N1QL Injection in Couchbase Sync Gateway – CVE-2019-9039

Within the scope of a recent penetration test, HiSolutions security consultants encountered a Couchbase Sync Gateway and discovered a previously unknown, high-impact injection vulnerability (CVE-2019-9039). Background Information The Couchbase Sync Gateway is a product developed by Couchbase Inc. as part of their mobile product portfolio. It is used to connect web, mobile, and IoT apps (Couchbase Lite) to the backend database (Couchbase Server). The publically accessible Sync Gateway synchronizes the data with the internal backend database servers and employs various […]

Web vulnerabilities are coming to the Desktop – Template Injections lead to RCE in Teamwire

TL;DR (Teamwire users): A vulnerability has been found in Teamwire which can allow malicious users to execute commands on victim’s computers by sending a crafted Teamwire message. Upgrade Teamwire to the newest version as soon as possible to fix this vulnerability. TL;DR (Technical): Template injections are a common vulnerability in web applications. If a desktop application built on a web engine is vulnerable to template injection, this can result in remote code execution on the client system. Background Template injection […]

Wild Thing, You Make My Heart Sing: 0days „in the wild“

Googles Project Zero (GP0) verfolgt seit der Gründung vor fünf Jahren intensiv die Entwicklungen und Entdeckungsprozesse im Bereich Schwachstellen. Das erklärte Ziel der Gruppe ist die Bekämpfung von „Zero Days“: Schwachstellen, die bekannt werden, ohne dass für sie bereits ein Patch besteht. Daher sind diejenigen Fälle von besonderem Interesse, bei denen Angreifer es geschafft haben, 0days „in the wild“, in freier Wildbahn tatsächlich auszunutzen. Diese Liste – quasi des eigenen „Scheiterns“ bzw. der eigenen Unvollkommenheit – hat GP0 nun veröffentlicht, […]

Sicher in die Wolken

Immer mehr Unternehmen nutzen sie heute. Doch nur wenige wagen bisher den Schritt, ihre Kerngeschäftsprozesse komplett in die Cloud zu verschieben. HiSolutions unterstützt die Lufthansa bei der sicheren Migration. Abdou-Naby Diaw, Deutsche Lufthansa AG, & Timo Kob, HiSolutions AG: Sicher in die Wolken. Wie HiSolutions die Lufthansa Group beim Weg in die Cloud unterstützt, in: <kes>  Special Sicheres Cloud-Computing, Februar 2019. [PDF]

Firmen buhlen um IT-Sicherheitsfachkräfte

Einzelmaßnahmen werden nicht ausreichen. „Der deutsche Security-Markt steht aktuell unter den Zeichen eines akuten Fachkräftemangels und der neuen Datenschutz-Grundverordnung DSGVO“ ISG Provider Lens™ Study – Cyber Security Solutions & Services 2019 Seit Jahren zeichnet sich ein Defizit an Sicherheitsfachleuten ab – nicht nur in Deutschland, sondern weltweit. So prognostiziert ISC² in seiner aktuellen Cybersecurity Workforce Studie: „The Asia/Pacific region is suffering from the largest shortfall of about 2.14 million with North America having the next biggest need with 498,000 workers […]

Race Against The Machine – Will ML Help Or Harm Security?

Vortrag von David Fuhr, Head of Research bei HiSolutions, bei der M³ (Minds Mastering Machines), London, 16.10.2018 Machine Learning is being applied in many use cases of information technology, with varying, but sometimes mind-blowing success. Like any emerging tech, it can be used for better or worse when it comes to “cyber”. The talk will examine the relations between ML and security: What security risks lie in the use of ML? Where and how can ML help attackers? Where not? […]

Konzernweite Steuerung des Cyberrisikos bei innogy

Top-down Cyber-Risk-Assessment by HiSolutions Die Bestimmung des unternehmensweiten Cyberrisikos ist eine wichtige Voraussetzung für eine ganzheitliche Bewertung und globale Steuerung, um die Verteidigung verbessern und den Ressourceneinsatz optimieren zu können. HiSolutions hat mit innogy ein Top-down Cyber-Risk-Assessment-Vorgehen entwickelt, das einen aktuellen, zentralen und aggregierten Überblick über den gesamten Konzern inklusive aller Töchter ermöglicht und so als wertvoller Input für die Cybersicherheitsstrategie dient. Von David Fuhr, HiSolutions AG und Thomas Krauhausen, innogy SE Die stetig zunehmende IT-Bedrohungslage lässt die Steuerung von […]

Start für HiSolutions Research

Willkommen zur Webseite von HiSolutions Research. Seit 2017 bündeln wir hier unsere Forschungsaktivitäten im Bereich der IT-Security. Die HiSolutions AG ist führendes Beratungshaus für Security und IT-Management im deutschsprachigen Raum. HiSolutions Research arbeitet daran, die Innovations- und Qualitätsführerschaft von HiSolutions in den nächsten Jahren und mit neuen Herausforderungen weiter auszubauen.