Bug-Spezies gefährdet Open-Source-Apps

17.10.2007
Eine neue Schwachstellengattung namens "Cross Build Injection" (XBI) soll es Angreifern ermöglichen, eigenen Code in ein noch in der Entwicklungsphase befindliches Programm zu schleusen.

Die Security Research Group von Fortify Software hat in Zusammenarbeit mit dem Projekt "Java Open Review" (JOR) eine neue Klasse von Bugs identifiziert, die sich nicht zuletzt die Atmosphäre des Vertrauens in der Open-Source-Entwicklung zunutze machten.

Automatisierte Systeme zur Wiederverwendung und Kompilierung von Quellcode wurden entwickelt, um den Software-Entwicklungsprozess zu vereinfachen und zu beschleunigen. Den Sicherheitsexperten zufolge wurde damit aber zugleich auch die Basis für systemweite XBI-Schwachstellen geschaffen. Demnach können sich Angreifer, die einen Server mit Systemkomponenten oder den DNS-Server, den die Build-Machine zur Lokalisierung des Servers nutzt, kompromittieren, über diese Sicherheitslücken die komplette Kontrolle über die Build-Machine und möglicherweise andere Rechner im Netz verschaffen.

Besonders gefährdet sind nach Untersuchungen des auf Schwach-stellenerkennung und -beseitigung spezialisierten Unternehmens Systeme, die während des Software-Entwicklungsprozesses automatisch externe Ressourcen laden - wie etwa die populären Build-Tools Apache Ant, Maven und Ivy. Demnach besteht die Gefahr, dass Hacker noch während des Entwicklungsprozesses den Quellcode eines Projekts modifizieren und gegen mit Schadcode wie Trojanern oder anderer Malware behaftete Versionen austauschen. Externe Ressourcen und Open-Source-Komponenten stellten zwar nicht zwangsläufig ein Risiko dar, müssten aber in die Überprüfung einbezogen werden, um die Sicherheit der Applikationen, in denen sie zum Einsatz kommen, nicht zu gefährden.

"Diese neue Schwachstellenkategorie zeigt, dass Hacker ihr Augenmerk immer häufiger in Richtung Softwareentwicklung lenken, um sich Zugang zu den IT-Systemen von Unternehmen zu verschaffen", kommentiert Brian Chess, Chief Scientist bei Fortify Software, die jüngsten Erkenntnisse. Statt Sicherheitslücken in bereits eingesetzten Applikationen auszunutzen, versuchten Angreifer mittlerweile, potenzielle Angriffsziele während der Softwareentwicklung einzufügen - noch bevor die Anwendung zum Einsatz komme. "Dies ist auch in der Vergangenheit schon geschehen, die neueste Generation von Programmier-Tools sorgt aber dafür, dass die Gefahr für Unternehmen heu-te ungleich höher ist", warnt Chess.

Tool-seitige Hilfe

Nähere Informationen zu der Bedrohung stellt Fortify in seinem Whitepaper "Attacking the Build through Cross-Build-Injection" zur Verfügung. Parallel dazu hat das Unternehmen das Rulepack für seine Software-Security-Applikationen einschlägig erweitert. Darüber hinaus soll das Update nun die Schwachstellenbeschreibung nach dem CWE-Standard sowie die Analyse von LDAP-Injection-Schwachstellen unterstützen. (kf)