Sicherheitslücken bei der Ausführung von Remote-Codes

Threat Spotlight: Sicherheitslücken bei der Ausführung von Remote-Codes

Druckfreundlich, PDF & E-Mail

Jeder, der Zugriff auf einen Endpunkt mit einer verwundbaren Softwareversion hat, kann beliebige Befehle über eine HTTP-Anfrage ausführen, ohne dass ein Autorisierungs-Header erforderlich ist. Die zu erwartende Antwort auf diese Anfrage wäre eine Seite mit der 401-Fehlermeldung „Nicht autorisiert“. Der Benutzer kann jedoch Befehle mit Root-Rechten ausführen. Diese Bedrohungen kamen bereits 2017 beim Angriff auf Equifax zum Einsatz.

Zwei kürzlich aufgedeckte Schwachstellen sind die neuesten Entwicklungen dieser Art von Angriffen: Die „Atlassian Confluence OGNL Injection“-Schwachstelle und eine Schwachstelle, die die Azure Open Management Infrastructure (OMI) betrifft. Barracuda-Forscher analysierten über einen 45-tägigen Zeitraum im August und September Angriffe, die diese Schwachstellen auszunutzen versuchten, und stellten Angriffsspitzen fest, die von mehr als 500 einzelnen Angreifer-IPs ausgingen.

Im Folgenden werfen wir einen genaueren Blick auf diese Schwachstellen, die jüngsten Angriffsmuster und auf Lösungen, die Sie zum Schutz vor solchen Angriffsarten einsetzen können.

Bedrohung im Fokus

Schwachstellen bei der Ausführung von Remote-Codes (Remote Code Execution, RCE) RCE ist der Begriff, der die Ausführung von beliebigem Code auf einem Computersystem beschreibt, bei dem der Bedrohungsakteur keinen direkten Zugriff auf die Konsole hat. Es ist, als säße der Angreifer physisch vor dem System, während er die volle Kontrolle darüber übernimmt.

Die Details

Die „Atlassian Confluence OGNL Injection“-Schwachstelle wurde von Atlassian erstmals am 25. August 2021 veröffentlicht. Kurz darauf wurde sie in die National Vulnerability Database (CVE-2021-26084) aufgenommen. Diese Schwachstelle ermöglicht es Bedrohungsakteuren, eine „POST“-Anfrage unter Verwendung des Confluence-Vorlagen-Engine ohne einen Autorisierungs-Header zu stellen. Dadurch erhält der Bedrohungsakteur „Root-Zugriff“ auf das System. Mit den Parametern „queryString“ und „linkCreation“ können die Angreifer Java-Code einschleusen.

Atlassian hat bekanntgegeben, dass „Alle Versionen von Confluence Server und Data Center vor den korrigierten Versionen von dieser Schwachstelle betroffen sind.“

Bei der Analyse der Daten von Ende August bis Ende September stellte das Forschungsteam von Barracuda fest, dass die Angriffe auf die Confluence-Schwachstelle in die Höhe schossen und die Zahl der Angriffe weiter hoch bleibt, da viele Confluence-Benutzer immer noch eine anfällige Version der Software haben.

Confluence-Schwachstelle

Azure veröffentlichte CVE-2021-38647 am 15. September 2021. Diese Schwachstelle betrifft die Azure Open Management Infrastructure (OMI). Azure OMI ist ein Software-Agent, der automatisch vorinstalliert und in Cloud-Umgebungen bereitgestellt wird. Durch diese stille Installation sind Azure-Kunden nun so lange einem Risiko ausgesetzt, bis sie ihre Systeme auf die neueste Version von OMI aktualisieren.

Angreifer zielen auf diese Systeme ab, indem sie eine speziell gestaltete HTTPS-Nachricht an einen der Ports senden, die auf OMI-Datenverkehr warten (Ports 1270/5985/5986), wodurch der Angreifer ersten Zugriff auf den Rechner erhält. Vom Angreifer gesendete Befehle werden vom SCXcore-Service ausgeführt, sodass der Angreifer die Schwachstellen nutzen kann. Der Angreifer kann dann einen Befehl ohne Autorisierungs-Header an den Rechner weitergeben, den der OMI-Server als vertrauenswürdig behandelt und dem Angreifer „Root-Zugriff“ auf das System gewährt.

Microsoft erklärte in seinem Blog, „Der ExecuteShellCommand RunAsProvider führt jeden UNIX-/Linux-Befehl über die /bin/sh-Shell aus.“

Bei der Auswertung der Daten von Barracuda-Systemen ab Mitte September stellten die Forscher von Barracuda einen starken Anstieg der Zahl der Angreifer fest, die versuchten, diese Schwachstelle auszunutzen. Nach der anfänglichen Spitze am 18. September ging die Zahl der Angriffsversuche zurück, aber sie stieg wieder an und glich sich dann im Laufe der Zeit aus.

Azure-OMI-Schwachstelle

Während der von Barracuda durchgeführten Analyse der Angriffe über einen 45-tägigen Zeitraum im August und September wurden 550 eindeutige Angreifer-IPs entdeckt, die versucht hatten, die Atlassian-Confluence-Schwachstelle auszunutzen, und 542 eindeutige Angreifer-IPs versuchten, die Azure OMI-Schwachstelle auszunutzen.

Hinter jeder IP standen mehrere Angreifer, was bedeutet, dass die Anzahl der Angriffe deutlich höher war als die Anzahl der IP-Adressen. Die Forscher deckten dies mit Hilfe von Client-Fingerprinting und anderen Techniken auf.

Sicherheitslücken bei der Ausführung von Remote-Codes

Wie auf der obigen Heatmap zu sehen ist, befinden sich die meisten Angreifer-IPs in den USA, inklusive Alaska. Das liegt möglicherweise daran, dass die meisten Serverfarmen in diesen Regionen angesiedelt sind. Angriffe wurden auch aus Ländern wie Russland, dem Vereinigten Königreich, Polen und Indien gesendet. Die Angreifer versuchen weltweit, diese Schwachstellen auszunutzen, und Unternehmen müssen ihnen einen Schritt voraus sein, um ihre Web-Applikationen zu schützen.

So schützen Sie Ihre Web-Applikationen gegen diese Schwachstellen

Aufgrund der wachsenden Anzahl von Sicherheitslücken in Web-Applikationen wird es immer aufwändiger, sich vor Angriffen zu schützen. Inzwischen gibt es jedoch Komplettlösungen, die Ihre Web-Applikationen davor schützen, dass diese Schwachstellen ausgenutzt werden. WAF/WAF-as-a-Service-Lösungen, auch bekannt als WAAP-Services (Web Application and API-Protection), können zum Schutz Ihrer Web-Applikationen beitragen, indem sie alle aktuellen Sicherheitslösungen in einem einfach zu bedienenden Produkt bereitstellen.

Gartner erklärte: „Lösungen zum Schutz von cloudbasierten Web-Applikationen und API sind die Entwicklung von cloudbasierten Web-Application-Firewall-Diensten.

Der Bedarf an einer WAF-as-a-Service- oder WAAP-Lösung war noch nie so wichtig wie heute, da viele Mitarbeiter nach wie vor im Homeoffice arbeiten und eine Vielzahl von Anwendungen online verfügbar ist. Unternehmen müssen sicherstellen, dass sie über eine Lösung verfügen, die Bot-Abwehr, DDoS-Schutz und API-Sicherheit umfasst.

Testen Sie WAF-as-a-Service im Azure Marketplace

Nach oben scrollen
Twittern
Teilen
Teilen