mgm security partners

Blog & News

Red Teaming vs. Pentesting

Sie haben bereits Sicherheitsanalysen durchgeführt und Penetrationstests ausgewertet? Wie genau war der Scope? Wurden alle relevanten Anwendungen und die gesamte Infrastruktur geprüft? Ihr Unternehmen setzt auf moderne Sicherheitslösungen wie SIEM, EDR oder XDR? Doch sind diese durchgängig implementiert oder gibt es blinde Flecken? Was passiert, wenn zusätzlich der menschliche Faktor oder organisatorische und prozessuale Unsicherheiten ins Spiel kommen? In solchen Fällen kann ein Red Teaming Assessment eine sinnvolle Ergänzung sein – als ganzheitlicher Ansatz zur Überprüfung der Sicherheitslage eines Unternehmens.

Digitalisierung vs. Sicherheit: Wie IT-Sicherheit Innovation erfolgreich macht

Die Digitalisierung bietet Unternehmen enorme Chancen – effizientere Prozesse, automatisierte Workflows und neue Geschäftsmodelle. Doch mit den Vorteilen wachsen auch die Risiken: Cyberangriffe, Datenverluste und Systemausfälle bedrohen Unternehmen täglich. Oft wird IT-Sicherheit als Innovationsbremse gesehen - doch das Gegenteil ist der Fall: Richtig integriert, beschleunigt sie digitale Transformation, macht Unternehmen widerstandsfähiger und schafft Vertrauen.

Sicherheitsrisiken in Open-Source-Software: Erkenntnisse aus dem CAOS -Projekt für das BSI

Die digitale Welt ist stark von Software abhängig – von Open-Source-Lösungen bis hin zu maßgeschneiderter Unternehmenssoftware. Doch wie sicher sind diese Anwendungen wirklich? Im Rahmen des CAOS-Projekts (Code Analyse von Open Source Software) haben wir im Auftrag des BSI in den letzten drei Jahren sechs umfassende Sicherheitsanalysen unterschiedlicher Open-Source-Anwendungen durchgeführt. Dabei wurden zahlreiche Schwachstellen aufgedeckt, die verdeutlichen, dass Software-Sicherheit eine kontinuierliche Herausforderung darstellt.

Artikel im IT Spektrum: LLMs in der Quellcodeanalyse

Die statische Quellcodeanalyse (SAST) ist ein essenzieller Bestandteil der modernen Softwareentwicklung, um Sicherheitslücken frühzeitig zu erkennen. Doch False Positives und mangelnde Präzision schränken ihre Effektivität ein. In seinem aktuell Artikel zeigt Mirko Richter, wie Large Language Modelle (LLMs) diese Herausforderungen meistern und die SAST-Analyse auf ein neues Level heben.

Fintech-Unternehmen aufgepasst: Ist Ihr Software Testkonzept fit für DORA?

Die Anforderungen durch Digital Operational Resilience Act (DORA) zwingen Unternehmen dazu, ihre IT-Sicherheitsstrategie auf ein neues Level zu heben – insbesondere, wenn es um die Absicherung Ihrer eingesetzten Software geht. Die entscheidende Frage, die sich Unternehmen in der Finanzindustrie nun stellen sollten: Wie sieht Ihr Testkonzept aus? Ist es zukunftssicher und bereit, den neuen IT-Security Anforderungen der Praxis standzuhalten?

News: Sicherheit von Nextcloud für das BSI analysiert

06.02.25 - Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir den Quellcode der Open-Source-Anwendung Nextcloud mit dem Mittel der Statischen Codeanalyse auf deren Sicherheit untersucht.

Talk auf der oop: »KI makes SAST Great Again!« am 06.02.25

In dem Talk zeigen wir wie traditionelle Tools wie SAST und SCA durch KI verbessert werden – inklusive spannender Vergleiche freier und proprietärer Modelle.

Artikel im Java Magazin: Neuer Glanz für SAST

Mirko Richter zeigt in seinem aktuellen Artikel, wie die Kombination aus statischer Quellcodeanalyse (SAST) und modernen Large-Language-Modellen (LLMs) das Sicherheitsmanagement in Softwareprojekten revolutionieren kann.

Missing rotation of the organization key

In Vaultwarden version 1.30.3 (or earlier) the missing rotation of the organization key, allowing access to organization secrets despite revoked access, was identified. We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 1.32.0.

Missing authentication check for emergency access

A missing authentication check, allowing to alter metadata of an emergency access, was found in Vaultwarden version 1.30.3 (or earlier). We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 1.32.0.

HTML Injection in Vaultwarden

An HTML injection vulnerability was found in Vaultwarden version 1.30.3 (or earlier). We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 1.32.0.

Denial of Service in TYPO3 Bookmark Toolbar

TYPO3 through 12.4.6 allows, due to insufficient input validation, manipulated data saved in the bookmark toolbar of the backend user interface causes a general error state, blocking further access to the interface. Exploiting this vulnerability requires an administrator-level backend user account.

News: Sicherheit von Vaultwarden und Keepass für das BSI analysiert

16.10.24 - Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir den Quellcode der Passwort-Manager Vaultwarden und Keepass mit dem Mittel der Statischen Codeanalyse auf deren Sicherheit untersucht.

News: Sicherheit von Matrix und Mastodon für das BSI analysiert

02.09.24 - Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir den Quellcode der Open-Source-Anwendungen Mastodon und Matrix mit dem Mittel der Statischen Codeanalyse auf deren Sicherheit untersucht.

Talk auf der W-JAX: »Toolgestützte Quellcodeanalysen powered by LLMs« am 06.11.24

In dem Talk stellen wir unseren Ansatz vor, wie man klassisch ausgereifte (Closed- und OpenSource) Scan-Software (SAST, SCA...) mit den Fähigkeiten moderner Large-Language-Modelle (LLM) kombinieren kann. Zur Ermittlung empirischer Daten haben wir viele tausende Findings manuell und per LLM ausgewertet und die Ergebnisse verglichen.

Talk auf der heise devsec: »Risiken für generative KI zum Verstehen und Mitnehmen« am 25.09.24

OWASP Top 10 for LLMs | Erkenntnisse aus internen und externen LLM-Experimenten | Vergleichen von Bedrohungen für LLMs mit denen für "herkömmliche KI" | LLM-Security in Bezug zu den bekannten und KI-unabhängigen Paradigmen für Anwendungssicherheit.

Talk auf dem IT Security Summit: »LLM @ Quellcodeanalyse« am 16.06.24

Mirko Richter berichtet am 16.06.2024 auf dem IT Security Summit in Berlin über seine (positiven!) Erfahrungen beim Einsatz von LLMs bei der Statischen Sicherheitscodeanalyse (SAST).

CVE: Reflected XSS in Sidekiq Unique Jobs UI

03.01.24 - A reflected cross-site scripting vulnerability was found in sidekiq-unique-jobs version 8.0.6 (or earlier). We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 8.0.7.

IsarFlow stored cross-site scripting vulnerability

A stored cross-site scripting vulnerability was found in the IsarFlow software version 5.23 (or earlier) of IsarNet Software Solutions GmbH. We have reported this vulnerability to the software vendor, who immediately addressed the issue and fixed the vulnerability in versions 5.25.14 and 5.26.4.

Multiple vulnerabilities in Syncovery for Linux (CVE-2022-36536 / CVE-2022-36533 / CVE-2022-36533 / CVE-2022-36534)

Multiple vulnerabilities were found in Syncovery for Linux backup tool. We’ve reported them to the software vendor and they were fixed in version 9.48j. Vulnerable are all versions below v9.48j including all versions of branch 8.

BigBlueButton Cross-site-scripting vulnerability (CVE-2022-27238) || 2022

BigBlueButton version 2.4.7 (or earlier) is vulnerable to stored Cross-Site Scripting (XSS) in the private chat functionality.

BigBlueButton Greenlight Cross-site-scripting vulnerability (CVE-2022-26497) || 2022

BigBlueButton’s front-end interface Greenlight version 2.11.2 (or earlier) is vulnerable to stored Cross-Site Scripting (XSS).

LiveConfig 2.12.2 vulnerabilities || 2022

Two vulnerabilities were found in the LiveConfig – 2.12.2 software. We’ve reported both of them to the software vendor and they were fixed in version 2.13.0