Warnung vor neuer IT-Sicherheitsbedrohung durch „Reverse Web Proxy Bypass“

Nach Context-Entdeckung: Apache veröffentlicht Sicherheitsempfehlung

showimage Warnung vor neuer IT-Sicherheitsbedrohung durch "Reverse Web Proxy Bypass"

Aufgrund der Entdeckung einer „Backdoor“-Bedrohung durch die Analysten von Context Information Security richtete sich die Apache Software Foundation gestern mit einer Sicherheitsempfehlung an ihre Kunden. Die ermittelte Schwachstelle fällt in eine neue Angriffskategorie: Durch Ausnutzung von unzureichend gesicherten Reverse Web Proxies können Angreifer vollständigen Zugriff auf interne beziehungsweise DMZ (Demilitarised Zone)-Systeme erhalten. Context informierte Apache im vergangenen Monat über diese Sicherheitsbedrohung. Heute veröffentlichen die Experten für Informations- und Datensicherheit in ihrem Blog eine detaillierte Beschreibung der neuen Angriffskategorie. Context geht davon aus, dass auch andere Web Server beziehungsweise Proxies in ähnlicher Weise betroffen sein könnten. Der Blog enthält daher auch Hinweise auf Möglichkeiten zur Risikominimierung.

http://www.contextis.com/research/blog/reverseproxybypass

Reverse Web Proxies ermöglichen die Weiterleitung externer HTTP- und HTTPS-Web-Anfragen zu einem oder mehreren internen Web-Servern und den dort gespeicherten Daten oder anderen Ressourcen. Potenziell könnten auch andere Proxies eine derartige Sicherheitslücke aufweisen. Die spezielle Angriffsmöglichkeit, die Context identifizieren konnte, richtet sich jedoch gegen den Apache Web-Server. Dieser kann die Proxy-Funktion „mod_rewrite“ nutzen, um Web-Anfragen dynamisch und regelbasiert umzuschreiben und zu modifizieren. Falls diese Proxies nicht korrekt konfiguriert sind, kann Context eine Veränderung in der Zugriffsanfrage auf DMZ-Systeme erzwingen. Dies betrifft auch den Zugang zu administrativen Schnittstellen auf Firewalls, Routern, Web-Servern und Datenbanken. Im Falle von schwachen Zugangsdaten auf den angegriffenen Systemen können die Analysten das vollständige Netzwerk kompromittieren – zum Beispiel durch das Hochladen von Trojanern.

Das IT-Sicherheitsrisiko kann durch eine Überprüfung der Konfiguration der Reverse Proxies reduziert werden. Es muss sichergestellt werden, dass die „Rewrite“-Regeln nicht zum Umschreiben der URLs missbraucht werden können. Context hat die neueste Version seines „Context Application Tool“ (CAT) veröffentlicht, welches auf der Website des Unternehmens zum kostenlosen Download zur Verfügung steht (http://www.contextis.com). Mit CAT können potenzielle Sicherheitslücken in Web-Anwendungen identifiziert werden.

Die Regel auf dem Web-Server lässt sich durch das Hinzufügen eines Schrägstrichs sicher gestalten. Dieser führt dazu, dass der Reverse Proxy nicht den Domain-Namen und Teile des jeweiligen Ports einer Anfrage als Benutzername und Passwort interpretiert. Eine gesicherte Rewrite-Regel würde wie folgt aussehen:

RewriteRule ^(.*) http://­­internalserver:80/$1 [P]

Ist der Server jedoch wie folgt konfiguriert, ist der Zugang zu anderen Systemen über das Internet wahrscheinlich.

RewriteRule ^(.*) http://internalserver:80$1 [P]

In ihrer Sicherheitsempfehlung rät Apache den Nutzern der Apache HTTPD dringend ihre Konfigurationsdateien zu prüfen. Es gelte, unsichere Einstellungen für Reverse Proxy-Regeln umgehend zu identifizieren und anzupassen. Die vollständige Sicherheitsempfehlung ist unter folgendem Link zu finden:

http://seclists.org/fulldisclosure/2011/Oct/232

Über Context Information Security

Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut – zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.

Kontakt:
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28, 1. Obergeschoss
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523

www.contextis.de
technik@contextis.de

Pressekontakt:
Press´n´Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de