Site Logo

Threat Spotlight: Automatisierte Angriffe auf Webanwendungen

Themen:
4. Feb.. 2021
|
Tushar Richabadas

Cyberkriminalität ist zu einem großen Geschäft geworden, und Betrüger setzen zunehmend auf Bots und Automatisierung zur Steigerung der Effizienz und Effektivität ihrer Angriffe sowie zur Umgehung gängiger Sicherheitslösungen.

Im Dezember werteten Forscher von Barracuda eine Stichprobe von Daten zu Angriffen auf Web-Anwendungen aus, die innerhalb eines Zeitraums von zwei Monaten von Barracuda-Systemen blockiert wurden. Automatisierte Angriffe machten dabei einen massiven Anteil am Gesamtvolumen aus. In den fünf Top-Kategorien der häufigsten Angriffe dominierten Angriffe, die mit automatisierten Tools durchgeführt wurden.

Die 5 wichtigsten Angriffsarten für Webanwendungen

Bei knapp 20 % der abgefangenen Angriffe handelte es sich um Fuzzing-Angriffe, bei denen die Schwachstellen von Anwendungen mithilfe automatisierter Tools identifiziert und ausgenutzt werden. An zweiter Stelle lagen Injektionsangriffe mit einem Anteil von etwa 12 %. Auch hier kamen in einer Mehrzahl der Fälle automatisierte Tools wie sqlmap zum Einsatz. Bei vielen dieser Angriffe handelte es sich um eher stümperhafte Versuche auf Scriptkiddie-Niveau ohne vorheriges Auskundschaften des Angriffsziels.

Bots, die sich als Google-Bot oder Ähnliches ausgeben, lagen mit knapp über 12 % der analysierten Angriffe auf Web-Anwendungen an dritter Stelle. DDoS-Angriffe (Distributed Denial of Service) auf Anwendungen machten mit über 9 % regionsübergreifend einen überraschend hohen Anteil an der von Barracuda analysierten Stichprobe aus. Ein geringer Anteil der Angriffe (weniger als 2 %) geht auf Bots zurück, die von Website-Administratoren blockiert werden.

Im Folgenden werden die Trends näher beleuchtet, die die Forscher von Barracuda in Bezug auf Angriffe auf Web-Anwendungen und den Einsatz automatisierter Angriffe aufdeckten.

Bedrohung im Fokus


Automatisierte Angriffe — Bei automatisierten Angriffen werden Bots eingesetzt, um Sicherheitslücken in Web-Anwendungen auszunutzen. Diese Angriffe reichen von schädlichen Bots, die sich als Google-Bots ausgeben, um Sicherheitslösungen zu umgehen, bis hin zu DDoS-Angriffen mit dem Ziel, durch Überlastung der Anwendung eine Website zum Abstürzen zu bringen.

Bot-Angriffe werden zunehmend zum Problem — das bedeutet jedoch nicht, dass Cyberkriminelle sich von ihren altbewährten Favoriten verabschieden. Bei einem beträchtlichen Teil der von Barracuda analysierten Angriffe handelte es sich um Klassiker wie Injektionsangriffe (12 %) oder Cross-Site-Scripting (XSS) (1 %). Die Angriffe gingen hauptsächlich von Reconnaissance- oder Fuzzing-Tools aus, die zum Auskundschaften von Anwendungen eingesetzt werden (siehe oben).

Injektionsangriffe stehen ganz oben auf der Liste der aktuellen OWASP Top 10 und waren bislang in jeder Ausgabe vertreten. Angesichts der relativen Einfachheit der Ausführung und der Aussicht auf hohe Profite für Cyberkriminelle dürfte sich daran in absehbarer Zukunft wenig ändern. Cross-Site-Scripting-Angriffe (XSS) erfreuten sich als dritthäufigster Angriff in dieser Kategorie ebenfalls relativ hoher Beliebtheit.

traditionelle Angriffe auf Web-Anwendungen

Die Details


Ein beträchtlicher Anteil der analysierten Angriffsversuche (6,1 % bzw. 1,05 %) richtete sich gezielt auf WordPress- oder PHP-Sicherheitslücken (in der Regel die phpMyAdmin-Seiten). Etliche dieser Angriffe wurden aber auch auf Nicht-PHP- oder Nicht-WP-Sites verübt, was die Vermutung nahelegt, dass es sich bei den Angreifern teilweise um Scriptkiddies handelt. Allerdings ist davon auszugehen, dass auch diese Angreifer schnell dazulernen und künftig ihre Angriffsziele gründlicher im Voraus analysieren werden.

Angriffe zum Schmuggeln von Anfragen waren auf ein vernachlässigbares Ausmaß zurückgegangen, bis kürzlich die HTTP-Desync-Angriffe aufgedeckt wurden. Seitdem sind die Schmuggel-Angriffe wieder im Aufwind. In der Analyse von Barracuda wurde bei über 60 % der Schmuggel-Angriffe ein ungültiger Header verwendet. Ein Drittel verwendete mehrere Inhaltslängen und 3 % hatten fehlerhafte Inhaltslängen.

Schmuggel-Angriffe

Die Mehrzahl der analysierten Angriffe auf JSON-APIs diente zum Testen der Grenzbedingungen, also quasi zum Auskundschaften der APIs. Bei 95 % der Angriffe dieser Art wurde der Maximalwert überschritten, bei knapp 4 % die Maximalwertlänge. Forscher verzeichneten auch andere Angriffsversuche — XSS- und SQL-Injektion-Angriffe —, deren Volumen in der Stichprobe allerdings sehr gering bis vernachlässigbar war. Die Forscher rechnen im Laufe des nächsten Jahres mit einer Zunahme dieser Arten von Angriffen.

Bei den versuchten Datendiebstählen in der Stichprobe handelte es sich in erster Linie um Versuche, sensible Daten wie Kreditkartennummern, Sozialversicherungsnummern usw. zu klauen. Eine überwältigende Anzahl der Exfiltrationsversuche in der Stichprobe betraf Kreditkartennummern. Mehr als drei Viertel dieser Angriffe entfielen auf Visakarten. Mit großem Abstand folgten JCB mit einem Anteil von 20 % und Mastercard, Diners und American Express mit deutlich geringeren Anteilen.

versuchter Datenklau

Verschlüsselung: Aktueller Stand


Die Forscher von Barracuda nahmen auch die aktuelle Lage in Bezug auf Verschlüsselung unter die Lupe. Durch Verschlüsselung des Datenverkehrs lässt sich eine Vielzahl von Angriffen verhindern – insbesondere die sogenannten Man-in-the-Middle-Angriffe – und eine zusätzliche Schutzschicht zur Sicherung von Websites bereitstellen. Sie ist jedoch nicht gegen alle Angriffsarten wirksam.

Bei fast 92 % des Datenverkehrs, den die Forscher in einem zweimonatigen Zeitraum zwischen Oktober und Dezember 2020 analysiert haben, handelte es sich um HTTPS-Daten. Weniger als 10 % des Datenverkehrs wird über HTTP bereitgestellt. Dies ist als positives Zeichen zu werten, spricht es doch für ein steigendes Sicherheitsbewusstsein der Anwender und Anbieter in diesem Bereich.    

Die Präferenz der Browser-Anbieter für TLS1.3 als bevorzugtes Protokoll führt allmählich dazu, dass sich diese sichereren Protokolle zunehmend durchsetzen.

Die Forscher von Barracuda stellten fest, dass nur wenige Unternehmen das ältere SSLv3-Protokoll aktiviert haben, weil es als viel zu unsicher gilt. Selbst bei Unternehmen, die SSLv3 weiterhin nutzen, entfällt darauf nur ein sehr geringfügiger Anteil des gesamten Datenverkehrs. Das Gleiche gilt für TLS1.0 und TLS1.1, wobei die Verwendung dieser Protokolle rasch zurückgeht und jeweils weniger als 1 % des analysierten Datenverkehrs ausmacht.

Ganze 65 % des gesamten Datenverkehrs, der für diesen Bericht analysiert wurde, verwendete TLS1.3, das sicherste derzeit verfügbare Protokoll. Etwa ein Drittel des HTTPS-Datenverkehrs befindet sich immer noch über TLS1.2, und diese Zahl sinkt langsam.        

TLS1.3

Bei den Browsern lag Chrome mit einem Anteil von 47 % an der TLS1.3-Nutzung (basierend auf dem gemeldeten User Agent) vorne, gefolgt von Safari mit 34 %. Überraschenderweise verdrängte Edge mit 16 % Firefox auf den dritten Platz. Firefox wurde nur für 3 % des Datenverkehrs verwendet. Für die Verdrängung von Firefox durch Edge gibt es vermutlich zwei Gründe:

  • die dominante Position von Chrome

  • die Tendenz bei Unternehmen, die Internet Explorer bevorzugten, zum Umstieg auf Edge         


Überraschender war der Trend bei TLS1.2. Hier entfällt über die Hälfte des Traffics auf Internet Explorer, während Chrome mit knapp unter 40 % an zweiter Stelle liegt. Im Vergleich dazu kommt Safari auf weniger als 10 %, und der Anteil von Firefox liegt sogar noch darunter.       

TLS1.2

Nach den Erkenntnissen der Forscher wurden automatische Updates für Chrome und Firefox recht häufig angewendet. In den meisten Fällen wurden Browser verwendet, die maximal zwei Versionen hinter der aktuell verfügbaren lagen.

Zwar arbeiten viele Menschen nach wie vor mit Internet Explorer – zumeist jedoch mit IE11, was immerhin von einem Trend in die richtige Richtung, nämlich hin zu aktuelleren und sichereren Browsern, zeugt.

Im Vergleich dazu wird nach den Erkenntnissen der Forscher von Barracuda kaum TLS1.3 ür den automatisierten Datenverkehr verwendet; der größte Teil davon verwendet TLS1.2. Dies umfasst Site-Monitore, Bots und Tools wie Curl.

So schützen Sie sich vor automatisierten Angriffen


Wenn es um den Schutz vor neuartigen Angriffen geht, wie z. B. Bots und API-Angriffe, kann die schiere Anzahl der erforderlichen Lösungen manchmal eine Überforderung darstellen. Insofern ist positiv zu vermerken, dass diese Lösungen zunehmend in WAF-/WAF-as-a-Service-Lösungen konsolidiert werden, die auch als Web Application and API Protection Services (WAAP) bezeichnet werden.

Wie Gartner im 2020 WAF Magic Quadrant vermerkt:

Gartner definiert WAAP-Services als die Weiterentwicklung von cloudbasierten WAF-Services. WAAP-Services kombinieren cloudbasierte Bereitstellung von WAF nach dem as-a-Service-Konzept, Bot-Schutz, DDoS-Abwehr und API-Schutz mit einem Abonnementmodell.“

Für Unternehmen empfiehlt sich die Implementierung einer WAF-as-a-Service- oder WAAP-Lösung, die Bot-Abwehr, DDoS-Schutz, API-Sicherheit und Schutz vor Credential Stuffing umfasst. Entscheidend ist auch, dass sie richtig konfiguriert wird.

Eine wichtige Rolle spielt dabei die Aufklärung über aktuelle Bedrohungen und deren Weiterentwicklung. So informierte Barracuda kürzlich in einem Webinar (jetzt auf Abruf verfügbar) über unsere Prognosen für die drei häufigsten Angriffsarten, vor denen Unternehmen ihre Web-Anwendungen in diesem Jahr schützen müssen: automatisierte Bot-Angriffe, Angriffe auf APIs und Angriffe auf Software-Lieferketten. Gegen diese neuartigen Angriffe gibt es noch kaum Schutzmechanismen. Zudem werden sie aufgrund mangelnden Risikobewusstseins – und teilweise auch aufgrund des Einsatzes von Schattenanwendungen ohne entsprechende Schutzmechanismen – eher durchgelassen.

On-Demand-Webinar: Prognosen zur Anwendungssicherheit 2021

Tushar Richabadas

Tushar Richabadas ist Senior Product Marketing Manager für Anwendungen und Cloud-Security bei Barracuda. Zuvor war Tushar Product Manager für die Barracuda Web Application Firewall und Barracuda Load Balancer ADC mit den Schwerpunkten Cloud und Automatisierung. Tushar hat als Leiter von Testteams für Netzwerkprodukte und im technischen Marketing für HCL-Cisco bereits viel Arbeitserfahrung gesammelt. Richabadas verfolgt die rasant zunehmenden Auswirkungen der digitalen Sicherheit sehr aufmerksam und setzt sich mit großer Begeisterung für die Vereinfachung der digitalen Sicherheit für alle ein.

Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
Vertrauen mit Zero Trust aufbauen
Vertrauen mit Zero Trust aufbauen
 The third pillar to well-architected AWS cloud security - NetSec (Network Security)
The third pillar to well-architected AWS cloud security - NetSec (Network Security)
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more
The alphabet soup of cloud protection
The alphabet soup of cloud protection