Fortify: Neue Bug-Spezies gefährdet Open-Source-Anwendungen

12.10.2007
Eine Schwachstellengattung namens "Cross-Build-Injection" (XBI) soll es Angreifern ermöglichen, eigenen Code in ein noch in der Entwicklungsphase befindliches Programm zu schleusen.

Die Security Research Group von Fortify Software hat in Zusammenarbeit mit dem Projekt "Java Open Review" (JOR) eine neue Klasse von Bugs identifiziert, die sich nicht zuletzt die Atmosphäre des Vertrauens in der Open-Source-Entwicklung zunutze macht.

Automatisierte Systeme zur Wiederverwendung und Kompilierung von Quellcode wurden entwickelt, um den Software-Entwicklungsprozess zu vereinfachen und zu beschleunigen. Den Sicherheitsexperten zufolge wurde damit aber zugleich auch die Basis für systemweite XBI-Schwachstellen geschaffen. Demnach können sich Angreifer, die einen Server mit Systemkomponenten oder den DNS-Server, den die Build-Machine zur Lokalisierung des Servers nutzt, kompromittieren, über diese Sicherheitslücken die komplette Kontrolle über die Build-Machine und möglicherweise andere Rechner im Netz verschaffen.

Besonders gefährdet sind nach Untersuchungen des auf Schwachstellenerkennung und -beseitigung spezialisierten Unternehmens Systeme, die während des Software-Entwicklungsprozesses automatisch externe Ressourcen laden - wie etwa die populären Build-Tools Apache Ant, Maven und Ivy. Demnach besteht die Gefahr, dass Hacker noch während des Entwicklungsprozesses den Quellcode eines Projekts modifizieren und gegen mit Schadcode wie Trojanern oder anderer Malware behaftete Versionen austauschen. Externe Ressourcen und Open-Source-Komponenten stellten zwar nicht zwangsläufig ein Risiko dar, müssten aber in die Überprüfung einbezogen werden, um die Sicherheit der Applikationen, in denen sie zum Einsatz kommen, nicht zu gefährden.

"Diese neue Schwachstellenkategorie zeigt, dass Hacker ihr Augenmerk immer häufiger in Richtung Softwareentwicklung lenken, um sich Zugang zu den IT-Systemen von Unternehmen zu verschaffen", kommentiert Brian Chess, Chief Scientist bei Fortify Software, die jüngsten Erkenntnisse. Statt Sicherheitslücken in bereits eingesetzten Applikationen auszunutzen, versuchten Angreifer mittlerweile, potenzielle Angriffsziele während des Entwicklungsprozesses der Software einzufügen - noch bevor die Anwendung zum Einsatz komme. "Dies ist auch in der Vergangenheit schon geschehen, die neueste Generation von Programmier-Tools sorgt aber dafür, dass die Gefahr für Unternehmen heute ungleich höher ist", warnt Chess.

Detaillierte Informationen zu der Bedrohung stellt Fortify in seinem Whitepaper "Attacking the Build through Cross-Build-Injection" zur Verfügung. Parallel dazu hat das Unternehmen das Rulepack für seine Software-Security-Applikationen erweitert, um Entwickler und Sicherheitsverantwortliche in die Lage zu versetzen, die neuen Schwachstellen zu erkennen und zu beheben. Das Update soll zudem die Schwachstellenbeschreibung nach dem CWE-Standard (Common Weakness Enumeration) sowie die Analyse von LDAP-Injection-Schwachstellen unterstützen. (kf)