Bechtle GmbH Reihe EIN TAG IM LEBEN EINES

Werbung
Bechtle GmbH Reihe
EIN
TAG
IM
LEBEN
PENETRATIONSTESTERS.
EINES
ZIEHE PENETRATIONSTEST FORENSISCHEN UNTERSUCHUNGEN VOR!
Es ist eigentlich nichts Ungewöhnliches, dass sich Organisationen an den Dienstleister Ihres
Vertrauens wenden, um Auffälligkeiten an ihren IT-Systemen untersuchen zu lassen.
Besonders an diesem konkreten Fall eines Webshop eines mittelständischen
Industrieunternehmens ist allerdings, dass man nicht über eigene Systemüberwachung auf
möglichen Datendiebstahl aufmerksam wurde, sondern durch Hinweise von anonymen
Dritten die Aufmerksamkeit auf die Schwachstellen gelenkt wurde.
ERSTE EINSCHÄTZUNG
Der Webshop eines Unternehmens ist ein wichtiger Vertriebsweg, welchem immer größere
Bedeutung zukommt. Die Kunden sollen hierüber auf einfache Art sicher und schnell Produkte
des Unternehmens einkaufen und sich über Neuigkeiten der Produktentwicklung informieren
können. Da der Webshop nicht nur für Bestandskunden, sondern auch zur Gewinnung neuer
Kunden genutzt wird, ist eine uneingeschränkte Erreichbarkeit im Internet unverzichtbar.
In einem ersten Telefonat teilte der IT-Administrator des Industrieunternehmens mit, dass der
Webshop deshalb in der Demilitarisierten Zone (DMZ) betrieben wird, was durchaus dem
gängigen Vorgehen entspricht.
Die Verwundbarkeit des Systems wurde dem Unternehmen aufgrund eines Hinweises eines
anonymen „Dienstleisters“ bekannt, welcher ein Teil der entwendeten Zugangsdaten zum
Beweis direkt mitschickte und gegen entsprechendes Entgelt seine Hilfe bei der Behebung
anbot. Mit einer Veröffentlichung und Weitergabe der Daten wurde zwar nicht offen gedroht,
jedoch ist alleine diese Art der Beschaffung von Zugangsdaten ohne Zustimmung des
Betroffenen als illegal einzustufen.
UNTERSUCHUNG DES VORFALLES
Nach einem ersten Beratungsgespräch hat das betroffene Unternehmen sich entschlossen,
die forensische Untersuchung des Systems durch unsere Experten durchführen zu lassen und
nicht das Angebot des fragwürdigen „Dienstleisters“, welcher zuvor Zugangsdaten aus dem
Bechtle GmbH
IT-Systemhaus Solingen
Piepersberg 42, D - 42653 Solingen
E-Mail: [email protected]
System entwendet hat, anzunehmen. Nachdem wir dann im Zuge des Auftrages die
Beweislage gesichert hatten war es an der Zeit entsprechenden Logeinträge des Systems und
die allgemeine Systemkonfiguration zu untersuchen.
Wenig überraschend konnte festgestellt werden, dass über eine Schwachstelle in der MySQL
Datenbank, welche seit 2012 bekannt war (CVE-2012-2122), in Verbindung mit der Nutzung
von SQL Injection, eine Vielzahl von Datensätzen entwendet wurde. Darunter auch die
besonders kritischen Login-Daten. Ein Nachweis der unberechtigten Nutzung dieser LoginDaten konnte in diesem Fall aufgrund mangelnder Überwachung der Systeme nicht erbracht
werden. Deshalb wurde auch von einer Kundeninformation zu dem Sicherheitsvorfall
abgesehen.
WEITERGEHENDE UNTERSUCHUNGEN
Nachdem die konkrete Ursache für den Sicherheitsvorfall gefunden und durch ein Update der
Datenbankversion sowie Anpassungen an den Web-Formularen beseitigt wurde konnte das
Industrieunternehmen davon überzeugt werden den Webshop auf weitere
Sicherheitsprobleme zu untersuchen. Dabei wurde festgestellt, dass die ausgenutzte
Schwachstelle nur eine von vielen des Systems darstellte. Neben der ausgenutzten
Verwundbarkeit durch SQL Injection fanden sich diverse Möglichkeiten das System zu
kompromittieren. - Besonders kritisch war die Möglichkeit über einen zweistufigen Angriff
aus der Ferne eine Shell mit höchsten Rechten (root-Rechten) zu öffnen.
Die Mehrheit der Sicherheitsprobleme war auf nicht aktuelle Komponenten der gesamten
Plattform zurückzuführen, weitere hatten ihre Ursache in Fehlern in der individuellen
Programmierung der Webpräsenz.
LESSONS LEARNED






Die Bereitstellung von Systemen im Internet sollte einer dem Schutzbedarf
entsprechenden Konzeptionierung unterliegen.
Insbesondere bei im Internet verfügbaren Systemen ist ein adäquater PatchManagement-Prozess zu etablieren.
Vor dem Bereitstellen von Systemen im Internet sollten diese auf ihre Sicherheit
untersucht werden.
Diese Sicherheitsuntersuchungen sollten in regelmäßigen Abständen wiederholt
werden, ebenso sollte die zugrundeliegende Konzeptionierung ein regelmäßiges
Review erfahren.
Ein Angriff sollte nicht erst durch eigene Überwachungsmaßnahmen erkannt werden,
hierzu sind Intrusion Prevention Systeme und Lösungen aus dem Bereich Security
Information and Event Management (SIEM) anzustreben.
Der gesamte Informationssicherheitsprozess sollte regelmäßig überwacht und ggf.
durch externe Audit überprüft werden.
Bechtle GmbH
IT-Systemhaus Solingen
Piepersberg 42, D - 42653 Solingen
E-Mail: [email protected]
RESÜMEE
Auf diese Art und Weise auf ein Sicherheitsproblem aufmerksam zu werden ist sicherlich nicht
alltäglich, allerdings zeigen Erkenntnisse vielzähliger IT-Penetrationstests und
Sicherheitsuntersuchungen in Unternehmen aller Branchen, vom kleinen Betrieb hin zum
internationalen Konzern, dass die dargestellten Verwundbarkeiten der Systeme keinen
Einzelfall darstellen.
Vielmehr drängt sich die Frage auf, warum vielfach erst etwas passieren muss, bis
Überlegungen zur Absicherung von Systemen und zur Untersuchungen von Verwundbarkeiten
unternommen werden.
Bechtle GmbH
IT-Systemhaus Solingen
Piepersberg 42, D - 42653 Solingen
E-Mail: [email protected]
Herunterladen