Gefahren durch Webshells: NSA nennt beliebte Einfallstore für Server-Angriffe
US- und australische Behörden geben Tipps zum Aufspüren von Webshells und nennen einige teils recht alte, bei Angreifern aber noch immer beliebte Lücken.
(Bild: asharkyu/Shutterstock.com)
Die National Security Agency (NSA) hat in Zusammenarbeit mit dem australischen Nachrichtendienst Australian Signals Directorate (ASD) ein 17-seitiges "Cyber Security Information Sheet" veröffentlicht. Es befasst sich mit den – nach Einschätzung der beiden Behörden zunehmenden – Gefahren durch sogenannte Webshells. Skripte oder Programme also, die Angreifer auf schlecht gesicherten Webservern platzieren und die ihnen anschließend den Fernzugriff beziehungsweise das Ausführen von Befehlen auf den kompromittierten Systemen ermöglichen.
Das Dokument steht ab sofort zum Download bereit. Es gibt Admins Tipps und Techniken zum Aufspüren und Entfernen des – häufig gut getarnten und mit wirkungsvollen Persistance-Mechanismen ausgestatteten – Schadcodes an die Hand. Auch nennt es konkrete, meist kostenlose Skripte und Tools, die beim Erkennen von Anomalien helfen. Viele der genannten Hilfsmittel sind Teil eines GitHub-Repositories der NSA, das sich ausschließlich der Webshell-Thematik widmet. Ausführliche Erläuterungen (und Quellcode) inklusive.
- Cyber Security Information Sheet "Detect and Prevent Web Shell Malware"
- GitHub-Respository "Mitigating Web Shells"
Dokument zählt "beliebte" Lücken auf
Nicht nur Detection, Response und Recovery, sondern auch vorbeugende Maßnahmen gegen erfolgreiche Angriffe (Prevention) werden im Information Sheet (wie auch im Repository in Gestalt entsprechender Tools, HIPS-Regeln etc.) thematisiert.
Das Sheet listet darüber hinaus 13 CVE-Nummern zu konkreten Sicherheitslücken auf, die Angreifer demnach typischerweise ausnutzen, um Webshells zu installieren. Die meisten stammen von 2019, zwei wurden bereits 2017 und eine 2018 gemeldet (zu erkennen an den CVE-Nummern in der Liste unten).
Die meisten, wenn nicht gar alle Lücken dürften von den jeweiligen Herstellern beseitigt worden sein. Ihre unveränderte Beliebtheit bei Angreifern legt allerdings nahe, dass längst nicht alle Anwender die bereitstehenden Patches auch angewendet haben. Somit könnte die nachfolgende Liste einen guten Anlass bieten, das mal zu checken.
- CVE-2018-15961 Adobe ColdFusion
- CVE-2019-0604 Microsoft SharePoint (heisec-Meldung vom 13.05.19)
- CVE-2019-19781 Citrix Gateway, Citrix Application Delivery Controller, Citrix SD-WAN WANOP Appliance (heisec-Meldung vom 13.01.20)
- CVE-2019-3396 Atlassian Confluence Server (heisec-Meldung vom 17.04.19)
- CVE-2019-3398 Atlassian Confluence Server and Atlassian Confluence Data Center (heisec-Meldung vom 25.4.19)
- CVE-2019-9978 WordPress "Social Warfare" Plugin (heisec-Meldung vom 25.3.19)
- CVE-2019-18935 / CVE-2017-11317 / CVE-2017-11357 Progress Telerik UI
- CVE-2019-11580 Atlassian Crowd and Crowd Data Center
- CVE-2019-8394 Zoho ManageEngine ServiceDesk Plus
- CVE-2020-10189 Zoho ManageEngine Desktop Central (heisec-Meldung vom 10.03.20)
- CVE-2020-0688 Microsoft Exchange Server (heisec-Meldung vom 27.02.20)
dsfsfsddf
(ovw)
