33 Sekunden – so lange dauert es, bis ein neuer Webserver angegriffen wird

Stellen Sie sich vor, Sie eröffnen ein Geschäft – und bevor das Türschild richtig hängt, stehen schon die ersten Einbrecher davor und prüfen, ob das Schloss hält.

Wer schon einmal einen Webserver betreut hat, kennt dieses Phänomen: Sie sind ständig Anfragen von automatisierten Crawlern und Bots ausgesetzt – und das oft schon in den ersten Sekunden nach der initialen Inbetriebnahme.

In diesem Blog-Post wollen wir untersuchen, woher diese Bots kommen und wonach sie suchen. Außerdem zeigen wir einige Möglichkeiten, wie Bots neue Webdienste überhaupt finden und wie Sie Ihren Webserver am effektivsten gegen automatisierte Angriffe schützen.

[…]

Von Jonas Lieb|2026-05-06T13:13:57+02:006. Mai 2026|

LFI in cloud-managed Kubernetes: Wie unsichere Standardeinstellungen den Weg zur Cluster-Kompromittierung ebnen

Kubernetes ist heutzutage ein essenzieller Bestandteil von modernen Webanwendungen. Die Verbreitung ist in den letzten Jahren rasant gestiegen und auch wir als Pentester bzw Red Teamer stolpern immer häufiger über auf Kubernetes betriebene Infrastrukturen.

Da ein selbst verwaltetes Cluster jedoch ein erhebliches Unterfangen ist, liegt es nahe, auf gemanagte Lösungen von Azure, AWS oder GCP zurückzugreifen. In diesem Blog geht es speziell um unsichere Standardeinstellungen in Azure Kubernetes Services (AKS) und wie Angreifer einfache Schwachstellen nutzen können, um potenziell das gesamte Cluster zu übernehmen.

[…]

Von Tobias Wicke|2026-03-23T16:51:24+01:0013. März 2026|

Einmal Kernel-Zugriff bitte – BYOVD und verwundbare Treiber

Einleitung

BYOVD-Angriffe (Bring Your Own Vulnerable Driver) haben sich in den letzten Jahren zu einer ernstzunehmenden Bedrohung entwickelt. Angreifer nutzen dabei legitime, aber verwundbare Kernel-Treiber, um privilegierte Operationen auf Zielsystemen auszuführen. Hierbei spielt es keine Rolle, welche Treiber auf dem System regulär verwendet werden, sondern lediglich, welche Treiber unterstützt werden, also welche Treiber Angreifer im Nachhinein noch installieren können. Ein aktueller Blog-Artikel von Check Point Research zeigt, dass verschiedene Versionen des Truesight-Treibers aktiv in freier Wildbahn für solche Angriffe eingesetzt werden.

Dieser Artikel zeigt die technischen Hintergründe von BYOVD-Angriffen: Warum Legacy-Treiber ein strukturelles Sicherheitsproblem darstellen, wie Microsofts Schutzmaßnahmen umgangen werden können und wie simpel die praktische Ausnutzung am Beispiel des Truesight-Treibers tatsächlich ist.

Warum alte Treiber so problematisch sind

Legacy vs. moderne Signaturen

Microsoft hat die Anforderungen […]

Von Marius Schwarz|2026-03-23T16:51:35+01:002. Februar 2026|

Mehrere Schwachstellen in UC eBanking Prime

NSIDE hat mehrere, zum Teil kritische Schwachstellen in UC eBanking Prime (Versionen 6.1.0 und 6.2.0) gefunden. Die Schwachstellen ermöglichen Angreifern unter bestimmten Umständen unautorisierten Zugriff zur UC eBanking-Prime-Webanwendung und damit zu sensiblen Daten wie Kontoständen und der Transaktionshistorie. Diese Schwachstellen werden nun im Rahmen eines Responsible-Disclosure-Prozesses offengelegt. Mit diesem Blogartikel möchten wir die zeitgleich veröffentlichten Advisorys NSIDE-SA-2025-001 und NSIDE-SA-2025-002 mit weiteren technischen Details ergänzen.

Einleitung

UC eBanking Prime ist eine On-Premise-Electronic-Banking-Lösung für Geschäftskunden der Hypovereinsbank (HVB)/UniCredit. Die Lösung besteht aus einer Webanwendung, die im Intranet des Kunden installiert wird, sowie einer Desktopanwendung namens OTC Client, die für die Anmeldung an der Webanwendung benötigt wird.

Im regulären Betrieb meldet sich der Benutzer zunächst mit einer sogenannten „Keybag“-Datei und dem dazugehörigen Passwort an der Desktopanwendung OTC Client an:

Von Jonas Lieb|2025-12-15T14:03:15+01:0015. Dezember 2025|

SOCKS Proxies in Red Team Engagements

In the ever-evolving landscape of red team operations, maintaining persistent and covert communication channels is crucial for successful engagements. Recently, it has become more and more important to be aware of which process is doing what. For example, notepad.exe communicating to the Internet is weird, while it’s totally normal for chrome.exe. But chrome.exe communicating to file shares or domain controllers in the network? Strange again. This post explores how SOCKS proxies can help solve this issue while also providing defenders with the knowledge needed to detect these approaches.

What is Chisel?

While we’ve been utilizing Chisel for this kind of evasion in our Red Team engagement for a while now, threat actors increased their usage as well, resulting in more and more attention being drawn […]

Von Benedikt Strobl|2025-12-18T09:32:51+01:0012. Dezember 2025|

Asset Discovery über Zertifikate

In Projekten werden wir oftmals beauftragt, sogenannte OSINT-Analysen („Open Source Intelligence“) durchzuführen, in denen je nach Anforderung unterschiedliche Aspekte der (IT-) Sicherheit anhand öffentlich zugänglicher Daten näher betrachtet werden sollen. Besonders ausführlich fällt diese Analyse bei TIBER/DORA oder Red/Purple Team Assessments aus, wobei ein möglichst ganzheitliches Bild der potenziellen Angriffsfläche bzw. der Bedrohungslage erfasst werden soll, beispielsweise hinsichtlich:

Vorhandener IT-Infrastruktur und deren Schwächen
Möglicher physischer Angriffsvektoren
Schützenswerten Informationen, die eventuell öffentlich zugänglich sind
Gestohlener Passwörter
Bedrohungslage durch reale Akteure
U.v.m.

Unabhängig davon was genau gefordert wird – das übergeordnete Ziel bleibt immer konstant: Unterschiedlichste Informationen auszumachen, die öffentlich verfügbar und für Angreifer interessant, also einem Angriff zuträglich, sein könnten.
Doch schon beim ersten Punkt (dem Identifizieren von vorhandener IT-Infrastruktur) kann man sich wundern, wie genau das eigentlich […]

Von Anna Dilber|2025-12-15T10:45:53+01:0028. Oktober 2025|

Chalk and Debug – ein Angriff im Schatten von S1ngularity und Shai-Hulud?

Spätestens seit dem SolarWinds Angriff 2020 rückt die Software Supply Chain aufgrund der von Ihr ausgehenden direkten Gefährdung von Softwareprojekten innerhalb von Unternehmen immer mehr in den Fokus der IT-Sicherheit. Innerhalb der letzten Wochen zeigte sich erneut, wie anfällig zentrale Distributionsplattformen für Open-Source-Komponenten sind: Die Paketquelle NPM wurde gleich drei Mal kompromittiert – jeweils mit dem Ziel, Schadcode über weit verbreitete Bibliotheken in Entwicklungsumgebungen einzuschleusen.

Diese Angriffe verdeutlichen eindrücklich, dass selbst weit verbreitete Paketquellen wie NPM keine absolute Sicherheit bieten und sich zunehmend zu einem attraktives Angriffsziel innerhalb der Software-Lieferkette entwickeln. Neben den bekannteren und größeren Angriffen der letzten Wochen, S1ingularity und Shai-Hulud, wurden auch in einem unbekannteren, weiteren Angriff 18 Pakete mit mehreren Milliarden Downloads pro Woche mit einem Crypto-Trojaner infiziert. In diesem Blogbeitrag […]

Von Manuel Tobies|2026-01-12T12:26:02+01:0030. September 2025|

Kali NetHunter – Red-Teaming vom Smartphone

Viele von euch sind bestimmt schon mal über Kali NetHunter gestolpert, zum Beispiel beim Stöbern auf der Website von Kali Linux, ohne genau zu wissen, was das eigentlich ist, und was man damit machen kann. Die „Mobile Penetration Testing Platform for Android devices, based on Kali Linux“ wirkt auf den ersten Blick für sich genommen schon spannend, aber irgendwie auch immer komplex und die Installation einschüchternd. In diesem Blog-Beitrag wollen wir deswegen Aufklärungsarbeit betreiben über Kali NetHunter und die Stärken und Schwächen der Pentest-Suite für die Hosentasche.

Grob zusammengefasst ist Kali NetHunter eine Zusammenstellung von mehreren Apps, die ein komplettes Kali Linux Betriebssystem auf Android-Smartphones ermöglichen. Je nachdem, welches Smartphone ihr besitzt und welche Edition ihr installiert, sind Angriffe auf verschiedene Protokolle wie WLAN oder Bluetooth […]

Von Christoph Peil|2025-07-04T14:12:00+02:0030. Juni 2025|

RCE in Axiros Auto Configuration Server (ACS)

In diesem Blogartikel werden wir auf die Details einer mittlerweile als CVE-2024-33898 bekannten Schwachstelle eingehen, die wir im April 2024 identifiziert haben. Es handelt sich dabei um eine unauthenticated Remote Code Execution im Frontend des Axiros Auto Configuration Servers (ACS) in den Versionen 4.3.2 und 5.0.0. Die Schwachstelle wurde mittlerweile in Zusammenarbeit mit Axiros behoben, weitere Details dazu finden sich hierzu auf der Website des Herstellers.

Bevor wir uns mit den technischen Details der Schwachstelle beschäftigen, beginnen wir mit einer Beschreibung des Produkts selbst.

Der Auto Configuration Server

Axiros beschreibt das Produkt dabei als weltweit eingesetzte „herstellerunabhängige Geräteprovisionierungssoftware“ für Customer Premise Equipment (CPE) CPEs sind Modems, Router oder ähnliche Geräte, die […]

Von Moritz Feldmann|2026-01-12T12:05:05+01:0020. Dezember 2024|

Azure Arc – Part 3 – General Security Considerations

Azure Arc is Microsoft’s solution to allow customers to manage on-premises resources (servers and the likes) using Azure Resource Manager, i.e. the Azure Portal, CLI and the Azure PowerShell module. It basically enables on-premise server management in a way that it feels like you’re administrating an Azure Virtual Machine instead of an on-premises server. Note that Azure Arc supports Windows and Linux, but this blog series will only cover aspects of Windows machines.

This post is part of a blog series covering the security implications of an Azure Arc deployment. The first part is a technical deep-dive into the possibilities of an attacker who gained access to the machine itself, and which implications that has for the Cloud environment. The second part of the series […]

Von Benedikt Strobl|2024-12-11T09:08:55+01:0011. Dezember 2024|

Red Team Assessment

Penetrationstest

Trainings & Workshops

NSIDE Tech Blog

BLEIBEN SIE AUF DEM LAUFENDEN