matzka.cloud
Portal Login
Zurück zum Blog

Proaktives CVE-Management mit Wazuh und Trivy

Das Problem: Alert Fatigue

Sicherheitsmonitoring ist ein zweischneidiges Schwert. Zu wenige Alerts und man verpasst echte Bedrohungen. Zu viele Alerts und das Team ignoriert sie irgendwann alle - die gefürchtete "Alert Fatigue".

Bei matzka.cloud setzen wir auf Wazuh als SIEM-Lösung kombiniert mit Trivy für Container-Schwachstellenscans.

CVE-2025-68121: Eine Go stdlib Schwachstelle

Am 5. Februar 2026 wurde CVE-2025-68121 veröffentlicht - eine Schwachstelle in Gos crypto/tls Paket. Sie betrifft die TLS Session Resumption und kann unter bestimmten Umständen die Zertifikatsvalidierung umgehen.

Betroffene Images

ImageSchweregrad
prom/alertmanager2 CRITICAL
prom/prometheus2 CRITICAL, 6 HIGH
prom/node-exporter1 CRITICAL, 5 HIGH
ghcr.io/mailcow/dovecot1 CRITICAL, 5 HIGH

Risikobewertung

  • Interne Services: Prometheus und Alertmanager sind nur im internen Netzwerk erreichbar
  • Spezifische Ausnutzung: Die Schwachstelle erfordert Config.Clone() mit CA-Feld-Mutationen
  • Keine Patches verfügbar: Die Upstream-Images wurden noch nicht aktualisiert

Wazuh Suppression Rules

Statt die Alerts komplett zu ignorieren, erstellen wir gezielte Suppression Rules:

<rule id="100650" level="0">
  <if_sid>100601,100606</if_sid>
  <match>alertmanager</match>
  <description>Suppressed: CVE-2025-68121 in alertmanager</description>
</rule>

Die Regel setzt level="0" was bedeutet, dass kein Alert generiert wird.

Docker Networking False Positives

Docker aktiviert bei Container-Operationen den Promiscuous-Modus auf veth-Interfaces. Das Audit-System meldet dies als Sicherheitsalarm - bei dutzenden Container-Operationen pro Tag hunderte False Positives.

<rule id="100220" level="0">
  <if_sid>80710</if_sid>
  <regex>dev=veth</regex>
  <description>Suppressed: Docker veth promiscuous mode</description>
</rule>

Monitoring der Suppressions

Suppression Rules sind keine "Fire and Forget" Lösung:

  • Diun Monitoring: Automatische Benachrichtigung bei neuen Image-Versionen (alle 6h)
  • Trivy Scanning: Regelmäßige Vulnerability-Scans
  • Review-Prozess: Monatliche Überprüfung aller aktiven Suppressions

Fazit

Effektives Security Monitoring bedeutet nicht, jeden Alert zu behandeln. Es bedeutet:

  • Priorisieren: Echte Risiken von False Positives unterscheiden
  • Dokumentieren: Warum wurde eine Entscheidung getroffen?
  • Automatisieren: Benachrichtigungen für verfügbare Patches
  • Reviewen: Regelmäßige Überprüfung der Suppression Rules

Sicherheit ist kein Zustand, sondern ein Prozess - und intelligente Automatisierung macht diesen Prozess handhabbar.

Zurück zur Übersicht