Shellshock Schützen Sie Ihre Webapplikationen

Die Sicherheitslücke Shellshock macht auch Webserver und Webapplikationen angreifbar, die Benutzereingaben verwenden, um Shell-Skripte auszuführen. Mit der Web Application Firewall von Nevis können sich Unternehmen wirksam vor solchen Angriffen schützen.

Die letzte Woche entdeckte Sicherheitslücke in der Bash Shell (CVE-2014-6271) kann für Angriffe auf Webserver und Webapplikationen genutzt werden, die Benutzereingaben verwenden, um Shell-Skripte auszuführen. Dies ist zum Beispiel dann der Fall, wenn Webapplikationen oder Websites über das Common Gateway Interface (CGI) dynamisch Inhalt generieren.

Anatomie einer Shellshock-Attacke mit CGI

Gemäss der CGI-Spezifikation bildet ein Webserver Teile eines Web Requests auf Umgebungsvariablen ab, auf die das CGI-Skript zugreifen kann. So können zum Beispiel vom Benutzer eingegebene Suchparameter über die Umgebungsvariable QUERY_STRING für CGI zugänglich gemacht werden. Spezielle Header können ebenfalls auf Umgebungsvariablen abgebildet werden.

 

Da der Angreifer all diese Parameter-Werte kontrolliert, kann er einige der Umgebungsvariablen in allen Bash-Prozessen definieren, die durch den Webserver mit CGI-Spezifikation ausgeführt werden. Einige dieser Variablenwerte können durch Eingabefelder der Webapplikation gesetzt werden, andere Variablen können durch Manipulation der http-Header-Variablen an den Server geschickt werden, zum Beispiel mit Hilfe eines Web Browser Plugins. Sobald der Angreifer es geschafft hat, durch den Aufruf eines Web-Formulars oder einer Webapplikation in einer angreifbaren Bash-Shell eine Variable zu definieren, kann er dadurch eine Attacke starten.

Schutz vor Shellshock-Attacken

shellshock_protection_by_nevis_waf
Zoom
Schutz vor Shellshock-Attacken

Eine Web Application Firewall (WAF) ist eine Server-Komponente, die vor dem eigentlichen Webserver oder der Webapplikation platziert wird. Die WAF ist für den Benutzer des Webservers oder der Webapplikation völlig transparent, das heisst nicht sichtbar. Sie filtert alle Anfragen zum Webserver, indem sie eine Liste konfigurierbarer Regeln anwendet, und prüft Benutzereingaben auf schädlichen Inhalt.

 

Zwei verbreitete Attacken, vor denen eine WAF schützen kann, sind Cross-Site Scripting (XSS) und SQL Injection. Der WAF-Filter blockiert oder verändert die Benutzereingabe und schützt so die eigentliche Webapplikation. Die WAF-Regeln filtern auch Parameter und Variablen, die an ein CGI-Skript auf dem Webserver geschickt werden, und entfernen problematischen Inhalt. Um einen Webserver, der hinter einer WAF steht, vor einer Shellshock-Attacke zu schützen, muss man deshalb nur sicherstellen, dass die entsprechenden Regeln auf der WAF definiert und aktiv sind.

Nevis WAF

Die Security & Compliance Suite Nevis von AdNovum umfasst eine Web Application Firewall, die eine mehrschichtige Security-Architektur sowie die für das Filtering notwendigen Interceptor und Secure Reverse Proxy Patterns implementiert. Registrierte Nevis-Kunden finden im Nevis-Blog eine Anleitung für die Konfiguration eines Anti-Shellshock-Regelsets auf der WAF. Zusätzlich empfehlen wir, alle Bash-Shells in Webapplikationen und Webservern zu patchen.