Sergey Nivens - Fotolia
TCP-basierte Flood-Angriffe auf Web Application Firewalls
Angreifer sind findig, wenn es um neue Einfallstore geht. TCP-basierte Flood-Angriffe auf der Anwendungsebene sind viel schwieriger abzuwehren als typische Verstärkerangriffe.
Dass IT-Attacken durch Hacker immer ausgeklügelter werden, und stets neue Einfallstore, Ansatzpunkte und Schwachstellen ausnutzen, gehört zu den Grundsätzen und zum Alltag der Cybersecurity-Branche. Nun sind vermehrt TCP-basierte Flood-Angriffe auf der Anwendungsebene (Application Layer Attacks) zu beobachten.
Dazu passt die jüngste Entdeckung von Sicherheitsforschern (Team 82 von Claroty): Sie haben in einem höchst aufwändigen und mehrstufigen Verfahren eine Technik für die SQL Injection entwickelt, die mehrere Web Application Firewalls (WAFs) umgeht – und darüber die Anbieter und die Öffentlichkeit informiert. Der Kern des Problems: WAF-Dienstleister hatten es versäumt, Support für JSON in SQL-Anweisungen anzubieten. Potenzielle Angreifer hätten so ihre bösartige Datennutzlast leicht verbergen können.
Diese Bypass-Technik funktionierte bei WAFs von zum Beispiel Amazon Web Services (AWS) und anderen bedeutenden Firmen. Sie haben inzwischen einschlägige Patches veröffentlicht, womit Kunden ihre WAF-Systeme mit dem neuesten Schutzstandard ausstatten konnten. Die Vorgehensweise kann jedoch auch bei anderen Anbietern in böser Absicht genutzt werden. Unternehmen sollten daher ihre Dienstleister fragen, ob sie solche Angriffe erkennen und blockieren können.
Sieben auf einen Streich
„Angreifer, die diese neuartige Technik verwenden, könnten auf eine Backend-Datenbank zugreifen und zusätzliche Schwachstellen nutzen, um Informationen entweder über direkten Zugriff auf den Server oder über die Cloud herauszufiltern“, so die Claroty-Forscher in ihrem Bericht. Dies sei besonders wichtig für OT- und IoT-Plattformen, die auf Cloud-basierte Verwaltungs- und Überwachungssysteme umgestiegen sind. WAFs versprechen zwar zusätzliche Sicherheit aus der Cloud, jedoch habe ein Angreifer, der genau diese Schutzmaßnahmen umgeht, dann weitreichenden Zugriff auf die Systeme, heißt es dort weiter.
Das Claroty-Team fand nicht weniger als sieben Schwachstellen auf einer Hersteller-Plattform zum Verwalten drahtloser Geräte, die wiederum AWS im Backend nutzt. Hierzu gehörten eine SQL-Injection-Lücke, die es ihnen ermöglichte, Benutzersitzungen, SSH-Schlüssel, Passwort-Hashes, Token und Verifizierungscodes aus der Serverdatenbank auszulesen. SQL Injection ist eine der häufigsten und gefährlichsten Sicherheitslücken bei Webanwendungen und gibt Angreifern die Gelegenheit, beliebige SQL-Abfragen einzuschleusen, die die Anwendung dann mit ihren eigenen Rechten gegen die Datenbank ausführt.
Ausgereiftere Entschärfungstechnik
Das grundsätzliche Problem: TCP-basierte Flood-Angriffe auf der Anwendungsebene sind viel schwieriger abzuwehren als typische Amplification-Attacken (Verstärkungsangriffe), die wiederum im Jahr 2022 deutlich zurückgingen. Dadurch erfordert deren Abwehr ausgereiftere Entschärfungstechniken, etwa durch maschinelles Lernen, statt den einfachen Port- und Protokollblöcken, die üblicherweise für Amplification-Angriffe verwendet werden und die heutzutage einfach zu erkennen und zu vereiteln sind.
Anders als eben Angriffe auf der Anwendungsebene, die – wie geschildert – statische Firewall-/WAF-Regelwerke umgehen können. Attacken auf der Anwendungs- und TCP-Ebene können obendrein mit einer viel geringeren Anzahl von Bits und Paketen pro Sekunde Schaden anrichten. Angreifer benötigen daher nicht so viele Ressourcen, um erfolgreich zu sein.
„Das grundsätzliche Problem: TCP-basierte Flood-Angriffe auf der Anwendungsebene sind viel schwieriger abzuwehren als typische Amplification-Attacken (Verstärkungsangriffe), die wiederum im Jahr 2022 deutlich zurückgingen.“
Lisa Fröhlich, Link11
Gleichzeitig betreffen die jüngst entdeckten Schwachstellen ein stark wachsendes IT-Segment, nämlich Webeingaben, Schnittstellen, Datenformate und -sprachen wie APIs, XML oder JSON – die Hacker sofort ausnutzen würden, sofern sie nicht umgehend oder vorab geschlossen werden. Dank maschinellem Lernen sind Cybersecurity-Firmen nun in einer viel besseren Position, um diese neu entwickelten Arten von Angriffen auf L3- und L7-Firewalls abzuwehren. Denn das Machine Learning kann ungewöhnlichen beziehungsweise bösartigen Datenverkehr im Verhältnis zum normalen Datenverkehr in Echtzeit identifizieren.
Der Wettlauf Gut gegen Böse geht in eine neue Runde
Neue Technologien sind Goldminen für neuartige Attacken. Sie werden schließlich nicht nur – so wie bei der jüngsten Entdeckung – von Forschern und Spezialisten genutzt, die die Dienstleister über die Mängel informieren. Dasselbe gilt für Machine Learning, auf das Hacker zur Fehlererkennung ebenfalls gern zurückgreifen. Nun hat sich für sie ein neues Lieblingseinfallstor geöffnet: die Anwendungsebene, wo gegenwärtig ein großer Teil der Entwicklung stattfindet.
Diese Entwicklung ist auf Seiten der Verteidigung gepaart mit dem Willen schnell eine Lösung liefern zu wollen und mangelnden Testprozessen sowie dem Ignorieren von konkreten Problemen und Risiken. Zudem wird häufig nicht unterschieden, ob es sich um ein mögliches Risiko oder ein bestehendes Problem handelt. Es ist daher leider zu erwarten, dass diese Schwachstellen in einem noch nie dagewesenen Ausmaß auftauchen und für zusätzliche Risiken sorgen werden.
Über die Autorin:
Lisa Fröhlich ist Unternehmenssprecherin bei Link11. Neben klassischen PR-Themen und Content-Management gehört die Corporate Communication zu ihren Aufgaben. Als Referentin für Wissenschaftskommunikation an der TU Darmstadt konnte die studierte Germanistin am Lehrstuhl für Systemsicherheit umfangreiche Kenntnisse im Bereich Cybersicherheit gewinnen. Zuvor war sie über zehn Jahre als PR-Managerin und Pressesprecherin in der Finanzbranche tätig.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.