s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Software Analyse Das Untersuchen von Software auf Schwachstellen hängt in vielerlei Hinsicht vom Sichtpunkt des Überprüfenden ab. Dieser sieht sich mit der Aufgabe konfrontiert eine Applikation zu analysieren, deren relevante Parts von den irrelevanten zu separieren und mögliche Schwachstellen als solche klassifizieren zu können. Doch damit nicht genug, er muss auch entscheiden, welches Vorgehen den grössten Erfolg verspricht. So wird Software heute oftmals mittels Blackbox Testing untersucht. Im Grunde genommen ist das Prinzip sehr simpel: Man flutet die Eingabeschnittstellen der Applikation solange mit variierenden Daten, bis sie aufgrund eines spezifischen Reizes in einer Art und Weise reagiert, die so nicht vorgesehen ist. Passiert dies auf rekonstruierbare Weise, so weiss man dass an dieser Stelle möglicherweise eine ausnutzbare Schwachstelle, sicher aber eine Schwäche im Programmcode vorhanden ist. Mit dem Aufkommen modularer Fuzzing Frameworks wird dieser Vorgang zunehmends automatisiert. Durchführen eines formalen Design Reviews, eine andere die Quellcode-Analyse. Obschon beide im Groben des selbe Ziel verfolgen, liegt der Fokus auf verschiedenen Teilen - während beim Code-Review vor allem Programmierfehler (unsicherer Umgang mit strcpy, sprintf, etc.), zielt das Design Review auf elementare Schwächen im Aufbau der Applikation, wie z.b. der partielle Verzicht auf Verschlüsselungsmechanismen, ab. Die Frage stellt sich nun, welches Verfahren am erfolgreichsten ist. Erfolg definiert sich in diesem Kontext aus dem Verhältnis von Zeit zu Ertrag. Und wie so oft ist die Antwort nicht eindeutig. So bringen moderne Fuzzer oftmals relativ schnell mögliche Schwachstellen zum Vorschein, allerdings übersehen sie sehr gerne Teile der Applikation, die möglicherweise gefährdet sind. So könnte ein Webserver z.b. bei gewissen Strings im Request Header einen verwundbaren Codeteil ausführen, den ein Fuzzer nie streifen wird. Solche Schwachstellen lassen sich durch ein geübtes Auge schnell im Quelltext der Applikation erkennen, allerdings steigt der Aufwand exponentiell mit der Komplexität, was schnell darin endet, dass das Vorhaben seine Wirtschaftlichkeit einbüsst. Es liegt eigentlich klar auf der Hand, dass die Wahl der Methode sowohl vom Tester als auch von der zu prüfenden Software abhängt. Dennoch würde meines Erachtens vom technischen Standpunkt her, ein Whitebox Testing nahezu immer die besten Ergebnisse liefern - zumindest, sofern genügend Zeit vorhanden ist. Stefan Friedli <stfr-at-scip.ch> Security Consultant Zürich, 1. April 27 Ein anderer Ansatz ist die Durchführung eines Whitebox Testings. Dies setzt jedoch vorraus, dass der Quellcode der Applikation dem Testenden in möglichst vollständigem Umfang vorliegt. Hier stehen dem Tester anschliessend mehrere Möglichkeiten offen. Eine davon, ist das 1/14

2 2. scip AG Informationen 2.1 Source Code Review Software bestimmt unseren Alltag. Sei dies nun in der Auslösung von Finanztransaktionen, dem Verfassen einer , der täglichen Arbeitszeiterfassung oder der Konfiguration eines Webservers. Eine Applikation versteht sich selbst als eine Aneinanderreihung von Funktionen zur Bewältigung eines wohlgeformten Problems. Dabei kommt eine zusätzliche Logik, die sich für Entscheidungen innerhalb der Verarbeitung verantwortlich zeichnet, zum Einsatz. Der Engineering-Prozess versteht sich als Entwicklung einer Lösung. Dabei wird eine Idee als Ausgangslage genommen, diese konzeptionell vorbereitet und den Anforderungen entsprechend durch technische Hilfsmittel umgesetzt. Bei einer Software-Entwicklung steht am Schluss dieses Prozesses das fertige Produkt, welches vom Endanwender eingesetzt werden kann. Für den Nutzer ist dabei ausschliesslich das finale Produkt gegeben. Er hat offensichtlichen keine Möglichkeiten, die Hintergründe der Entwicklung sowie den durchlaufenen Prozess genauer zu betrachten. Die interne Funktionsweise der Software und den programmiertechnischen Hintergrund lässt sich soweit nur Erahnen. Dank unserer langjährigen Erfahrung in diesem Fachgebiet inklusive der Programmierung eigener Analysesoftware und unserem ausgewiesenen Expertenwissen haben wir als scip AG die Ehre die unterschiedlichsten Applikationen (ReverseProxy, Transaktionsapplikation etc.) namhafter nationaler- und internationaler Unternehmungen überprüft zu haben und dabei geholfen haben diese abzusichern. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Chris Widmer unter der Telefonnummer oder senden Sie im eine Mail an Gerne können wir Ihre Anliegen besprechen. 2.2 codex Das Ziel des codex Projektes ist die Entwicklung systematischer Strategien und Methoden um (halb-)automatisierte Source Code Analysen durchzuführen. Die grundlegende Idee ist die Erstellung eines Frameworks welches vorhandenen Source Code aufgliedert. Weiterführende Analysen auf der logischen Ebene setzen eine reduzierte Normalisierung voraus. Diese wird mittels virtuellem- Compiler für unterschiedliche Programmiersprachen erreicht. Dieser Compiler gibt die Daten in einer Assembler ähnlichen Struktur, METACODE genannt, aus. Vorzugsweise in sicherheitskritischen Bereichen stellen sich nun etliche Fragen wie z.b. ob ein Angreifer aus dem ihm durch die Software zugewiesenen Kontexte ausbrechen kann und dadurch seine Privilegien erweitern kann oder ob er gar durch das Ausnutzen programmiertechnischer Fehler Zugriff auf das System an sich erlangen kann. Diese und andere Fragestellungen können durch Source Code Reviews beantwortet werden. Entsprechend den Vorgaben des Kunden und der zu prüfenden Software werden unterschiedliche Test umgesetzt. Eine kleine Auswahl ist nachfolgend aufgelistet: Algorithmisches Debugging Delta Debugging Explizites Debugging Statisches Debugging Statistisches Debugging Program Slicing Primär sollen durch die Entwicklung des codex unsere Source Code Review Arbeiten erleichtert werden. Nebst dem immensen Lerneffekt wird so dem Kunden direkt ein unschätzbarer Mehrwert zur Verfügung gestellt. codex ist ein Projekt von Marc Ruef, Leiter Security Auditing der scip AG. Weiterführende Informationen finden Sie unter: 2/14

3 3. Neue Sicherheitslücken Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Mrz 7 Apr 7 sehr kritisch 2 kritisch 9 7 problematisch Contents: 317 LANDesk Management Suite 8.7 Alert Service Pufferüberlauf 314 ClamAV bis.9.2 libclamav cab_unstore() Pufferüberlauf 313 Aircrack-ng Authentication Packet Processing Pufferüberlauf 312 Microsoft Windows DNS Service Pufferüberlauf 311 Sun Solaris IP Packet Denial of Service 37 Microsoft Windows Kernel Mapped Memory Privilege Escalation 35 Microsoft Windows XP UPnP Memory Corruption 34 Microsoft Agent URL Parsing Memory Corruption 33 Winamp 5.x libsndfile.dll MAT File Handling 31 Wordpress bis XMLRPC SQL Injection 2999 IrfanView 3.x Animated Cursor Handling Pufferüberlauf 2998 ImageMagick bis DCM and XWD Pufferüberlauf 2997 Apache Tomcat Directory Traversal 299 Microsoft Windows Behandlung animierter Zeiger 2989 Inkscape bis.45.1 Format String Schwachstelle 2988 Asterisk bis SIP Response Code Denial of Service 2987 Squid 2.x TRACE Request Denial of Service 2986 Asterisk SIP INVITE Denial of Service 2984 Cisco IP Phone 794/796 SIP INVITE Denial of Service 3.1 LANDesk Management Suite 8.7 Alert Service Pufferüberlauf Die Landesk Management Suite dient verschiedenen Zwecken im Bereich des Software- und Hardwaremanagements. So werden bietet sie unter anderem Möglichkeiten zur Inventarisierung oder zur Softwareverteilung sowie zahlreiche weitere Komponenten. Aaron Portnoy von TippingPoint fand eine Schwachstelle im Alert Service besagter Suite, bei der durch ein speziell geformtes UDP Paket an Port ein Pufferüberlauf hervorgerufen und beliebiger Code im Kontext des Benutzers SYSTEM zur Ausführung gebracht werden kann. Zumal diese Schwachstelle lediglich durch Attacken ausnutzbar ist, die aus dem eigenen Netzwerk initiert werden, empfiehlt es sich aufgrund des drohenden Impacts auf sämtliche Systeme, die diesen Service nutzen, den angebotenen Hotfix sowie das letzte Service Pack (falls noch nicht geschehen) einzuspielen. 3.2 ClamAV bis.9.2 libclamav cab_unstore() Pufferüberlauf Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Remote: Teilweise Datum: scip DB: Datum: scip DB: ClamAV (Clam AntiVirus) ist ein unter der GNU General Public Licence stehender Virenscanner und Phishing-Filter, der häufig auf E- Mailsystemen zur Ausfilterung von sogenannten Mailwürmern und Phishing- s zum Einsatz kommt. Bei ClamAV handelt es sich um eine Bibliothek, die in eigene Software integriert werden kann, einen im Hintergrund laufenden Daemon und eine Kommandozeilenapplikation. ClamAV arbeitet unter Linux mit Dazuko zusammen, das den Zugang zu Daten automatisch sperrt oder zulässt. Versionen vor.9.2 enthalten einen Fehler in libclamav, der durch einen Fehler in der Funktion cab_unstore einen stack-basierenden Pufferüberlauf zulässt, 3/14

4 durch den beliebiger Code zur Ausführung gebracht werden kann. ClamAV ist ein recht verbreitetes Produkt: Nicht nur wird es relativ oft auf Linux Workstations eingesetzt, auch auf Mailservern erfreut es sich grosser Beliebtheit zur Vermeidung von virenverseuchtem Mailverkehr. Mittels eines manipulierten Files kann aufgrund der hier beschriebenen Schwachstelle ein derartiges System kompromittiert werden, was ein nicht zu unterschätzendes kritisches Risiko darstellt. Es empfiehlt sich daher, die aktualisierte Version.9.2 einzuspielen. 3.3 Aircrack-ng Authentication Packet Processing Pufferüberlauf Datum: scip DB: Aircrack-ng ist eine Suite von Tools zur Überprüfung von Wireless Netzwerk in sicherheitstechnischen Belangen. In AiroDump, einer Komponente dieser Suite, wurde ein Pufferüberlauf festgestellt, bei der durch die fehlerhafte Verarbeitung von Paketen beliebiger Code zur Ausführung gebracht werden konnte. Die Schwachstelle wurde auf einem Linux System mit Kernel 2.6.x (x86) bestätigt. Auch Werkzeuge, die eigentlich für offensive Aktionen entwickelt wurden, sind nicht immer selber vor Angriffen gefeit, wie diese Schwachstelle zeigt. Durch das Senden entsprechender Pakete wird ein allfälliger Angreifer unter Umständen selber zum Opfer. Wer AirCrack-NG zur Durchführung von Audits oder weiteren Überprüfungen einsetzt, sollte eine aktualisierte Version vom aktuellen Entwicklungs- Tree verwenden. 3.4 Microsoft Windows DNS Service Pufferüberlauf Remote: Teilweise Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- Obschon die Schwachstelle nur im lokalen Netzwerk ausnutzbar ist, ist sie dennoch gefährlich: Diese Lücke wurde als Zero Day entdeckt und wird bereits aktiv ausgenutzt. Da bislang kein Patch bereitgestellt wurde, empfiehlt es sich das Servicemanagement über RPC zu deaktivieren, zumindest bis Microsoft einen Fix zur Verfügung stellt. 3.5 Sun Solaris IP Packet Denial of Service DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS- Fundament aber komplett aufgegeben und setzt ausschließlich auf Windows-NT- Betriebssystemversionen. Verschiedene Serverversionen beinhalten gemäss einem Advisory von Microsoft einen Fehler bei der Verarbeitung von RPC Requests zur Remote Administration des DNS Services. Dies führt zu einem Pufferüberlauf der dazu genutzt werden kann, beliebigen Code unter dem Kontext des Benutzers SYSTEM auszuführen. Datum: scip DB: Solaris ist ein Unix-Betriebssystem der Firma Sun Microsystems. Ursprünglich nur für SPARC Plattformen erhältlich erfreut sich Solaris wachsender Beliebtheit. In aktuellen Versionen existiert eine Schwäche bei der Verarbeitung von bestimmtem IP Paketen, was von einem Angreifer zum Anstreben einer Denial of Service Attacke dienlich sein kann. Solaris hatte in jüngster Vergangenheit öfter Mühe mit eher trivialen Lücken wie fehlender Authentifizierung oder DoS Attacken die durch wenige gezielt Pakete ausgelöst werden können (sid 2937, 2923, 289). Diese Tendenz zeigt sich hier weiter: Mittels eines einzigen Paketes lässt sich der komplette Server ausser Betrieb setzen. Dementsprechend sollten auch hier, wie in den vorhergegangenen Lücken die bereitgestellten Patches eingespielt werden. 3.6 Microsoft Windows Kernel Mapped Memory Privilege Escalation Remote: Nein Datum: scip DB: 4/14

5 bin/smss/showadvf.pl?id=37 Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS- Fundament aber komplett aufgegeben und setzt ausschließlich auf Windows-NT- Betriebssystemversionen. Im neusten Spross der Windows-Familie fand Derek Soder von eeye eine Schwachstelle in der VDM (Virtual Dos Machine) des Windows Kernels. Durch eine Race-Condition beim Verarbeiten der sogenannten Zero Page (die ersten 4KB des physischen Speichers) kann dabei beliebiger Code unter dem Kontext des Benutzers SYSTEM ausgeführt werden, was eine Privilege Escalation ermöglicht. Zieht man in Betracht, wie viel Aufmerksamkeit der (Un-)Sicherheit von Windows Vista durch die Community zuwidment wird, so wundert es eigentlich, dass bislang noch relativ wenige Lücken aufgetaucht sind, die sich in wirklich konstruktiver Art und Weise ausnutzen liessen. Auch diese Lücke ist nicht hochkritisch, da sie lediglich auf einem lokalen System genutzt werden kann. Dennoch ergibt sich durch die Möglichkeit erweiterter Rechte eine gewisse Gefahr durch interne Angreifer oder solche, die bereits einen niederprivilegierten Einstieg in das System gefunden hat. Es empfiehlt sich daher, die bereitgestellten Patches baldmöglicht einzuspielen. 3.7 Microsoft Windows XP UPnP Memory Corruption Remote: Teilweise Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS- Fundament aber komplett aufgegeben und setzt ausschließlich auf Windows-NT- Betriebssystemversionen. Greg MacManus von idefense hat einen Fehler im UPnP Dienst von Windows XP gefunden, der sich zur Ausführung beliebigen Codes mittels speziell präparierter HTTP Anfragen ausgenutzt werden kann. Obschon diese Schwachstelle lediglich im lokalen Netzwerk ausgenutzt.werden kann, stellt sie für einen Angreifer eine oft erfolgreiche Variante dar, Zugriff zu einem System zu erlangen. Entsprechende Exploits sind in den nächsten Tagen zu erwarten, weshalb diese Schwachstelle baldmöglichst durch das Einspielen entsprechender Patches adressiert werden sollte. 3.8 Microsoft Agent URL Parsing Memory Corruption Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS- Fundament aber komplett aufgegeben und setzt ausschließlich auf Windows-NT- Betriebssystemversionen. Secunia Research hat einen Fehler in der Microsoft Agent Komponente, genauer in der Detai agentdpv.dll gefunden, der beim Verarbeiten speziell vorbereiter URLs zur Ausführung beliebigen Codes verwendet werden kann. Dies ermöglicht unter Umständen die komplette Kompromittierung des angegriffenen Systemes z.b. durch das Besuchen einer Webseite oder das Öffnen einer Nachricht. Die vorliegende Schwachstelle ist als kritisch zu betrachten, ermöglicht sie doch einem Angreifer beliebigen Code auszuführen und so in den meisten Fällen, das angegriffene System komplett unter seine Kontrolle zu bekommen. Es empfiehlt sich daher sehr, die freigegebenen Patches für die jeweiligen Betriebssystemversionen einzuspielen. 3.9 Winamp 5.x libsndfile.dll MAT File Handling Datum: scip DB: Winamp ist ein populärer Audioplayer für Windows der sich seit dem Aufkommens des 5/14

6 Mp3 Formats grosser Beliebtheit erfreut und über eine grosse Fangemeinde verfügt. Piotr Bania fand eine Schwachstelle in der Datei libsndfile.dll, die es einem Angreifer möglicherweise erlaubt mittels einer manipulierten MatLab Datei beliebigen Code auf dem Zielrechner zur Ausführung zu bringen. Die Lücke wurde für Version 5.33 bestätigt, dürfte aber in weiteren Versionen die diese Bibliothek verwenden ebenfalls zu finden sein. Winamp ist sehr verbreitet und somit ein gutes Angriffsziel zur Verbreitung von Spyware und anderen erwünschten Softwarekomponenten. Da bislang kein Patch angekündigt wurde, bleibt derzeit keine andere Möglichkeit als auf das Öffnen von Dateien unbekannter Herkunft weitgehend zu verzichten oder ein anderes Produkt einzusetzen. 3.1 Wordpress bis XMLRPC SQL Injection Wordpress ist eine populäre Open Source Weblog Lösung. Verschiedene Schwachstellen in der Datei xmlrpc.php führen dazu, dass Daten nicht korrekt validiert werden, bevor sie in SQL Queries verwendet werden. Dies führt dazu, dass ein Angreifer möglicherweise dazu befähigt wird, beliebige Datenbanktransaktionen auszulösen. Wordpress macht derzeit eine schwere Zeit durch: Kaum eine Woche vergeht, in der nicht eine neue sicherheitskritische Lücke auftaucht. So zwingt auch die hier besprochene Lücke sämtliche Betreiber zu einem baldmöglichen Update auf die neue Version ein Schritt, der baldmöglichst durchgeführt werden sollte um den wahrscheinlich in Kürze verfügbaren Exploits vorzubeugen IrfanView 3.x Animated Cursor Handling Pufferüberlauf IrfanView ist ein Freeware-Programm (gilt nur für die Nutzung im privaten Gebrauch, zu Schulungszwecken und in humanitären Organisationen für kommerzielle Nutzung ist eine geringe Lizenzgebühr zu entrichten) zur Betrachtung von Bildern unterschiedlicher Formate wie zum Beispiel JPEG, GIF, TIFF und PNG. Das Programm kann unter Microsoft Windows 9x/ME/NT/2/XP/Vista verwendet werden. Ein Researcher mit dem Namen Marsu Pilami fand eine Schwachstelle bei der Verarbeitung von animierten Zeigern (*.ani), die zu einem Pufferüberlauf führt und es erlaubt beliebigen Code auf dem Zielsystem auszuführen. Vorneweg: Diese Schwachstelle hat nichts mit der unlängst publizierten Schwachstelle aktueller Windows Systeme zu tun, für die bereits ein Patch erhältlich ist. Vielmehr wurde hier das proprietäre Dateiformat *.ani näher betrachtet, was diese Lücke im populären Bildbetrachungsprogramm IrfanView hervorbrachte. Da bislang kein Patch verfügbar ist, bleibt keine andere Lösung als Bilder aus unbekannten Quellen nicht mit IrfanView zu betrachten oder allgemein ein anderes Produkt einzusetzen ImageMagick bis DCM and XWD Pufferüberlauf Datum: scip DB: Datum: scip DB: Datum: scip DB: ImageMagick ist der Name eines freien quelloffenen Softwarepakets zur Erstellung und Bearbeitung von Rastergrafiken. ImageMagick kann momentan mehr als 9 der größtenteils verwendeten Bildformate lesen, verändern und schreiben. Außerdem lassen sich Bilder dynamisch generieren, weshalb es auch im Bereich der Webanwendungen verwendet wird. Durch verschiedene verwundbare Funktionen lassen sich bei der Verarbeitung von Daten Pufferüberläufe provozieren, was von einem Anwender zur Ausführung beliebigen Codes genutzt werden kann. ImageMagick ist derzeit immer noch die populärste Bildmanipulations-Library für Webapplikationen und somit ein attraktives Ziel. Es ist zu erwarten, dass bald öffentliche Exploits verfügbar sein werden, es empfiehlt sich also das baldige Einspielen des Updates um die Lücke zu schliessen. 6/14

7 3.13 Apache Tomcat Directory Traversal Datum: scip DB: Apache Tomcat stellt eine Umgebung zur Ausführung von Java-Code auf Webservern bereit, die im Rahmen des Jakarta-Projekts der Apache Software Foundation entwickelt wird. Es handelt sich um einen in Java geschriebenen Servlet-Container, der mithilfe des JSP- Compilers Jasper auch JavaServer Pages in Servlets übersetzen und ausführen kann. Dazu kommt ein kompletter HTTP-Server. D. Matscheko hat eine Schwachstelle festgestellt, bei der mit Hilfe gewisser Delimiter allfällige aktive Context Restriction Proxies umgangen werden können. Dies führt dazu, dass ein Angreifer gewisse Sicherheitsmassnahmen umgehen kann. Apache Tomcat wird gerne und ausführlich für das Bereitstellen professioneller Webapplikationen verwendet. Die vorliegende Schwachstelle kann durch entsprechende Konfiguration zwar umgangen werden, es empfiehlt sich aber die bereitgestellten Patches einzuspielen Microsoft Windows Behandlung animierter Zeiger Einstufung: sehr kritisch Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS- Fundament aber komplett aufgegeben und setzt ausschließlich auf Windows-NT- Betriebssystemversionen. Durch einen unspezifizierten Fehler bei der Behandlung animierter Cursor (*.ani-dateien) kann durch einen Angreifer beliebiger Code ausgeführt werden. Zur Ausnutzung der Schwachstelle reicht das Besuchen einer präparierten Webseite oder das Öffnen einer entsprechenden Nachricht aus. Obschon Microsoft neuster Wurf Vista durch Symantec vor wenigen Tagen noch als "sicherstes" Betriebssystem gepriesen wurde, gibt es schon wieder schlechte Nachrichten für Windows-Nutzer. Es war eine Frage der Zeit, bis Microsoft wieder mit einer schweren Zero-Day Lücke konfrontiert werden würde. Die vorliegende Schwachstelle beendet das Warten und wird bereits aktiv zur Kompromittierung von Rechnern ausgenutzt und ist daher als hochkritisch zu betrachten. Da derzeit kein Patch für die zahlreichen betroffenen Windows-Versionen zur Verfügung steht, ist höchste Vorsicht bei unbekannten Inhalten jeder Art geboten Inkscape bis.45.1 Format String Schwachstelle Inkscape ist ein freies vektorbasiertes Grafik- und Zeichenprogramm. Inkscape eignet sich beispielsweise zum Erstellen von Logos, Vektorkunst, technischen Diagrammen etc. Ein primäres Ziel dieses Projektes ist die Konformität zum SVG-Standard. Weiterhin wird auf offenen Zugriff zur Codebasis für Entwickler und Mitwirkende großer Wert gelegt. In den genannten Version der Applikation bestehen verschiedene Format String Schwachstellen, die zur Ausführung beliebigen Codes auf dem Zielrechner genutzt werden. InkScape avanciert derzeit zu einem sehr populären Tool, was nicht allzu sehr überrascht, betrachtet man die Preise der kommerziellen Konkurrenzprodukte. Tatsächlich kann der Funktionsumfang durchaus überzeuge, was die Entwickler dennoch nicht vor Sicherheitsrisiken schützt. Anwender sollten baldmöglichst auf Version.45.1 upgraden um ihr Risiko zu mindern Asterisk bis SIP Response Code Denial of Service Datum: scip DB: Datum: scip DB: Asterisk ist eine Open-Source-Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage abdeckt. Asterisk unterstützt 7/14

8 Voice-over-IP (VoIP) mit unterschiedlichen Protokollen und kann mittels relativ günstiger Hardware mit Anschlüssen wie POTS (analoger Telefonanschluss), ISDN-Basisanschluss (BRI) oder -Primärmultiplexanschluss (PRI, E1 oder T1) verbunden werden. In der aktuellen Version hat ein Researcher mit dem Pseudonym qwerty1979 eine Schwachstelle gefunden, bei der durch das Senden des SIP Response Codes ein Denial fo Service erreicht wird. Voice-over-IP findet derzeit grosse Beachtung bei vielen Researchern, anders kann die Flut an Denial of Service Lücken in verschiedensten Produkten, der die letzten Tage über die Mailinglisten hereinbricht kam erklärt werden. Auch hier gilt: Das bereitgestellte Update auf Version sollte eingespielt werden um diese Schwachstelle zu eliminieren Squid 2.x TRACE Request Denial of Service Squid ist der Name eines Open Source Proxyservers, der unter der GNU General Public Licence steht. Er zeichnet sich vor allem durch seine gute Skalierbarkeit aus. Squid unterstützt die Netzwerkprotokolle HTTP/HTTPS, FTP über HTTP und Gopher. Er kann sowohl für sehr kleine Netze (5 1 User), als auch für sehr große Proxyverbände in Weitverkehrsnetzen mit mehreren hunderttausend Benutzern eingesetzt werden. In einem aktuellen Advisory beschreiben die Entwickler einen Fehler in der Datei client_side.c, in dem TRACE-Requests inkorrekt verarbeitet werden. Die Folge ist die Möglichkeit einer Denial of Service Attacke durch eine manipulierte TRACE-Anfrage. Squid ist als Proxy sehr populär und entsprechend verbreitet. Die Software wird nicht nur als regulärer, sondern oftmals auch in grösseren Netzwerken als transparenter Proxy eingesetzt. Die Möglichkeit, einen Squid-Server mittels eines relativ einfach zu bewerkstelligenden Angriffes zum Absturz zu bringen wird wohl relativ bald genutzt werden, ein Exploit ist zu erwarten. Es empfiehlt sich daher, bestehende Installation auf Version 2.6.STABLE11 zu patchen Asterisk SIP INVITE Denial of Service Asterisk ist eine Open-Source-Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage abdeckt. Asterisk unterstützt Voice-over-IP (VoIP) mit unterschiedlichen Protokollen und kann mittels relativ günstiger Hardware mit Anschlüssen wie POTS (analoger Telefonanschluss), ISDN-Basisanschluss (BRI) oder -Primärmultiplexanschluss (PRI, E1 oder T1) verbunden werden. In der aktuellen Version wurde eine Schwachstelle dokumentiert, bei der durch manipulierte SIP INVITE Nachrichten mit doppeltem SDP Header ein Denial of Service Angriffs realisierbar ist. Voice-over-IP ist ein grosses Thema derzeit und entsprechend häufiger werden Schwachstellen in der eingesetzten Infrastruktur gefunden. Der vorliegende Fehler kann grossflächig zur Betriebsstörung von Voice-over-IP Infrastrukturen genutzt werden, es enpfiehlt sich daher bestehende Asterisk Installation auf Version oder zu patchen Cisco IP Phone 794/796 SIP INVITE Denial of Service Datum: scip DB: Datum: scip DB: Datum: scip DB: Die Firma Cisco Systems Inc. ist der größte Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen. Bei einigen IP-Telephonen wurde eine Schwachstelle dokumentiert, bei der durch manipulierte SIP INVITE Nachrichten mit ungültigem sipuri Feld ein Absturz des Gerätes provoziert werden kann. Voice-over-IP ist ein grosses Thema derzeit und entsprechend häufiger werden Schwachstellen in der eingesetzten Infrastruktur gefunden. Der vorliegende Fehler kann grossflächig zur Betriebsstörung von Voice-over-IP Telefonen genutzt werden und sollte daher durch ein Firmware Update, das Cisco mittlerweile bereitstellt, behoben werden. 8/14

9 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. April sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Feb 27 - Mrz 27 - Apr 27 - Feb 27 - Mrz 27 - Apr sehr kritisch 1 2 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit 11 4 Fehlende Authentifizierung 1 Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte 1 2 Format String Konfigurationsfehler 6 3 Pufferüberlauf Race-Condition 2 1 Schw ache Authentifizierung 2 Schw ache Verschlüsselung SQL-Injection 2 Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 9/14

10 27 - Jan 27 - Feb 27 - Mrz 27 - Apr 27 - Mai 27 - Jun 27 - Jul 27 - Aug 27 - Sep 27 - Okt 27 - Nov 27 - Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan 27 - Feb 27 - Mrz 27 - Apr 27 - Mai 27 - Jun 27 - Jul 27 - Aug 27 - Sep 27 - Okt 27 - Nov 27 - Dez sehr kritisch 1 2 kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 27 1/14

11 Jan 27 - Feb 27 - Mrz 27 - Apr 27 - Mai 27 - Jun 27 - Jul 27 - Aug 27 - Sep 27 - Okt 27 - Nov 27 - Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 1 Eingabeungültigkeit 11 4 Fehlende Authentifizierung 1 Fehlende Verschlüsselung 4 Fehlerhafte Leserechte 3 Fehlerhafte Schreibrechte 1 2 Format String Konfigurationsfehler 6 3 Pufferüberlauf Race-Condition Schw ache Authentifizierung 4 2 Schw ache Verschlüsselung SQL-Injection 1 2 Symlink-Schw achstelle 3 Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 27 11/14

12 23 - Jan 23 - Mrz 23 - Mai 23 - Jul 23 - Sep 23 - Nov 24 - Jan 24 - Mrz 24 - Mai 24 - Jul 24 - Sep 24 - Nov 25 - Jan 25 - Mrz 25 - Mai 25 - Jul 25 - Sep 25 - Nov 26 - Jan 26 - Mrz 26 - Mai 26 - Jul 26 - Sep 26 - Nov 27 - Jan 27 - Mrz Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 12/14

13 Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 13/14

14 Literaturverzeichnis scip AG, 19. Februar 26, scip monthly Security Summary, smss Feedback scip AG, 19. März 26, scip monthly Security Summary, smss Feedback Auswertung Ruef, Marc, 22. Dezember 21, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, Ruef, Marc, 22, Intrusion Prevention Neue Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-22, Seiten 1-14, Ruef, Marc, Februar 24, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies elearning und Wissensmanagement, Ruef, Marc, 23, Linux-Viren - Mythos oder Wirklichkeit?, Linux Enterprise Ausgabe: Impressum Herausgeber: scip AG Technoparkstrasse 1 CH-85 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 22 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 14/14