Sicherheitsprodukte gehören zu den am meisten gefährdeten Softwareprodukten

chain-1623322_1920Einige Sicherheitsprodukte haben es (im Zeitraum von drei Monaten) auf die Liste der am meisten gefährdeten Softwareprodukte gebracht.

Warum gibt man viel Geld für Sicherheitsprodukte aus? Natürlich zum Schutz der Unternehmensressourcen! Aber viele der Security-Anbieter nutzen Open-Source-Komponenten und Bibliotheken oder Software-Module von Drittanbietern, die immer wieder durch erhebliche Schwachstellen und Verwundbarkeiten auffallen.

Obwohl wir dies bereits ahnen, bestätigt ein neuer Report, dass die Sicherheitsprodukte inzwischen zu den am stärksten gefährdeten Komponenten gehören. Laut einem Report von Flexera Software, schafften es zwischen August und Oktober 2016 46 Produkte in die Liste der „20 am meisten gefährdeten Produkte“. Bei elf dieser Softwareprodukte handelte es sich um sicherheitsrelevante Produkte.

Der Flexera-Report (Titel: VULNERABILITY UPDATE August 2016 – October 2016 http://resources.flexerasoftware.com/web/pdf/Research-SVM-Vulnerability-Update-Oct2016.pdf) verweist seinerseits auf einen von Forrester veröffentlichten Report (Titel: Your Security Products Aren’t Secure. https://www.forrester.com/report/Your+Security+Products+Arent+Secure/-/E-RES131522) über Sicherheitsprodukte, die als nicht sicher klassifiziert wurden.

Natürlich möchte der neugierige Leser wissen, welcher Sicherheitsanbieter auf der Liste steht und man wird mit Verwunderung feststellen, dass so renommierte Firmen wie beispielsweise AlienVault, IBM, Juniper, McAfee, Palo Alto oder Splunk darauf gelandet sind. Flexera bezeichnet diese Liste ausdrücklich nicht als „Liste der 20 am meisten gefährdeten Produkte“.Stattdessen erklärte das Unternehmen: „Die Top 20 sind die 20 Produkte mit den meisten Schwachstellen im jeweiligen Monat die aus in der Menge von 50.000 überprüften Produkten aufgefallen sind.

August 2016

IDAnzahl bekannter ProblemeProdukt
1616891Splunk
135281Avant Browser
3558838IBM Connections
2630119PAN-OS
3714549IBM Security Network Protection
3105845Hancom Office SE
5517545IBM Flex System Manager Node (FSM)
687741Foxit Phantom PDF
2997337Xerox FreeFlow Print Server
2649337phpMyAdmin
1266626Morzilla Firefox
1017917IBM WebSphere Portal
5584233Alien Vault Unified Security Management (USM)
2623433OSSIM AllienVault Open Source SIM
5653532IBM Security Identity Manager
5599131IBM SmartCloud Entry
5697031IBM Cloud Manager with OpenStack
3434425Cyberfox
949818HP NonStop Server
6094016IBM Security Access Manager

September 2016

IDAnzahl bekannter ProblemeProdukt
5599198IBM SmartCard Entry
237274Apple Macintosh OS X
135259Avant Browser
167426Adobe Flash Player
5921545Microsoft Windows 10
2417945Google Chrome
3617444Microsoft Windows Server 2012
3372444Microsoft Windows 8
5687241IBM PowerKVM
3813839Microsoft Windows RT
5739130Apple iOS
1266621Morzilla Firefox
3548724Zimbra Collaboration Server
91923Apple Safari
6094022IBM Security Access Manager
345508IBM Storwize
322728IBM System Storage SAN Volume Controller
5679921IBM Security Access Manager for Mobile
1012312IBM DB2
2547820Microsoft Exchange Server

 

Oktober 2016

IDAnzahl bekannter ProblemeProdukt
4677974Adobe Reader
41174Adobe Acrobat
5687257IBM PowerKVM
2630125PAN-OS
5584251Alien Vault Unified Security Management (USM)
1278936MySQL
5921533Microsoft Windows 10
3372432Microsoft Windows 8
3813832Microsoft Windows RT
5691831Juniper Junos OS
5517531IBM Flex System Manager Node (FSM)
3617431Microsoft Windows Server 2012
2905511MariaDB
870223IBM InoShere Information Server
1045325McAfee Web Gateway
135224Avant Browser
1373524Oracle VitalBox
1559424Oracle E-Business Suite
3039324Juniper Network and Security Manager

Niemand wäre darüber verwundet, wenn in den veröffentlichten Listen Produkte wie Adob- Flash, Windows oder Oracle auftauchen würde, aber auch OS-X schaffte es auf die Hitliste.

Von den 46 am meisten verwundbaren Produkten – die über einen Zeitraum von drei Monaten geprüft wurden – befanden sich fünf Webbrowser: Apple-Safari, Avant-Browser, Cyberfox, Google-Chrome und Mozilla-Firefox. Drei Produkte kamen aus dem PDF-Bereich: Adobe-Reader, Adobe-Acrobat und Foxit-Phantom-PDF.

Da Open-Source inzwischen etwa 50 Prozent der globalen Code-Basis ausmacht, kann es ein Problem darstellen, dass in einigen Softwareprodukten anfällige Open-Source-Komponenten verbaut sein können. Die Probleme, die uns Heartbleed durch Angriffe auf Open-Source-Produkte bereitete, sollten uns noch in guter Erinnerung sein. Heartbleed hat global gewirkt und weltweite Störungen verursachen und viele Systeme mussten neu gepatcht werden. Auch auf Seiten der Hersteller ist Heartbleed kein Unbekannter, denn viele Softwareprodukte mussten vor der Auslieferung an die Kunden noch kurzfristig gepatcht werden. Daher geht man davon aus, dass jeder Software- und IoT-Hersteller eigentlich die Risiken verstehen sollte und die Hersteller automatisch alle Open-Source-Komponenten einem Sicherheitstest und einem Sicherheitsmanagement unterzogen werden würden. Aber wie uns die zurückliegenden Wochen beweisen, basiert diese Annahme auf einem Trugschluss.

Neue Mirai-Variante für globale Angriff verwendet

Derzeit macht eine neue Mirai-Variante erhebliche Schlagzeilen und die Deutsche Telekom kann ein Lied davon singen. Der weltweite Angriff auf IoT-Komponenten hat durch Unachtsamkeit auf den Telekom-Routern einen Ausfall von 900.000 Geräten verursacht. Die Angreifer modifizierten den Mirai-Code, so dass er auch Geräte angegriffen wurden, die den Port 7547 geöffnet hatten.

Die Angreifer waren schlau, aber vielleicht (oder zum Glück) nicht die besten Programmierer. Die Anfälligkeit für Sicherheitsprobleme vieler Geräte, von Port 7547 und den nachgelagerten TR-064/TR-069-Protokollen ist in einschlägigen Kreisen seit langer Zeit bekannt. Im Wesentlichen kann man über diesen Weg von der Ferne entsprechende Befehle im jeweiligen Gerät ausführen.

Anfang November wurden bereits Tausende von Modems von einem Metasploit-Modul angegriffen. Diese Angriffsvariante ermöglichte dem Angreifer, die Kontrolle über die Breitbandmodems zu übernehmen. Dieser Angriff wirkte wie wenn ein Internet-Wurm auf Basis des Mirai-Codes entstanden wäre.

Bei dem Angriff auf die Deutsche Telekom handelte es sich um einen globalen Angriff auf alle Arten von Geräten. Seit langer Zeit ist bereits bekannt, dass 48 Geräte der unterschiedlichsten Hersteller anfällig für die wichtigsten TR-064 / TR-069-Probleme sind. Obwohl die Geräte der Deutschen Telekom nicht direkt von den TR-064 / TR-069-Angriffen betroffen waren, führten die Angriffspakete über den offenen Port 7547 zu einem quasi Denial-of-Service-Angriff. Die Deutsche Telekom installierte auch entsprechende Fixes innerhalb von kürzester Zeit. Wie aus internen Kreisen zu hören ist, wurde der Softwarepatch der Deutschen Telekom außerordentlich schnell zur Verfügung gestellt. Es war fast so, als ob der Hersteller bereits über die Sicherheitsanfälligkeit seines Produkts Bescheid gewusst und nur auf irgendeinem Grund gewartet hätte diesen Code zur Verfügung zu stellen.

Auch ist augenfällig, dass die Deutsche Telekom die Netzsicherheit der betroffenen Router verbessert hat, indem gleichzeitig mit dem Patch der Port 7547 gesperrt wurde.

Fazit

Von Problemen und Angriffen sind nicht nur Infrastrukturkomponenten, wie Modems, Switches und Router betroffen. Auch ausgewiesene Sicherheitskomponenten sind gemäß dem Flexera-Report betroffen. Egal wie teuer ein Sicherheitsprodukt ist, eine Garantie auf Sicherheit kauft man damit nicht. (Flexera/mh)