Gefahren durch Webshells: NSA nennt beliebte Einfallstore für Server-Angriffe

US- und australische Behörden geben Tipps zum Aufspüren von Webshells und nennen einige teils recht alte, bei Angreifern aber noch immer beliebte Lücken.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 8 Beiträge

(Bild: asharkyu/Shutterstock.com)

Von

Die National Security Agency (NSA) hat in Zusammenarbeit mit dem australischen Nachrichtendienst Australian Signals Directorate (ASD) ein 17-seitiges "Cyber Security Information Sheet" veröffentlicht. Es befasst sich mit den – nach Einschätzung der beiden Behörden zunehmenden – Gefahren durch sogenannte Webshells. Skripte oder Programme also, die Angreifer auf schlecht gesicherten Webservern platzieren und die ihnen anschließend den Fernzugriff beziehungsweise das Ausführen von Befehlen auf den kompromittierten Systemen ermöglichen.

Das Dokument steht ab sofort zum Download bereit. Es gibt Admins Tipps und Techniken zum Aufspüren und Entfernen des – häufig gut getarnten und mit wirkungsvollen Persistance-Mechanismen ausgestatteten – Schadcodes an die Hand. Auch nennt es konkrete, meist kostenlose Skripte und Tools, die beim Erkennen von Anomalien helfen. Viele der genannten Hilfsmittel sind Teil eines GitHub-Repositories der NSA, das sich ausschließlich der Webshell-Thematik widmet. Ausführliche Erläuterungen (und Quellcode) inklusive.

Nicht nur Detection, Response und Recovery, sondern auch vorbeugende Maßnahmen gegen erfolgreiche Angriffe (Prevention) werden im Information Sheet (wie auch im Repository in Gestalt entsprechender Tools, HIPS-Regeln etc.) thematisiert.

Das Sheet listet darüber hinaus 13 CVE-Nummern zu konkreten Sicherheitslücken auf, die Angreifer demnach typischerweise ausnutzen, um Webshells zu installieren. Die meisten stammen von 2019, zwei wurden bereits 2017 und eine 2018 gemeldet (zu erkennen an den CVE-Nummern in der Liste unten).

Die meisten, wenn nicht gar alle Lücken dürften von den jeweiligen Herstellern beseitigt worden sein. Ihre unveränderte Beliebtheit bei Angreifern legt allerdings nahe, dass längst nicht alle Anwender die bereitstehenden Patches auch angewendet haben. Somit könnte die nachfolgende Liste einen guten Anlass bieten, das mal zu checken.

Lesen Sie auch

(ovw)