SSRF-Schwachstellen sind Web-Sicherheitslücken, die die Änderung, Extraktion oder Veröffentlichung von Daten durch Ausnutzung einer URL in der serverseitigen Anwendung ermöglichen. Sie treten am häufigsten in Anwendungen auf, bei denen Benutzer ein Asset von einer externen Ressource herunterladen können, z. B. bei Webhooks, Integrationen und PDF-Generatoren.
Einstmals waren SSRF-Bugs vergleichsweise harmlos, da sie lediglich das Scannen des internen Netzwerks und in seltenen Fällen Zugriff auf interne Administrations-Panels ermöglichten. Allerdings setzt der Trend hin zu Cloud-Architekturen hier Unternehmen ungewollt einem verstärkten Risiko aus. Dies ist auf den Cloud-Metadaten-Service zurückzuführen. Anstatt auf eine externe Ressource zu verweisen, kann ein Angreifer dabei auf eine interne Ressource verwiesen werden, sofern hierbei eine Schwachstelle besteht. Obwohl dieser Dienst außerhalb der Firewall eigentlich nicht abgefragt werden kann, können SSRF-Schwachstellen in Verbindung mit fehlenden Sicherheitsvorkehrungen dazu führen, dass Angreifern dennoch Zugriff erhalten.
Wie können sich Unternehmen vor SSRF-Sicherheitslücken schützen?
„Aufgrund des weit verbreiteten Einsatzes der Cloud wurde es für Angreifer durch Instanz-Metadaten und Kubernetes-APIs zunehmend einfacher, per SSRF-Schwachstellen in das Cloud-Netzwerk eines Unternehmens einzubrechen“, sagt Hackerone-Hacker Justin Gardner. „Trotz der steten Bemühungen die Aktualität der internen Assets zu gewährleisten und Patches einzuspielen, können Sicherheitslücken bestehen bleiben. Dies führt dazu, dass auch Organisationen, die schon längere Zeit im Geschäft sind, von einem gezielten SSRF-Angriff betroffen sein können. Die effektivste Verteidigung, die ich im Zusammenhang mit SSRF-Schwachstellen beobachten konnte, ist eine gute Netzwerksegmentierung. Für jedes Asset (einschließlich Container) sollten Firewall-Regeln definiert sein, analog zum Prinzip des geringstmöglichen Privilegs. Wenn dieser Ansatz effektiv umgesetzt wird, sollte das den meisten SSRF-Angriffen den Garaus machen.“
Weitere Informationen zu SSRF-Schwachstellen und wie diese verhindert werden können, finden sich im aktuellen Blog-Post von Hackerone.
Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.
Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com