Suchen

SonicWALL warnt vor Schwachstelle und zeigt Methoden zum Schutz Einfache Wildcard-Policy für URL-Adressen schützt Clientless SSL VPN

| Redakteur: Peter Schmitz

Das amerikanische Computer Emergency Readyness Team (US-CERT) meldete Ende November, dass einige Produkte für Clientless SSL VPN einen Sicherheitsmechanismus von Webbrowsern aushebeln. Angreifer können damit beispielsweise Authentifizierungsprozesse umgehen, sensible Daten stehlen oder andere Web-Attacken starten.

Firmen zum Thema

Das US-CERT warnt vor einer Sicherheitslücke in Produkten für Clientless SSL VPN. SonicWALL zeigt seinen Anwendern jetzt einen einfachen Lösungsweg.
Das US-CERT warnt vor einer Sicherheitslücke in Produkten für Clientless SSL VPN. SonicWALL zeigt seinen Anwendern jetzt einen einfachen Lösungsweg.
( Archiv: Vogel Business Media )

Der Sicherheitsmechanismus „Same Origin Policy“ für Browser und Webanwendungen dient dazu, dass Objekte einer Website oder Web-basierenden Anwendung wie beispielsweise Cookies nicht von einer anderen Quelle ausgelesen werden können. JavaScript oder ActionSkript dürfen nur dann auf Objekte zugreifen, falls sie aus derselben Quelle stammen.

Wenn für eine VPN-Verbindung vor den Domain-Namen der Name des VPN-Servers gesetzt ist, greift die Same Origin Policy nicht mehr, da alle Objekte nun scheinbar aus einer Quelle stammen, auch wenn danach unterschiedliche Domains folgen. Leitet ein Angreifer den VPN-Nutzer auf eine manipulierte Site, kann er sensible Daten abgreifen oder die Tunnel-Verbindung für sich nutzen.

Falls Unternehmen eine Richtlinie so festgesetzt haben, dass alle URL-Adressen für *.com zugelassen sind, sind potenziell alle Anwendungen gefährdet, die über den Domain-Namen angesprochen werden. Ein Beispiel: Die Domain für die Anwendung lautet https://workplace.mydomain.com und *.com ist als erlaubte Ressource definiert. Meldet sich ein Benutzer dann für seinen Outlook Web Access unter https://workplace.mydomain.com/go/owa001.mydomain.com an, liegen alle Cookies der Domain workplace.mydomain.com auch für die OWA-Anwendung offen.

Falls der Anwender dann beispielsweise auf eine Phishing-Adresse in seiner E-Mail (https://workplace.mydomain.com/go/badguys.com/) klickt, werden alle Anfragen, die badguys.com an die Web-Anwendung richtet, als korrekt und gültig interpretiert und alle Cookies, die badguys.com auslesen möchte, bekommt die Anwendung demzufolge auch zurückgemeldet.

Die SonicWALL Aventail-Produktlinie ist nach Angaben des Herstellers nur dann angreifbar, wenn IT-Administratoren die Richtlinien für die Domainnutzung sehr allgemein halten. Der einfachste Weg, Attacken zu verhindern, ist es, die Nutzung von Wildcards in URL-Ressourcen einzuschränken.

Ein Beispiel: Lautet die Hauptdomain des Unternehmens mydomain.com und die Domains weiterer Standorte des Unternehmens sind http://owa001.sea.mydomain.com, http://owa001.sjc.mydomain.com, etc., dann sollte als Wildcard-URL beispielsweise nur http://owa001.*.mydomain.com erlaubt sein. SonicWALL empfiehlt, Wildcards in Top-Level-Domains wie http://*.com oder http://*.net nicht zuzulassen.

(ID:2042594)