A05:2021 – Sicherheitsfehlkonfiguration

11. November 2024 Celia Catalán

Einführung

Beschreibung der Verwundbarkeit

Als Fortsetzung dieser Reihe von Beiträgen zu den Top Ten der OWASP-Schwachstellen kommentieren wir in diesem Beitrag die Schwachstelle A05:2021 – Sicherheitsfehlkonfiguration oder auf Spanisch: Falsche Cybersicherheitskonfiguration.

Diese Schwachstelle bezieht sich auf nicht implementierte oder falsch implementierte Cybersicherheitskonfigurationen und kann sich auf verschiedene Weise manifestieren, von der Verwendung von Standard- oder unsicheren Konfigurationen bis hin zur unnötigen Offenlegung vertraulicher Informationen oder der Aktivierung unnötiger Dienste.

Dies geschieht, wenn eine Anwendung oder ein Server nicht korrekt konfiguriert ist. Dadurch kann ein Angreifer diese fehlende Konfiguration ausnutzen, um auf vertrauliche Daten zuzugreifen, Berechtigungen zu erhöhen und die Kontrolle über die Anwendung zu erlangen.

Auswirkungen

Diese Sicherheitslücke kann verheerende Folgen für ein Unternehmen haben.

Durch die Ausnutzung einer unsicheren Konfiguration können Angreifer Zugriff auf vertrauliche Informationen erhalten, Anwendungsprivilegien erhöhen oder sogar kompromittierte Ressourcen nutzen, um Angriffe auf Dritte durchzuführen.

Die Auswirkungen dieser Sicherheitslücke können sich in den folgenden Punkten widerspiegeln:

Offenlegung vertraulicher Informationen: Wenn ein System nicht ordnungsgemäß konfiguriert ist, kann es einem Angreifer den Zugriff auf vertrauliche Daten wie Benutzeranmeldeinformationen, persönliche Informationen oder Geschäftsgeheimnisse ermöglichen.

Systemkontrolle: In einigen Fällen kann eine Fehlkonfiguration Angreifern die Möglichkeit geben, die vollständige Kontrolle über das System zu übernehmen und so Daten zu ändern oder zu zerstören oder Systemressourcen für andere Angriffe zu nutzen.

Beeinträchtigung der Systemverfügbarkeit: Ein Angreifer kann eine Fehlkonfiguration ausnutzen, um Denial-of-Service-Angriffe (DoS) zu starten, die den normalen Betrieb der Anwendung oder des Servers stören, was sich auf die Verfügbarkeit von Diensten für legitime Benutzer auswirken kann.

Nutzung des Systems als Angriffsplattform: Durch schlechte Sicherheitskonfiguration kompromittierte Systeme können von Angreifern als Plattform für Angriffe auf andere Systeme genutzt werden, was die Reichweite des Angriffs erheblich vergrößern kann.

Praxisbeispiele

Offenlegung von Anmeldeinformationen im Quellcode der Anwendung und Eskalation von Berechtigungen

Eines der häufigsten Beispiele für diese Sicherheitslücke ist die Bereitstellung einer Anwendung mit Standardkonfigurationen, Kennwörtern im Anwendungscode, die in der Entwicklungsphase verwendet werden, oder Benutzerberechtigungen, die umfassender als nötig sind.

Um dies zu demonstrieren, wird auf das Zerolynx-Weblabor mit einem unprivilegierten Benutzer zugegriffen, in diesem Fall Benutzer1.

Wenn Sie auf die Anwendung zugreifen, können Sie sehen, wie auf das Panel des Benutzers zugegriffen wurde, und Sie haben nur Zugriff auf die Elemente dieses Benutzers, obwohl in diesem Fall keine erstellt wurden.

Bei der Überprüfung des Codes können Sie erkennen, dass ein in der Entwicklungsphase erstellter Kommentar, der Administratoranmeldeinformationen bereitstellt, aufgrund einer schlechten Sicherheitskonfiguration nicht entfernt wurde:

Wenn diese Anmeldeinformationen nun verwendet werden, kann auf die Webanwendung als Benutzer mit Administratorrechten zugegriffen werden, wie in den folgenden Bildern dargestellt.

Offenlegung der Struktur der Anwendungsdatei

Wenn das System detaillierte Fehlermeldungen oder Standardkonfigurationsdateien anzeigt, könnte es wertvolle interne Informationen wie Softwareversionen oder Dateipfade preisgeben, anhand derer ein Angreifer erkennen kann, welche Versionen das System verwendet, und bestehende öffentliche Schwachstellen ausnutzen kann, die diese Versionen betreffen .

Wenn auf die IP-Adresse des Servers zugegriffen wird, der das Labor unterstützt, das zur Demonstration dieser Schwachstelle verwendet wird, wird aufgrund einer Fehlkonfiguration die Standard-Apache-Seite angezeigt.

Wenn auf die Route zugegriffen wird /ZVulnLabs/, da der Server nicht richtig konfiguriert wurde, werden alle Dateien angezeigt, da er anfällig für Directory Listing ist, das Informationen über die Verzeichnisstruktur und die Dateien liefert, aus denen die Anwendung besteht:

Wenn auf den Ordner zugegriffen wird /ZVulnLabs/Uploads/ Sie können direkt auf die Dateien zugreifen, die in die Webanwendung hochgeladen wurden, und zusätzlich die Version vom Apache-Server beziehen.

Beeinträchtigte Verfügbarkeit aufgrund anfälliger Software

Die mangelnde Aktualisierung der Anwendungen ist auch auf eine schlechte Konfiguration zurückzuführen, die es einem Angreifer ermöglicht, Schwachstellen auszunutzen, deren Exploits veröffentlicht wurden, was es für einen Angreifer einfacher machen würde, die Anwendung zu kompromittieren.

Unter Berücksichtigung des Vorstehenden, wenn nach Schwachstellen für die Version von Apache/2.4.57 (Debian) Server gesucht wird, wird bestätigt, dass diese Version mit öffentlichen Schwachstellen verbunden ist, wie dem CVE-2023-43622:

Diese Sicherheitslücke ermöglicht es einem Angreifer, eine HTTP-Verbindung mit einer Fenstergröße von Null zu initiieren, was es einem Angreifer ermöglichen würde, einen Denial of Service oder DoS durchzuführen. Darüber hinaus ist damit ein öffentlicher Exploit verbunden, sodass es für einen Angreifer, der die Verfügbarkeit des Webdienstes gefährden möchte, trivial wäre, diese Schwachstelle auszunutzen.

Abhilfemaßnahmen

Als Abhilfemaßnahmen für diese Schwachstelle empfiehlt OWASP Folgendes:

Ein wiederholbarer Härtungsprozess ermöglicht eine schnelle und einfache Bereitstellung und ordnungsgemäße Implementierung. Die Entwicklungs-, Qualitätssicherungs- und Produktionsumgebungen müssen identisch konfiguriert sein und jeweils unterschiedliche Anmeldeinformationen verwenden.

Eine minimale Plattform ohne unnötige Funktionen, Komponenten, Dokumentation und Beispiele.

Überprüfen und aktualisieren Sie im Rahmen des Patch-Management-Prozesses die entsprechenden Konfigurationen für alle Sicherheitsversionen, Updates und Patches.

Die Verwendung einer segmentierten Anwendungsarchitektur, die eine effektive und sichere Trennung zwischen Anwendungskomponenten bietet.

Korrekte Implementierung von Sicherheitsheadern.

Implementierung automatischer Prozesse vor dem Einsatz in der Produktion, die die Wirksamkeit der getroffenen Maßnahmen sicherstellen.

Schlussfolgerungen

Die Schwachstelle Sicherheitsfehlkonfiguration ist nach wie vor eine der Hauptursachen für Sicherheitsverletzungen in Anwendungen und Systemen. Die inhärente Komplexität moderner Technologieinfrastrukturen macht Fehlkonfigurationen zu einem häufigen, aber vermeidbaren Problem.

Durch die Implementierung sicherer Installationsprozesse, die Automatisierung der Systemstabilität, die Aufrechterhaltung einer minimalen Plattform und die Implementierung eines ordnungsgemäßen Patch- und Update-Managements können Unternehmen ihre Gefährdung durch diese Schwachstelle erheblich reduzieren.

Justo Martín, Cybersecurity-Analyst bei Zerolynx.

Zurück zum Blog