Inhalt
Es wird oft gesagt, dass Open-Source-Software (OSS) das Internet geschaffen hat, da viele der wichtigsten Komponenten (z. B. Unix/Linux-Betriebssysteme, Apache/Nginx-Webserver, MySQL/Maria-Datenbanken usw.) auf Open-Source-Plattformen basieren. OSS bietet zwar zahlreiche Vorteile wie Transparenz, gemeinschaftliche Entwicklung und Kosteneffizienz, aber sie ist nicht immun gegen Schwachstellen, einschließlich solcher, die mit Distributed Denial of Service (DDoS)-Angriffen zusammenhängen.
Open-Source als Einfallstor für DDoS-Angriffe
Im Bereich der Open-Source-Software können an mehreren Stellen DDoS-Angriffe äußerst gefährlich werden:
- Schwachstellen im Code: Die Entwicklung und Wartung der Open-Source-Software basiert auf den Beiträgen der Gemeinschaft. Dies fördert zwar Innovation und Zusammenarbeit, bedeutet aber auch, dass die Codebasis einem breiten Spektrum von Personen zugänglich gemacht wird – darunter auch potenziellen Angreifern. Schwachstellen im Code, wie Buffer Overflows, Injektionsfehler oder unsichere Authentifizierungsmechanismen, können von böswilligen Akteuren ausgenutzt werden, um DDoS-Angriffe gegen Systeme zu starten, auf denen Open-Source-Software läuft.
- Abhängigkeitsrisiken: Viele Open-Source-Projekte sind auf Bibliotheken und Komponenten von Drittanbietern angewiesen, um ordnungsgemäß zu funktionieren. Diese Abhängigkeiten können jedoch selbst Schwachstellen enthalten, die gerne für DDoS-Angriffe ausgenutzt werden. Wenn eine kritische Abhängigkeit besteht, kann dies kaskadenartige Auswirkungen auf die Sicherheit und Stabilität des gesamten Software-Ökosystems haben.
- Mangel an rechtzeitigen Aktualisierungen: Open-Source-Projekte sind oft auf freiwillige Mitwirkende angewiesen, um Sicherheitslücken zu erkennen und zu schließen. Daher kann es zu Verzögerungen bei der Veröffentlichung von Updates oder Patches kommen, um neu entdeckte Schwachstellen zu beheben. Durch diese Verzögerung sind solche Systeme potenziellen DDoS-Angriffen ausgesetzt, die bekannte, aber noch nicht behobene Schwachstellen ausnutzen.
- Begrenzte Unterstützung und Dokumentation: Während viele Open-Source-Projekte über lebendige Gemeinschaften verfügen, die Support und Dokumentation bereitstellen, erhalten nicht alle Projekte die gleiche Aufmerksamkeit oder die gleichen Ressourcen. Bei einigen Projekten fehlt es an umfassender Dokumentation oder speziellen Support-Kanälen, was es für die Benutzer schwierig macht, ihre Systeme effektiv gegen DDoS-Angriffe zu sichern.
- Ressourcenbeschränkungen: Open-Source-Projekte arbeiten nur mit begrenzten Ressourcen, einschließlich Finanzierung, Arbeitskräften und Infrastruktur. Dies kann dazu führen, dass Entwickler und Betreuer Funktionen und Fehlerbehebungen Vorrang vor Sicherheitsverbesserungen geben, wodurch die Systeme anfällig für DDoS-Angriffe werden, die solche Sicherheitsschwachstellen ausnutzen.
- Fehlkonfigurationen und mangelhafte Praktiken: Unsachgemäße Konfigurations- oder Bereitstellungspraktiken können Open-Source-Software unbeabsichtigt für DDoS-Attacken anfällig machen. Wenn beispielsweise die Standardeinstellungen unverändert bleiben, keine Zugangskontrollen implementiert werden oder die Konfiguration von Mechanismen zur Ratenbegrenzung und Drosselung vernachlässigt wird, sind solche Systeme häufig gefährdet.
- Plugin-Schwachstellen: Dies ist ein spezifisches Problem für Open-Source Content Management System (CMS)-Plattformen, die oft auf Plugins oder Erweiterungen von Drittanbietern angewiesen sind. Diese Plugins können jedoch Schwachstellen enthalten, die Angreifer ausnutzen können. Schwachstellen wie unsichere Codierungspraktiken, Fehler bei der Eingabevalidierung oder das Fehlen geeigneter Authentifizierungsmechanismen in Plugins können dazu genutzt werden, das CMS zu kompromittieren und die Verfügbarkeit der Website zu unterbrechen.
- Schlechte Konfigurations- und Verwaltungspraktiken: Eine unsachgemäße Konfiguration oder Verwaltung von Open-Source-CMS-Plattformen stellt ebenfalls ein potenzielles DDoS-Einfalltor dar. Werden beispielsweise keine Caching-Mechanismen, Content Delivery Networks (CDNs) oder Ratenbegrenzungskontrollen implementiert, können Websites anfälliger für Überlastungsattacken werden.
Ein gutes Beispiel für Punkt 8 haben wir kürzlich bei einem unserer Kunden beobachtet, der ein Open-Source-CMS auf der Grundlage des .NET-Frameworks auf seinem ursprünglichen Webserver nutzte. Der Kunde hatte seine Website unter Link11 betrieben, aber die WAF-Minderungsfunktionen der Cloud deaktiviert und die WAF nur in den Lernmodus versetzt. Der Kunde hatte es versäumt, eine Schwachstelle zu beheben, die schon seit einiger Zeit bekannt war und bei der ein böswilliger Besucher eine Installationsdatei ausnutzte, um ein Superuser-Konto zu erstellen und die Kontrolle über den Server zu übernehmen. Außerdem versäumten es die Server-Administratoren, die Standardkonfiguration umzubenennen und die Verzeichnisse mit irgendeiner Art von Zugriffskontrolle zu sichern, was dazu führte, dass ihr System kompromittiert wurde.
Wir arbeiteten mit dem Kunden zusammen, um herauszufinden, wie es zu der Kompromittierung kam. Anhand unserer Protokolle konnten wir zeigen, dass ein einzelner Benutzer die Website gescannt, das Standardverzeichnis mit der fraglichen Installationsdatei identifiziert und dann die Installationsdatei verwendet hat, um den Server zu rooten. Eine Aufschlüsselung der Verstöße, die mit unserer WAF im Lernmodus festgestellt wurden und die im Block-Modus gesperrt worden wären, ist hier zu sehen:
28 Verstöße wurden von der WAF im Lernmodus festgestellt. Diese wurden verursacht durch:
▪ /Portals/0/wi1.aspx
▪ • 1203: Directory Traversal Pattern: c:\\
▪ • 1500: Invalid File Extension
▪ • 10: Invalid hex encoding, null bytes
▪ /offline/wi1.aspx
▪ • 1203: Directory Traversal Pattern: c:\\
▪ • 10: Invalid hex encoding, null bytes
▪ /Install/InstallWizard.aspx/IsInstallerRunning
▪ • 16: Empty POST.
▪ /Install/InstallWizard.aspx/ValidateInput
▪ • 16: Empty POST.
▪ /Install/InstallWizard.aspx/ValidatePassword
▪ • 16: Empty POST.
▪ /Install/InstallWizard.aspx/VerifyDatabaseConnection
▪ • 16: Empty POST.
▪ /Host/Host-Settings/portalid/0
▪ • 1000: SQL Injection Pattern: select|union|update|delete|insert|table|from|ascii|hex|
unhex|drop
▪ • 1002: SQL Injection Pattern: 0x
▪ • 1005: SQL Injection Pattern: |
▪ /Install/InstallWizard.aspx/RunInstall
▪ • 16: Empty POST.
▪ /Login
▪ • 1000: SQL Injection Pattern: select|union|update|delete|insert|table|from|ascii|hex|
unhex|drop
▪ • 1002: SQL Injection Pattern: 0x
▪ • 1005: SQL Injection Pattern: |
▪ • 1013: SQL & XSS Injection Pattern: ‚
• 1016: SQL Injection Pattern: #
Eine visuelle Darstellung dieser Verstöße, die von unserer WAF pro URI erfasst wurden, sieht wie folgt aus (die Zahlen in der Mitte des Diagramms sind interne Verstoß-Codes, die in unserer WAF-Engine verwendet werden):
Hätte der Kunde die WAF im Block-Modus belassen, wären diese Eindringversuche leicht zu vereiteln gewesen.
Um diese DDoS-Risiken zu minimieren, sollten Unternehmen, die auf Open-Source-Software setzen, robuste Sicherheitspraktiken anwenden, einschließlich regelmäßiger Schwachstellenbewertungen, rechtzeitiger Updates und Patches, sicherer Konfigurationsverwaltung und aktiver Beteiligung an der Open-Source-Community.
Darüber hinaus kann der Einsatz von Cloud-DDoS-Schutzlösungen wie beispielsweise von Link11 dabei helfen, potenzielle Bedrohungen zu erkennen und zu entschärfen, bevor sie sich auf ihre Systeme und Betriebsabläufe auswirken. So verbergen Sie ihre IT-Stack-Lösung vor böswilligen Akteuren, die nach Schwachstellen auf bestimmten OSS-Plattformen suchen. Gleichzeitig werden Zero-Day-Patches schneller eingeführt, als es die IT-Abteilung eines Unternehmens normalerweise tun könnte, da diese nicht immer über die erforderlichen Ressourcen verfügt und/oder durch langsame interne Änderungskontrollprozesse behindert wird.
Kurzum: Dedizierte Schutzlösungen garantieren dank stetigen Aktualisierungen und neuster Technologie immer ein maximales Schutzlevel rund um die Uhr. Komplett automatisiert und ohne zusätzliches menschliches Handeln.
Schützen Sie sich proaktiv
Unsere Cybersicherheitsexperten stehen Ihnen jederzeit zur Verfügung, wenn Sie sich unverbindlich über Ihr aktuelles Security-Setup erkundigen möchten. Wir beraten Sie gerne, wie der bestehende Schutz optimiert werden kann und welche Schritte sich lohnen würden, um das Schutzverhältnis zu maximieren.
Share this post
