:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/25/2c/252c14a7cc655c7042a5340cf89f6634/0115266124.jpeg "Durch die Integration mit OpenAI werden die bestehenden KI-basierten Fähigkeiten von Parasoft Jtest zur automatischen Generierung von Unit-Tests erweitert. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/42/b3/42b36e6473e4cec5e3276d1de9833374/0115255429.jpeg "Schwachstellen mit kritischem oder hohem Schweregrad sind laut Synopsys weniger wahrscheinlich geworden. (Bild: <a href=https://pixabay.com/illustrations/cyber-security-internet-security-1923446/>Darwin Laganzon</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf0c6b696fffdd88adcb5610cdc8c27/0115235498.jpeg "Beim Einsatz von generativer KI lauern eine Security- und Compliance-Risiken, mit denen man sich auseinandersetzen sollte. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Checkmarx findet kritische Lücken in Helpdesk-Software XSS-Schwachstelle in Deskpro dokumentiert
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Trotz aller Initiativen zur sicheren Software-Entwicklung sind Cross-Site-Scripting, kurz XSS-Lücken weiterhin verbreitet. Die Helpdesk-Software Deskpro, welche die Security-Experten von Checkmarx unter die Lupe genommen haben, ist ein gutes Beispiel dafür.
Im Zuge der Corona-Pandemie und der Verlagerung von Arbeitsplätzen ins Homeoffice steigt die Nachfrage nach smarten Helpdesk- und Collaboration-Lösungen rasant. Mit Blick auf diesen Boom entschied sich das Checkmarx Security Research Team, die Sicherheit von Deskpro zu überprüfen.
Dabei entdeckten die Security-Experten in der weltweit verbreiteten Lösung eine gefährliche Cross-Site-Scripting-Schwachstelle. Cyberkriminelle hätten diese gleich auf mehreren Wegen ausnutzen können, um die Sitzungen von Administratoren zu kapern oder die Konten von Helpdesk-Agents zu übernehmen.
Szenario 1: Übernahme von Admin-Sessions
Als Helpdesk-Lösung trackt Deskpro bei jeder Session die Aktivitäten des Anwenders und überträgt die zwischen dem Support-Mitarbeiter und dem Client gesammelten Daten in einer Payload. Diese enthält verschiedene Details zu besuchten Seiten, etwa deren URL, Seitentitel sowie die Seite, von der der Benutzer kam. Mit diesen Daten erstellt Deskpro anschließend Statistiken, die den Administratoren über das integrierte Dashboard „Ticket Insight“ zur Verfügung stehen.
Genau an diesem Punkt konnten Cyberkriminelle ihren Hebel ansetzen, indem sie unbemerkt beliebigen Code in eine sogenannte „request page title“-Abfrage einfügen. Die Daten werden dann in der Deskpro-Datenbank gespeichert und werden immer dann geladen, wenn das Widget „Top KB Views“ gerendert wird. In diesem Fall wird der Code im Kontext des Browsers ausgeführt und ein modales Dialogfeld im Admin-Backend angezeigt.
Angreifer können diese Funktion natürlich leicht ausnutzen, indem sie Schadcode in Anfragen einbetten und das Session-Token des Administrators auf einen von ihnen kontrollierten Server leiten. Das funktioniert, obwohl das Sitzungs-Cookie die httpOnly Flag hat – denn sein Wert ist auch über JavaScript verfügbar, indem auf die globale, fest codierte Variable DESKPRO_SESSION_CODE zugegriffen wird.
Haben die Angreifer den Sitzungscode des Administrators ausgespäht, können sie ihn in ihrem eigenen Browser platzieren und in der Rolle und mit den Rechten des Admins unbefugt Aktionen ausführen. Auf diese Weise erlangen sie Zugriff auf das gesamte System – auf Kundendaten, Eingaben von Agents (Tickets, CRM usw.) sowie auf die Systemkonfiguration (z. B. SMTP-Server-Anmeldeinformationen). In bestimmen Konstellationen sind sie sogar in der Lage, den Helpdesk vollständig zurückzusetzen und alle Systemdaten zu löschen.
Szenario 2: Missbrauch von Supporter-Accounts
Die Checkmarx Experten haben aber noch einen weiteren Weg gefunden, wie sich Kriminelle Zugriff auf eine Deskpro-Instanz verschaffen können – in diesem Fall mit den Agent-Rechten eines Supporters. Auch dazu wird wie beim zuvor beschriebenen „Admin-Hack“ eine Payload mit Schadcode in der Deskpro-Datenbank eingeschleust.
Öffnet der Agent ein Dashboard mit dem Widget „Top KB-Ansichten“ (z. B. das eingebaute Dashboard „Ticket Insights“), wird das Skript ausgeführt. Nach dieser Ausführung fügt das Schad-Skript dem Konto des Agents ohne dedizierte Warnmeldung automatisch eine zweite, vom Angreifer kontrollierte E-Mail-Adresse hinzu. Das erforderliche Anfrage-Token kann der globalen Variable DP_REQUEST_TOKEN entnommen werden.
Um das Konto des Support-Agents zu kapern, geht der Angreifer anschließend auf die Anmeldeseite des Agents. Dort löst er die Kennwort-Wiederherstellung aus und gibt seine eigene E-Mail-Adresse an, die zuvor über die manipulierte Payload eingeschleust worden ist. Der Angreifer erhält so eine E-Mail mit einem Link zum Zurücksetzen des Kennworts in seinen Posteingang.
Danach ist er in der Lage, auf das Konto des Agents zuzugreifen und Aktionen in dessen Namen auszuführen. Dazu muss der Angreifer lediglich die ursprüngliche E-Mail-Adresse des regulären Supporters entfernen, um seine Adresse zur primären Adresse machen. Für den legitimen Agent ist es danach nicht mehr möglich, die Kontrolle über das Konto zurückzugewinnen.
Wie sich Software-Anbieter vor XSS schützen können
Einen Schutz vor den beschriebenen Infiltrationen bietet nur eine korrekte Datenkodierung/Escaping entsprechend dem Ausgabekontext, typischerweise bevor sie mit Markup-Vorlagen zusammengeführt oder an das Document Object Model (DOM) angehängt werden. Ist der Einsatz von Inline-Skripten unvermeidlich, sollten sogenannte kryptografische Nonces verwendet werden, um für die erforderlichen Inline-Skripte eine dedizierte Erlaubnis-Liste zu erstellen.
Darüber hinaus empfiehlt es sich, Benutzer in einigen Fällen erneut zu authentifizieren, etwa wenn sie sensible Aktionen durchführen. Dazu zählt beispielsweise das Ändern von E-Mail-Adressen, die mit einem Konto verbunden sind. Der Kontobesitzer sollte in Echtzeit über derartige Änderungen informiert werden. So kann er bei verdächtigen Aktivitäten direkt und damit rechtzeitig handeln.
Behebung der Schwachstelle in Rekordzeit
Nachdem die Experten von Checkmarx die Schwachstelle entdeckt und validiert hatten, informierten sie Deskpro am 31. Oktober 2020 und unterstützten den Helpdesk-Anbieter dabei, die Schwachstelle zu beheben. Deskpro hat in Rekordzeit mit einem Patch reagiert, der die beschriebenen Lücken schloss: Am 9. November 2020 war das Problem gelöst.
Obwohl sie so alt wie die Application Security selbst und gut dokumentiert sind, gehören XSS-Schwachstellen nach wie vor zu den am häufigsten übersehenen und gefährlichsten Problemen. Tests der Anwendungssicherheit, wie sie etwa Checkmarx anbietet, sind der Schlüssel zum Aufspüren von XSS-Schwachstellen. Damit sind diese Lösungen unverzichtbar, um sichere Software zu erstellen, einzusetzen und zu warten.
* Dr. Christopher Brennan ist Director DACH bei Checkmarx.
(ID:47292139)
:quality(80)/p7i.vogel.de/wcms/b3/81/b3813fc589eb3fbc52f98da90954f5dc/0111207772.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/f6/ae/f6ae1cee3507d8342dade85f81d0eb28/0115235681.jpeg "Die wichtigste Rolle beim API-Schutz fällt nach wie vor den Entwicklern zu, denn Security-Lösungen können immer nur ein beschränktes Spektrum an Sicherheitsproblemen lösen. (Bild: Maximusdn - stock.adobe.com)")