Einige Sicherheitsprodukte haben es (im Zeitraum von drei Monaten) auf die Liste der am meisten gefährdeten Softwareprodukte gebracht.
Warum gibt man viel Geld für Sicherheitsprodukte aus? Natürlich zum Schutz der Unternehmensressourcen! Aber viele der Security-Anbieter nutzen Open-Source-Komponenten und Bibliotheken oder Software-Module von Drittanbietern, die immer wieder durch erhebliche Schwachstellen und Verwundbarkeiten auffallen.
Obwohl wir dies bereits ahnen, bestätigt ein neuer Report, dass die Sicherheitsprodukte inzwischen zu den am stärksten gefährdeten Komponenten gehören. Laut einem Report von Flexera Software, schafften es zwischen August und Oktober 2016 46 Produkte in die Liste der „20 am meisten gefährdeten Produkte“. Bei elf dieser Softwareprodukte handelte es sich um sicherheitsrelevante Produkte.
Der Flexera-Report (Titel: VULNERABILITY UPDATE August 2016 – October 2016 http://resources.flexerasoftware.com/web/pdf/Research-SVM-Vulnerability-Update-Oct2016.pdf) verweist seinerseits auf einen von Forrester veröffentlichten Report (Titel: Your Security Products Aren’t Secure. https://www.forrester.com/report/Your+Security+Products+Arent+Secure/-/E-RES131522) über Sicherheitsprodukte, die als nicht sicher klassifiziert wurden.
Natürlich möchte der neugierige Leser wissen, welcher Sicherheitsanbieter auf der Liste steht und man wird mit Verwunderung feststellen, dass so renommierte Firmen wie beispielsweise AlienVault, IBM, Juniper, McAfee, Palo Alto oder Splunk darauf gelandet sind. Flexera bezeichnet diese Liste ausdrücklich nicht als „Liste der 20 am meisten gefährdeten Produkte“.Stattdessen erklärte das Unternehmen: „Die Top 20 sind die 20 Produkte mit den meisten Schwachstellen im jeweiligen Monat die aus in der Menge von 50.000 überprüften Produkten aufgefallen sind.
August 2016
ID | Anzahl bekannter Probleme | Produkt |
16168 | 91 | Splunk |
1352 | 81 | Avant Browser |
35588 | 38 | IBM Connections |
26301 | 19 | PAN-OS |
37145 | 49 | IBM Security Network Protection |
31058 | 45 | Hancom Office SE |
55175 | 45 | IBM Flex System Manager Node (FSM) |
6877 | 41 | Foxit Phantom PDF |
29973 | 37 | Xerox FreeFlow Print Server |
26493 | 37 | phpMyAdmin |
12666 | 26 | Morzilla Firefox |
10179 | 17 | IBM WebSphere Portal |
55842 | 33 | Alien Vault Unified Security Management (USM) |
26234 | 33 | OSSIM AllienVault Open Source SIM |
56535 | 32 | IBM Security Identity Manager |
55991 | 31 | IBM SmartCloud Entry |
56970 | 31 | IBM Cloud Manager with OpenStack |
34344 | 25 | Cyberfox |
9498 | 18 | HP NonStop Server |
60940 | 16 | IBM Security Access Manager |
September 2016
ID | Anzahl bekannter Probleme | Produkt |
55991 | 98 | IBM SmartCard Entry |
2372 | 74 | Apple Macintosh OS X |
1352 | 59 | Avant Browser |
1674 | 26 | Adobe Flash Player |
59215 | 45 | Microsoft Windows 10 |
24179 | 45 | Google Chrome |
36174 | 44 | Microsoft Windows Server 2012 |
33724 | 44 | Microsoft Windows 8 |
56872 | 41 | IBM PowerKVM |
38138 | 39 | Microsoft Windows RT |
57391 | 30 | Apple iOS |
12666 | 21 | Morzilla Firefox |
35487 | 24 | Zimbra Collaboration Server |
919 | 23 | Apple Safari |
60940 | 22 | IBM Security Access Manager |
34550 | 8 | IBM Storwize |
32272 | 8 | IBM System Storage SAN Volume Controller |
56799 | 21 | IBM Security Access Manager for Mobile |
10123 | 12 | IBM DB2 |
25478 | 20 | Microsoft Exchange Server |
Oktober 2016
ID | Anzahl bekannter Probleme | Produkt |
46779 | 74 | Adobe Reader |
411 | 74 | Adobe Acrobat |
56872 | 57 | IBM PowerKVM |
26301 | 25 | PAN-OS |
55842 | 51 | Alien Vault Unified Security Management (USM) |
12789 | 36 | MySQL |
59215 | 33 | Microsoft Windows 10 |
33724 | 32 | Microsoft Windows 8 |
38138 | 32 | Microsoft Windows RT |
56918 | 31 | Juniper Junos OS |
55175 | 31 | IBM Flex System Manager Node (FSM) |
36174 | 31 | Microsoft Windows Server 2012 |
29055 | 11 | MariaDB |
8702 | 23 | IBM InoShere Information Server |
10453 | 25 | McAfee Web Gateway |
1352 | 24 | Avant Browser |
13735 | 24 | Oracle VitalBox |
15594 | 24 | Oracle E-Business Suite |
30393 | 24 | Juniper Network and Security Manager |
Niemand wäre darüber verwundet, wenn in den veröffentlichten Listen Produkte wie Adob- Flash, Windows oder Oracle auftauchen würde, aber auch OS-X schaffte es auf die Hitliste.
Von den 46 am meisten verwundbaren Produkten – die über einen Zeitraum von drei Monaten geprüft wurden – befanden sich fünf Webbrowser: Apple-Safari, Avant-Browser, Cyberfox, Google-Chrome und Mozilla-Firefox. Drei Produkte kamen aus dem PDF-Bereich: Adobe-Reader, Adobe-Acrobat und Foxit-Phantom-PDF.
Da Open-Source inzwischen etwa 50 Prozent der globalen Code-Basis ausmacht, kann es ein Problem darstellen, dass in einigen Softwareprodukten anfällige Open-Source-Komponenten verbaut sein können. Die Probleme, die uns Heartbleed durch Angriffe auf Open-Source-Produkte bereitete, sollten uns noch in guter Erinnerung sein. Heartbleed hat global gewirkt und weltweite Störungen verursachen und viele Systeme mussten neu gepatcht werden. Auch auf Seiten der Hersteller ist Heartbleed kein Unbekannter, denn viele Softwareprodukte mussten vor der Auslieferung an die Kunden noch kurzfristig gepatcht werden. Daher geht man davon aus, dass jeder Software- und IoT-Hersteller eigentlich die Risiken verstehen sollte und die Hersteller automatisch alle Open-Source-Komponenten einem Sicherheitstest und einem Sicherheitsmanagement unterzogen werden würden. Aber wie uns die zurückliegenden Wochen beweisen, basiert diese Annahme auf einem Trugschluss.
Neue Mirai-Variante für globale Angriff verwendet
Derzeit macht eine neue Mirai-Variante erhebliche Schlagzeilen und die Deutsche Telekom kann ein Lied davon singen. Der weltweite Angriff auf IoT-Komponenten hat durch Unachtsamkeit auf den Telekom-Routern einen Ausfall von 900.000 Geräten verursacht. Die Angreifer modifizierten den Mirai-Code, so dass er auch Geräte angegriffen wurden, die den Port 7547 geöffnet hatten.
Die Angreifer waren schlau, aber vielleicht (oder zum Glück) nicht die besten Programmierer. Die Anfälligkeit für Sicherheitsprobleme vieler Geräte, von Port 7547 und den nachgelagerten TR-064/TR-069-Protokollen ist in einschlägigen Kreisen seit langer Zeit bekannt. Im Wesentlichen kann man über diesen Weg von der Ferne entsprechende Befehle im jeweiligen Gerät ausführen.
Anfang November wurden bereits Tausende von Modems von einem Metasploit-Modul angegriffen. Diese Angriffsvariante ermöglichte dem Angreifer, die Kontrolle über die Breitbandmodems zu übernehmen. Dieser Angriff wirkte wie wenn ein Internet-Wurm auf Basis des Mirai-Codes entstanden wäre.
Bei dem Angriff auf die Deutsche Telekom handelte es sich um einen globalen Angriff auf alle Arten von Geräten. Seit langer Zeit ist bereits bekannt, dass 48 Geräte der unterschiedlichsten Hersteller anfällig für die wichtigsten TR-064 / TR-069-Probleme sind. Obwohl die Geräte der Deutschen Telekom nicht direkt von den TR-064 / TR-069-Angriffen betroffen waren, führten die Angriffspakete über den offenen Port 7547 zu einem quasi Denial-of-Service-Angriff. Die Deutsche Telekom installierte auch entsprechende Fixes innerhalb von kürzester Zeit. Wie aus internen Kreisen zu hören ist, wurde der Softwarepatch der Deutschen Telekom außerordentlich schnell zur Verfügung gestellt. Es war fast so, als ob der Hersteller bereits über die Sicherheitsanfälligkeit seines Produkts Bescheid gewusst und nur auf irgendeinem Grund gewartet hätte diesen Code zur Verfügung zu stellen.
Auch ist augenfällig, dass die Deutsche Telekom die Netzsicherheit der betroffenen Router verbessert hat, indem gleichzeitig mit dem Patch der Port 7547 gesperrt wurde.
Fazit
Von Problemen und Angriffen sind nicht nur Infrastrukturkomponenten, wie Modems, Switches und Router betroffen. Auch ausgewiesene Sicherheitskomponenten sind gemäß dem Flexera-Report betroffen. Egal wie teuer ein Sicherheitsprodukt ist, eine Garantie auf Sicherheit kauft man damit nicht. (Flexera/mh)