Web-Attacken mittels ARP-Spoofing
Ist das Netzwerk eines Webhosters für ARP-Spoofing anfällig, reicht ein einziger gehackter Webauftritt, um die Antworten hunderter anderer Webserver zu manipulieren und bösartigen Code einzubetten.
- Daniel Bachfeld
Der eigene Webauftritt kann bösartigen Code etwa in IFrames ausliefern, auch wenn er selbst gar nicht gehackt wurde. Das Chinese Internet Security Response Team (CISRT) berichtet von solch einem Fall, bei dem der eigene Webserver Opfer eines solchen Angriffs wurde. Die benutzte Methode ist zwar nicht neu, in diesem Zusammenhang aber noch selten anzutreffen. Ein bei einem Webhoster betriebener Server oder ein Virtual Domain Server wird geknackt und so manipuliert, dass dieser mittels ARP-Spoofing beliebige Verbindungen zwischen dem Gateway und anderen Webservern über sich umleitet.
Ein spezieller Proxy bettet dann in die Antworten jener Webserver einen zusätzlichen IFrame ein, der Schadcode von einem weiteren präparierten Server nachlädt, um über Lücken im Browser des Besuchers ein System zu infizieren. Das von einigen Cyber-Kriminellen benutzte Web-Attack-Toolkit MPack soll laut McAfee in einigen Versionen ARP-Spoofing unterstützen.
Der Vorteil der Methode ist aus Sicht eines Angreifers, dass er nur einen Rechner knacken muss und somit seine Spuren schlechter zu verfolgen sind. Auch ist kein Massenhack notwendig. Allerdings funktioniert ARP-Spoofing nicht in allen geswitchten Netzen. Vielfach haben die Webhoster ihre Systeme so konfiguriert, dass ARP-Spoofing nicht möglich ist oder ein solcher Angriff schnell erkannt wird. Wie man ARP-Spoofing-Angriffe erkennt und sich dagegen wehrt, beschreibt auch der heise-Security-Artikel "Angriff von Innen -Technik und Abwehr von ARP-Spoofing-Angriffen"
Siehe dazu auch:
- ARP Spoofing: Is Your Web Hosting Service Protected?, Blogeintrag von McAfee
(dab)
