Site Logo

Threat Spotlight: Sicherheitslücken bei der Ausführung von Remote-Codes

Themen:
13. Okt.. 2021
|
Marcus Gower

Jeder, der Zugriff auf einen Endpunkt mit einer verwundbaren Softwareversion hat, kann beliebige Befehle über eine HTTP-Anfrage ausführen, ohne dass ein Autorisierungs-Header erforderlich ist. Die zu erwartende Antwort auf diese Anfrage wäre eine Seite mit der 401-Fehlermeldung „Nicht autorisiert“. Der Benutzer kann jedoch Befehle mit Root-Rechten ausführen. Diese Bedrohungen kamen bereits 2017 beim Angriff auf Equifax zum Einsatz.

Zwei kürzlich aufgedeckte Schwachstellen sind die neuesten Entwicklungen dieser Art von Angriffen: Die „Atlassian Confluence OGNL Injection“-Schwachstelle und eine Schwachstelle, die die Azure Open Management Infrastructure (OMI) betrifft. Barracuda-Forscher analysierten über einen 45-tägigen Zeitraum im August und September Angriffe, die diese Schwachstellen auszunutzen versuchten, und stellten Angriffsspitzen fest, die von mehr als 500 einzelnen Angreifer-IPs ausgingen.

Im Folgenden werden diese Schwachstellen, aktuelle Angriffsmuster und Lösungen, mit denen Sie sich gegen diese Art von Angriffen schützen können, näher beleuchtet.

Bedrohung im Fokus


Remote Code Execution (RCE)-Schwachstellen RCE ist der Begriff, der die Ausführung von beliebigem Code auf einem Computersystem beschreibt, bei dem der Bedrohungsakteur keinen direkten Zugriff auf die Konsole hat. Es ist, als säße der Angreifer physisch vor dem System, während er die volle Kontrolle darüber übernimmt.

Die Details


Die Atlassian Confluence OGNL Injection-Schwachstelle wurde erstmals am 25. August 2021 von Atlassian veröffentlicht. Kurz darauf wurde es der National Vulnerability Database (CVE-2021-26084) hinzugefügt. Diese Schwachstelle ermöglicht es Bedrohungsakteuren, eine „POST“-Anfrage unter Verwendung des Confluence-Vorlagen-Engine ohne einen Autorisierungs-Header zu stellen. Dadurch erhält der Bedrohungsakteur „Root-Zugriff“ auf das System. Mit den Parametern „queryString“ und „linkCreation“ können die Angreifer Java-Code einschleusen.

Atlassian hat bekanntgegeben, dass „Alle Versionen von Confluence Server und Data Center vor den korrigierten Versionen von dieser Schwachstelle betroffen sind.“

Bei der Analyse der Daten von Ende August bis Ende September stellte das Forschungsteam von Barracuda fest, dass die Angriffe auf die Confluence-Schwachstelle in die Höhe schossen und die Zahl der Angriffe weiter hoch bleibt, da viele Confluence-Benutzer immer noch eine anfällige Version der Software haben.

Confluence-Schwachstelle

Azure hat CVE-2021-38647 am 15. September 2021 veröffentlicht. Diese Schwachstelle betrifft die Azure Open Management Infrastructure (OMI). Azure OMI ist ein Software-Agent, der automatisch vorinstalliert und in Cloud-Umgebungen bereitgestellt wird. Diese unbeaufsichtigte Installation hat Azure-Kunden nun einem Risiko ausgesetzt, bis sie ihre Systeme auf die neueste Version von OMI aktualisieren.

Angreifer zielen auf diese Systeme ab, indem sie eine speziell gestaltete HTTPS-Nachricht an einen der Ports senden, die auf OMI-Datenverkehr warten (Ports 1270/5985/5986), wodurch der Angreifer den ersten Zugriff auf die Maschine erhält. Vom Angreifer gesendete Befehle werden vom SCXcore-Service ausgeführt, sodass der Angreifer die Schwachstellen nutzen kann. Der Angreifer kann dann einen Befehl ohne Autorisierungs-Header an den Rechner weitergeben, den der OMI-Server als vertrauenswürdig behandelt und dem Angreifer „Root-Zugriff“ auf das System gewährt.

Microsoft erklärte in seinem Blog: „Der ExecuteShellCommand RunAsProvider führt jeden UNIX/Linux-Befehl mithilfe der /bin/sh-Shell aus.“

Bei der Auswertung der Daten von Barracuda-Systemen ab Mitte September stellten die Forscher von Barracuda einen starken Anstieg der Zahl der Angreifer fest, die versuchten, diese Schwachstelle auszunutzen. Nach der anfänglichen Spitze am 18. September ging die Zahl der Angriffsversuche zurück, aber sie stieg wieder an und glich sich dann im Laufe der Zeit aus.

Azure-OMI-Schwachstelle

Während der von Barracuda durchgeführten Analyse der Angriffe über einen 45-tägigen Zeitraum im August und September wurden 550 eindeutige Angreifer-IPs entdeckt, die versucht hatten, die Atlassian-Confluence-Schwachstelle auszunutzen, und 542 eindeutige Angreifer-IPs versuchten, die Azure OMI-Schwachstelle auszunutzen.

Hinter jeder IP standen mehrere Angreifer, was bedeutet, dass die Anzahl der Angriffe deutlich höher war als die Anzahl der IP-Adressen. Die Forscher deckten dies mit Hilfe von Client-Fingerprinting und anderen Techniken auf.

Sicherheitslücken bei der Ausführung von Remote-Codes

Wie auf der obigen Heatmap zu sehen ist, befinden sich die meisten Angreifer-IPs in den USA, inklusive Alaska. Das liegt möglicherweise daran, dass die meisten Serverfarmen in diesen Regionen angesiedelt sind. Angriffe wurden auch aus Ländern wie Russland, dem Vereinigten Königreich, Polen und Indien gesendet. Die Angreifer versuchen weltweit, diese Schwachstellen auszunutzen, und Unternehmen müssen ihnen einen Schritt voraus sein, um ihre Web-Applikationen zu schützen.

So schützen Sie Ihre Web-Applikationen gegen diese Schwachstellen


Aufgrund der wachsenden Anzahl von Schwachstellen in Web-Applikationen wird es immer aufwändiger, sich vor Angriffen zu schützen. Inzwischen gibt es jedoch Komplettlösungen, die Ihre Web-Applikationen davor schützen, dass diese Schwachstellen ausgenutzt werden. WAF/WAF-as-a-Service-Lösungen, auch bekannt als WAAP-Services (Web Application and API-Protection), können zum Schutz Ihrer Web-Applikationen beitragen, indem sie alle aktuellen Sicherheitslösungen in einem einfach zu bedienenden Produkt bereitstellen.

Gartner erklärte: „Lösungen zum Schutz von cloudbasierten Web-Applikationen und API sind die Entwicklung von cloudbasierten Web-Application-Firewall-Diensten.

Der Bedarf an einer WAF-as-a-Service- oder WAAP-Lösung war noch nie so wichtig wie heute, da viele Mitarbeiter nach wie vor im Homeoffice arbeiten und eine Vielzahl von Anwendungen online verfügbar ist. Unternehmen müssen sicherstellen, dass sie über eine Lösung verfügen, die Bot-Abwehr, DDoS-Schutz und API-Sicherheit umfasst.

Testen Sie WAF-as-a-Service im Azure Marketplace

Marcus Gower

Marcus Gower ist Inside Systems Engineer für Anwendungssicherheit bei Barracuda. Marcus hat vor kurzem sein Studium der Cybersicherheit und forensischen Informatik an der University of Portsmouth abgeschlossen. Er setzt sich leidenschaftlich für den Schutz der Benutzer vor Cyber-Bedrohungen ein und erweitert ständig sein Wissen, um ein tieferes Verständnis für viele verschiedene IT-Bereiche zu erlangen.

Hier können Sie ihn auf LinkedIn kontaktieren hier.

Verwandte Beiträge:
Vertrauen mit Zero Trust aufbauen
Vertrauen mit Zero Trust aufbauen
 The third pillar to well-architected AWS cloud security - NetSec (Network Security)
The third pillar to well-architected AWS cloud security - NetSec (Network Security)
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more
The alphabet soup of cloud protection
The alphabet soup of cloud protection