/d)
Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz - Berater:in IT-Infrastruktur (m/w/d), Abteilung Organisation und IT
Stadtsparkasse Wuppertal, Wuppertal
Meistgelesene Artikel
19. November 2024
31. Oktober 2024