Cross-Build-Injection - eine neue Schwachstellenklasse bei Open-Source-Software

Fortify schützt Unternehmen vor der unwissentlichen Integration von Exploits in Open-Source-Applikationen

(24.10.07) - Die Fortify Security Research Group hat eine neue Klasse - "Cross-Build-Injection" - von Software-Schwachstellen identifiziert. Bei den dadurch möglichen Angriffen fügen Angreifer bereits während der Entwicklung eigenen Code in ein Zielprogramm ein. Diese Art von Sicherheits-lücken wurde bei der Zusammenarbeit von Fortify Software mit dem Projekt Java Open Review (JOR) erkannt.

Um Unternehmen und Programmentwickler mit detaillierten Informationen zu dieser neuen Schwachstellenklasse zu versorgen sowie zum Schutz von Software-Anwendern hat Fortify das 10-seitige Whitepaper "Attacking the Build through Cross-Build-Injection" erstellt.

Parallel wurde ein Update der "Fortify Secure Coding Rulepacks" für die Software-Security-Applikationen von Fortify erstellt, um Entwickler und Sicherheitsverantwortliche in die Lage zu versetzen, diese neuen Schwachstellen zu erkennen und zu beseitigen. Weiterhin unterstützt das aktualisierte Rulepack nun die Schwachstellenbeschreibung nach dem Standard Common Weakness Enumeration (CWE) sowie die Analyse von LDAP-Injection-Schwachstellen.

"Diese neue Schwachstellenkategorie zeigt, dass Hacker ihr Augenmerk immer häufiger in Richtung Softwareentwicklung lenken, um sich Zugang zu den IT-Systemen von Unternehmen zu verschaffen", sagt Brian Chess, Chief Scientist bei Fortify Software. "Statt Sicherheitslücken in bereits eingesetzten Applikationen auszunutzen, versuchen Angreifer, potenzielle Angriffsziele während des Entwicklungsprozesses der Software einzufügen, also noch bevor die Anwendung zum Einsatz kommt. Dies ist auch schon in der Vergangenheit geschehen, aber die neuste Generation von Programmier-Tools sorgen dafür, dass die Gefahr für Unternehmen heute ungleich höher ist."

Automatisierte Systeme zur Wiederverwendung und Kompilierung von Quellcode wurden entwickelt, um den Software-Entwicklungsprozess zu vereinfachen und zu beschleunigen. Gleichzeitig wurde damit aber auch die Basis für systemweite Schwachstellen geschaffen. Angreifer, die einen Server mit Systemkomponenten oder den DNS-Server, den die Build-Machine zur Lokalisierung des Servers nutzt, kompromittieren, können über diese Schwachstellen die komplette Kontrolle über die Build-Machine und möglicherweise andere Rechner im remoten Netzwerk erlangen.

Cross-Build-Injection-Attacken bilden die aktuelle Bedrohungsklasse, die Entwickler und Sicherheitsexperten gleichermaßen tangiert. Die Fortify Security Research Group hat ermittelt, dass Systeme, die während des Software-Entwicklungsprozesses automatisch externe Ressourcen laden - wie etwa die populären Build-Tools Ant, Maven und Ivy - potenziell besonders verwundbar sind. Die Gefahr besteht, dass Hacker während des Entwicklungsprozesses den Quellcode eines Projektes verändern und gegen Versionen austauschen können, die Schadcode wie Trojaner oder andere Malware enthalten. Externe Ressourcen und Open-Source-Komponenten stellen nicht zwangläufig ein Sicherheitsrisiko dar. Allerdings müssen sie in die Überprüfung mit einbezogen werden, um gewährleisten zu können, dass sie die Sicherheit der Applikationen, in denen sie zum Einsatz kommen, nicht gefährden. (Fortify: ma)