Check Point hat einen alarmierenden Anstieg sogenannter SSTI-Angriffe beobachtet (Server-seitige Template Injektion). Eine solche Schwachstelle tritt auf, wenn Benutzer-Eingaben in Vorlagen (Templates) einer Web-Anwendung falsch gehandhabt werden. Angreifer können diese Sicherheitslücke ausnutzen, um schädlichen Code auf dem Server auszuführen, auf dem die Web-Anwendung läuft. Dies kann zu schwerwiegenden Folgen wie dem vollständigen Zugriff auf den Server, Datendiebstahl oder der Übernahme des gesamten Systems führen.
SSTI betrifft verschiedene Template-Engines beliebter Web-Anwendungen, wie Jinja2 für Python, Freemarker für Java und Twig für PHP. Die weit verbreitete Verwendung dieser Engines in verschiedenen Programmierumgebungen und die Möglichkeit, SSTI-Angriffe aus der Ferne auszunutzen, machen sie besonders gefährlich.
Tendenzen der Angreifer zeigen sich in den betroffenen Infrastrukturen: Cloud-basierte Unternehmen wurden 30 Prozent öfter angegriffen als Unternehmen, deren Mitarbeiter direkt am Standort arbeiten. Dies ist auf die Komplexität der Cloud-Technologie, potentielle Fehlkonfigurationen und Lücken in der Sicherheitsabdeckung zwischen Cloud-Anbietern und Kunden zurückzuführen. Das Modell der geteilten Verantwortung für die Cloud-Sicherheit erfordert strenge Sicherheitspraktiken von beiden Seiten, um SSTI-Risiken wirksam zu mindern.
In den letzten drei Monaten war durchschnittlich 1 von 16 Unternehmen wöchentlich mit SSTI-Angriffen konfrontiert. Zwei Branchen wurden dabei vornehmlich angegriffen.
Einzelhandel und Großhandel
Dieser Sektor ist mit wöchentlich einem von elf Unternehmen am stärksten betroffen und aufgrund des hohen Transaktionsvolumens sowie der wertvollen Kundendaten besonders anfällig. Die Integration mit E-Commerce-Diensten von Drittanbietern und die Abhängigkeit von veralteten Legacy-Systemen vergrößert die Angriffsfläche zusätzlich. Das Potenzial für beträchtliche finanzielle Verluste und der Vertrauensverlust der Kunden macht die Behebung von SSTI-Schwachstellen in diesem Bereich zur obersten Priorität.
Finanzdienstleister und Banken
Vorfälle in einem von 15 Unternehmen. Finanzinstitute sind aufgrund ihrer sensiblen Finanzdaten ein bevorzugtes Ziel für SSTI-Angriffe. Die weit verbreitete Einführung von Online- und mobilen Bankdienstleistungen vergrößert die Angriffsfläche. Darüber hinaus führt die Abhängigkeit von Diensten und APIs Dritter zu weiteren Sicherheitsrisiken. Zu den Folgen von Sicherheitsverletzungen in diesem Sektor gehören finanzielle Verluste, Strafen durch die Aufsichtsbehörden und ein Vertrauensverlust bei den Kunden.
Willkürliche Code-Ausführung
SSTI-Schwachstellen ermöglichen Angreifern die Ausführung von beliebigem Code auf dem Server, was zu einer vollständigen Übernahme des Systems führen kann. Dies bedeutet, dass Hacker jeden beliebigen Befehl oder jedes beliebige Programm auf dem betroffenen Server ausführen können und so möglicherweise die vollständige Kontrolle über das System erlangen. Diese Zugriffsmöglichkeit kann dazu genutzt werden, Malware zu installieren, Hintertüren zu schaffen oder Dienste zu stören.
Datendiebstahl
Durch SSTI-Angriffe können sensible Informationen, einschließlich Geschäftsdaten, Benutzeranmeldeinformationen und Konfigurationsdateien, abgerufen und gestohlen werden. So kann ein Angreifer beispielsweise eine Nutzlast einschleusen, die sensible Dateien oder Datenbankeinträge liest und stiehlt. Dies kann zu erheblichen finanziellen und rufschädigenden Folgen führen, insbesondere dann, wenn persönliche oder vertrauliche Informationen preisgegeben werden.
Rufschädigung
Datenschutzverletzungen aufgrund von SSTI-Schwachstellen können das Vertrauen der Kunden untergraben und zu rechtlichen und regulatorischen Konsequenzen führen. Unternehmen, die von solchen Verstößen betroffen sind, müssen mit Geldstrafen, Gerichtsverfahren und Geschäftseinbußen rechnen. Die langfristigen Auswirkungen auf den Ruf der Marke können schwerwiegend sein und die Kundentreue und Marktposition beeinträchtigen.
Um SSTI-Schwachstellen vorzubeugen oder sie zu schließen, empfehlen sich folgende Maßnahmen:
Sichere Kodierungspraktiken
Zur Vermeidung von SSTI-Schwachstellen ist die Implementierung sicherer Kodierungspraktiken unerlässlich:
Regelmäßige Bewertungen der Schwachstellen
Routinemäßige Durchführung von Schwachstellenbewertungen, um SSTI und andere Schwachstellen zu identifizieren und zu entschärfen:
Zeitnahes Patching und Updates
Software-Komponenten und Abhängigkeiten sollten stets auf dem neuen Stand gehalten werden, um bekannte Schwachstellen zu entschärfen:
SSTI stellt eine kritische und sich weiterentwickelnde Bedrohung für Web-Anwendungen dar, die es Angreifern ermöglicht, beliebigen Code auszuführen und ganze Systeme zu übernehmen. Check Points Untersuchungen zeigen, wie dringend Unternehmen Maßnahmen zur Sicherung ihrer Web-Anwendungen ergreifen müssen. Durch die Implementierung sicherer Kodierungspraktiken, die Durchführung regelmäßiger Schwachstellenanalysen und die Sicherstellung zeitnaher Patches können Unternehmen das Risiko von SSTI-Angriffen erheblich reduzieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…