Sicherheitslücke Zip Slip aufgedeckt

Publiziert am 6. Juni 2018 von Günter Born

Die nächste Sicherheitslücke mit dem Namen 'Zip Slip' wurde gerade von Sicherheitsforschern aufgedeckt. Die Schwachstelle findet sich in vielen Open Source-Projekten, von JAVA bis hin zu Packprogrammen. Selbst .NET oder JavaScript sind betroffen und als Anwender kommt man nicht daran vorbei. Hier einige Informationen samt Einschätzungen eines Infosec-Sicherheitsforschers.

Anzeige

Zip Slip aufgedeckt

Ich hatte es auf Twitter, u.a. von Jake Williams gelesen. Die Sicherheitslücke wurde hier vom Snyk-Sicherheitsteam zum 5. Juni 2018 offen gelegt. Zip Slip ermöglicht es willkürlich Dateien zu überschreiben. Da dies zu einer Remote Code-Ausführung führen kann (z.B. wenn eine kompromittierte Archivdatei entpackt wird), wird diese Schwachstelle als kritisch eingestuft.

Tausende an Projekten über Packer-Bibliotheken betroffen

Die Sicherheitslücke betrifft Tausende von Projekten, darunter Projekte von HP, Amazon, Apache, Pivotal und vielen anderen, die sich verwundbarer Bibliotheken zum Packen bedienen. Betroffen sind auch Eco-Systeme wie JavaScript, Ruby, .NET und Go, sowie das bereits erwähnt Java. Bei .NET ist wohl nur die NuGet DotNetZip betroffen (Microsofts .NET-Frameworks sind nach bisherigem Wissen sicher). Bei JAVA hat Oracle die betroffene Datei java.util.zip aktualisiert. Es scheint, als ob viele Software-Entwickler zügig reagieren.

Die CVEs und eine vollständige Liste der betroffenen Projekte gibt es hier. Zwar gab es diese Art von Verwundbarkeit schon früher. Aber in letzter Zeit hat sich das Problem in einer viel größeren Anzahl von Projekten und Bibliotheken manifestiert. Hintergrund ist, dass viele Entwickler auf die Verwendung handcodierter Entpackroutinen verzichten und eher auf Packer-Bibliotheken setzen. Enthält eine Bibliothek einen Fehler, sind gleich zig Projekte betroffen.

Sicherheitslücke beim Entpacken ausnutzbar

Die Sicherheitslücke ist mit Hilfe eines speziell erstellten Archivs ausnutzbar. Dazu muss das zu entpackende Archiv Verzeichnis-Traversal-Dateinamen enthalten (z.B. ../../evil.sh). Das führt dann dazu, dass der Entpacker aus dem Tritt kommt und dazu gebracht werden kann, andere (System-)Dateien zu überschreiben. Zum Überschreiben von Systemdateien sind natürlich entsprechende Privilegien erforderlich. Hier muss man halt schauen, ob und wann Entpacker diese Privilegien haben (unter Windows kann man das verhindern, auf Webservern könnte das aber zum Problem werden).

Eine Remote-Code-Ausführung wird so möglich. In einem White-Paper wird die Sicherheitslücke detaillierter beschrieben. Und auf GitHub gibt es vorbereitete Archive, die die Schwachstelle ausnutzen und für Testzwecke verwendet werden können. Die Zip-Slip-Schwachstelle kann zahlreiche Archivformate betreffen, darunter tar, jar, war, cpio, apk, rar und 7z.

Gegenmaßnahmen? Schwierig

Aktuell gibt es (für Endanwender) keine Gegenmaßnahme, außer darauf zu hoffen, dass die Entwickler auf nicht angreifbare Bibliotheken in Softwareprojekten zu setzen.Sobald die Entwickler angreifbare Bibliotheken aktualisiert haben, ist das Problem durch Aktualisierung der betreffenden Anwendung gelöst. Jake Williams gibt folgende Empfehlungen bzw. Hinweise:

  • Wer Anwendungen verwendet, die es Benutzern (insbesondere nicht authentifizierten Benutzern) erlauben, Archivdateien hochzuladen (einschließlich, aber nicht beschränkt auf zip), sollte sich besonders über diese Sicherheitsanfälligkeit Gedanken machen.
  • Wer keine solchen Anwendungen in einer IT-Umgebung betreibt, minimiert das Risiko, Opfer von Zip Slip zu werden. Dann sind noch folgende Exploit-Vektoren zu berücksichtigen: E-Mail-Gateways (Spam- und DLP-Filter), die sich auf anfällige Bibliotheken stützen können.

Es gibt sicherlich noch andere Angriffsflächen für Zip Slip. Aber die beiden primären Angriffsflächen, die man bei Rendition Infosec sieht sind: Web-Anwendungen, die es Benutzern (insbesondere nicht authentifizierten Benutzern) ermöglichen, komprimierte Dateien hochzuladen, die vom Server verarbeitet werden. Und Mail-Gateways (z.B. Spam, DLP, etc.) Server, die komprimierte Dateien von unbekannten Absendern verarbeiten.

Sowohl Bleeping Computer als heise.de, als auch Golem haben darüber berichtet. Dort lassen sich ggf. noch einige Hinweise finden. Konkrete Angriffe sind zur Zeit keine bekannt. Aber es wird klar: Wir sitzen IT-mäßig auf einem Flickenteppich, löchrig wie ein Schweizer Käse. Meltdown, Spectre V2 bis V4, alles ungepatchte Schwachstellen und täglich kommen weitere Lücken hinzu.

Anzeige

Ähnliche Artikel:
Warnung: Auf 7-Zip verzichten
Sicherheitslücken in InfoZips UnZip-Programm
7-ZIP Version 18.05 veröffentlicht

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.