Meldung

Warnung vor SSRF-Schwachstellen

HackerOne weist auf weitreichende Gefahren durch Sicherheitslücken in Zusammenhang mit Server-Side Request Forgery hin. Werden jene ausgenutzt, können die Folgen für Unternehmen bis hin zur vollständigen Kompromittierung ihrer Systeme reichen.
Beispiel eines über der Hackerone-Plattform verfassten Hacker-Berichts einer SSRF-Schwachstelle.
HackerOne [1], eine führende Sicherheitsplattform für ethisch motivierte Hacker (so genannte White Hat Hacker), sieht sich dazu veranlasst, Unternehmen vor Server-Side-Request-Forgery-(SSRF)-Schwachstellen zu warnen. Würden Cyberkriminelle diese ausnutzen, könnten sie auf diese Weise Zugang zu den internen sowie unter Umständen den Cloudinfrastrukturen der Organisation erlangen.

Anlass für die Warnung sind "Bug Bounties", das sind hohe Prämien, die ethische Hacker für das Entdecken und Dokumentieren von Schwachstellen erhalten. SSRF-Lücken wiederum gehören nämlich zu den zehn Schwachstellen, für die bei Hackerone aktuell die meisten Gelder ausgeschüttet werden. Zugleich ist die Anzahl der von der Sicherheitsplattform an ihre Kunden gemeldeten SSRF-Sicherheitslücken vergleichsweise hoch. Im vergangenen April waren es laut HackerOne genau 196, was einen Anstieg um 28 Prozent im Vergleich zum März bedeute.

HackerOne definiert SSRF-Schwachstellen als Web-Sicherheitslücken, die die Änderung, Extraktion oder Veröffentlichung von Daten durch Ausnutzung einer URL in der serverseitigen Anwendung ermöglichen. Besonders gefährdet seien Anwendungen, bei denen Benutzer ein Asset von einer externen Ressource herunterladen können, zum Beispiel bei Webhooks, Integrationen und PDF-Generatoren. Zunächst würden die Bugs harmloserweise das Scannen des internen Netzwerks und in seltenen Fällen Zugriff auf interne Administrations-Panel ermöglichen. Allerdings verschärfe der Cloudtrend via Cloudmetadaten-Service das Risiko. Denn wenn dort eine Schwachstelle besteht, könne ein Angreifer auf eine interne Ressource verwiesen werden, was bei zusätzlich fehlenden Sicherheitsvorkehrungen weiter dazu führen kann, dass Angreifer tatsächlich auch Zugriff erhalten.

"Trotz der steten Bemühungen, die Aktualität der internen Assets zu gewährleisten und Patches einzuspielen, können Sicherheitslücken bestehen bleiben. Dies führt dazu, dass auch Organisationen, die schon längere Zeit im Geschäft sind, von einem gezielten SSRF-Angriff betroffen sein können", kommentiert HackerOne-Hacker Justin Gardner die Lage und empfiehlt als Schutz vor SSRF-Sicherheitslücken: "Die effektivste Verteidigung (…) ist eine gute Netzwerksegmentierung. Für jedes Asset (einschließlich Container) sollten Firewall-Regeln definiert sein, analog zum Prinzip des geringstmöglichen Privilegs. Wenn dieser Ansatz effektiv umgesetzt wird, sollte das den meisten SSRF-Angriffen den Garaus machen."

Weitere Informationen zu SSRF-Schwachstellen finden sich im aktuellen Blog-Post von HackerOne [2].
1.06.2021/mh

Nachrichten

Zugriff auf VeraCrypt-Daten [15.06.2021]

ElcomSoft hat den Forensic Disk Decryptor aktualisiert. Mit diesem Update bietet das Tool Unterstützung für die neuesten Versionen von VeraCrypt, sodass Nutzer die On-the-Fly-Schlüssel für die Verschlüsselung aus dem RAM-Speicher des Computers extrahieren können, um VeraCrypt-geschützte Datenträger sofort bereitzustellen oder zu entschlüsseln, ohne Passwortangriffe auszuführen. [mehr]

Gravierende Sicherheitslücke in Teams geschlossen [15.06.2021]

Tenable hat Details zu einer schwerwiegenden Sicherheitslücke in Microsoft Teams bekanntgegeben, die vom Zero-Day-Research-Team des Unternehmens entdeckt wurde. Durch den Missbrauch der Power-Apps-Funktionalität konnten Angreifer dauerhaften Lese- und Schreibzugriff auf E-Mails, Teams-Chats, OneDrive, Sharepoint und weitere Dienste eines Opfers erlangen. [mehr]

Fachartikel

Das gilt es bei Managed Security Services zu beachten [9.06.2021]

Mit immer neuer Schadsoftware und ausgefeilteren Angriffen attackieren Cyberkriminelle Unternehmen über das Internet. Einer Studie zufolge verzeichnete im vergangenen Jahr ein Fünftel aller Unternehmen in Deutschland mindestens einen gravierenden Sicherheitsvorfall. Managed Security Services können die IT-Infrastrukturen vor solchen Bedrohungen schützen. Wir geben einen Überblick, welche Vorteile die Dienste bieten, welche Modelle möglich sind und wie IT-Verantwortliche den richtigen Anbieter finden. [mehr]

Buchbesprechung

Noch analog oder lebst du schon?

von Rolf Drechsler und Jannis Stoppe

Anzeigen