Færre sårbarheder i webapplikationer men flere angreb

Det første halvår af 2009 har budt på færre afsløringer af sårbarheder i webapplikationer, men til gengæld bliver sårbarhederne udnyttet til flere angreb.

Der er indtil videre i år blevet rapporteret færre sårbarheder i populære webapplikationer som eksempelvis CMS-produkterne Joomla, Drupal og Typo3 end i samme periode sidste år. Til gengæld har de kriminelle skruet op for udnyttelsen af især SQL-injektionssårbarheder. Det skriver IBM's sikkerhedsafdeling X-Force i dets halvårlige sikkerhedsrapport.

Sidste år satte antallet af sårbarheder, som blev offentliggjort, rekord. Ikke mindst fordi der blev rapporteret flere sårbarheder i de mest kendte CMS-systemer.

Ifølge X-Force-rapporten udgøres langt hovedparten af de mellem 6.000 og 7.000 sårbarheder, som bliver afsløret årligt, af sårbarheder i webapplikationer. I år ser der dog ud til at være sket et lille fald.

Det kan ifølge IBM's sikkerhedseksperter forklares af, at leverandørerne af webapplikationerne sidste år blev bedre til at finde og rapportere sårbarhederne, så de mest åbenlyse nu er blevet afsløret.

Men færre sårbarheder betyder ikke, at de it-kriminelle er blevet mindre aktive. Tværtimod ser IBM en stigning i antallet af angreb, der går efter sårbarheder i webapplikationer.

De mest udbredte typer sårbarheder, som de kriminelle går efter, er cross-site scripting og SQL-injektion. Den mest udbredte angrebsform rettet mod webapplikationer er imidlertid forsøg på at få fat i Unix-kodeordsfiler ved hjælp af HTTP.

SQL-injektion er imidlertid ikke kun en sårbarhed, som opstår på grund af en forglemmelse hos softwareudviklerne. Ifølge IBM er der flere tilfælde, hvor SQL-injektion er implementeret forsætligt for at kunne trække data fra en HTML-formular.

Inden for det seneste halve år er der sket en kraftig stigning i antallet af såkaldt automatiserede angreb mod SQL-injektionssårbarheder. De udføres af botnets, hvor de enkelte maskiner forsøger at finde frem til sårbare websteder og rapportere til botnet-bagmændene, når de finder et sårbart websted.

Sårbare websteder kan blandt andet udnyttes til at forsøge at installere ondsindede programmer hos de brugere, som besøger webstedet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Ifølge IBM er der flere tilfælde, hvor SQL-injektion er implementeret forsætligt for at kunne trække data fra en HTML-formular.

Jeg er ikke sikker på jeg fprstår meningen med at 'trække data fra HTML-formular', men jeg kan ikke se hvilke data man ikke kan få fat i vha. parameterized queries, som ikke er sårbare for SQL injection.

Det kunne være rart at få uddybet, da det i mine øjne er slamprogrammering, hvis en applikation er sårbar overfor SQL injection.

  • 0
  • 0
#2 Anonym

Det er egentlig bare nogle tanker, men nå man skriver:

Der er indtil videre i år blevet rapporteret færre sårbarheder i populære webapplikationer

kommer jeg til at tænke på, at 'svineørerne' ikke er interesseret i at [b]rapportere[/b] sårbarheder, ej heller er de interesseret i, at sårbarheder bliver [b]opdaget[/b]

Spørgsmålet rejser sig - Står vi overfor: [b]Færre[/b] sårbarheder? eller Færre [b]rapporterede[/b] sårbarheder?

Jeg har tidligere nævnt namogofer'en, hvor man tydeligt kan se, at den kan * Udnytte en sårbarhed * Inficere en website/lave spam-run's * Fjerne alle spor

I de tilfælde står man med en hændelse, hvor man ikke ved hvad der ramte een.

Det samme med alle de andre probes, der 'bogfører' tilgængelige ressourcer som diskplads o.lign.

I de tilfælde har jeg dog ikke nogle empiriske data om hvad der efterfølgende skulle ske, men jeg tro roligt man kan tænke det værste.

  • 0
  • 0
#3 Hans-Michael Varbæk

Jeg forstod det heller ikke, så du er ikke helt alene :-)

Men det er dog ikke unormalt at nogle individer holder længere på deres "0days" til både programmer og webapplikationer, mens hjemmesider som har SQL Injection blive sikkert også sjældent informeret.

Hovedgrunden (ang. hjemmesider) er især at der ikke er nogen specielt sikker måde internationalt at rapportere dette på, udover at skrive til Full Disclosure eller Bugtraq vha en gmail, hotmail eller hushmail konto.

Det er set før at når hackere som egentlig ikke er interesseret i at udnytte diverse sårbarheder, kontakter diverse hjemmesider for at gøre dem opmærksomme på dette, så svarer hjemmeside-ejerne enten aggressivt, gør ikke noget ved problemet før det går galt (fordi det virker jo fint nu) ellers også er der slet intet svar.

Jeg ved godt at i Danmark er der jo DK-Cert hvor man kan rapportere diverse sårbarheder på andre hjemmesider, men er det også et upartisk firma som ikke tager penge for at hjælpe den pågældende virksomhed? Fordi personer som jeg er kun interesseret i at diverse fejl bliver lavet hurtigst muligt uden at man bruger "skræmme-taktik" som nogle sikkerhedsfirmaer gør. (Læs evt. nogle af Anti-Sec bevægelsens mails og budskaber).

Grunden til at folk holder længere på 0days eller ikke skriver dem til diverse mail-lister er især pga. penge som det jo altid har været. Men jeg tror nu også det har noget at gøre med Anti-Sec bevægelsens budskab som har spredt sig til diverse communities på Internettet.

Det er dog umuligt at spå hvad der sker, det eneste jeg ved er at når der kommer nye større sikkerhedshuller bliver der sikkert lavet en ny orm, og når der kommer nye metoder til at angribe hjemmesider på som gør det lettere end tidligere eller mere adgang så bliver disse metoder taget i brug.

Da MS08_067 (sikkerhedshullet) kom ud har det da været forespurgt om det kunne laves i C eller C++ men det sagde personen dog nej til da det sikkert ville bruges til at lave en orm med :-)

  • 0
  • 0
#4 Anonym

Jeg ved ikke rigtig med din kommentar her:

Det er set før at når hackere som egentlig ikke er interesseret i at udnytte diverse sårbarheder

Som sagt, så starter namogofer'en men at probe 'blow the radar', med kun 'just_a_test'.

Jeg har selv faket en positiv response, og inden for kort tid blev man nærmest 'overfaldet' med Phase II, som er installationen, OG fra andre IP adresser, som tudelig fortæller, at disse bot'er snakker sammen.

Men det var sidste år, og andre har ovserveret det samme: http://dtbaker.com.au/random-bits/catching-and-preventing-echo-md5-just_...

Han mangler dog afinstallationen, som er stort set det samme som Phase II, dog med unlink, så alle spor (bortset fra logfiler) er væk.

Som jeg ser det, så er fokus på hvad der eventuelt kommer ind på PC'erne (da det er dér pengene ligger), hvorimod der ikke er en kæft, der interesserer sig for den, nærmest ukrudtsmark, der ligger på serverne.

Men hvis man fjerner grobunden for ukrudtet, kan man vel ikke sælge midler til at plukke topskuddene af brændenælderne ;)

  • 0
  • 0
#5 Anonym

Så når jeg prøver at kalde det ene af de links, der er angivet, så får jeg en login side fra IBM.

Indledende (externe) link: http://www-935.ibm.com/services/us/iss/xforce/trendreports/

Og jeg klikker på: http://www.servicemanagementcenter.com/main/pages/IBMRBMS/SMRC/ShowColla...

Jeg har ikke til hensigt at 'melde mig ind', blot for at se nogle oplysninger.

Det andet link (som kunne være interessant, under overskriften 'Latest Threat Insight Report'): http://www.ibm.com/common/ssi/fcgi-bin/ssialias?infotype=SA&subtype=WH&a...

returnerer (på min kværn): http://w-o-p-r.dk/images/ibm.pdf.png

Fint nok, så jeg skal installere en nyere Acrobat, med tilhørende sårbarheder, for at læse om sårbarheder... tsk tsk...

  • 0
  • 0
#7 Anonym

Der findes andre PDF-læsere end klumpen fra Adobe. Og der findes også andet end Windows

Det var ikke pointen.

Jo, jeg ved gost, der findes andet en Windows, men på min linux-dunk får jeg denne her besked: http://w-o-p-r.dk/images/ibm.pdf.linux.png

Jeg kan sikkert godt finde en anden PDF-reader, men hvorfor skulle jeg finde et eller andet stykke software for at læse den givne (PDF) rapport?

Jo, jag har foxit, og kan godt se rapporten, men hvad er det lige, der er i den rapport, som [b]ikke[/b] kan laves i HTML?

Bortset fra det, så var jeg ude efter en redegørelse for nødvendigheden i, at indføre SQL-injection sårbarhed i [b]web applikationer[/b], og ikke en oversigt over sårbarheder i windows PC'ere, som rapporten omhandler.

Med det in mente, forventer jeg ikke at finde noget brugbart i det andet link, som kræver 'membership'.

Hvis IBM har noget at fortælle, og gerne vil have, at folk læser det, synes jeg ikke det er en god idé at lægge det bar en 'membership' site.

Jeg får rigeligt med skrammel i min mailboxs i forvejen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere