Abo
  • Services:
Anzeige
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche.
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google)

Webanwendungen mit ungesicherten Installationsroutinen

Für selbstgehostete Webanwendungen wie Wordpress, Joomla, Nextcloud und ähnliche kann Certificate Transparency zum Problem werden. Die Installation von Webanwendungen funktioniert üblicherweise so, dass ein Nutzer den PHP-Code der Software auf einen Webserver hochlädt und anschließend den Installer über die Webseite aufruft. Dort werden Dinge wie die Datenbankeinstellungen eingetragen und meist ein initialer Admin-Nutzeraccount erstellt.

Anzeige

Das Risiko hier: Diese Installation findet bei den meisten Webanwendungen ohne jegliche Authentifizierung statt. Findet ein Angreifer eine uninstallierte Webanwendung, dann kann er üblicherweise trivial Code auf dem Server ausführen.

Bislang waren die ungeschützten Installer kein großes Problem, denn ein Angreifer müsste schon den genauen Zeitpunkt kennen, an dem ein Webmaster seine Anwendung installiert. Problematisch waren daher in erster Linie Installer, die liegengelassen wurden und die man beispielsweise irgendwann über eine Google-Suche finden konnte.

Doch mit Certificate Transparency ändert sich das. Denn dem Angreifer steht dadurch indirekt ein Feed mit vielen gerade neu erstellten Hostnamen zur Verfügung. Viele Webhoster unterstützen inzwischen standardmäßig HTTPS und erstellen automatisch Zertifikate, wenn man einen neuen Hostnamen anlegt.

Backdoor mittels Plugin hochladen

Ein Angreifer kann nun die Certificate-Transparency-Logs beobachten und die Webseiten zu allen dort neu eingetragenen Zertifikate abrufen. Die abgerufenen Seiten werden mit den Installationsroutinen von gängigen Webapplikationen verglichen. Mit etwas Glück trifft der Angreifer genau den richtigen Zeitpunkt, zu dem gerade die Installation durchgeführt wird.

Wenn ein Angreifer dabei einen Installer beispielsweise von einem Wordpress findet, kann er diesen direkt übernehmen. Zunächst installiert er die Anwendung. Für den Datenbankzugang kann er eine externe Datenbank nutzen, beispielsweise von einem kostenlosen MySQL-Hosting-Service.

Wenn man die Installation selbst durchgeführt hat ist es bei den meisten Webanwendungen kein Problem, auch Code direkt auszuführen. Üblicherweise geht das, indem man ein dafür ein Plugin installiert. So kann der Angreifer beispielsweise eine PHP-Shell hochladen.

Anschließend kann er die Installation wieder rückgängig machen. Dafür reicht es in der Regel, die Konfigurationsdatei zu löschen, die bei der Installation angelegt wurde. Wenn man das alles schnell durchführt - beispielsweise indem man es automatisiert - merkt der Besitzer der Webapplikation überhaupt nichts, da die Installation danach wieder wie gewohnt zur Verfügung steht.

Der Angreifer hat jetzt eine Hintertür, über die er nach Belieben Code ausführen kann. Die kann er später für alles mögliche nutzen, beispielsweise für ein Defacement der Webseite, um Spam zu verschicken oder um Phishing-Seiten auf dem Webserver abzulegen.

5.000 übernommene Wordpress-Installationen in drei Monaten

Der Autor hat über drei Monate ein Testskript laufen lassen, das die Transparency-Logs beobachtet und die entsprechenden Webseiten nach Installern absucht. Der letzte Schritt, das eigentliche Übernehmen der Webanwendung, wurde dabei natürlich ausgelassen.

Mit Abstand am häufigsten fanden sich dabei wenig überraschend Installer für Wordpress. Etwa 5.000 Wordpress-Installationen hätte man übernehmen können. Bei Joomla waren es immerhin noch knapp 500, bei Nextcloud 120. Andere Webanwendungen traten vergleichsweise selten auf.

Ein solcher Angriff könnte weiter optimiert werde. Das Skript prüfte jeden Host nur einmal pro Zertifikat. Ein Angreifer könnte aber alle neuen Zertifikats-Hostnamen, auf denen noch kein Inhalt hinterlegt ist, für mehrere Tage regelmäßig prüfen. Das verwendete Testskript hatte zudem recht knappe Timeouts, die dazu führten, dass Drupal-Installationen häufig nicht erkannt wurden, da der Installer relativ langsam antwortet.

Installer ohne Authentifizierung als Risiko

Um sich vor solchen Angriffen zu schützen, sollten Webanwendungen eine Authentifizierung des Nutzers als Teil der Installationsroutine einführen. Dafür gibt es verschiedene Möglichkeiten, so könnte der Installer etwa eine Datei mit einem geheimen Token anlegen, das der Nutzer anschließend herunterladen und in ein Formular eingeben muss. Doch viele Webanwendungen wollen ungern einen solchen zusätzlichen Authentifizierungschritt einführen, da sie den Installer möglichst einfach gestalten wollen.

Erwähnenswert ist, dass einige Anwendungen nicht für einen solchen Angriff verwundbar sind, da ihr Installationsmechanismus anders funktioniert. Eine solche Software ist das von Wikipedia verwendete System Mediawiki. Der Installer von Mediawiki erzeugt eine Konfigurationsdatei. Die wird allerdings nicht direkt installiert, sondern muss vom Nutzer heruntergeladen und anschließend wieder ins Webverzeichnis hochgeladen werden.

Der Mediawiki-Installer erlaubt es allerdings, eine SQLite-Datenbank zu nutzen. Die wird vom Installer erstellt. Damit kann ein Angreifer, der einen Mediawiki-Installer findet, eine SQLite-Datei auf dem System anlegen. Bösartig ausnutzen lässt sich das aber vermutlich nicht.

 Certificate Transparency: Webanwendungen hacken, bevor sie installiert sindNur Joomla hat bisher reagiert 

eye home zur Startseite
RipClaw 31. Jul 2017

Das mit dem "erst im Heimnetz installieren" machen leider die wenigsten. Die meisten...

Themenstart

JustSnipy 30. Jul 2017

Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel...

Themenstart

Vogel22 30. Jul 2017

Man kann den Prozess ja recht einfach mit einem Zwischenschritt absichern. Man benötigt...

Themenstart

thomas.pi 30. Jul 2017

Ich möchte ja erreichen, dass nicht jeder einen Mangento Shop aufsetzten kann und damit...

Themenstart

User_x 29. Jul 2017

und solange nix passiert, kräht auch kein hahn danach. mein vermieter ist kein...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. SCHIFFL GmbH & Co. KG, Hamburg
  2. via Nash Direct GmbH, München
  3. TUI InfoTec GmbH, Hannover
  4. Leadec Management Central Europe BV & Co. KG, Stuttgart


Anzeige
Top-Angebote
  1. 219,90€ + 7,98€ Versand (Vergleichspreis 269€)
  2. ab 179,99€

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  2. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  3. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  2. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  3. Kreditrating Equifax' Krisenreaktion ist ein Desaster

  1. Re: natürlich ist das sinnvoll

    Sarkastius | 04:00

  2. Re: Ein Ersatz für Pulse?

    Seitan-Sushi-Fan | 03:22

  3. Re: Die Umfrage ist ziemlich wertlos ohne weitere...

    maverick1977 | 03:15

  4. Re: Vodafone Cable in Berlin Verbindungsabbrüche

    SzSch | 03:03

  5. Re: History repeats itself

    Seitan-Sushi-Fan | 03:00


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel