Unsere Security Analyst*innen im usd HeroLab decken während ihrer Penetrationstests (Pentests) immer wieder Einfallstore auf, die erhebliche Risiken für die Unternehmenssicherheit darstellen. Dabei begegnen ihnen vermehrt die gleichen Schwachstellen. Unsere Blogserie „Top 3 Schwachstellen“ stellt diese dar und gibt Ihnen Tipps für die Vermeidung – für #moresecurity über alle IT-Assets.
Heute betrachten wir die drei häufigsten sicherheitskritischen Schwachstellen, die unsere Analyst*innen bei System Pentests in den vergangenen Jahren identifizieren konnten.
Warum System Pentests?
Einer der wichtigsten Bestandteile für die Unternehmenssicherheit ist die Sicherheit aller IT-Systemkomponenten. So können Sie Ihr Unternehmen vor Ransomware-Attacken schützen, da mögliche Schwachstellen in Ihren IT-Systemen ein gängiges Einfallstor sind. Wenn sich Angreifer möglicherweise durch Verwundbarkeiten im internen IT-System im Unternehmensnetzwerk festsetzen, können sie sich im System weiter ausbreiten.
Auf diesem Weg werden regelmäßig sensible Daten entwendet oder manipuliert sowie andere Nutzer*innen im Netzwerk gezielt angegriffen. Die Verluste von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sind häufige Folgen eines erfolgreichen Angriffs und können Ihrem Unternehmen schaden. Unsere System Pentests sind eine wirkungsvolle Sicherheitsmaßnahme, um Ihre IT-Systeme umfassend auf diese und weitere Verwundbarkeiten zu überprüfen.
Standard-Anmeldeinformationen
In zahlreichen Unternehmen und Organisationen wird eine potenzielle Sicherheitslücke gleich mit der Software mitgeliefert: Nach der Installation von Software-Services werden die vom Hersteller vergebenen Standard-Anmeldeinformationen häufig nicht geändert, auch wenn eine Änderung dringend empfohlen wird. Durch diese fehlende Änderung entstehen erhebliche Risiken. Die Angreifer können leicht Zugriff auf Systeme erlangen, indem sie die oftmals öffentlich bekannten Zugangsdaten benutzen.
Aber wie können die Angreifer auf die Zugangsdaten zugreifen? Die Standard-Anmeldeinformationen, wie sie häufig bei der Installation von Software in Unternehmen auftreten, sind weit verbreitet. Viele Softwareanbieter stellen dafür einen Benutzernamen und ein Passwort zur Verfügung. Das Problem dabei ist, dass diese Daten in den meisten Fällen in öffentlich zugänglichen Dokumentationen oder Online-Foren zu finden sind. Selbst ein Angreifer, der nur über geringfügige technische Fähigkeiten verfügt, kann diese Informationen ausnutzen, um schnell und unkompliziert einen unautorisierten Zugriff auf kritische Systeme in Ihrem Unternehmen zu erhalten. Die potenziellen Auswirkungen eines solchen Angriffs reichen von Datenverlust über Systemausfälle bis hin zu umfassenden Sicherheitsverletzungen, die erhebliche finanzielle und reputationsbezogene Schäden verursachen können.
Sicherheitstipp: Um die Risiken im Zusammenhang mit Standard-Anmeldeinformationen zu minimieren, sollten Sie die folgenden konkreten Maßnahmen in Ihrem Unternehmen ergreifen:
- Änderung der Standardzugangsdaten: Nach der Installation jeder Software sollte umgehend eine Änderung der Standardbenutzernamen und -passwörter erfolgen.
- Implementierung von Passwort-Richtlinien: Es sollten spezifische Anforderungen an die Stärke und Komplexität von Passwörtern festgelegt werden, um sicherzustellen, dass diese nicht leicht zu erraten sind.
- Regelmäßige Schulungen: Ihre Mitarbeiter*innen sollten regelmäßig über die Risiken von Standardanmeldeinformationen und Best Practices zur Passwortverwaltung geschult werden.
- Monitoring und Auditierung: Der Zugang zu Systemen sollte kontinuierlich überwacht und Audits sollten durchgeführt werden, um sicherzustellen, dass keine Standard-Anmeldeinformationen im Einsatz sind.
Java RMI Schwachstellen
Um Verteiltes Rechnen mit mehreren Systemen zu realisieren, kommt häufig das Java Remote Method Invocation (RMI) Protokoll zum Einsatz. Dies ermöglicht es einem Client, eine Methode eines Java Objekts auf einem entfernen Server auszuführen.
Eine Liste aller verfügbaren Methoden eines Servers wird hierbei in einer Registry vorgehalten, welche vom Client angefragt wird. Diese liefert alle benötigten Informationen für den Client, um die tatsächliche Methode auf dem Server aufzurufen. All dies ist an sich erstmal kein Problem. Über die lange Zeit, die das Java RMI Protokoll jedoch bereits existiert, wurden regelmäßig neue Schwachstellen bekannt, welche teils leicht auszunutzen sind. So können Daten, die der Server verarbeitet, falsch ausgewertet werden. Bei diesen sogenannten Deserialisierungangriffen kann ein Angreifer beliebigen Code ausführen. Sind bestimmte Methoden (z.B. action(), execute(), system()) auch nicht weiter abgesichert, können auch diese direkt dazu genutzt werden, beliebigen Code auszuführen. Die meisten bekannten Schwachstellen können direkt mit speziellen Scannern, wie z.B. dem Remote Method Guesser, identifiziert werden (weitere Informationen finden Sie hier).
Sicherheitstipp: Aufgrund der Vielzahl von möglichen Schwachstellen im Java RMI Protokoll sind die folgenden Maßnahmen zu empfehlen:
- Einhaltung der aktuellen Best-Practices: Alle Daten, welche vom Client/User kommen, sind als nicht-vertrauenswürdig einzustufen und sollten vorab entsprechend validiert werden, um beispielsweise nicht anfällig für Deserialisierungangriffe zu sein. Weiterhin sollten auch alle potenziellen Fehler in der Verarbeitung (Exceptions) sauber abgefangen werden.
- Java aktualisieren: Das Java Enhancement Proposal 290 (JEP290) schützt vor einigen Angriffen. Entsprechende Patches wurden für alle größeren Java-Implementierungen bereitgestellt, sodass Deserialisierungs-Angriffe gegen aktuelle Java RMI Endpunkte nicht möglich sein sollten.
Veraltete Software
Wird eine benötigte Software einmal installiert, so zeigt die Praxis, dass diese leider von der zuständigen IT oft nicht mehr aktiv gepflegt wird. So werden Sicherheitspatches entweder gar nicht oder zu langsam eingepflegt. Ähnlich zu der zuvor genannten Schwachstelle hinsichtlich der Standard-Anmeldeinformationen können auch technisch nicht versierte Angreifer schnell in öffentlichen Quellen nach bekannten Schwachstellen für die eingesetzte Softwareversion suchen. Häufig können Angreifer durch diese Schwachstellen Malware einschleusen, Ransomware-Attacken starten oder sogar ganze Systeme in die Knie zwingen.
Allgemein werden bekannte Schwachstellen in Systemen und deren Versionen in großen Datenbanken gepflegt, wie zum Beispiel die National Vulnerability Database (NVD), Exploit-DB oder die GitHub Security Advisory Database. Um hier eine einfache Suche über alle Quellen hinweg zu ermöglichen, hat unser Kollege Dustin Born das Tool search_vulns entwickelt, welches der Community kostenlos zur Verfügung gestellt wird. Unter folgendem Link kann es direkt ausprobiert werden: https://search-vulns.com/
Sicherheitstipp: Der durch Verwendung von veralteter Software mögliche Schaden ist prompt sehr hoch. Die Gegenmaßnahmen sind jedoch oft schnell und günstig umzusetzen. Daher sollten folgende Aktivitäten kontinuierlich aktiv implementiert werden:
- Regelmäßige Aktualisierungen: Alle Softwareanwendungen und Dienste sollten regelmäßig aktualisiert werden. Dabei sind die Sicherheitsupdates umgehend zu installieren.
- Patch-Management: Bei einer größeren Anzahl von Anwendungen und Diensten ist ein (halb-)automatisches Patch-Management-System zu empfehlen.
- Automatisierte Scans: Ein großer Vorteil von automatisierten Schwachstellen Scans ist die schnelle und kostengünstige Identifizierung von veralteter Software inklusive der potenziellen Schwachstellen. Diese sollten auf wöchentlicher oder monatlicher Basis auf allen internen und externen Assets durchgeführt werden, um bei Bedarf schnell reagieren zu können.
Bitte beachten Sie unbedingt, dass neben den genannten Schwachstellen noch viele weitere existieren können. Da jedes IT-System Unterschiede aufweist, können auch neue Gefahren auftreten. Ein System Pentest kann Klarheit schaffen und Ihnen dabei helfen, die Daten Ihres Unternehmens, Ihrer Kunden und Ihrer Mitarbeiter*innen effektiv zu schützen.
Sie möchten Ihre IT-Systeme umfassend untersuchen und mögliche Einfallstore für Angreifer identifizieren? Kontaktieren Sie uns, wir helfen Ihnen gern.
