AppSec prognostiziert 2021: Angriffe auf die Lieferketten stellen eine größere Bedrohung für alle Branchen dar

Dies ist die letzte einer dreiteiligen Reihe von AppSec-Prognosen für 2021.  Die komplette Serie können Sie hier nachlesen.

(Fast) jedes Jahr veröffentliche ich unsere AppSec-Prognosen über die drei Bedrohungen, die im kommenden Jahr eine besonders große Herausforderung darstellen könnten. In den vergangenen zwei Jahren lauteten die Prognosen: Credential-Stuffing/Account-Takeover-Angriffe, API-Angriffe und Supply-Chain-Angriffe. Dieses Jahr kommen die Informationen für unsere Vorhersagen von unserem erweiterten Threat Intelligence Service, einem Teil von Barracuda Advanced Bot Protection. Kurz, unsere Schlussfolgerungen werden von deutlich mehr Daten untermauert.

Lieferkettenangriffe mehren sich und stellen branchenübergreifend eine wachsende Bedrohung dar

Lieferkettenangriffe sind im Grunde Angriffe auf die Lieferkette einer Software. Sie können vielerlei Gestalt annehmen, doch in diesem Webinar möchten wir uns Angriffen auf Webanwendungen widmen. Derartige Angriffe wurden erstmals um 2018 herum festgestellt und werden Magecart genannt, da sie zunächst auf Online-Shops abzielten, die mit Magento arbeiteten. Die Angreifer identifizierten zunächst JavaScript von Drittanbietern, das auf Checkout-Seiten häufig verwendet wurde. Anschließend hackten sie die JS-Quelldateien und implementierten ihren Card-Skimming-Code. Wenn ein User die entsprechende Seite lud, wurde das nun bösartige JavaScript geladen. So konnten dann die Zugangsdaten des Users gestohlen werden.

2019 und 2020 führte diese Gruppe mehrere größere Angriffe durch und traf damit auch einige hochkarätige Unternehmen wie British Airways. Zu diesem Zeitpunkt waren bereits tausende Fälle von geschädigten Shops bekannt, da viele cyberkriminelle Gruppen mit dieser Angriffsmethode arbeiteten. Einige dieser geschädigten Skripte sind recht raffiniert. So führen sie bei der Anwendung eines Web Vulnerability Scanners ihren Malicious Code nicht aus und geben somit vor, normal zu funktionieren, um nicht entdeckt zu werden. Hier sind also ziemlich fortschrittliche und gut organisierte Gruppen am Werk. Darüber hinaus werden auch Inter Skimmer eingesetzt, die bei Angreifern, die derartige Angriffe vornehmen möchten, mittlerweile ein beliebtes Tool sind. Es handelt sich hierbei wie bei Bots um echte Support-Kanäle mit entsprechender Forschung und Entwicklung hinter den Produkten. Es hat sich hier eine regelrechte Untergrundwirtschaft entwickelt.

Hier sehen wir ein Beispiel eines Skimmers, den Visa im August 2020 identifizieren konnte. Wie Sie sehen können, haben die Verantwortlichen große Anstrengungen unternommen, um nicht entdeckt und von den Websites entfernt zu werden, die das anfällige JavaScript verwendeten.

Die Schwierigkeit bei der Absicherung gegen solche Angriffe besteht darin, dass diese Skripte ohne allzu große Prüfungen zu Anwendungen hinzugefügt werden. Sobald diese Teil Ihrer Website sind, werden sie direkt aus der Quelle, die Sie zumeist, wie im Fall von GitHub, selbst nicht steuern, heruntergeladen und dann im Browser ausgeführt. Derlei Angriffe werden relativ häufig erst spät entdeckt und die Qualität der exfiltrierten Daten ist recht hoch. Die derzeit im Einsatz befindlichen Schutzmaßnahmen richten sich in der Regel nach Inhaltssicherheitsrichtlinien, die schwer zu operationalisieren und anfällig für Fehlalarme sind. Aufgrund einer großen Anzahl von Falschmeldungen ist Ihre CSP-Konfiguration höchstwahrscheinlich sehr tolerant und demnach anfällig für Fehlkonfigurationen. Eine weitere Option ist das Site-Scanning, allerdings sind die schädlichen Tools so konzipiert, dass sie solche Scanner erkennen und umgehen können. Der Code dieser Skripte ist verschleiert, wendet Anti-Bot-Techniken an und wartet auf bestimmte Benutzermuster (wie das Bewegen der Maus nach oben), um schließlich ausgeführt zu werden. Es gibt jedoch benutzerdefinierte Lösungen zur Abwehr solcher Angriffe. Eine Reihe davon ist 2020 auf den Markt gekommen.

Diese Kurve aus dem HTTP-Archiv veranschaulicht das Ausmaß des Problems: Etwa 80 % der gescannten Sites verwendeten anfällige JavaScripts von Drittanbietern.

Lieferkettenangriffe wie diese sind nur wenig bekannt, doch es wird erwartet, dass sie langsam zunehmen und eines Tages plötzlich ein überaus großes Problem darstellen werden!

AppSec wird auch 2021 interessant sein

In puncto Bots und Wiederverkauf stellen wir fest, dass sich die Gesetzgeber langsam einschalten. Im Vereinigten Königreich etwa wird versucht, den Weiterverkauf von Produkten über dem empfohlenen Verkaufspreis zu unterbinden. Und dies ist kein Präzedenzfall. Bereits 2015 wurde in den USA ein Gesetz gegen den Wiederverkauf von Tickets verabschiedet, nachdem die Anzahl an Beschwerden über Schwarzmarkthändler massiv angestiegen war. Ob diese neuen Gesetze funktionieren oder ob die Bot-Entwickler weiterhin elterliche Regeln untergraben, um an ihre Cookies zu kommen, bleibt abzuwarten.


 Interessanterweise versuchen Finanzinstitute, ihre Kunden (Händler, die E-Commerce-Shops besitzen) dazu zu bringen, Lösungen einzusetzen, die derartige Angriffe abwehren. Diesbezüglich hat man bereits vorgefühlt. Außerdem gehen diese Angriffe weit über Kreditkartendaten hinaus, betreffen auch andere personenbezogene Daten und sind somit noch gefährlicher. Mit Gesetzen wie der GDPR, dem CCPA und anderen wird eine Absicherung gegen solche Angriffe noch wichtiger.

Prognosen zur Anwendungssicherheit 2021: Bot-, API- und Supply-Chain-Angriffe
Webinar ansehen