Experten der Northeastern University in Boston haben das Web nach populären JavaScript-Bibliotheken durchsucht, die auf Websites in einer veralteten, mit Schwachstellen behafteten Version zum Einsatz kommen. Fazit der Studie: In 37 Prozent der überprüften rund 133.000 Fälle werden JavaScript-Bibliotheken verwendet, die mindestens eine bereits bekannte Sicherheitslücke aufweisen. Jede zehnte Site setzt sogar zwei oder mehr verwundbare Libraries ein. Im Schnitt wurden die Scripte auf den angreifbaren Sites seit drei bis vier Jahren nicht mehr aktualisiert.
Oliver Keizers, Regional Director DACH des Security-Spezialisten Fidelis Cybersecurity, kommentiert diese Ergebnisse wie folgt:
„Zunächst möchte ich einmal auf einen – wenn es nicht so traurig wäre – amüsanten Fakt hinweisen. Schauen Sie sich einmal Grafik 10 auf der zehnten Seite der originalen Studie an: Demnach sind die Auftritte der Anbieter von ‚Inhalten für Erwachsene‘ in Hinblick auf die verwendeten JavaScript-Libraries deutlich sicherer als Websites von Regierungsstellen.
Doch nun zum Kern der Sache. Die geschilderten möglichen Angriffe sind deshalb so gefährlich, weil klassische und leider oft vermeintliche Sicherheitsmechanismen wie Firewalls, Virenscanner oder andere Schutzmaßnahmen am Perimeter nicht greifen. Denn diese analysieren meist nur die eingehenden Datenströme, während ein JavaScript auf einem Webserver in der DMZ Zugriff auf interne Datenströme hat oder haben kann. Zudem ist der Einsatz von JavaScript-Bibliotheken äußerst populär, aber nur wenig kontrolliert.
Wichtig ist es also, nicht nur pedantisch zu beobachten, welche Daten an ein System gesendet werden, sondern parallel auch, was auf einem System bereits vorhanden ist. Wird diese Erkennung alleine über Signaturen durchgeführt, wird es kaum möglich sein, bei so vielen verwundbaren Libraries wirklich alle Erkennungsstrings zur Verfügung zu stellen. Zudem werden die relevanten Bibliotheken nicht unbedingt vom eigenen Server geladen und eingebunden, was es für Angreifer noch einfacher macht. Denn sie brauchen nur einen Weg zu finden, das Original zu kapern, um auf einen Schlag unzählige potenzielle Angriffsziele zu schaffen.
Nur Systeme mit einem ‚ganzheitlichen‘ Ansatz können dies bewerkstelligen. Denn sie kontrollieren nicht nur die ein- und ausgehenden Daten von Netzwerken und Endpunkten in Echtzeit, sie überwachen darüber hinaus auch den Verkehr, der innerhalb des Netzes stattfindet. Sie erkennen somit laterale Bewegungen und stellen auch die forensischen Informationen zur Verfügung, die notwendig sind, um zweifelhafte interne Prozesse zu erkennen und zu eliminieren.“
Quelle: Fidelis Cybersecurity, Finn Partners Deutschland
