Sicherheit aus den 90ern: #securthursday KW 10/2015

Header-Logo Sicherheit am Donnerstag

Jeden Donnerstag bündelt secu-ring ab jetzt aktuelle Meldungen über kritische Sicherheitslücken. So gehen wichtige Hinweise nicht im täglichen Nachrichtenstrom unter.

Heute: Sicherheit aus den 90ern: Freak – SSL/TLS und phpMoAdmin.

1. phpMoAdmin

Vor zwei Wochen berichteten wir auf diesem Blog von 40.000 offen zugänglichen MongoDB-Installationen, nun sollten Benutzer zur Sicherheit wieder ihre Systeme überprüfen. In diesem Fall betrifft es nicht die Datenbank selber, sondern ein 3rd-Party Tool zur Verwaltung namens phpMoAdmin.

Ein in einschlägigen Foren erhältlicher Zero-Day-Exploit ermöglicht es Angreifern, remote Code  auf dem betroffenen Server auszuführen. Von den Entwicklern gab es bis jetzt weder einen Patch noch eine Stellungnahme. Betroffene Benutzer können Abhilfe schaffen, indem Sie auf eine alternative Lösung, wie RockMongo oder Mongo-Express, setzen oder die moadmin.php per htaccess vor unberechtigtem Zugriff schützen.

Die letzte Lösung sollte für alle wichtigen Verzeichnisse gelten und in den eigenen Sicherheitsrichtlinien festgehalten sein. Wie immer gilt: Standards in der Serveradministration helfen Schaden von vornherein zu minimieren.

2. FREAK: SSL/TLS – OpenSSL, Android Webbrowser & Safari und die Sicherheit aus den 90ern

Das nächste Problem hat seine Wurzeln im letzten Jahrtausend: In den 1990er Jahren sah die US-Regierung starke Kryptografieschlüssel als Waffe an, die mit Exportbeschränkungen belegt wurden. Es brauchte Etagen voller Superrechner, um diese zu dechiffrieren. Heute sind diese sogenannten Export-Ciphers (RSA-Schlüssel mit maximal 512 bit) von versierten Nutzern bzw. über Webdienste in sieben Stunden zu entschlüsseln. Da die meisten Server solche Schlüssel nicht on the fly (also bei Bedarf) erzeugen, sondern zwischenspeichern, ist ein einmal geknackter Schlüssel längere Zeit brauchbar.

Das als FREAK (Factoring attack on RSA-EXPORT-Keys) bezeichnete Szenario erlaubt die Entschlüsselung von TLS/SSL-gesichertem Datenverkehr, indem ein Rückfall auf die unsichere Verbindung erzwungen wird. Danach kann der Angreifer zum Beispiel die Identität einer Website annehmen und in ungesicherten Netzwerken die Daten der Nutzer mitschneiden oder manipulieren. Für einen Angriff in den heimischen vier Wänden müsste also erst ein Zugang zum Router bestehen, während die Gefahr in öffentlichen W-Lans größer ist.

Dieses Szenario ist nur möglich, wenn beide Seiten diesen Export-Cipher unterstützen – was derzeit bei OpenSSL vor 1.0.1k, dem Webrowser von Android sowie Apples Safari der Fall ist. Serverseitig sind z.B. Content Delivery Networks wie Akamai betroffen, aber auch die Seiten von NSA oder IBM.

Wie reagieren die Hersteller? Apple will nächste Woche einen Patch für iOS und OS X veröffentlichen, Google verteilt Updates an seine Partner und Betreiber wie Akamai deaktivieren nacheinander die Export-Cipher in ihren Servern.

Firmenintern sollten nicht nur die Server, sondern auch die Firmenhandys überprüft und Sensibilisierungs- sowie Gegenmaßnahmen ergriffen werden.  Wer selber testen möchte, ob er betroffen ist, kann auf den SSL-Test von SSL Lab (analog auch für Server) zurückgreifen.

Eine detailliertere Beschreibung und weiterführende Links finden Interessierte z.B. im Artikel von Matthew Green auf cryptographyengineering.com.

Update 06.03.2015

Die Zahl der betroffenen Konfigurationen hat sich erhöht. Die Kollegen von heise-security haben folgende Übersicht veröffentlicht:

  • Android-Browser (zu erkennen an der blauen Weltkugel)
  • Blackberry Browser
  • Chrome (Android, OS X)
  • Dolphin (Android, iOS)
  • iCab (iOS)
  • Internet Explorer
  • Mercury (Android, iOS)
  • Opera/Opera mini (Android, iOS, Linux, OS X)
  • Safari (iOS, OS X, Windows)
  • UC Browser (Android)

Anmerkung: Der Internet Explorer scheint auf jedem System betroffen zu sein. Insbesondere auf Windows Phone und Tablets mit Windows RT ist Vorsicht geboten, da z.B. auf letzteren keine alternativen Browser zulässig sind. Windows-Server sollen dagegen in der Standardkonfiguration nicht betroffen sein – solange die entsprechenden Cipher nicht aktiviert worden sind. Microsoft stellt vorerst einen Workaround bereit, hat aber noch keine genauen Zeitangaben für einen Patch veröffentlicht.

Einen weiteren Test gibt es auch auf: Freakattack.com

 

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.

2 responses on “Sicherheit aus den 90ern: #securthursday KW 10/2015

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.