Saryu Nayyar, CEO von Gurucul, wirft einen Blick auf die von Mitre erstellte Liste der gefährlichsten Software-Fehlertypen und hebt hervor, dass Angreifer nach wie vor auf die „alten Hasen“ setzen.
Die Mitre Corp. hat vor kurzem ihre Liste der 25 gefährlichsten Softwarefehler aktualisiert, und es ist wenig überraschend, dass einige von ihnen schon seit Jahren auf dieser Liste zu finden sind. Die Common Weakness Enumeration (CWE)-Liste enthält Schwachstellen, die schon seit Jahren bekannt sind, aber immer noch in Software kodiert und durch Tests umgangen werden. Sowohl Entwickler als auch Tester wissen es vermutlich inzwischen besser, machen aber immer noch die gleichen Fehler bei der Erstellung von Anwendungen.
Wir werden uns die Schwachstellen ansehen, die es über die Jahre hinweg immer wieder auf die Top-25-Liste geschafft haben. Doch zunächst einmal: Wie kommt es zu diesen Fehlern? Dafür gibt es eine Vielzahl von Gründen.
In vielen Fällen haben die Entwickler bei der Programmierung der Anwendung einfach nicht die Sicherheit im Kopf. Ihr primäres Ziel ist es, die Geschäftslogik in Ordnung zu bringen.
In Fällen, in denen ein bestimmter Algorithmus nicht richtig zu funktionieren scheint, sind Entwickler dafür bekannt, Sicherheitseinschränkungen zu deaktivieren, bis er sich wie erwartet verhält. Entwickler verlieren ihr Gesicht, wenn ihre Anwendung einen Logikfehler hat, aber nicht, wenn es eine potenzielle Sicherheitslücke gibt, da diese weitgehend verborgen sind, bis sie ausgenutzt werden.
Tester tragen eine direktere Verantwortung dafür, dass Anwendungen sicher sind, verfügen aber in der Regel nur über begrenzte Tools und Fachkenntnisse für diese Aufgabe. Sie testen den Code fast immer isoliert, oft ohne Datenbank, APIs oder Netzwerk. Ohne die Möglichkeit, in den Speicher zu schauen oder illegale Befehle zu erstellen und die Ergebnisse im Sinne eines Angriffs zu interpretieren, sind sie nur begrenzt in der Lage, Sicherheitslücken zu erkennen.
Außerdem herrscht in den technischen Gruppen immer noch die Auffassung vor, dass die Sicherheit in der Verantwortung der IT-Produktionsgruppe liegt und nicht unbedingt bei den Entwicklern. Schließlich verfügt die IT-Abteilung über ein umfangreiches Instrumentarium zur Definition und Verwaltung eines Anwendungs- und Netzwerkschutzes, wie z. B. Firewalls und Anti-Malware, die die gesamte Infrastruktur schützen sollen. Die Konzentration auf die Sicherheit in der Produktion bedeutet oft, dass sie in der Entwicklung und beim Testen weniger im Vordergrund steht.
All dies ist Teil einer Kultur, in der Sicherheitsschwachstellen weitgehend verborgen bleiben, weil sie die Funktion der Anwendung in der Regel nicht beeinträchtigen, bis ein Angriff erfolgreich ist und Systeme oder Daten verloren gehen. Obwohl es am effektivsten wäre, die Aufmerksamkeit auf die Sicherheit während des gesamten Lebenszyklus der Anwendung zu lenken, ist es dennoch entscheidend, in der Produktion wachsam zu sein.
Häufige Schwachstellen sind immer noch auf der Liste
Die folgenden Sicherheitslücken sind seit Jahrzehnten bekannt, und es sieht so aus, als würden sie die Mitre-Liste so schnell nicht verlassen. Sie ermöglichen alte, aber zuverlässige Angriffe für ein breites Spektrum von Angreifern weltweit, denen es häufig gelingt, über sie in Systeme und Organisationen einzudringen.
Puffer-/Speicherüberläufe
Die Manipulation des Speichers ist nach wie vor eine der beliebtesten Möglichkeiten, ein System anzugreifen. Wenn ein Angreifer in den Besitz einer bestimmten Speicheradresse innerhalb einer ausführbaren Anwendung gelangt, kann er diese nutzen, um Werte oder Befehle einzugeben, die die Größe dieses Speicherbereichs überschreiten. Außerhalb des Speicherbereichs können Angreifer ausführbare Software einfügen, die es ermöglicht, einen Computer zu übernehmen oder die Berechtigungsstufen zu erhöhen.
Es gibt viele Möglichkeiten, Puffer- und Speicherüberläufe für Angriffe auszunutzen. Wenn die Entwickler die Länge von Variablen nicht begrenzt haben, kann ein Angreifer durch einen Überlauf bösartigen Code direkt in den Anwendungsspeicher schreiben. Zumindest ist es möglich, mit dieser Technik die Ausführung einer Anwendung zu stören, so dass sie abstürzt oder falsche Ergebnisse zurückgibt.
Cross-Site-Scripting (XSS)
Angreifer können Webfunktionen nutzen, um bösartige Skripte einzuschleusen. In diesem Fall können Angreifer Skripte in ungeschützte clientseitige Webseiten hochladen, die dann ausgeführt werden, wenn andere diese Seite öffnen. Um sich dagegen zu schützen, müssen Webanwendungen daran gehindert werden, Dateien herunterzuladen, was viele Entwickler versäumen.
Viele Entwicklungsteams lassen es weiterhin zu, dass Angreifer Skripte auf Websites von Drittanbietern herunterladen, und für Tester ist es schwierig, diese Art von Angriffen zu erkennen, weil nicht klar ist, woher die bösartigen Skripte stammen. Das Ergebnis ist, dass Benutzer, die diese Webseiten unschuldig besuchen, versehentlich und unwissentlich Malware auf ihre Systeme herunterladen können.
SQL/Befehlsinjektion
Viele Entwickler konzentrieren sich vor allem darauf, sicherzustellen, dass eine Anwendung das gewünschte Ergebnis liefert. In einigen Anwendungen wird dies häufig dadurch erreicht, dass allen Benutzerabfragen administrativer Zugriff auf die Datenbank gewährt wird. Das funktioniert zwar oft, hat aber auch Konsequenzen.
Erstens wird der administrative Zugriff auf die Datenbank für jeden Anwendungsbenutzer möglich. Das bedeutet, dass jeder, der die Anwendung verwendet, SQL-Befehle verwenden kann, um die Datenbank zu ändern. Mithilfe von SQL-Escape-Zeichen können Angreifer SQL-Befehle in die Weboberfläche eingeben und sie von der Datenbank ausführen lassen.
Zweitens hält es die Datenbankverbindung für alle offen. Sie wird nicht nach jeder einzelnen Nutzung abgemeldet. Das bedeutet, dass man kein autorisierter Benutzer sein muss, um eine offene Datenbank zu finden. Das macht die Integrität Ihrer Daten auf Dauer fragwürdig.
Verwendung nach Frei
Dies ist ein weiterer Trick zur Speichermanipulation. Wenn eine Anwendung Speicher für eine Variable benötigt, weist sie diesen Speicher entweder programmatisch zu, oder die zugrunde liegende Plattform (JVM oder .NET Runtime). Wenn die Anwendung den Speicher nicht mehr benötigt, gibt sie ihn entweder selbst oder die Plattform an die Liste der freien Speicherplätze zurück.
Wenn es einem Angreifer gelungen ist, die Speicheradresse in Erfahrung zu bringen, kann er auf die Liste des freien Speichers zugreifen und bösartige Software in den freien Speicher einfügen. Wenn dieser Speicher das nächste Mal zugewiesen wird, wird er mit einer Nutzlast versehen, die Schaden anrichten kann. Außerdem wird der Speicher nicht gelöscht, wenn er wieder in die Liste des freien Speichers aufgenommen wird, so dass Angreifer den Inhalt dieses Speichers lesen können.
Es gibt einige kommerzielle Debugger, die in der Lage sind, in einen laufenden Prozess hineinzuschauen und es Programmierern oder Angreifern zu ermöglichen, Informationen über Speicherstellen zu erhalten. Diese Art von Debuggern wird zwar benötigt, aber jedes Tool, mit dem Angreifer in bestimmte Speicheradressen hineinschauen können, um deren Inhalt zu ermitteln, hat das Potenzial, als Hacking-Tool verwendet zu werden.
Andere Cyberangriffe füllen den Teller
Die Mitre-Liste enthält weitere häufige Angriffe, darunter fehlende oder falsche Authentifizierung, falsche Berechtigungen und ungeschützte Anmeldedaten.
Die beliebtesten Angriffe sind jedoch nach wie vor diejenigen, die es fast seit den Anfängen des öffentlichen Internets gibt. Solange Entwicklungs- und Testteams nicht in der Lage sind, einige der wichtigsten Schwachstellen der letzten zwei Jahrzehnte zu verinnerlichen und Strategien zur zuverlässigen Abwehr dieser Schwachstellen zu entwickeln, sollten sie sich darauf verlassen, dass sowohl Firewalls als auch Sicherheitsanalyseansätze der effektivste Ansatz zum Schutz vor Software-Schwachstellen sind.
Saryu Nayyar ist CEO bei Gurucul.
Weitere Einblicke der Infosec Insiders-Community von Threatpost finden Sie auf unserer Microsite.
Einige Teile dieses Artikels stammen aus:
threatpost.com
Kape Technologies erwirbt ExpressVPN