Secure by Design: CISA und FBI warnen vor Directory-Traversal-Lücken
Directory-Traversal-Schwachstellen sind eine Gefahr, die die US-amerikanische CISA und das FBI gerne im Keim ersticken wollen.
Secure by Design: Die US-amerikanischen Behörden wollen Software-Sicherheit tiefer verankern.
(Bild: CISA)
Die IT-Sicherheit sollte bereits bei der Entwicklung von Software berücksichtigt werden, weshalb die CISA und das FBI eine Kampagne namens "Secure by Design" aufgelegt haben. In loser Folge sammeln die Behörden Tipps, wie sich Schwachstellen von vornherein in der Softwareentwicklung vermeiden lassen. Nun sind Directory-Traversal-Sicherheitslücken dran.
Im PDF zu dem Schwachstellentyp geizen die Behörden nicht mit Vorwürfen. "Die Softwarebranche weiß seit Dekaden, wie diese Defekte zu eliminieren sind. Dennoch bleiben Directory Traversals eine der meist missbrauchten Sicherheitslücken mit aktuell 55 gelisteten Einträgen im Known Exploited Vulnerabilities-Katalog", prangt ein Textkasten in der Einleitung. "Mehr als zwei Dekaden dokumentiert die Softwarebranche schon Directory-Traversal-Schwachstellen zusammen mit effektiven Ansätzen, sie zu vermeiden", schreiben die Autoren.
Secure-by-Design-Warnung aufgrund kürzlicher Vorfälle
Die Secure-by-Design-Warnung sei aus dem Anlass erfolgt, dass kürzlich in Kampagnen von Cyberkriminellen Directory-Traversal-Lücken in Software missbraucht wurden, etwa in Connectwise Screenconnect oder in Ciscos Appdynamics Controller. Die bösartigen Akteure haben dadurch die Nutzer und Nutzerinnen der Software kompromittiert, wovon kritische Infrastrukturbereiche einschließlich des Gesundheitswesens betroffen waren.
Die CISA und das FBI drängen das Management der Softwarehersteller, in ihren Einrichtungen formale Tests einzuführen, um festzustellen, ob ihre Produkte anfällig für Directory Traversal-Lücken sind. Kunden empfehlen die Behörden hingegen, die Hersteller zu fragen, ob diese formale Directory-Traversal-Tests vorgenommen haben.
Was sind Directory-Traversal-Schwachstellen?
Dieser Sicherheitslückentyp basiert auf manipulierten Nutzereingaben, etwa Übergabeparameter oder Dateipfade, die unbefugt auf Anwendungsdateien und Verzeichnisse zugreifen, die die Entwickler nicht für den Nutzerzugriff vorgesehen haben. Die Folgen können dramatisch sein, da Angreifer dadurch auf zugriffsbeschränkte Verzeichnisse zugreifen können – Dateizugriff ist lesend, verändernd oder schreibend möglich, oder gar alles davon. Das ermöglicht Zugriff auf sensible Daten oder das Kompromittieren des Systems.
In Fett schreiben die Autoren: Directory-Traversal-Missbrauch gelingt, weil Technologiehersteller es versäumen, Nutzereingaben als potenziell bösartig zu behandeln, und daher ihre Kunden nicht adäquat schützen. Es gebe aber einfache und wohlbekannte Abhilfe. Die Softwareentwickler können etwa eine zufällige ID für jede Datei vergeben und die zugehörigen Metadaten separat ablegen, etwa in einer Datenbank, anstatt von Nutzern vergebene Namen als Eingabe zu nutzen. Oder, falls das nicht möglich ist, die nutzbaren Zeichen in Dateinamen zu beschränken, etwa auf alphanumerische Zeichen. Zudem müssen Entwickler sicherstellen, dass hochgeladene Dateien keine Rechte zur Ausführung besitzen. Die OWASP gebe zudem weitere hilfreiche Hinweise.
Im Anschluss wiederholen die Autoren die Hinweise an das Management, die bereits in vorherigen Secure-by-Design-Warnungen zu lesen waren. Etwa durch formelle Code-Reviews sollen sie die Verantwortung für die Sicherheit ihrer Kunden übernehmen oder durch Veröffentlichung von Informationen zu Sicherheitslücken Transparenz schaffen. Ende März haben FBI und CISA Tipps zu SQL-Injection-Lücken gegeben, wie diese sich verhindern lassen. Die spielen nach wie vor, seit Jahrzehnten, eine große Rolle und seien immer noch häufig anzutreffen.
(dmk)