Lehren aus den Schwachstellen in 2014

Originalartikel von Pawan Kinger, Director Deep Security Labs

Vor den Planungen für 2015 ist es sinnvoll, sich die Schwachstellen des letzten Jahres in Erinnerung zu rufen und eventuell Lehren daraus zu ziehen. In jedem Jahr gibt es einige Zero-Day-Lücken und viele nicht veröffentlichte Schwachstellen, die die Softwareanbieter schließen. Im abgelaufenen Jahr war das ein bisschen anders.

 

  • Die Gesamtzahl der veröffentlichten Schwachstellen belief sich auf fast 10.000. Deshalb kündigten die Betreiber der CVE-Datenbank an, ihre CVE-Syntax zu modifizieren. Somit könnten sie dann jährlich bis zu zehn Millionen Schwachstellen Identifier zuordnen.
  • Grioße „benannte“ Schwachstellen wie Heartbleed, Shellshock, Poodle und WinShock wurden öffentlich gemacht und haben innerhalb der Sicherheitsbranche großen Bekanntheitsgrad erlangt. Diese Schwachstellen waren wegen ihrer großen Auswirkungen, breiten Angriffsflächen und der Schwierigkeit des Patchens berüchtigt.
  • Es gab eine Steigerung in der Breite der Distributed Denial-of-Service (DDoS)-Attacken. Diese Angriffe werden dazu genutzt, um hohes Verkehrsaufkommen in Denial-of-Service-Angriffen zu produzieren. Sie nützen Schwächen in Netzwerkprotokollen aus, um große Mengen Antwortpakete auszulösen, die dann an ein Opfer umgeleitet werden und einen Denial-of-Service-Angriff hervorrufen.
  • Die gute Nachricht – es gab keine Java Zero-Days in 2014! Doch das heißt nicht, dass Java-Schwachstellen nicht ausgenützt wurden. Exploit Kits sind immer noch aktiv dabei, diese zu missbrauchen. Anwender, die ältere Java-Versionen im Einsatz haben, sollten diese upgraden.
  • Adobe-Produkte boten ein gemischtes Bild. Insgesamt ging die Zahl der Schwachstellen in Adobe-Produkten im Vergleich zu 2013 zurück. Die Zahl der Schwachstellen in Adobe Flash hingegen stieg von 56 auf 76. Im Acrobat/Reader gingen sie um fast 30% zurück.


Bild 1. Zahl der Schwachstellen in Flash Player und Acrobat/Reader

  • Es gab eine Reihe von Schwachstellen in OpenSSL, nicht nur Heartbleed. In 2014 wurden 24 Schwachstellen gefunden – soviele wie in den letzten drei Jahren zusammen.

Mit diesen Ereignissen vor Augen, stellt sich die Frage, welche Lehren daraus gezogen werden können.

  • Sogar alte Anwendungen können immer noch nicht entdeckte Schwachstellen haben. Das haben Heartbleed und Shellshock gezeigt.
  • Quelloffene Software gilt als sicherer, weil sie durch mehr Prüfungen geht. Das stimmt nicht uneingeschränkt, wie OpenSSL und Bash zeigten.
  • Die CVSS-Bewertung stellt nicht die höchste Instanz für das Gefahrenpotenzial einer Schwachstelle dar. Schließlich wurde Heartbleed nur mit 5.0 bewertet. Unternehmen sollten das Bedrohungspotenzial jeweils nach ihrer eigenen Situation bewerten.
  • Alte Versionen sollten so schnell wie möglich aktualisiert und Patches ebenfalls möglichst zeitnah aufgespielt werden.
  • Die Sicherheitslage im Unternehmen muss stetig neu überprüft werden, und den Ergebnissen entsprechend sollte die Planung für Investitionen in Schutzmaßnahmen laufen. Ein wichtiger Teil des Unternehmensschutzes stellt auch das Training der Mitarbeiter dar. Schließlich sollte sichergestellt sein, dass die vorhandenen Schutzlösungen optimal genutzt werden, beispielsweise durch richtige Konfiguration oder Anpassung an die Anforderungen in der Organisation.
  • Verantwortliche sollten eine Zugangs-Policy auf Basis von einem „Mindestmaß an Berechtigungen“ implementieren. Viele heutige Exploits verschaffen sich die Privilegien der angemeldeten Nutzer. Dagegen hilft eine Policy, die nur das Mindestmaß an Privilegien gewährt.

Weitere, nicht überraschende doch wichtige Erkenntnisse über 2014:

  • Es gab acht Zero-Days im Internet Explorer und vier in Adobe Acrobat/Reader. Unternehmen können auch über andere Browser und PDF-Reader nachdenken.
  • Zero-Days für Webserver fanden sich sowohl in Apache Struts als auch in WordPress (einschließlich Plugins). Fest steht, dass abgesehen von Server-Software auch hinzukommende Plugins als mögliche Risikoquelle in Betracht kommen.

Unabhängig davon, wieviele Zero-Days oder Heartbleed/Shellshock-artige Schwachstellen gefunden werden, sollten Unternehmen nicht vergessen, dass die grundlegenden Sicherheitslücken in Webanwendungen, wie SQL Injection, Cross Site Scripting (XSS), kompromittierte Authentifizierung etc. immer vorhanden sind.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*