Check Point® Software Technologies Ltd. hat die Tage eine Warnung veröffentlicht, die vor SSTI-Angriffen warnt. Der Anbieter beobachtet einen alarmierenden Anstieg sogenannter SSTI-Angriffe (Server-seitige Template Injektion). Die Angriffe zielen auf kritische Schwachstellen in Webanwendungen und machen sich den Umstand zunutze, dass Benutzer-Eingaben in Vorlagen (Templates) einer Web-Anwendung falsch gehandhabt werden. Angreifer können diese Sicherheitslücke ausnutzen, um schädlichen Code auf dem Server auszuführen, auf dem die Web-Anwendung läuft.
Anzeige
Was sind SSTI-Angriffe?
Server-Side Template Injection (SSTI) setzt darauf, dass ein Angreifer bösartigen Code in eine Vorlage (Template) einschleusen kann, die auf dem Server ausgeführt wird. Diese Schwachstelle kann in verschiedenen Technologien ausgenutzt werden, wenn Benutzer-Eingaben in Vorlagen (Templates) einer Web-Anwendung falsch gehandhabt werden. Auf dieser Seite wird folgender Befehl als Beispiel aufgeführt:
output = template.render(name=request.args.get('name'))
In diesem anfälligen Code wird der Parameter name aus der Benutzeranforderung mit der Funktion render direkt an die Vorlage übergeben. Dies kann es einem Angreifer ermöglichen, bösartigen Code in den name-Parameter einzuschleusen, was zu einer serverseitigen Template-Injection führt.
Angreifer können diese Sicherheitslücke ausnutzen, um schädlichen Code auf dem Server auszuführen, auf dem die Web-Anwendung läuft. Dies kann zu schwerwiegenden Folgen wie dem vollständigen Zugriff auf den Server, Datendiebstahl oder der Übernahme des gesamten Systems führen.
Anzeige
SSTI betrifft verschiedene Template-Engines beliebter Web-Anwendungen, wie Jinja2 für Python, Freemarker für Java und Twig für PHP. Die weit verbreitete Verwendung dieser Engines in verschiedenen Programmierumgebungen und die Möglichkeit, SSTI-Angriffe remote auszunutzen, machen sie besonders gefährlich, stuft Check Point das Ganze ein.
Auswirkungen von SSTI-Angriffen auf die Industrie
In den letzten drei Monaten war durchschnittlich 1 von 16 Unternehmen wöchentlich mit SSTI-Angriffen konfrontiert, beobachtet Check Point. Der Cybersicherheitsanbieter hat zwei Branchen identifiziert, die vornehmlich angegriffen wurden:
- Einzelhandel und Großhandel: Dieser Sektor ist mit wöchentlich einem von elf Unternehmen am stärksten betroffen und aufgrund des hohen Transaktionsvolumens sowie der wertvollen Kundendaten besonders anfällig. Die Integration mit E-Commerce-Diensten von Drittanbietern und die Abhängigkeit von veralteten Legacy-Systemen vergrößert die Angriffsfläche zusätzlich. Das Potenzial für beträchtliche finanzielle Verluste und der Vertrauensverlust der Kunden macht die Behebung von SSTI-Schwachstellen in diesem Bereich zur obersten Priorität.
- Finanzendienstleister und Banken: Vorfälle in einem von 15 Unternehmen. Finanzinstitute sind aufgrund ihrer sensiblen Finanzdaten ein bevorzugtes Ziel für SSTI-Angriffe. Die weit verbreitete Einführung von Online- und mobilen Bankdienstleistungen vergrößert die Angriffsfläche. Darüber hinaus führt die Abhängigkeit von Diensten und APIs Dritter zu weiteren Sicherheitsrisiken. Zu den Folgen von Sicherheitsverletzungen in diesem Sektor gehören finanzielle Verluste, Strafen durch die Aufsichtsbehörden und ein Vertrauensverlust bei den Kunden.
Tendenzen der Angreifer zeigen sich nach Beobachtungen von Check Point auch in den betroffenen Infrastrukturen: Cloud-basierte Unternehmen wurden 30 Prozent öfter angegriffen als Unternehmen, deren Mitarbeiter direkt On-Premises vor Ort arbeiten. Dies ist nach Ansicht von Check Point auf die Komplexität der Cloud-Technologie, potentielle Fehlkonfigurationen und Lücken in der Sicherheitsabdeckung zwischen Cloud-Anbietern und Kunden zurückzuführen.
Das Modell der geteilten Verantwortung für die Cloud-Sicherheit erfordert strenge Sicherheitspraktiken von beiden Seiten, um SSTI-Risiken wirksam zu mindern. Unternehmen sollten sich obendrein folgender Hauptrisiken von SSTI bewusst sein:
Willkürliche Code-Ausführung
SSTI-Schwachstellen ermöglichen Angreifern die Ausführung von beliebigem Code auf dem Server, was zu einer vollständigen Übernahme des Systems führen kann. Dies bedeutet, dass Hacker jeden beliebigen Befehl oder jedes beliebige Programm auf dem betroffenen Server ausführen können und so möglicherweise die vollständige Kontrolle über das System erlangen. Diese Zugriffsmöglichkeit kann dazu genutzt werden, Malware zu installieren, Hintertüren zu schaffen oder Dienste zu stören.
Datendiebstahl
Durch SSTI-Angriffe können sensible Informationen, einschließlich Geschäftsdaten, Benutzeranmeldeinformationen und Konfigurationsdateien, abgerufen und gestohlen werden. So kann ein Angreifer beispielsweise eine Nutzlast einschleusen, die sensible Dateien oder Datenbankeinträge liest und stiehlt. Dies kann zu erheblichen finanziellen und rufschädigenden Folgen führen, insbesondere dann, wenn persönliche oder vertrauliche Informationen preisgegeben werden.
Rufschädigung
Datenschutzverletzungen aufgrund von SSTI-Schwachstellen können das Vertrauen der Kunden untergraben und zu rechtlichen und regulatorischen Konsequenzen führen. Unternehmen, die von solchen Verstößen betroffen sind, müssen mit Geldstrafen, Gerichtsverfahren und Geschäftseinbußen rechnen. Die langfristigen Auswirkungen auf den Ruf der Marke können schwerwiegend sein und die Kundentreue und Marktposition beeinträchtigen.
Behebung von SSTI-Schwachstellen
Um SSTI-Schwachstellen vorzubeugen oder sie zu schließen, empfehlen sich laut Check Point folgende Maßnahmen:
Sichere Kodierungspraktiken
Zur Vermeidung von SSTI-Schwachstellen ist die Implementierung sicherer Kodierungspraktiken unerlässlich:
- Eingabevalidierung: Benutzereingaben sollten ordnungsgemäß validiert und bereinigt werden, bevor sie von der Template Engine verarbeitet werden.
- Kontextbezogene Kodierung: Anwendung einer kontextabhängigen Kodierung auf Benutzereingaben, um Injektionsangriffe zu verhindern. Benutzereingaben beispielsweise sollten verschlüsselt werden, bevor sie in HTML-, JavaScript- oder SQL-Kontexte eingefügt werden.
- Prinzip der geringsten Privilegien: Durchsetzung des Prinzips der geringsten Privilegien, um die Auswirkungen potenzieller Schwachstellen zu minimieren. Dabei sollte gewährleistet sein, dass Template Engines und Web-Anwendungen mit den minimal erforderlichen Berechtigungen ausgeführt werden.
Regelmäßige Bewertungen der Schwachstellen
Routinemäßige Durchführung von Schwachstellenbewertungen, um SSTI und andere Schwachstellen zu identifizieren und zu entschärfen:
- Automatisiertes Scannen: Verwendung automatisierter Tools zum Scannen von Web-Anwendungen auf bekannte Schwachstellen, einschließlich SSTI.
- Penetrationstests: Regelmäßige Penetrationstests, um potenzielle Schwachstellen zu ermitteln und auszunutzen. Dies hilft dabei, die Auswirkungen von Schwachstellen zu verstehen und die Sicherheitslage zu verbessern.
- Sicherheitsprüfungen: Umfassende Sicherheit-Audits durchführen, um die Sicherheitspraktiken und -konfigurationen von Web-Anwendungen und Infrastruktur zu prüfen.
Zeitnahes Patchen und Updates
Software-Komponenten und Abhängigkeiten sollten stets auf dem neuen Stand gehalten werden, um bekannte Schwachstellen zu entschärfen:
- Patch-Verwaltung: Implementierung eines robusten Patch-Management-Prozesses, um die rechtzeitige Anwendung von Patches und Updates zu gewährleisten.
- Verwaltung von Abhängigkeiten: Regelmäßige Prüfung und Aktualisierung von Bibliotheken und Frameworks von Drittanbietern, um sicherzustellen, dass sie frei von bekannten Sicherheitslücken sind.
- Konfigurationen: Regelmäßige Prüfung und Aktualisierung der Sicherheitskonfigurationen, um sicherzustellen, dass sie mit den Best Practices übereinstimmen.
SSTI stellt eine kritische und sich weiterentwickelnde Bedrohung für Web-Anwendungen dar, die es Angreifern ermöglicht, beliebigen Code auszuführen und ganze Systeme zu übernehmen. Check Points Untersuchungen zeigen, das Unternehmen dringend Maßnahmen zur Sicherung ihrer Web-Anwendungen ergreifen müssen. Durch die Implementierung sicherer Kodierungspraktiken, die Durchführung regelmäßiger Schwachstellenanalysen und die Sicherstellung zeitnaher Patches können Unternehmen das Risiko von SSTI-Angriffen erheblich reduzieren.
Weitere Informationen und technische Einzelheiten finden sich im Check Point-Beitrag SERVER-SIDE TEMPLATE INJECTION: TRANSFORMING WEB APPLICATIONS FROM ASSETS TO LIABILITIES.
Anzeige
Aktuelles Beispiel für Bug oder Feature?
Quelle: https://www.heise.de/news/Erneut-kritische-Sicherheitsluecke-in-Solarwinds-Web-Help-Desk-geschlossen-9843636.html
Bitte in Sachen Informationssicherheit nicht einfach frei von der Leber weg etwas hinschreiben.
Die Lücke CVE-2024-28987 ist von NIST unter CWE-798 (1) kategorisiert worden. Diese Art von Lücken hat mit SSTI (2) grundsätzlich nichts zu tun. Oder wissen Sie mehr zum Fall Solarwinds Web Help Desk?
(1) https://cwe.mitre.org/data/definitions/798.html
(2) https://owasp.org/www-project-web-security-testing-guide/v41/4-Web_Application_Security_Testing/07-Input_Validation_Testing/18-Testing_for_Server_Side_Template_Injection
Hallo "Born-Community",
Der Warnung seitens CheckPoint kann ich nur zustimmen, die Anzahl der "Scans" und "WAF Threats" auf unsere VPN-Appliances (Sonicwall SMA) ist seit 13 Tagen enorm angestiegen, ebenfalls "Password-Spray", "SPAM" und "Maleware Mails" sind extrem mehr geworden. Auch MS-Office mit VBA, die aber bei uns (nach wirklich langem Kampf mit der GL) grundsätzlich am Mailgateway verworfen werden.
Leider können die eingesetzten NSA-Firewalls von Sonicwall nur begrenzt externe IP-Blocklists abrufen, da das SonicOS nur maximal 1024 Objekte einlesen kann. Wir überlegen aus diesem Grund eine OPNSense vor die Struktur zu hängen.
Geo-IP-Filtering machen wir ebenfalls und versuchen immer noch den "Zero-Trust" Ansatz zu leben (den offensichtlich viele seit dem "Klaut-b00m" vergessen haben oder schlicht ignorieren) und arbeiten "Oldschool" komplett onprem. Selbst Dienste wie MSTeams haben bisher keinen Einzug bei uns gefunden und konnten nach einigen Stolpersteinen durch Alternativen erfolgreich im Unternehmen ausgerollt und Sinvoll eingesetzt werden. Mittlerweile Hosten wir eigentlich (bis auf unsere Webpräsenz) alle "Workloads" selbst, in Q1 ist auch endlich der TeamViewer bei uns rausgeflogen… -> nach ein paar Anpassungen und einer langen Testphase haben wir uns für RUSTDESK entschieden, welches einen soliden Job macht.
Naja… es sind jedoch noch große "Baustellen"… VMWare Ersatz… und von Veeam sind wir bezüglich der Preisgestaltung aktuell auch wirklich enttäuscht. Unsere Lizenz würde aktuell bei der Umstellung auf die VUL aufgrund der benötigten Instanzen das Fünffache(!!!!!) kosten, hier suchen wir aktuell auch nach Alternativen.
uiiii ein bisschen abgeschweift… xD
Vielleicht hat jemand noch gute Ideen oder Denkansätze zum Thema "WAN-Hardening" für uns…
Danke auch an den (niemals schlafenden?) Günther, dein Blog und auch die dadurch hier entstandene Community sind einfach noch ein Stück "heile Welt" die übrig geblieben ist.
Bleibt stark und kämpft weiter ;)