Zum Inhalt springen
BlogSicherheitLinode Security Digest Oktober 2-9, 2022

Linode Security Digest Oktober 2-9, 2022

Linode Security Digest

In der Zusammenfassung dieser Woche geht es um folgende Themen:

  • Rancher speichert Anmeldedaten im Klartext, die eine Übernahme des Clusters ermöglichen;
  • Umgehungen der ModSecurity WAF;
  • sechs Sicherheitslücken in BIND; und
  • Akamai hat in diesem Jahr bereits mehr als 13 Millionen Domains pro Monat als bösartig eingestuft.

Rancher Speichert Klartext-Zugangsdaten, die eine Übernahme des Clusters ermöglichen

Rancher ist eine Open-Source-Kubernetes-Plattform, die es Benutzern ermöglicht, Container-Cluster anbieterübergreifend einzusetzen und auszuführen. Ein kürzlich veröffentlichter Fehlerbericht zeigt, dass sensible Felder wie Passwörter, API-Schlüssel und Konto-Token direkt in Kubernetes-Objekten im Klartext gespeichert werden und für jeden mit Zugriff auf das jeweilige Objekt verfügbar sind. Dies hat schwerwiegende Auswirkungen auf die Sicherheitskontrollen innerhalb der Rancher-eigenen Kubernetes-Objekte. Wie der Linux-Systemingenieur Marco Stuurman erklärt:

"Der Angreifer benötigte nur die geringstmöglichen Berechtigungen für einen Cluster, den Rancher verwaltet. Die einzige Berechtigung des Benutzers unseres Überwachungsroboters bestand beispielsweise darin, HTTP-Anfragen von Rancher an die Überwachungsinstanz im Zielcluster weiterzuleiten."

Im Folgenden finden Sie die aktuellen Empfehlungen der Anbieter zur Behebung dieser Probleme.

  • Rotieren Sie die Rancher Dienstkonto-Token; die Betreuer von Ranchers haben ein Skript zur Verfügung gestellt.
  • Beschränken Sie den Zugriff auf nachgelagerte Rancher Instanzen. 
  • Überprüfen Sie nachgelagerte Cluster auf mögliche Anzeichen eines Bruchs.
  • Ändern Sie alle Anmeldedaten, die möglicherweise durchgesickert sind.

ModSecurity WAF-Umgehungen

Bei einer kürzlich durchgeführten Bewertung des OWASP ModSecurity Core Rule Set (CRS) für die Web Application Firewall (WAF) wurden dreizehn neue Schwachstellen entdeckt, darunter außergewöhnliche, kritische und hohe. 

Zwei der Feststellungen basierten auf Content-Type-Verwechslungen, bei denen die WAF und der Backend-Server den Inhalt von Anfragen aufgrund der von ModSecurity empfohlenen Regelsätze unterschiedlich interpretierten. 

Eine dieser Schwachstellen nutzte gezielt aus, wie XML-Kommentare von der WAF ignoriert werden, und konnte gültige "x-www-form-urlencoded"-Daten einspeisen, die von der WAF ignoriert wurden, weil sie als XML-Kommentar geparst wurden.

Eine weitere Reihe von Feststellungen bezog sich auf den Inhaltstyp "multipart/form-data", bei dem eine Umgehung durch die Verwendung des "Content-Dispositions"-Headers möglich ist, was einem Angreifer die Einspeisung aufgebrochener bösartiger Zeichenfolgen ermöglicht.

CVE-2022-39955 ist ein weiteres Beispiel für eine der Schwachstellen, die sich aus dieser Bewertung ergeben haben. Die Verwendung von "utf-7" als zusätzlicher Zeichensatz und die Kodierung des Körpers ermöglichen eine zweideutige Umgehung.

Diese und viele weitere Schwachstellen wurden in den jüngsten Patches von ModSecurity und CRS behoben.

Sechs Sicherheitslücken in BIND

Das Internet Systems Consortium (ISC) hat in BIND eine Reihe von Problemen im Zusammenhang mit Leistungseinbußen des Resolvers, Pufferüberläufen, Speicherlecks und unerwarteten Abbrüchen veröffentlicht.

CVE-2022-2795 ist eine Schwachstelle, die den Ziel-Resolver mit Abfragen überflutet, die diesen Fehler ausnutzen; ein Advisory kann die Leistung eines Resolvers stark beeinträchtigen, was ebenfalls zu einem DOS-Angriff führen kann.

CVE-2022-2881 ist ein zugrundeliegender Fehler, der das Lesen über einen bestimmten Puffer hinaus ermöglicht. Dies kann dazu führen, dass Speicher, der nicht gelesen werden sollte, gelesen wird oder sogar der Prozess vollständig abstürzt.

CVE-2022-2906, CVE-2022-38177 und CVE-2022-38178 sind alle mit Speicherlecks verbunden. Diese Speicherlecks werden durch fehlerhafte ECDSA- oder EdDSA-Signaturen und andere Schwachstellen verursacht, die es dem laufenden Prozess ermöglichen, mehr Speicher zu belegen, als er benötigt, wodurch der auf dem System verfügbare Speicher aufgezehrt wird und der Prozess aufgrund mangelnder Ressourcen möglicherweise abstürzt.

CVE-2022-3080 ist eine Sicherheitslücke, die es einem Angreifer ermöglicht, eine bestimmte Abfrage zu senden, die zum vollständigen Absturz des Resolver-Prozesses führt.

Diese Sicherheitslücken wurden in der letzten stabilen Version von BIND 9.18 und 9.16 behoben.

13 Millionen bösartige Domains in 1 Monat erkannt

Akamai hat seit Anfang 2022 über 79 Millionen Domains markiert, das sind etwa 13 Millionen Domains pro Monat. Insgesamt entspricht diese Zahl mehr als 20 % aller neuen Domains, die erfolgreich aufgelöst wurden.

Diese Erkennungen basieren auf sogenannten Newly Observed Domains (NODs). Akamai definiert eine NOD als eine Domain, die seit 60 Tagen nicht mehr aufgelöst wurde. Dies kann neu gekaufte Domains oder auch nur neu genutzte Domains umfassen. Dies ist ein begrenztes System, da einige böswillige Akteure einfach in der Lage sind, eine Domain für eine bestimmte Zeit zu behalten, sobald sie registriert ist, um sie zu nutzen und das System zu umgehen. Auch andere Organisationen, die NODs überwachen, haben nicht den gleichen Umfang wie Akamai; sie überwachen in Zeiträumen von 30 Minuten bis 72 Stunden und sind weit von den 60 Tagen entfernt, die Akamai überwacht. 

NODs sind für sich genommen nicht sehr nützlich, aber wenn sie mit anderen Informationen kombiniert werden, können sie enorme Einblicke in Domänen und deren Nutzung geben. Zu den Anwendungen von NODs gehören Phishing und die schnelle Erkennung von Bedrohungen. Diese NODs sind jedoch nicht auf die Erkennung bösartiger Aktivitäten beschränkt, sondern dienen auch der heuristischen Analyse. 

Insgesamt scheint es so, als ob diese NODs bei der Bedrohungsjagd sowie bei der Ermittlung von bösartigem Verhalten und den aktuellen Schritten, die Akamai unternimmt, um den Weg in die Zukunft zu ebnen, weiterhin von entscheidender Bedeutung sein werden. 

Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet