Schnellere Veröffentlichung von Patches für Web-Apps

Das Schweizer Unternehmen High-Tech Bridge, ein Anbieter von Cloud-Services im Bereich Informationssicherheit, hat einen Bericht über die Sicherheit von Web-Apps nach den Ergebnissen des vergangenen Jahres veröffentlicht. Die Experten stellten zufrieden fest, dass sich viele Anbieter nun sehr viel ernsthafter mit Fragen der Sicherheit auseinandersetzen, auf Benachrichtigungen und Warnungen innerhalb weniger Stunden reagieren und Sicherheitslücken innerhalb von zwei Tagen schließen. Von den 62 Sicherheitsbulletins, das das Unternehmen im Jahr 2013 veröffentlicht hat, blieben nur 3 ohne positive Resonanz. High-Tech Bridge wies zudem darauf hin, dass Sicherheitslücken, die ein hohes Risiko darstellen, schwieriger aufzudecken und auch schwieriger auszunutzen seien.

Insgesamt registrierten die Forscher von High-Tech Bridge im Laufe des Jahres 126 Sicherheitslücken in Anwendungen, deren Anwendungsbasis mehrere Millionen Websites betrifft. Über die Hälfte (55%) dieser Lücken stellten XSS, 20% entfielen auf SQL-Einschleusungen. Solche Fehler sind nach Angaben der Experten am häufigsten in jungen Produkten anzutreffen, und für die alt eingesessenen sind eher CSRF oder User Identity Spoofing (Austausch der Mitteilungsquelle) charakteristisch. Wie sich zeigte sind, sind hausinterne Apps am stärksten XSS und SQLi ausgesetzt (40% der Funde), und in geringerem Maße Plug-Ins und Module für CMS (30%) sowie kleine CMS (25%). Zudem werden die XSS und SQLi-Schwachstellen in 90% der kommerziellen und Open-Source-CMS nicht bei der Entwicklung produziert, sondern die Sicherheitsanfälligkeiten resultieren daraus, dass die Systeme selten aktualisiert werden oder inkorrekt konfiguriert sind.

Kritische Sicherheitslücken und Schwachstellen, von denen ein hohes Risiko ausgeht, sind nach Einschätzungen von High-Tech Bridge sehr viel komplexer und auch schwieriger aufzuspüren geworden. „Die gängigen Untersuchungsmethoden, wie etwa der automatische Sicherheitslücken-Scan oder die automatisierte Überprüfung der Quellcode-Qualität sind nicht mehr ausreichend“, stellt Marsel Nizamutdinov, Forschungsleiter bei High-Tech Bridge, fest. „Die Zukunft liegt unserer Meinung nach in der Hybriduntersuchung – einer Kombination aus automatisierten Methoden und manueller Überprüfung unter Mitwirkung von Spezialisten.“

Ernsthafte Sicherheitslücken sind überdies auch schwieriger auszunutzen. High-Tech Bridge beobachtet immer häufiger „Kettenangriffe“, d.h. eine kritische Sicherheitslücke wird erst dann ausgenutzt, nachdem eine andere, weniger gefährliche Lücke erfolgreich „geknackt“ wurde. Weit verbreitet war im letzten Jahr die relativ schwierige, aber effiziente Technik DNS-Daten-Exfiltration. Diese Technik wird heute in solchen Fällen angewendet, die früher als praktisch unausnutzbar angesehen wurden, beispielsweise, wenn eine SQLi nur mit Hilfe einer CSRF-Attacke ausgenutzt werden kann oder wenn schädlicher SQL-Code sich in einer Anfrage befindet, die kein Ergebnis ausgibt (INSERT, UPDATE oder DELETE).

Im vergangenen Jahr registrierte High-Tech Bridge einige Fälle, in denen der Grund für kritische Sicherheitslücken oder Sicherheitslücken mit hohem Risiko nicht in einem Programmierfehler, sondern in der Unachtsamkeit des Anbieters lag. So wimmelte es beispielsweise in vollkommen vertrauenswürdigen Anwendungen, die unter Berücksichtigung aller Sicherheitsbelange entwickelt wurden, vor gefährlichen Lücken in den Installationsskripten, die der Anbieter bei der Installation schlicht vergessen hatte zu löschen. Solche Fälle demonstrieren nach Ansicht der Experten die Notwendigkeit einer unabhängigen Überprüfung und eines Audits von Web-Apps, denn vor Versäumnissen und Vergesslichkeit ist niemand gefeit, nicht einmal Profis.

Viele Schwachstellen, die vorher als hoch kritisch oder kritisch eingestuft waren, wurden von High-Tech Bridge zu Sicherheitslücken mit moderatem Risiko zurückgestuft, da ihre Nutzung eine Autorisierung erforderlich macht. Diese Tendenz zeigt, dass Entwickler auch dem Schutz der Anwendungsteile die gebührende Aufmerksamkeit zukommen lassen sollten, auf die nur „vertrauenswürdige“ Anwender Zugriff haben: Deren Absichten können sich manchmal als alles andere als gutartig erweisen.

Auf die gestiegene Verantwortlichkeit für die Sicherheit von Web-Apps hinweisend, stellt High-Tech Bridge fest, dass die überwiegende Mehrheit der Entwickler ihre Endanwender schnell und auf angebrachte Art und Weise über Sicherheitslücken informiert, und damit der Praxis des Vertuschens und der untertriebenen Risikoeinschätzung ein Ende bereitet. Die Zeit bis zur Veröffentlichung von Patches für Sicherheitslücken hat sich dem Unternehmen zufolge innerhalb des Jahres durchschnittlich um 33% auf 18 Tage verringert. Für kritische Sicherheitslücken beträgt diese Frist nun durchschnittlich 11 Tage gegenüber 17 im vergangenen Jahr. Spitzenreiter nach diesem Wert ist der Anbieter BigTree CMS, der eine Reihe komplexer Sicherheitslücken in diesem Produkt in weniger als 3 Stunden beseitigte.

Quelle: High-Tech Bridge

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.