Production Perig - stock.adobe.c
Webanwendungen im Visier: Die Methoden der Angreifer
Webanwendungen und APIs sind für den Geschäftsbetrieb unabdingbar, bieten aber eine respektable Angriffsfläche. Das nutzen Cyberkriminelle auf verschiedene Weise für ihre Zwecke.
Webanwendungen wie Teile von Microsoft 365 oder Google Docs sind Programme, auf die über den Webbrowser zugegriffen wird. Für Unternehmen bieten sie viele geschäftliche Vorteile, wie Geschwindigkeit, Kompatibilität und Skalierbarkeit, sind aber auch ein Hauptziel für Cyberangriffe. Laut der jüngsten Data Breach Investigations Reports von Verizon waren Webanwendungen 2023 der wichtigste Angriffsvektor, der von Cyberkriminellen bei 80 Prozent aller Sicherheitsvorfälle genutzt wurde. Zudem hat die Zahl der Angriffe auf Webanwendungen und Anwendungsprogrammierschnittstellen (APIs) deutlich zugenommen. Barracuda hat 2023 mehr als 18 Milliarden Angriffe auf Anwendungen abgewehrt, davon allein 1,716 Milliarden im Dezember.
Es gibt zwei Hauptgründe, weshalb Webanwendungen zu besonders beliebten Angriffszielen gehören. Erstens sind viele Webapplikationen mit Schwachstellen oder Konfigurationsfehlern behaftet. Zweitens enthalten viele dieser Anwendungen äußerst wertvolle Informationen, wie etwa personenbezogene und finanzielle Daten, und ein erfolgreicher Angriff verschafft Angreifern hierauf direkten Zugriff. Untersuchungen von Barracuda zeigen, dass 40 Prozent der IT-Experten, die sich mit ethischem Hacking befasst haben, glauben, dass Angriffe auf Webanwendungen zu den lukrativsten für Cyberangreifer gehören, und 55 Prozent sagen das Gleiche für APIs.
Die wichtigsten OWASP-Angriffe auf Webanwendungen
Um zu verstehen, worauf Angreifer ihre Ressourcen konzentrieren, haben Barracuda-Sicherheitsforscher, die im Dezember 2023 entdeckten und entschärften Angriffe auf Webanwendungen genauer unter die Lupe genommen und sich dabei auf die vom Open Worldwide Application Security Project (OWASP) identifizierten Angriffe konzentriert. Dabei zeigte sich, dass 30 Prozent aller Angriffe auf Webanwendungen auf Sicherheitsfehlkonfigurationen wie etwa Kodierungs- und Implementierungsfehler abzielten.
Zudem betrafen 21 Prozent Code-Injektionen. Dabei handelte es sich nicht nur um SQL-Injektionen (die im Allgemeinen darauf abzielen, Daten zu stehlen, zu zerstören oder zu manipulieren), sondern auch um Log4Shell- und LDAP-Injection-Angriffe. LDAP wird von Unternehmen für die Verwaltung von Berechtigungen, Ressourcen und Zugriffskontrollen verwendet, zum Beispiel zur Unterstützung von Single Sign-On (SSO) für Anwendungen.
Die OWASP Top 10 Liste wird jährlich aktualisiert. Es ist erwähnenswert, dass es in letzter Zeit einige Änderungen an der OWASP Top 10-Liste gegeben hat. Diese betreffen hauptsächlich die Integration von häufigen Angriffstaktiken in andere Kategorien. Beispiele hierfür sind Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF), die es Angreifern ermöglichen, Daten zu stehlen oder das Opfer dazu zu bringen, eine Aktion auszuführen, die es nicht beabsichtigt. Beide Taktiken werden immer noch in erheblichem Umfang eingesetzt. Insbesondere XSS wird oft von Bug-Bounty-Jägern oder Hackern genutzt, die versuchen, in Netzwerke einzudringen.
Bot-Angriffe auf Webanwendungen
Die Anti-Botnet-Detection-Daten zeigen zudem, dass die Mehrheit (53 Prozent) der Bot-Angriffe auf Webanwendungen im Dezember 2023 volumetrische Distributed-Denial-of-Service-Angriffe (DDoS) waren. Volumetrische DDoS-Angriffe werden in der Regel von riesigen Botnetzen aus verbundenen IoT-Geräten gestartet. Die Angriffe basieren auf Brute-Force-Techniken, die das Ziel mit Datenpaketen überfluten, um Bandbreite und Ressourcen zu verbrauchen. Solche Angriffe können als Deckmantel für einen ernsthafteren und gezielten Angriff auf das Netzwerk verwendet werden.
Die Daten zeigen auch, dass ein Drittel (34 Prozent) der Bot-Angriffe Anwendungs-DDoS-Angriffe waren, die auf eine bestimmte Anwendung abzielten. Zudem waren 5 Prozent Bot-gesteuerte Account-Takeover-Angriffe.
Anfällige und veraltete Anwendungskomponenten
Anfällige und veraltete Komponenten in Anwendungen sind bequeme Einfallstore für Angreifer. Der ProxyShell-Schwachstellenkomplex aus dem Jahr 2021 wurde immer wieder ausgenutzt, was zu einer Reihe von öffentlichkeitswirksamen Sicherheitsverletzungen führte.
Es gibt einige ältere, weniger bekannte Schwachstellen, die von Zeit zu Zeit von Bedrohungsakteuren ins Visier genommen werden – wie die aktuelle Androxgh0st-Malware, vor der die US-Behörde für Cybersicherheit und Infrastruktur (CISA) am 16. Januar 2024 eine Warnung herausgegeben hat.
Die folgenden allgemeinen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) wurden in den letzten Monaten in signifikanter Zahl bei der Untersuchung durch Barracuda entdeckt.
- CVE-2017-9814 ist eine schwerwiegende (7.5) Sicherheitslücke, die es Angreifern ermöglicht, einen Denial-of-Service-Angriff durchzuführen. Die Schwachstelle wurde im Jahr 2023 modifiziert.
- CVE-2018-15133 ist eine schwerwiegende (8.1) Sicherheitslücke für Remote-Code-Ausführung im Laravel-Framework, die ebenfalls kürzlich modifiziert wurde.
- CVE-2021-41773 ist eine schwerwiegende (7.5) Sicherheitslücke im Apache-HTTP-Server, die ebenfalls im Jahr 2023 modifiziert wurde.
Die Ergebnisse zeigen, dass die Scanversuche für alle diese Schwachstellen ungefähr zur gleichen Zeit begannen und ähnliche Spitzenwerte aufwiesen, was darauf hindeutet, dass eine einzelne oder koordinierte Angriffskampagne im Gange ist.
Gezielte Angriffe und Hintergrundrauschen
Die Log-Analyse durch die Sicherheitsforscher zeigt außerdem, wie groß der Anteil der Probes oder Scans ist, die von Angreifern durchgeführt wurden, im Gegensatz zum Hintergrundrauschen. Hintergrundrauschen ist in diesem Fall ein relativ harmloses Scannen durch verschiedene CERTs, Shodan und ähnlichem, während der Angriffsverkehr Angreifer – automatisiert oder nicht – Bedrohungsakteure darstellt, die versuchen, tatsächliche Angriffe durchzuführen. Im Fall der oben genannten drei Schwachstellen ist das Verhältnis zwischen Angriffsverkehr und Scanning viel ausgeprägter.
„Angreifer zielen oft auf alte Schwachstellen ab, um zu versuchen, in eine übersehene, ungepatchte Anwendung einzudringen und sich dann im Netzwerk auszubreiten. Daher sollte ein mehrschichtiger Sicherheitsansatz angewandt werden, um einen Angriff zu erkennen und dessen Eskalation zu verhindern.“
Dr. Klaus Gheri, Barracuda Networks
Mehrschichtige Absicherung von Anwendungen
Webanwendungen und APIs sind lukrative Angriffsvektoren für Cyberkriminelle und geraten zunehmend unter Beschuss. Für Sicherheitsteams ist es schwierig, mit der wachsenden Zahl von Schwachstellen Schritt zu halten. Sie müssen sich sowohl mit Zero-Days als auch mit älteren Schwachstellen auseinandersetzen. Die Softwarelieferkette für kritische Anwendungen kann ebenfalls Sicherheitslücken aufweisen, wie etwa die Log4Shell-Schwachstelle zeigt. Angreifer zielen oft auf alte Schwachstellen ab, um zu versuchen, in eine übersehene, ungepatchte Anwendung einzudringen und sich dann im Netzwerk auszubreiten. Daher sollte ein mehrschichtiger Sicherheitsansatz angewandt werden, um einen Angriff zu erkennen und dessen Eskalation zu verhindern. Die eingesetzte Sicherheitslösung sollte neben dem Schutz von Webanwendungen und APIs auch eine Verteidigung gegen DDoS- und Bot-Angriffe sowie Account Takeover umfassen, um sich gegen die steigende Zahl an Webanwendungsangriffen angemessen zu verteidigen.
Über den Autor:
Dr. Klaus Gheri ist Vice President und General Manager Network Security bei Barracuda Networks.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.