Konkrete Kritik an CVSS4
Marc Ruef
Im Rahmen unserer Vulnerability Scans taucht ein Finding immerwieder auf: Banner-Grabbing. Durch das Herstellen einer Verbindung auf einen Zeilport heisst die Zielanwendung den Benutzer mit einem Banner willkommen. In diesem sind Informationen zum eingesetzten Produkt und eventuell gar zur genutzten Version sowie zusätzlichen Informationen (z.B. Bugfixes, Plattform) enthalten. Beispiel des Banners eines SMTP-Mailservers:
maru@debian:~$ telnet mailtest.scip.ch 25 220 mailtest.scip.ch ESMTP Sendmail 8.12.3/8.12.3/Debian-7.1
Laut unserer Schwachstellenklassifizierung erhält ein Banner-Grabbing die Einstufung Medium. Diese Form der Auswertung (im weitesten Sinn handelt es sich um ein patternbasiertes Application Fingerprinting) bietet eine elementare Grundlage, um zielgerichtete Angriffe vorzubereiten und anzugehen. Ein Angreifer erlangt damit drei Vorteile:
Wir empfehlen den betroffenen Kunden jeweils auf die Herausgabe sensitiver/technischer Informationen zur Zielumgebung zu verzichten (z.B. Banner, Fehlermeldungen). Dies bedeutet, dass Angreifern die jeweiligen Bannerinformationen nicht zur Verfügung gestellt werden sollten.
In diesem Zusammenhang erschliessen sich jedoch unterschiedliche Lösungswege. Einerseits kann der Banner gelöscht werden, um auf jegliche Herausgabe von Informationen zu verzichten (Banner Suppression). Andererseits kann der Banner angepasst werden, um falsche Informationen herauszugeben (Banner Spoofing). Die folgende Liste zeigt die Vor- und Nachteile der jeweiligen Ansätze:
220 mailtest.scip.ch ESMTP
)safe_checks
)220 scip.ch Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713
)-generic
Argument)Unsere Empfehlung: Schauen Sie sich die Vor- und Nachteile der unterschiedlichen Ansätze an. Besprechen Sie im Team, welche Massnahme ein Mehr an Nutzen zu gewähren in der Lage ist. Sie kann je nach Unternehmen, Server und Dienst unterschiedlich ausfallen. Setzen Sie die beste Massnahme um.
Etwa 70% unserer Kunden sind der Meinung, dass generische Applikationsbanner ein akzeptierbares Risiko darstellen. Von den restlichen Kunden sind 27% um das Löschen und nur 3% um das Ändern des Banners bemüht.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!