Nutzerdaten in Gefahr: Behörden warnen vor gefährlichen Idor-Schwachstellen im Web
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit der National Security Agency (NSA) und dem Australian Cyber Security Centre (ACSC) eine neue Mitteilung veröffentlicht(öffnet im neuen Fenster) , in der die Behörden vor sogenannten Idor-Schwachstellen (Insecure Direct Object Reference) warnen, die es Angreifern ermöglichen, durch einen Zugriff auf interne Objektverweise in vielen Webanwendungen auf sensible Daten zuzugreifen und diese zu manipulieren.
"Diese Schwachstellen werden häufig von böswilligen Akteuren bei Datenschutz-Vorfällen ausgenutzt und haben dazu geführt, dass persönliche, finanzielle und gesundheitliche Daten von Millionen von Benutzern und Verbrauchern kompromittiert wurden" , so die CISA.
Wie Bleeping Computer berichtet(öffnet im neuen Fenster) , liegt die Ursache dafür unter anderem in oftmals unzureichend umgesetzten Eingabe- und Berechtigungsprüfungen innerhalb der jeweiligen Webanwendungen. Dadurch stelle eine Idor-Schwachstelle ein erhebliches Sicherheitsrisiko dar, da böswillige Akteure darüber Zugriff auf Ressourcen erhalten, für deren Verwendung sie eigentlich nicht berechtigt sind.
Der NSA zufolge(öffnet im neuen Fenster) kann dies potenziell jede Webanwendung betreffen, egal ob es sich um frei zugängliche oder private Cloud-basierte Anwendungen oder um lokal innerhalb von Unternehmensnetzwerken bereitgestellte Web-Apps handelt.
Was Entwickler und Unternehmen gegen Idor-Schwachstellen tun können
Entwickler sind dazu angehalten, bei der Erstellung ihrer Webanwendungen gewisse sicherheitsbezogene Best Practices einzuhalten, um das Risiko für die Entstehung von Idor-Schwachstellen zu minimieren. Neben Authentifizierungs- und Autorisierungsprüfungen für jede Anfrage der Software, mit der diese sensible Daten liest, ändert oder löscht, führt die CISA diesbezüglich auch den gezielten Einsatz von Codeprüfungswerkzeugen an, die Idor-Schwachstellen automatisch identifizieren und Entwicklern dabei helfen, diese zu beheben.
Um sicherheitskritische Namen, Schlüssel oder IDs zu schützen, empfiehlt die Behörde(öffnet im neuen Fenster) beispielsweise den Einsatz von Reference-Mapping, bei dem derartige Elemente hinter eindeutigen Bezeichnern (UUID oder GUID) verborgen bleiben, die anwendungsintern lediglich auf die sensiblen Elemente verweisen. Außerdem seien Bibliotheken oder Frameworks von Drittanbietern vor deren Verwendung jeweils einem sorgfältigen Sicherheitscheck zu unterziehen und stets auf dem neuesten Stand zu halten.
Organisationen, die Webanwendungen einsetzen, sind ferner dazu angehalten, die von Idor-Schwachstellen ausgehende Bedrohung durch ein effektives Risikomanagement, die frühzeitige Installation von Sicherheitsupdates, regelmäßige Schwachstellen-Scans und Penetrationstests sowie die Auswahl seriöser Software-Anbieter zu entschärfen.