Schwachstellen von Drittanbietersoftware aus Sicht eines Angreifers

Welche Schwachstellen in Software von Dritten genau enthalten sind, merkt man nicht zwingend bei ihrer Nutzung. Dies kann zum Sicherheitsrisiko werden.

Artikel verschenken

20.01.2025, 10:00 Uhr

Lesezeit: 20 Min.

iX Magazin

Von

Konstantin Bücheler

Schwachstellen von Drittanbietersoftware aus Sicht eines Angreifers
- Zahlreiche Angriffe 2024
- Third-Party Software Security: Was ist das?
- Die Angreifersicht
- Wazuh als Fallstudie
- Eine XDR-Plattform mit SIEM-Funktionen
- Gefährliche Schwachstellen
- Angriff auf den Server
- Verbreitung im Netzwerk
- Hacken wie in den Neunzigern
- Listing: Prüfung auf IP-Adressen
- IP-Adressprüfung reicht nicht aus
- Fazit, Sicherheit kostet Zeit, Geld und Personal
- Sicherheit kostet Zeit, Geld und Personal

Artikel in iX 2/2025 lesen

In der heutigen vernetzten Welt ist Drittanbietersoftware (Third-Party Software) ein vergleichsweise schwaches Glied in der Sicherheitskette hochsicherer Netzwerke und Systeme. Dieser Artikel beleuchtet Sicherheitslücken und Risiken, die von ihr ausgehen, und zeigt, wie solche Schwachstellen von Angreifern ausgenutzt werden können, um grundsätzlich gut gesicherte Infrastrukturen zu kompromittieren. Als konkretes Beispiel sollen zwei durch das Unternehmen Neodyme identifizierte Schwachstellen im Open-Source-XDR (Extended Detection and Response) Wazuh dienen.

Zahlreiche Vorfälle und Schwachstellen in den vergangenen Monaten haben gezeigt, dass die Nutzung von Software oder Softwareteilen von Dritten gefährlich werden kann.
Interessant für Angreifer sind insbesondere Produkte, die über das Internet erreichbar sind, sich auf vielen Clients im Unternehmen befinden oder wie Sicherheitssysteme im privilegierten Kontext ausgeführt werden.
Am Fallbeispiel Wazuh gelang es aufgrund zweier Schwachstellen, Zugriff auf den Server zu erlangen, eigenen Code auszuführen und die lokalen Privilegien auszuweiten.
Zu einem umfassenden Sicherheitskonzept im Unternehmen gehört zwingend eine Risikobetrachtung und -modellierung in Bezug auf Drittanbietersoftware.

Sicherheit von Drittanbietersoftware aus Sicht eines Angreifers
Wazuh: Unternehmenssicherheit mit Open Source gewährleisten
Interview zum kaum vorhandenen Sicherheitsstandard im öffentlichen Sektor
NIS2 und andere Sicherheitskonzepte erklärt

Zahlreiche Angriffe 2024

Bereits in der ersten Hälfte des vergangenen Jahres gab es verschiedene Angriffe und bekannt gewordene Schwachstellen, die die Diskussion um Lieferkettensicherheit bei Software (auch Supply Chain Security genannt) neu befeuert haben: Ende März wurde eine Schwachstelle im Linux-Utility xz bekannt, die als aufwendig vorbereitete Backdoor eingeschleust wurde.

Die Schwachstelle bekam die höchste Bewertung in der CVSS-Skala und löste Diskussionen über Abhängigkeiten in Open-Source-Software aus. Auch der Angriff im Juni auf Polyfill.io, eine weitverbreitete JavaScript-Library, hat das Thema Lieferkettensicherheit erneut in den Vordergrund gerückt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Toniebox-Hack: Eigene Inhalte mit mehr Datenschutz abspielen

Mit passenden NFC-Tags und etwas Bastelei lassen sich auch eigene Inhalte ohne Cloudverbindung auf der Toniebox abspielen. Das dient auch dem Datenschutz.

Welche Open-World-Spiele lohnende Ausflugsziele bieten

Detailreiche digitale Welten sind in Open-World-Spielen längst mehr als nur Schauplatz. Wir stellen sechs lohnende Titel mit spannender Spielmechanik vor.

Programmieren lernen: Wir haben drei Monate Harvards Programmierkurs CS50 belegt

Der Onlinekurs CS50 lehrt C, Python, SQL und Javascript. Ein Professor der Harvard University doziert. Wir verraten, ob sich der Zeitaufwand lohnt.

iPhone EU-Edition: So spaltet Apple iOS immer weiter auf

In der EU müssen sich iOS und iPadOS immer weiter öffnen – auf Gedeih und Verderb. Im Gegenzug sperrt Apple Funktionen. Was das konkret für die Nutzer bedeutet.

Linux auf der Playstation 4 installieren

Die PS4 passt optisch hervorragend auf den Fernsehtisch – und mit Linux kann sie sogar ein zweites Leben als schickes Mediacenter, Desktop oder Server erhalten.

Aktuelle integrierte Grafikeinheiten von AMD, Apple und Intel im Vergleich

3D-Leistung und Videofähigkeiten von im Prozessor integrierten GPUs legten über die Jahre zu. Wir schauen uns den aktuellen Stand bei AMD, Apple und Intel an.

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}