Lesezeit
1 Minute
Warnung vor SSRF-Schwachstellen
HackerOne weist auf weitreichende Gefahren durch Sicherheitslücken in Zusammenhang mit Server-Side
Request Forgery hin. Werden jene ausgenutzt, können die Folgen für
Unternehmen bis hin zur vollständigen Kompromittierung ihrer Systeme
reichen.
HackerOne [1], eine führende Sicherheitsplattform für ethisch motivierte Hacker (so
genannte White Hat Hacker), sieht sich dazu veranlasst,
Unternehmen vor Server-Side-Request-Forgery-(SSRF)-Schwachstellen zu
warnen. Würden Cyberkriminelle diese ausnutzen, könnten sie auf
diese Weise Zugang zu den internen sowie unter Umständen den
Cloudinfrastrukturen der Organisation erlangen.
Anlass für die Warnung sind "Bug Bounties", das sind hohe Prämien, die ethische Hacker für das Entdecken und Dokumentieren von Schwachstellen erhalten. SSRF-Lücken wiederum gehören nämlich zu den zehn Schwachstellen, für die bei Hackerone aktuell die meisten Gelder ausgeschüttet werden. Zugleich ist die Anzahl der von der Sicherheitsplattform an ihre Kunden gemeldeten SSRF-Sicherheitslücken vergleichsweise hoch. Im vergangenen April waren es laut HackerOne genau 196, was einen Anstieg um 28 Prozent im Vergleich zum März bedeute.
HackerOne definiert SSRF-Schwachstellen als Web-Sicherheitslücken, die die Änderung, Extraktion oder Veröffentlichung von Daten durch Ausnutzung einer URL in der serverseitigen Anwendung ermöglichen. Besonders gefährdet seien Anwendungen, bei denen Benutzer ein Asset von einer externen Ressource herunterladen können, zum Beispiel bei Webhooks, Integrationen und PDF-Generatoren. Zunächst würden die Bugs harmloserweise das Scannen des internen Netzwerks und in seltenen Fällen Zugriff auf interne Administrations-Panel ermöglichen. Allerdings verschärfe der Cloudtrend via Cloudmetadaten-Service das Risiko. Denn wenn dort eine Schwachstelle besteht, könne ein Angreifer auf eine interne Ressource verwiesen werden, was bei zusätzlich fehlenden Sicherheitsvorkehrungen weiter dazu führen kann, dass Angreifer tatsächlich auch Zugriff erhalten.
"Trotz der steten Bemühungen, die Aktualität der internen Assets zu gewährleisten und Patches einzuspielen, können Sicherheitslücken bestehen bleiben. Dies führt dazu, dass auch Organisationen, die schon längere Zeit im Geschäft sind, von einem gezielten SSRF-Angriff betroffen sein können", kommentiert HackerOne-Hacker Justin Gardner die Lage und empfiehlt als Schutz vor SSRF-Sicherheitslücken: "Die effektivste Verteidigung (…) ist eine gute Netzwerksegmentierung. Für jedes Asset (einschließlich Container) sollten Firewall-Regeln definiert sein, analog zum Prinzip des geringstmöglichen Privilegs. Wenn dieser Ansatz effektiv umgesetzt wird, sollte das den meisten SSRF-Angriffen den Garaus machen."
Weitere Informationen zu SSRF-Schwachstellen finden sich im aktuellen Blog-Post von HackerOne [2].
mh
[1] www.hackerone.com
[2] www.hackerone.com/blog/spotlight-server-side
Anlass für die Warnung sind "Bug Bounties", das sind hohe Prämien, die ethische Hacker für das Entdecken und Dokumentieren von Schwachstellen erhalten. SSRF-Lücken wiederum gehören nämlich zu den zehn Schwachstellen, für die bei Hackerone aktuell die meisten Gelder ausgeschüttet werden. Zugleich ist die Anzahl der von der Sicherheitsplattform an ihre Kunden gemeldeten SSRF-Sicherheitslücken vergleichsweise hoch. Im vergangenen April waren es laut HackerOne genau 196, was einen Anstieg um 28 Prozent im Vergleich zum März bedeute.
HackerOne definiert SSRF-Schwachstellen als Web-Sicherheitslücken, die die Änderung, Extraktion oder Veröffentlichung von Daten durch Ausnutzung einer URL in der serverseitigen Anwendung ermöglichen. Besonders gefährdet seien Anwendungen, bei denen Benutzer ein Asset von einer externen Ressource herunterladen können, zum Beispiel bei Webhooks, Integrationen und PDF-Generatoren. Zunächst würden die Bugs harmloserweise das Scannen des internen Netzwerks und in seltenen Fällen Zugriff auf interne Administrations-Panel ermöglichen. Allerdings verschärfe der Cloudtrend via Cloudmetadaten-Service das Risiko. Denn wenn dort eine Schwachstelle besteht, könne ein Angreifer auf eine interne Ressource verwiesen werden, was bei zusätzlich fehlenden Sicherheitsvorkehrungen weiter dazu führen kann, dass Angreifer tatsächlich auch Zugriff erhalten.
"Trotz der steten Bemühungen, die Aktualität der internen Assets zu gewährleisten und Patches einzuspielen, können Sicherheitslücken bestehen bleiben. Dies führt dazu, dass auch Organisationen, die schon längere Zeit im Geschäft sind, von einem gezielten SSRF-Angriff betroffen sein können", kommentiert HackerOne-Hacker Justin Gardner die Lage und empfiehlt als Schutz vor SSRF-Sicherheitslücken: "Die effektivste Verteidigung (…) ist eine gute Netzwerksegmentierung. Für jedes Asset (einschließlich Container) sollten Firewall-Regeln definiert sein, analog zum Prinzip des geringstmöglichen Privilegs. Wenn dieser Ansatz effektiv umgesetzt wird, sollte das den meisten SSRF-Angriffen den Garaus machen."
Weitere Informationen zu SSRF-Schwachstellen finden sich im aktuellen Blog-Post von HackerOne [2].
mh
[1] www.hackerone.com
[2] www.hackerone.com/blog/spotlight-server-side