Meldung

Warnung vor SSRF-Schwachstellen

HackerOne weist auf weitreichende Gefahren durch Sicherheitslücken in Zusammenhang mit Server-Side Request Forgery hin. Werden jene ausgenutzt, können die Folgen für Unternehmen bis hin zur vollständigen Kompromittierung ihrer Systeme reichen.
Beispiel eines über der Hackerone-Plattform verfassten Hacker-Berichts einer SSRF-Schwachstelle.
HackerOne [1], eine führende Sicherheitsplattform für ethisch motivierte Hacker (so genannte White Hat Hacker), sieht sich dazu veranlasst, Unternehmen vor Server-Side-Request-Forgery-(SSRF)-Schwachstellen zu warnen. Würden Cyberkriminelle diese ausnutzen, könnten sie auf diese Weise Zugang zu den internen sowie unter Umständen den Cloudinfrastrukturen der Organisation erlangen.

Anlass für die Warnung sind "Bug Bounties", das sind hohe Prämien, die ethische Hacker für das Entdecken und Dokumentieren von Schwachstellen erhalten. SSRF-Lücken wiederum gehören nämlich zu den zehn Schwachstellen, für die bei Hackerone aktuell die meisten Gelder ausgeschüttet werden. Zugleich ist die Anzahl der von der Sicherheitsplattform an ihre Kunden gemeldeten SSRF-Sicherheitslücken vergleichsweise hoch. Im vergangenen April waren es laut HackerOne genau 196, was einen Anstieg um 28 Prozent im Vergleich zum März bedeute.

HackerOne definiert SSRF-Schwachstellen als Web-Sicherheitslücken, die die Änderung, Extraktion oder Veröffentlichung von Daten durch Ausnutzung einer URL in der serverseitigen Anwendung ermöglichen. Besonders gefährdet seien Anwendungen, bei denen Benutzer ein Asset von einer externen Ressource herunterladen können, zum Beispiel bei Webhooks, Integrationen und PDF-Generatoren. Zunächst würden die Bugs harmloserweise das Scannen des internen Netzwerks und in seltenen Fällen Zugriff auf interne Administrations-Panel ermöglichen. Allerdings verschärfe der Cloudtrend via Cloudmetadaten-Service das Risiko. Denn wenn dort eine Schwachstelle besteht, könne ein Angreifer auf eine interne Ressource verwiesen werden, was bei zusätzlich fehlenden Sicherheitsvorkehrungen weiter dazu führen kann, dass Angreifer tatsächlich auch Zugriff erhalten.

"Trotz der steten Bemühungen, die Aktualität der internen Assets zu gewährleisten und Patches einzuspielen, können Sicherheitslücken bestehen bleiben. Dies führt dazu, dass auch Organisationen, die schon längere Zeit im Geschäft sind, von einem gezielten SSRF-Angriff betroffen sein können", kommentiert HackerOne-Hacker Justin Gardner die Lage und empfiehlt als Schutz vor SSRF-Sicherheitslücken: "Die effektivste Verteidigung (…) ist eine gute Netzwerksegmentierung. Für jedes Asset (einschließlich Container) sollten Firewall-Regeln definiert sein, analog zum Prinzip des geringstmöglichen Privilegs. Wenn dieser Ansatz effektiv umgesetzt wird, sollte das den meisten SSRF-Angriffen den Garaus machen."

Weitere Informationen zu SSRF-Schwachstellen finden sich im aktuellen Blog-Post von HackerOne [2].
1.06.2021/mh

Tipps & Tools

Studie: IT-Teams gehen gestärkt aus dem Pandemiejahr hervor [15.06.2021]

Sophos hat in einer Studie die Auswirkungen des vom Pandemiegeschehen dominierten Jahrs 2020 auf IT-Teams beleuchtet: Als Ergebnis haben deutlich gestiegene Anforderungen auch positive Konsequenzen. So hat eine Mehrheit der Befragten eine gestiegene Security-Kompetenz ihrer IT-Abteilung beobachtet und viele Entscheider berichten von einer höheren Team-Moral. [mehr]

Aktuelle Cyberthreats-Informationen [12.06.2021]

Sie wollen sich über aktuelle Cyberbedrohungen möglichst umgehend informieren, statt erst im Nachgang Schadensstatistiken von Malware studieren zu können? Dann sollten Sie das kostenlos nutzbare Webportal AV-Atlas evaluieren, das die gegenwärtige Bedrohungslage rund um gefährliche URLs, Spam-Mails und Software-Downloads laut Anbieter AV-TEST Institut mit topaktuellen, in Echtzeit präsentierten Daten abbildet. [mehr]

Fachartikel

Das gilt es bei Managed Security Services zu beachten [9.06.2021]

Mit immer neuer Schadsoftware und ausgefeilteren Angriffen attackieren Cyberkriminelle Unternehmen über das Internet. Einer Studie zufolge verzeichnete im vergangenen Jahr ein Fünftel aller Unternehmen in Deutschland mindestens einen gravierenden Sicherheitsvorfall. Managed Security Services können die IT-Infrastrukturen vor solchen Bedrohungen schützen. Wir geben einen Überblick, welche Vorteile die Dienste bieten, welche Modelle möglich sind und wie IT-Verantwortliche den richtigen Anbieter finden. [mehr]

Buchbesprechung

Noch analog oder lebst du schon?

von Rolf Drechsler und Jannis Stoppe

Anzeigen