Gravierende Sicherheitslücken in IT-Systemen

API's

Application Programming Interface (API)

API-Schwachstellen (2 von vielen) (im Cache)

Fehlerhafte Benutzerauthentifizierung
Es gibt viele Fälle, die darauf zurückzuführen sind, dass bei der Entwicklung und Bereitstellung von APIs keine bewährten Verfahren eingesetzt werden.
Angriffe mit fehlerhafter Authentifizierung zielen darauf ab, ein oder mehrere Konten zu übernehmen und dem Angreifer die gleichen Rechte wie dem angegriffenen Benutzer zu geben.
Injektion
Angreifer konstruieren API-Aufrufe, die SQL, NoSQL, LDAP, OS- oder andere Befehle enthalten, die von der API oder dem Backend dahinter blind ausgeführt werden.

Managing the Hidden Threat of Shadow APIs (May 14, 2024) (in cache)
A couple of years back, Gartner predicted API vulnerabilities would become the most frequently exploited attack vector for data breaches across enterprise web applications [1]. The prediction is hardly disputable — by 2023, almost 30% of web attacks were targeting APIs [2]. This year, API abuses and related data breaches are expected to almost double.

[2] Lurking in the Shadows: Attack Trends Shine Light on API Threats (in cache)

Nach Angaben von Gartner
kommt es regelmäßig zu Angriffen und Datenschutzverletzungen durch unzureichend gesicherte APIs. Der Schutz von Web-APIs ausschließlich mit allgemeinen Anwendungssicherheitslösungen hat sich im Laufe der Jahre als unwirksam erwiesen. Jede neue API stellt einen neuen und potenziell einzigartigen Angriffsvektor auf Ihre Systeme dar, dessen man sich bewusst sein sollte.

Was bedeutet diese API-Sicherheit?
APIs wurden in der Post-iPhone-Ära, der Post-App-Store-Ära, zu einem De-facto-Standard für das moderne Web. Zwei Hauptfaktoren sorgten dafür, dass viele Anwendungsprogrammierschnittstellen geschaffen wurden: das Wachstum mobiler Anwendungen, die webbasierte Backend-APIs erfordern, und die SPA-Architektur.
Das bedeutet, dass das Internet jetzt Teil der API ist, was bedeutet, dass die API-Sicherheit jetzt die Sicherheit von Webanwendungen ist.

Einem Gartner-Bericht (von CSO) zufolge erfolgen bereits 40 % der Angriffe auf Webanwendungen über APIs und nicht über Benutzeroberflächen.
Außerdem sagen die Analysten voraus, dass diese Zahl bis 2021 auf 90 % ansteigen wird.
Bis 2022 wird der häufigste Angriffsvektor die Verletzung von APIs sein.
Nach Angaben unseres Unternehmens entfielen im ersten und zweiten Quartal 2020 53 % aller webbasierten Angriffe auf API-Anfragen.

Peter Welchering:

BSI (19.3.2021): „Nehmen Sie diese Warnung bitte sehr ernst“ (im Cache)
Gravierende Sicherheitslücken durch APIs (im Cache), Deutschlandfunk, Computer und Kommunikation, 20.8.2022

LOG4j

Index

Software-Fehler macht viele Server und Apps angreifbar

Von Peter Welchering, DLF, 13.12.2021 (im Cache, audio)

Es passiert nicht oft, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schwachstelle mit ihrer höchsten Warnstufe Rot versieht. So eine Sicherheitslücke – Log4Shell – hat sich gerade aufgetan. Sie öffnet Hackern Tür und Tor für Angriffe auf zahlreiche Server, Firmennetzwerke und Apps.

Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage

BSI, 16.12.2021 (im Cache)

Die Schwachstelle namens „Log4Shell“ in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin zu einer kritischen IT-Sicherheitslage (im Cache). Das BSI stellt aktuelle Informationen unter www.bsi.bund.de/dok/log4j (im Cache) zur Verfügung.

Nach wie vor besteht keine abschließende Klarheit darüber, welche IT-Produkte durch „Log4Shell“ verwundbar sind.

Einen Überblick (im Cache) über den Verwundbarkeitsstatus zahlreicher IT-Produkte pflegt die niederländische Partnerbehörde des BSI, zu der auch das BSI selbst beiträgt.

Die Schwachstelle wird aktuell mit unterschiedlichen Angriffsformen weltweit ausgenutzt.

Neben Angriffen mit Krypto-Minern (dadurch werden die betroffenen Systeme zur Errechnung von Krypto-Währungen missbraucht) oder Bot-Netzen

(die betroffenen Systeme werden in Bot-Netze integriert, mit denen bspw. DDoS-Angriffe (im Cache) durchgeführt werden), sind

mittlerweile auch die ersten Ransomware-Angriffe (im Cache) bekannt geworden. Bei Ransomware-Angriffen werden Computer oder ganze Netzwerke verschlüsselt und die Betroffenen um Lösegeld erpresst.

Aus Sicht des BSI ist mit einer breiten Ausnutzung der Schwachstelle und mit weiteren erfolgreichen Cyber-Angriffen zu rechnen. Diese können auch noch in einigen Wochen und Monaten folgen, wenn die genannte Schwachstelle jetzt für eine Erstinfektion genutzt wird.

Es ist daher weiterhin wichtig, die vom BSI empfohlenen IT-Sicherheitsmaßnahmen schnellstmöglich umzusetzen. Sofern Sicherheits-Updates für verwundbare IT-Produkte zur Verfügung stehen, sollten diese durch alle Anwender eingespielt werden. Daher sind insbesondere Hersteller von IT-Produkten gefordert, ihre Produkte zu prüfen und sie gegebenenfalls durch Sicherheits-Updates abzusichern.

Akut handeln müssen insbesondere Unternehmen und Organisationen und staatliche Stellen auf allen Ebenen. Für diese stehen auch kurzfristige Schutzmaßnahmen zur Verfügung, die die Schwachstelle zwar nicht schließen, ihre Ausnutzung aber verhindern oder erschweren können. Daneben sollten Detektions- und Reaktionsmaßnahmen (im Cache) gestärkt werden.

Verbraucher sind weniger stark gefährdet, da die fragliche Java-Bibliothek auf Endgeräten weniger stark verbreitet ist.

Allerdings können einzelne Anwendungen und smarte Geräte (IoT-Geräte) verwundbar sein. Verbraucher sind in der Regel darauf angewiesen, dass die Hersteller dieser Produkte entsprechende Sicherheitsmaßnahmen treffen und bspw. Sicherheits-Updates zur Verfügung stellen. Die bestehenden kurzfristigen Schutzmaßnahmen können in der Regel nur von erfahrenen Anwenderinnen und Anwendern umgesetzt werden.

Das BSI wird seine Cyber-Sicherheitswarnung und seine Handlungsempfehlungen fortlaufend aktualisieren. Das Nationale IT-Krisenreaktionszentrum im BSI bleibt weiterhin aktiv. Das BSI steht in intensivem Austausch mit nationalen und internationalen Partnern.

Vorangegangene Pressemitteilung

Bonn, 11.12.2021. Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot (im Cache) hochgestuft. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.

Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.

Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.

Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren.

Weitere Informationen

Kritische Schwachstelle in Log4j

CVE-2021-44228, CVE-2021-45046, CVE-2021-45105

Arbeitspapier "Detektion und Reaktion, Version 1.4,

Stand 20.12.2021 (im Cache)

... Die besondere Kritikalität des Themenkomplexes ergibt sich aus der generellen Ausnutzbarkeit, die auch für

Folgeaktivitäten wie das Ausrollen von Ransomware oder die Kompromittierung von nachgelagerten

Systemen und Produkten genutzt werden kann.

Beschreibung der Schwachstelle

Log4j ist eine beliebte Protokollierungsbibliothek für Java -Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Die Bibliothek ist in vielen Softwareprodukten enthalten. Java-Software verwendet üblicherweise nicht die vom Betriebssystem bereitgestellten Systembibliotheken, sondern liefert die notwendigen Bibliotheken selbst mit, sodass verwundbare Versionen der Bibliothek auch auf dem System vorhanden sein können, ohne dass Log4j durch die Administrierenden selbst explizit installiert wurde.

2.2 Betroffene Produkte

Durch die Vielzahl der Produkte, die Log4j einbinden und deren Konfigurationsoptionen ist eine vollständige Liste der verwundbaren Produkte nicht erstellbar. Eine Liste von potenziell gefährdeten Produkten [5] wird gepflegt, erhebt aber keinen Anspruch auf Vollständigkeit. Die hohe Verbreitung von Java zum Beispiel auch im Privatanwender -, Netzwerkinfrastruktur- und Smartphonebereich legt nahe, dass neben Servern potenziell sehr viele weitere Systeme betroffen sein können, insbesondere auch wenn es sich um selbst entwickelte Anwendungen von Unternehmen handelt. Dies zeigt auch eine weitere Sammlung betroffener Produkte [6] .

Aufgrund der derzeit nicht überschaubaren Vielfalt der verwundbaren Anwendungen kann diese Schwa chstelle sowohl z. B. Webseiten und automatisierte Schnittstellen als auch Client-Anwendungen betreffen. Darüber hinaus können auch Anwendungen betroffen sein, die in eingebetteten Systemen und Komponenten zur industriellen Steuerung (z.B. Siemens [7], Schneider Electric [8] ) eingesetzt werden.

2.3 Gefahren

2.3.1 Exponierte IT-Systeme ins Internet

Die folgenden Gefahren bestehen, wenn Log4j verwendet wird, um eine vom Angreifern kontrollierte Zeichenkette wie beispielsweise – im Falle einer Webanwendung – den HTTP User Agent zu protokollieren. Sollten die verwundbaren IT-Systeme Verbindungen ins Internet aufbauen und nicht nur entgegennehmen können, kann über die Schwachstelle schädlicher Programmcode nachgeladen werden. Dafür können auch Protokolle verwendet werden, die üblicherweise nur innerhalb von IT-Netzwerken zum Einsatz kommen, wie beispielsweise LDAP. Unabhängig von der Möglichkeit Schadcode nachzuladen, können durch DNS-Anfragen trotzdem Informationen wie beispielsweise Umgebungsvariablen zum Angreifern gelangen. In diesen Umgebungsvariablen werden je nach Anwendungsfall auch Benutzerkennungen und Authentifikationsmerkmale gespeichert, sodass ein Abfluss der Daten mit der Kompromittierung dieser Informationen gleichzusetzen ist. Auch könnten Angreifer gegebenenfalls sensible Informationen in die Protokolldaten ausleiten. Bisher konnte nicht gesichert nachgewiesen werden, dass eine Ausführung von Schadcode auch mit untersagten Kommunikationsbeziehungen möglich ist, allerdings war dies bei ähnlich gelagerten Schwachstellen in der Vergangenheit unter bestimmten Umständen der Fall.

Durch den im Internet frei verfügbaren Quelltext einer beispielhaften Ausnutzung der Schwachstelle („Proof of Concept“) [9], können Angreifer mit sehr geringem Aufwand verwundbare Systeme auffinden und die Schwachstelle anschließend ausnutzen. Solche automatisierten Ausnutzungen konnten bereits durch das BSI beobachtet werden. Ebenfalls wurden bereits erfolgreiche Kompromittierungen mit z. B. Kryptominern und Ransomware [10] bestätigt; eine Rekrutierung in Botnetze scheint ebenfalls wahrscheinlich. Neben diesen Infektionen wurde auch schon über den Einsatz von so genannten Post-Exploitation-Frameworks wie Cobalt Strike berichtet. Solche Anwendungen werden von Angreifern genutzt, um weitere Aktionen auf dem angegriffenen System auszuführen. Dies kann zum Beispiel das Verschleiern des Angriffs, das Nachladen eines Root-Kits oder von Ransomware beinhalten. Es können auch Systeme verwundbar sein, die nicht explizit aus dem Internet erreichbar sind, aber z. B. Daten von im Internet exponierten Diensten verarbeiten. Gibt beispielsweise eine Internetseite Suchanfragen an einen Java-basierten internen Suchindexdienst weiter, dann ist dieser ebenfalls gefährdet.

Eine ähnliche Problematik könnten Spamfilter oder Virenscanner, die Java-basiert sind, aufzeigen. Das sind lediglich zwei von zahlreichen möglichen Konstellationen.

2.3.2 Ausbreitung im internen Netzwerk

Sowohl nach außen (ins Internet) exponierte IT-Systeme als auch interne Systeme, welche keine Verbindungen ins Internet aufweisen, können durch die veröffentlichten Schwachstellen angegriffen werden. Eine Möglichkeit zur Infektion von nicht aus dem Internet erreichbaren Systemen bietet die grundsätzliche Wurmfähigkeit der Schwachstelle.

Angreifer mit Zugriffen auf interne Systeme können die Schwachstellen bspw. für die Bewegung im internen Netzwerk nutzen (eng. „Lateral Movement“). Darüber hinaus können Angreifer die Schwachstellen für Angriffe auf ESXi Server verwenden (Hypervisor Jackpotting [2]) und somit Schäden in Unternehmen anrichten.

Exchange-Server Hack im März 2021

Ein weltweiter Angriff auf Microsofts Exchange Server: Im März hatten sich Hacker gleich über vier Sicherheitslücken in den Microsoft Exchange-Server-Versionen 2013, 2016 und 2019 eingenistet. Unternehmen und Behörden weltweit nutzen Kollaborationssoftware wie Microsoft Exchange zur zentralen Steuerung aller administrativen Unternehmensabläufe, sowie interner und externer Zusammenarbeit und Kommunikation.

Die Angriffe wurden der chinesischen Hackergruppe „Hafnium“ zugeschrieben. Angreifer können die Authentifizierung umgehen, was ihnen Zugang zu und Kontrolle über alle Inhalte ermöglicht. Zudem kann dann Code installiert werden, der ihnen, auch nachdem das System später gepatcht wurde, weiter Zugang zu den Geräten ihrer Opfer im Netzwerk gewährt. Das macht die Sicherheitslücke und die Angriffe derzeit unkalkulierbar. Es gab von Microsoft schnell ein Sicherheitsupdate, doch das müssen die betroffenen Firmen und Institutionen selbst installieren. Dadurch drängt die Zeit und die Angriffswahrscheinlichkeit wächst. Schätzungsweise rund 250.000 Systeme waren betroffen – 30 Prozent davon in der DACH-Region, darunter zahlreiche Behörden.

Das BSI hat bestätigt, daß es Angriffe auf Bundesbehörden gab und es weiterhin Tausende offener Systeme in Deutschland gibt, die nicht gesichert wurden und Angreifern immer noch offenstehen. Datendiebstahl und Ransomware-Attacken in großem Umfang können erfolgen, und Angriffe auf Produktionsanlagen aus verschiedensten Industriezweigen können die Produktion stillegen.

Es gelingt Erpressern immer wieder, die digitale Infrastruktur ganzer Landkreise lahmzulegen. Behörden kommen oft nicht hinterher, kritische Lücken zügig zu schließen. Selbst wenn gepatcht wurde, sieht die Situation der Behörden-IT oft nicht gut aus. Es häufen sich die Ransomware-Fälle in öffentlichen Einrichtungen: Besonders schlimm traf es im Sommer den Landkreis Anhalt-Bitterfeld, der sogar den Katastrophenfall ausrufen musste, um Unterstützung der Bundeswehr zu bekommen. Wochenlang musste die IT-Infrastruktur neu aufgebaut werden. Die Kreisverwaltung blieb geschlossen.

Auch außerhalb der öffentlichen Verwaltung finden sich nach wie vor etliche verwundbare Exchange-Server. Insgesamt ist die Lage höchst kritisch: Das BSI warnte über Twitter am 30. November, dass circa 12.000 Server in Deutschland von mindestens einer kritischen Lücke betroffen seien – das entspreche 30 Prozent der Server, die dem BSI bekannt sind.

Quellen:

Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich

Von Dr. Oliver Diedrich, heise.de, 3.4.2024 (im Cache)

Vermeidbare Fehler, Unternehmenskultur der Unsicherheit: Die US-amerikanische Cybersicherheitsbehörde CISA erhebt massive Vorwürfe gegen Microsoft

... Im Sommer letzten Jahres war bekannt geworden, dass vermutlich chinesische Hacker einen Master-Key für die Azure-Cloud gekapert und damit unter anderem auf die Online-Exchange-Accounts diverser Regierungsbehörden zugegriffen haben.

...Insgesamt habe man eine Reihe von strategischen und operativen Entscheidungen gefunden, die aus einer Unternehmenskultur resultieren, die der Sicherheit und dem Risikomanagement nur geringe Priorität einräumen. Ein Unternehmen wie MicrosoE, das so wichtig für WirtschaE und Sicherheit der USA ist, müsse jedoch höchste Standards bei Sicherheit, Verantwortlichkeit und Transparenz erfüllen.

Sicherheitspannen bei Microsoft sollen Behörden und Firmen gefährdet haben

Michael Gessat, Computer und Kommunikation, Deutschlandfunk, 20.4.2024 (im Cache)

Kettenreaktion: Cyberangriffe auf Blockchains werden immer häufiger

Peter Welchering, Computer und Kommunikation, Deutschlandfunk, 30.3.2024 (im Cache)

Die Cyber-Security Conference diskutiert Strategien für den modernen Krieg

Peter Welchering, Computer und Kommunikation, 17. Februar 2024, 16:30 Uhr

Audio herunterladen, im Cache

----------------------------------------------------------------------------------------------------------------------------

Arne Schönbohm, BSI

BSI unter Beschuss – Böhmermann und Faeser sägen an Schönbohms Stuhl
Ein Kommentar von Jürgen Schmidt, Heise Online, 10.10.2022 (im Cache)

... das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter Schönbohm sprach sich wiederholt und öffentlich für das sofortige Schließen aller Sicherheitslücken aus (im Cache). Hintertüren in der Verschlüsselung erteilte das BSI konsequent eine Absage. Zu gefährlich sei das Spiel mit absichtlich geschwächter Kryptografie oder Schwachstellen, die man selbst ausnutzen und deshalb lieber offen lassen wolle. Das ist IT-Sicherheit, wie sie von Fachleuten gefordert wird.

Im Bundesinnenministerium unter Nancy Faesers Leitung hingegen steht aktuell das sogenannte "Schwachstellen-Management" weit oben auf der politischen Agenda. Das ist ein Euphemismus für: "die Schlechten ins Töpfchen, die Guten ins Kröpfchen". Bestimmte Sicherheitslücken will man lieber erst selbst ausnutzen, bevor man sie dem Hersteller meldet und damit für alle unbrauchbar macht – was ja letztlich im Interesse der IT-Sicherheit wäre. Vorbild ist der US-amerikanische Vulnerabilities Equities Process (VEP), wo in jedem Einzelfall entschieden wird. Bei ausreichend großem "nationalem Interesse" muss die Sicherheit der Allgemeinheit dann eben mal zurückstehen.

... Alles in allem wirken die im ZDF Magazin Royale [von Böhmermann] erhobenen Vorwürfe vielmehr wie ein nur allzu willkommener Anlass, einen Beamten zu entsorgen, der sich Feinde im BMI gemacht hat. Nicht wegen herbeigeredeter, angeblicher Interessenverstrickungen mit Russland, sondern weil er der Stimme von IT-Security-Fachleuten ein offizielles Gesicht gegeben hat.

Damit steht er den Plänen zum Ausbau von staatlicher Überwachung und Fantasien von Hackbacks im Cyberspace im Weg.

Angebliche Affäre Schönbohm: Innenministerin Faesers Versagen

Innenministerin Faeser bleibt in der Affäre Schönbohm Argumente schuldig, warum das Vertrauen in den BSI-Chef weg ist – und verspielt Vertrauen.

Ein Kommentar von Falk Steiner, Heie Online, 24.11.2022 (im Cache)

...

Vorwürfe gegen Schönbohm lassen sich kaum erhärten

In einem Schreiben des [BSI-] Vizepräsidenten Gerhard Schabhüser an die zuständigen Stellen des BSI (im Cache)– per IFG öffentlich geworden – legte dieser ausführlich dar, wie das Prüfverfahren im Fall Protelion abgelaufen ist. Und Schabhüser wurde deutlich: "In Hinblick auf die gesetzlichen Zuständigkeiten und Befugnisse des BSI entbehren die nunmehr aus dem Zertifizierungsverfahren abgeleiteten Vorwürfe gegen den Präsidenten des BSI und seine Mitarbeiterinnen und Mitarbeiter jeder Grundlage."

ABOUT PROTELION (im Cache)

Rapid digitalization has dramatically changed the traditional information security paradigm. Instead of network centric security built to protect office networks and data centers, the digitally connected world requires security designed to protect distributed users and devices independent of their locations.

Protelion understood this seismic shift and developed our vision steeped in Zero Trust principles. We assembled a team of international cyber experts to redefine security. The resulting Protelion Security Platform is uniquely architected to deliver inspired security solutions that combine greater protection, flexibility, and performance.

We are at the forefront of applying innovative approaches and creating ingenious products to help you protect your digital universe. Our products meet the exacting standards of German design and international certification bodies.

Our head office is in Berlin, Germany yet we have global reach with staff and distribution partners based throughout EMEA, the USA and Latin America.

Die BSI-Konferenz schlägt wegen zunehmender Gefahr für die IT Alarm

Welchering, Peter, Computer und Kommunikation, Deutschlandfunk, 13. Mai 2023

(im Cache)

Version: 1.7.2024

Adresse dieser Seite

Home

Joachim Gruber