Spannende Zahlen aus 2017 Schwachstellen in Webanwendungen

Autor / Redakteur: Nadav Avital, Natan Elul / Peter Schmitz

Sicherheitslücken in Webanwendungen nehmen immer weiter zu, neben bekannten Kategorien wie Cross-Site Scripting gibt es auch neue Bedrohungen wie „unsichere Deserialisierung“. Mit dem Erfolg des Internet der Dinge (IoT) wachsen die Risiken weiter und beeinflussen die Sicherheitslandschaft dauerhaft. WordPress und PHP bleiben „dominierend“ im Hinblick auf veröffentlichte Sicherheitslücken in Content-Management-Systemen beziehungsweise serverseitigen Technologien.

Anbieter zum Thema

Webanwendungen sind noch immer voller Schwachstellen und es ist nur eine Frage der Zeit bis Cyberkriminelle diese für Angriffe auf IT-Systeme und sensible Daten ausnutzen.
Webanwendungen sind noch immer voller Schwachstellen und es ist nur eine Frage der Zeit bis Cyberkriminelle diese für Angriffe auf IT-Systeme und sensible Daten ausnutzen.
(Bild: Pixabay / CC0 )

Die Zunahme von Schwachstellen in Webanwendungen lässt sich nach Ansicht der Sicherheitsforscher von Imperva mit Zahlen belegen. Die Autoren bewerten außerdem die wichtigsten Entwicklungen in diesem Bereich. Bild 1 in der Bildergalerie zeigt die Anzahl der Sicherheitslücken nach Monaten im Verlauf der letzten beiden Jahre. Wie hier deutlich zu erkennen ist, hat sich die Anzahl der neuen Sicherheitslücken 2017 (14.082) im Vergleich zu 2016 (6.615) wesentlich erhöht (um 212 Prozent).

Den Daten der Autoren zufolge gibt es für mehr als 50 Prozent der Schwachstellen in Webanwendungen einen öffentlichen Exploit, den Hacker nutzen können. Zudem ist für mehr als ein Drittel (36 Prozent) der Schwachstellen in Webanwendungen keine Lösung verfügbar, wie etwa ein Software-Upgrade, Workaround oder Software-Patch. Wie gewöhnlich sind Cross-Site-Scripting-Schwachstellen (siehe Bild Nr. 2 in der Bildergalerie) die zahlenmäßig größte Kategorie (8 Prozent). Ihre Zahl hat sich seit 2016 sogar verdoppelt.

Bildergalerie
Bildergalerie mit 7 Bildern

Die OWASP Top 10

Die OWASP hat ihre lang erwartete „Top 10“-Liste veröffentlicht, in der zwei neue Risiken aufgeführt sind:

Unsichere Deserialisierung

Serialisierung ist die Umwandlung von Datenstrukturen oder Objektzuständen in ein Format, das gespeichert werden kann (zum Beispiel in einer Datei oder einem Zwischenspeicher), übertragbar ist (zum Beispiel über eine Netzwerkverbindung) und später wieder zurückübersetzt werden kann (Deserialisierung). Serialisierung wird in RPC, HTTP, Datenbanken etc. weithin verwendet. Anwendungen und APIs können anfällig sein, wenn sie eingeschleuste bösartige oder manipulierte Objekte deserialisieren, ohne sie richtig zu säubern. Aus diesem Grund ist es besonders interessant, sich die Sicherheitslücken im Licht dieser Veränderungen anzusehen.

Die Zahl der Deserialisierungs-Schwachstellen hat sich 2016-2017 (siehe Bild Nr. 2 in der Bildergalerie) im Vergleich zu früheren Jahren erheblich erhöht, was ihnen vermutlich den Platz in der neuen OWASP Top 10 eingetragen hat. Heute kommunizieren immer mehr Anwendungen und Frameworks über Standard-APIs. Einige dieser APIs empfangen serialisierte Objekte und deserialisieren sie dann, was erklären kann, warum die Anzahl von Schwachstellen aufgrund unsicherer Deserialisierung wächst.

Unzureichende Protokollierung und Überwachung

Angreifer setzen auf mangelnde Überwachung und verzögerte Reaktionen, um ihre Ziele zu erreichen, ohne entdeckt zu werden. Unzureichende Protokollierung und Überwachung liegt unter anderem vor, wenn überprüffähige Ereignisse – wie Logins, fehlgeschlagene Logins und Überweisungen mit einer hohen Transaktionssumme nicht protokolliert werden. Ein weiteres Beispiel ist der Fall, dass Protokolle von Applikationen und APIs nicht in Hinblick auf verdächtige Aktivitäten überwacht werden. Oft sind Applikation außerdem nicht fähig, aktive Attacken zu entdecken oder einen Alarm in Echtzeit auszulösen. Sobald die Ereignisanzeige oder Warnereignisse für andere User, bzw. Angreifer sichtbar sind, führt dies zu einer erhöhten Angreifbarkeit für Informationsverlust.

Bildergalerie
Bildergalerie mit 7 Bildern

Die Rebellion der (IoT-)Maschinen

IoT-Geräte senden und empfangen Informationen und sind deshalb für gewöhnlich durchgehend mit dem Internet verbunden. In vielen Fällen versäumen es die Hersteller intelligenter Geräte jedoch, sie richtig abzusichern, oder bauen sogar „Hintertüren“ ein, um sich verdeckte Zugriffe zu verschaffen.

104 IoT-bezogene Sicherheitslücken wurden im letzten Jahr beobachtet (siehe Bild Nr. 3 in der Bildergalerie) – eine enorme Steigerung im Vergleich zu früheren Jahren. Dieses Wachstum kann damit zusammenhängen, dass IoT-Geräte in unserem modernen Leben immer populärer werden und Fortschritte in der IoT-Technologie solche Geräte kostengünstiger und für mehr Menschen erschwinglich machen. Eine der häufigsten Arten von Schwachstellen in IoT-Geräten (35 Prozent) besteht darin, dass sich Angreifer Standard- oder leicht zu erratende Anmeldedaten zunutze machen können, um sich Zugang zu Geräten zu verschaffen und sie zu übernehmen. Sobald der Angreifer das Gerät unter Kontrolle hat, kann er es verwenden, um Angriffe aller Art zu starten. In 2017 machte sich die bekannte Malware Mirai eine solche Sicherheitslücke (standardmäßige Zugangsdaten) zunutze, um sich in Netzwerken zu verbreiten. Sobald die Malware Zugriff auf ein Gerät erhält, verwandelt sie es in einen ferngesteuerten Bot, der im Rahmen großer DDoS-Angriffe eingesetzt werden kann.

Bildergalerie
Bildergalerie mit 7 Bildern

Content-Management-Systeme

Bei der Analyse von Frameworks für Content-Management-Systeme (CMS) lag der Fokus auf den vier führenden Plattformen, die zusammen einen Marktanteil von 60 Prozent besitzen – WordPress, Joomla, Drupal und Magento.

WordPress

Wie vermutet, entfällt der Löwenanteil aller CMS-bezogenen Sicherheitslücken erneut auf WordPress. Seit 2016 hat die Zahl der Schwachstellen in WordPress (418) sogar um ca. 400 Prozent zugenommen (siehe Bild Nr. 4 in der Bildergalerie). Weitere Analysen der WordPress-Schwachstellen ergaben, dass sie zu 75 Prozent auf Plug-ins von Drittanbietern zurückzuführen waren (siehe Bild Nr. 5 in der Bildergalerie).

Die steigende Anzahl der Anfälligkeiten lässt sich durch das Wachstum von WordPress (siehe Bild Nr. 6 in der Bildergalerie) sowie durch die Tatsache erklären, dass Programmcode von Drittanbieter-Plug-ins für seine Sicherheitsmängel berüchtigt ist.

Serverseitige Technologien

PHP ist nach wie vor die am weitesten verbreitete serverseitige Sprache, weshalb auch zu erwarten ist, dass sie mit der größten Zahl von Sicherheitslücken in Zusammenhang steht. 2017 wurden 44 Schwachstellen in PHP bekanntgegeben – das sind wesentlich weniger (-143 Prozent) als im Jahr 2016 (107) (siehe Bild Nr. 7 in der Bildergalerie). Ende 2015 war nach nahezu eineinhalb Jahren ohne Updates die neue Hauptversion PHP 7.0 herausgekommen, was die Zunahme der Schwachstellen im Jahr 2016 erklären mag. Im folgenden Jahr (Dezember 2016) wurde dann die Nebenversion PHP 7.1 veröffentlicht, die kleinere Veränderungen enthielt. Dies kann der Grund dafür sein, warum in den letzten Monaten weniger Schwachstellen verzeichnet wurden.

Fazit

Webanwendungen sind noch immer voller Schwachstellen und es ist nur eine Frage der Zeit bis Cyberkriminelle sich diese zu Nutze machen, um sich Zugriff auf IT-Systeme und Netzwerke zu verschaffen, die mit den Anwendungen interagieren. Unternehmen sollten dieses mögliche Einfallstor auf dem Schirm behalten und moderne Sicherheitslösungen implementieren, um Angriffe über ausgenutzte Lücken abzublocken.

Über die Autoren: Nadav Avital ist Technical Application Security Research im Imperva Defense Center. Natan Elul ist Security Research Engineer bei Imperva.

(ID:45270908)