Carsten Eilers Selbstständig

Wenn Sie sich die vorgestellten Beispielschwachstellen und -angriffe ansehen, erkennen Sie ein Muster: Das Problem ist nicht SOAP selbst, sondern die fehlende Authentifizierung bzw. Autorisierung.

SOAP war früher die Abkürzung für Simple Object Access Protocol; heutzutage wird diese aber nicht mehr verwendet, denn SOAP ist gar nicht so „Simple“ und auf keinen Fall nur auf Objektzugriffe beschränkt. Wenn etwas nicht einfach ist, wird es schnell zur Gefahrenquelle: Entweder weil die Implementierungen Schwachstellen aufweisen oder eine sichere Nutzung unnötig erschwert wird. Wie sieht es denn da bei SOAP aus?

SOAP gilt dem Austausch von Daten und dem Durchführen von Remote Procedure Calls (RPC, entfernte Prozeduraufrufe), ursprünglich nur zwischen verschiedenen Servern, inzwischen auch zwischen Client und Server. SOAP stützt sich auf verschiedene andere Standards: XML für die Repräsentation der Daten und Internetprotokolle (vor allem HTTP) für ihren Austausch.

Eins seiner Haupteinsatzgebiete ist die Kommunikation zwischen Web Services, und im Rahmen von Webanwendungen wird es meist für die Kommunikation zwischen verschiedenen Backend-Komponenten verwendet. Aber auch für die Konfiguration von Netzwerkgeräten wird teilweise SOAP für die Kommunikation verwendet.

Einige Beispiele für Schwachstellen und Angriffe

Im November 2016 wurde eine Schwachstelle in den DSL-Routern des irischen Providers Eir gefunden. Die Router öffneten einen Port für das Fernwartungsprotokoll TR-069, der auch für das damit verwandte Protokoll TR-064 genutzt wird. Und das sollte eigentlich nur aus dem lokalen Netz zugänglich sein, da über dessen SOAP-Schnittstelle ohne Authentifizierung die DNS- und NTP-Konfiguration der Geräte geändert werden kann.

2016: Angriff auf Telekom-Router

Nun ist Irland ziemlich weit weg und Schwachstellen in den dortigen DSL-Routern sind hier in Deutschland erst mal ziemlich uninteressant. Aber nur, bis ein Cyberkrimineller versucht, die Schwachstelle auch hier auszunutzen – probieren kann man es ja mal, die Provider bauen und/oder programmieren ihre Router ja nicht selbst, sondern kaufen sie irgendwo ein. Da ist es gar nicht mal so unwahrscheinlich, dass die in mehr als einem Land und/oder von mehr als einem Provider genutzt werden. Wenig später kam es zu einer großflächigen Störung im Telekom-Netz: Ein Cyberkrimineller hatte den Proof of Concept für die Schwachstelle in den irischen Routern mit dem Code des Mirai-Botnets kombiniert und auf das Telekom-Netz losgelassen. Dort kam es allerdings nicht zur Infektion der Router, stattdessen fielen sie aus.

Nicht SOAP, sondern der aus dem Internet zugängliche Port für die Fernwartung war hier das Problem. SOAP diente nur dem Transport des Exploits.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Windows Developer 1.19 - "Umzug ins Web"

Alle Infos zum Heft
579868818Wie sicher ist SOAP? Und wie kann man es absichern?
X
- Gib Deinen Standort ein -
- or -