Warnung vor neuer IT-Sicherheitsbedrohung durch „Reverse Web Proxy Bypass“

(openPR) Nach Context-Entdeckung: Apache veröffentlicht Sicherheitsempfehlung
Aufgrund der Entdeckung einer „Backdoor“-Bedrohung durch die Analysten von Context Information Security richtete sich die Apache Software Foundation gestern mit einer Sicherheitsempfehlung an ihre Kunden. Die ermittelte Schwachstelle fällt in eine neue Angriffskategorie: Durch Ausnutzung von unzureichend gesicherten Reverse Web Proxies können Angreifer vollständigen Zugriff auf interne beziehungsweise DMZ (Demilitarised Zone)-Systeme erhalten. Context informierte Apache im vergangenen Monat über diese Sicherheitsbedrohung. Heute veröffentlichen die Experten für Informations- und Datensicherheit in ihrem Blog eine detaillierte Beschreibung der neuen Angriffskategorie. Context geht davon aus, dass auch andere Web Server beziehungsweise Proxies in ähnlicher Weise betroffen sein könnten. Der Blog enthält daher auch Hinweise auf Möglichkeiten zur Risikominimierung.

http://www.contextis.com/research/blog/reverseproxybypass



Reverse Web Proxies ermöglichen die Weiterleitung externer HTTP- und HTTPS-Web-Anfragen zu einem oder mehreren internen Web-Servern und den dort gespeicherten Daten oder anderen Ressourcen. Potenziell könnten auch andere Proxies eine derartige Sicherheitslücke aufweisen. Die spezielle Angriffsmöglichkeit, die Context identifizieren konnte, richtet sich jedoch gegen den Apache Web-Server. Dieser kann die Proxy-Funktion „mod_rewrite“ nutzen, um Web-Anfragen dynamisch und regelbasiert umzuschreiben und zu modifizieren. Falls diese Proxies nicht korrekt konfiguriert sind, kann Context eine Veränderung in der Zugriffsanfrage auf DMZ-Systeme erzwingen. Dies betrifft auch den Zugang zu administrativen Schnittstellen auf Firewalls, Routern, Web-Servern und Datenbanken. Im Falle von schwachen Zugangsdaten auf den angegriffenen Systemen können die Analysten das vollständige Netzwerk kompromittieren – zum Beispiel durch das Hochladen von Trojanern.


Das IT-Sicherheitsrisiko kann durch eine Überprüfung der Konfiguration der Reverse Proxies reduziert werden. Es muss sichergestellt werden, dass die „Rewrite“-Regeln nicht zum Umschreiben der URLs missbraucht werden können. Context hat die neueste Version seines „Context Application Tool“ (CAT) veröffentlicht, welches auf der Website des Unternehmens zum kostenlosen Download zur Verfügung steht (http://www.contextis.com). Mit CAT können potenzielle Sicherheitslücken in Web-Anwendungen identifiziert werden.

Die Regel auf dem Web-Server lässt sich durch das Hinzufügen eines Schrägstrichs sicher gestalten. Dieser führt dazu, dass der Reverse Proxy nicht den Domain-Namen und Teile des jeweiligen Ports einer Anfrage als Benutzername und Passwort interpretiert. Eine gesicherte Rewrite-Regel würde wie folgt aussehen:

RewriteRule ^(.*) http://­­internalserver:80/$1 [P]

Ist der Server jedoch wie folgt konfiguriert, ist der Zugang zu anderen Systemen über das Internet wahrscheinlich.

RewriteRule ^(.*) http://internalserver:80$1 [P]



In ihrer Sicherheitsempfehlung rät Apache den Nutzern der Apache HTTPD dringend ihre Konfigurationsdateien zu prüfen. Es gelte, unsichere Einstellungen für Reverse Proxy-Regeln umgehend zu identifizieren und anzupassen. Die vollständige Sicherheitsempfehlung ist unter folgendem Link zu finden:

http://seclists.org/fulldisclosure/2011/Oct/232