In der digitalen Unternehmenslandschaft von heute sind Webanwendungen zu einem einladenden Ziel für Angreifer geworden. Laut dem 2018 Data Breach Investigations Report von Verizon zielten 25 Prozent der Datenschutzverletzungen auf Webanwendungen ab. Jeden Tag werden neue Hacks und Angriffe eingesetzt, um die Sicherheitslücken in Webanwendungen auszunutzen. Da neue Schwachstellen in einem Tempo aufgedeckt werden, mit dem die meisten Unternehmen nicht Schritt halten können, ist es nicht überraschend, dass die Anwendungssicherheit zu einem der wichtigsten Faktoren geworden ist, die die Markenwahrnehmung eines Unternehmens beeinflussen.
Aus diesem Grund konzentriert sich das Team von ADSelfService Plus darauf, Schwachstellen und Sicherheitslücken zu schließen, sobald sie im Produkt entdeckt werden. In der folgenden Liste sind die häufigsten Sicherheitsprobleme von Anwendungen, die in ADSelfService Plus gefunden wurden, von der neuesten bis zur ältesten Version aufgeführt, und es wird erläutert, wie jedes Problem behoben wird. Denken Sie daran, dass Sie, wenn Sie XML-Dateien konfigurieren, um ein Problem zu beheben, ADSelfService Plus neu starten müssen, damit die Änderungen wirksam werden können.
Log4j-Abhängigkeit (CVE-2021-44228)
Schweregrad: Kritisch
Eine Sicherheitslücke in der Apache Log4j-Bibliothek ermöglicht unautorisierte Angriffe zur Remote-Code-Ausführung.
Lösung: Die Abhängigkeit von der Log4j-Bibliothek wurde vollständig entfernt.
ADSelfService Plus hat diese Sicherheitslücke in Build 6119 behoben.
Hinweis: Die Log4j-Bibliothek ist erforderlich, wenn Sie RSA SecurID als Authentifikator für die MFA-Funktion von ADSelfService Plus aktiviert haben. Weitere Details finden Sie in diesem Beitrag.
Gefährdung von Domänenbenutzern (CVE-2021-20147)
Schweregrad: Mittel
Diese Schwachstelle im ChangePasswordAPI-Prozess ermöglicht es einem nicht authentifizierten entfernten Angreifer, festzustellen, ob ein Windows-Domänenbenutzer existiert.
Lösung: Die Abhängigkeit von der Log4j-Bibliothek wurde vollständig entfernt.
ADSelfService Plus hat diese Sicherheitslücke in Build 6116 behoben.
Gefährdung von Domänenkennwortrichtlinien (CVE-2021-20148)
Schweregrad: Mittel
Wenn ADSelfService Plus mit mehreren Windows-Domänen konfiguriert ist, kann ein Benutzer aus einer Domäne die Kennwortrichtlinie für eine andere Domäne abrufen, indem er sich beim Dienst authentifiziert und dann eine Anfrage mit Angabe der Kennwortrichtliniendatei der anderen Domäne sendet.
Lösung: Der Zugriff auf die Domain-Passwortrichtlinie HTML wurde für alle Benutzer eingeschränkt.
ADSelfService Plus hat diese Sicherheitslücke in Build 6116 behoben.
Umgehung der Authentifizierung (CVE-2021-40539)
Schweregrad: Hoch
Diese Sicherheitsanfälligkeit kann zu einem Authentifizierungs-Bypass führen, der REST-API-URLs betrifft. Diese Umgehung könnte zu einer Übernahme des Rechners führen.
Lösung: Die API-Validierung wurde verstärkt und unsichere APIs wurden entfernt.
ADSelfService Plus hat diese Sicherheitslücke in Build 6114 behoben.
E-Mail-MIME-Injektion (CVE-2021-37420)
Schweregrad: Kritisch
Diese Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, E-Mails mit beliebigem Inhalt an Domänenbenutzer zu senden, indem sie speziell gestaltete Anfragen an den Endpunkt "/RestAPI/PasswordSelfServiceAPI" senden.
Lösung: Die an den Parameter "ACTION_TO_PERFORM" gesendeten Daten werden anhand einer definierten Whitelist der akzeptierten Aktionen überprüft und die unbekannten Aktionen werden blockiert.
ADSelfService Plus hat diese Sicherheitslücke in Build 6112 behoben.
Boolean SQL-Injektion (CVE-2021-37422)
Schweregrad: Hoch
Diese Sicherheitsanfälligkeit ermöglicht Boolean SQL-Injektionsangriffe in der Oracle-Datenbank, indem eine nicht sanitisierte Benutzereingabe in die SQL-Abfrage eingefügt wird, die das Konto manuell mit der Datenbank verknüpft. Nach der Injektion können in der Datenbank gespeicherte Informationen abgefangen werden.
Lösung: Sonderzeichen werden ordnungsgemäß bereinigt, bevor die Zeichenfolge in die SQL-Abfrage eingefügt wird.
ADSelfService Plus hat diese Sicherheitslücke in Build 6112 behoben.
Kontoübernahme über die Erstellung von Maschinenkonten (CVE-2021-37424)
Schweregrad: Hoch
Diese Sicherheitslücke kann zur Übernahme eines Domänenadministratorkontos führen, indem der Programmcode des Produkts ausgenutzt wird, um führende Leerzeichen im Feld für den Benutzernamen zu entfernen. Ein Angreifer kann ein Maschinenkonto mit dem Benutzernamen "Administrator" erstellen und sich damit bei ADSelfService Plus anmelden. Wenn das führende Leerzeichen entfernt wird, ist der Angreifer als "Administrator" angemeldet, der das Konto des Domänenadministrators ist. Der Angreifer kann dann die im Produkt gespeicherten Anmeldeinformationen ändern, das Kennwort des Domänenadministratorkontos ändern und die AD-Domäne gefährden.
Lösung: Führende und abschließende Leerzeichen dürfen nicht aus den angegebenen Benutzernamen entfernt werden. Wenn der Text im LDAP-Suchfilter verwendet wird, müssen führende und abschließende Leerzeichen korrekt kodiert werden.
ADSelfService Plus hat diese Sicherheitslücke in Build 6112 behoben.
Server-seitiger Request Forgery (SSRF)-Angriff in der Hochverfügbarkeitsumgebung (CVE-2021-37419)
Schweregrad: Hoch
Durch diese Schwachstelle können Angreifer einen SSRF-Angriff durchführen, indem sie POST-Anforderungen vom ADSelfService Plus-Primärserver in der Hochverfügbarkeitseinrichtung ohne Authentifizierung an den Endpunkt /servlet/ADSHACluster senden. In den Körper der POST-Anforderung können auch Parameter eingeschleust werden.
Lösung: Die in den JSON-Parametern haAuthKey und MASTER_SERVER_URL bereitgestellten Daten müssen ordnungsgemäß bereinigt werden.
Entweder sollte der MASTER_SERVER_URL-Parameter anhand einer Whitelist validiert werden oder anfällige Endpunkte sollten nur für autorisierte Benutzer eingeschränkt werden.
ADSelfService Plus hat diese Sicherheitslücke in Build 6112 behoben.
Problem der Kontoübernahme (CVE-2021-37927)
Schweregrad: Hoch
Diese Schwachstelle ermöglicht es Angreifern, den Wert des samlResponse-Attributs abzufangen, der vom Identity Provider während SAML SSO-Anmeldungen zurückgegeben wird, die im Feld in NameId angegebene E-Mail-ID zu ändern und ein Benutzerkonto ohne Signatur zu übernehmen.
Lösung: Erzwungene SAML-Signaturüberprüfung.
ADSelfService Plus hat diese Sicherheitslücke in Build 6110 behoben.
Entfernte Code-Authentifizierung durch PowerShell-Injektion (CVE-2021-33055)
Schweregrad: Hoch
Eine Sicherheitslücke, die Unstimmigkeiten bei der Kodierung und Dekodierung des speziellen Anführungszeichens in Benutzereingabeparametern ausnutzt, um nicht authentifizierte und authentifizierte Remotecodeausführung durch PowerShell-Injektion durchzuführen.
Lösung: Kodieren Sie alle Parameterwerte vollständig in base64, bevor Sie sie an PowerShell weitergeben.
ADSelfService Plus hat diese Sicherheitslücke in Build 6105 behoben.
CAPTCHA-Umgehungsschwachstelle (CVE-2021-37417)
Schweregrad: Mittel
Eine Schwachstelle, die es Benutzern ermöglicht, das CAPTCHA auf der Anmeldeseite von ADSelfServie Plus zu umgehen, indem sie den Parameter EXCLUDE_CAPTCHA in der URL /j_security_check verwenden, was zu Brute-Force-Angriffen führen kann.
Lösung: Entfernen Sie das EXCLUDE_CAPTCHA-Flag, um zu verhindern, dass es durch den Parameter verarbeitet wird.
ADSelfService Plus hat diese Sicherheitslücke in Build 6104 behoben.
Cross-Site-Scripting-Angriff (CVE-2021-27956)
Schweregrad: Hoch
Eine seltene Sicherheitslücke, die zu Cross-Site-Scripting-Angriffen im E-Mail-Adressfeld der Mitarbeitersuchfunktion führen kann.
Lösung:
ADSelfService Plus hat diese Sicherheitslücke in Build 6104 behoben.
Reflektierter Cross-Site-Scripting-Angriff (CVE-2021-37416)
Schweregrad: Mittel
Diese Schwachstelle macht ADSelfService Plus anfällig für Reflected Cross-Site-Scripting-Angriffe über den single_signout-Parameter im /LoadFrame-Endpunkt, was zu einer Übernahme des Kontos des Opfers führen kann.
Lösung: Sonderzeichen werden bereinigt, bevor die Zeichenfolge in den HTML-Code eingefügt wird.
ADSelfService Plus hat diese Sicherheitslücke in Build 6104 behoben.
Offenlegung von Datenbankanwendungsinformationen (CVE-2021-31874)
Schweregrad: Hoch
Eine Sicherheitslücke, die es Angreifern in seltenen Fällen ermöglicht, Informationen über die für die Kennwortsynchronisierung konfigurierte Datenbankanwendung preiszugeben, indem sie den Parameter HOST_NAME ausnutzen, der bei der Verknüpfung von Konten mit dieser Datenbank gesendet wird.
Lösung: Der vom Benutzer angegebene HOST_NAME-Parameter wird von der Anwendung nicht verarbeitet, stattdessen wird der vom Administrator während der Anwendungskonfiguration angegebene HOST_NAME-Wert verwendet.
ADSelfService Plus hat diese Sicherheitslücke in Build 6104 behoben.
Umgehung der Zugriffsbeschränkung des Admin-Portals über den X-Forwarded-For-Header (CVE-2021-37421)
Schweregrad: Mittel
ADSelfService Plus ermöglicht es IT-Administratoren, den Zugang zum Admin-Portal auf der Grundlage von IP-Adressen zu beschränken. Ein Angreifer kann diesen Sicherheitsmechanismus umgehen, indem er den "X-Forwarded-For"-Header auf die IP-Adresse der Whitelist setzt.
Lösung: Der Inhalt des "X-Forwarded-For"-Headers sollte nicht als Quell-IP-Adresse angesehen werden, da er vom Benutzer verändert werden könnte.
ADSelfService Plus hat diese Sicherheitslücke in Build 6104 behoben.
Unauthentifizierte Remotecodeausführung während der Passwortänderungsfunktion (CVE-2021-28958)
Schweregrad: Hoch
Diese Sicherheitsanfälligkeit entsteht durch die unsachgemäße Bereinigung des Zeichens für Anführungszeichen, wenn die Änderung des Benutzerkennworts mithilfe von PowerShell-Skripten durchgeführt wird.
Lösung: Sonderzeichen werden korrekt kodiert, bevor die Zeichenfolge in das PowerShell-Skript eingefügt wird.
ADSelfService Plus hat diese Sicherheitslücke in Build 6102 behoben.
Festgelegte Verschlüsselungsschlüssel (CVE-2019-7161)
Schweregrad: Hoch
Diese Sicherheitsanfälligkeit entstand, da ADSelfService Plus fest kodierte Chiffrierschlüssel zum Schutz von Informationen verwendete, was einem Angreifer die Möglichkeit gab, alle geschützten Daten zu entschlüsseln.
Behebung:
ADSelfService Plus hat diese Sicherheitslücke in Build 6100 behoben.
Unzulässige Autorisierung (ZVE-2020-4164)
Schweregrad: Mittel
Diese Schwachstelle führte zu einer nicht ordnungsgemäßen Autorisierung von Endbenutzer-Aktionen.
Lösung: Es wurde eine ordnungsgemäße Autorisierung für Endbenutzer-Aktionen bereitgestellt.
ADSelfService Plus behebt diese Sicherheitslücke in Build 6100.
Unauthentifizierte Remotecodeausführung (CVE-2020-11552)
Schweregrad: Hoch
Diese Sicherheitsanfälligkeit tritt auf, wenn das Produkt die Benutzerrechte im Zusammenhang mit dem Windows-Zertifikatsdialog nicht ordnungsgemäß durchsetzt. Dadurch kann ein nicht authentifizierter Angreifer aus der Ferne Befehle mit Berechtigungen auf Systemebene auf dem Windows-Zielhost ausführen.
Lösung: Es wurde eine benutzerdefinierte Kontrollseite erstellt, um die Anzeige von zertifikatsbezogenen Sicherheitswarnungen, die das Problem verursacht haben, zu unterbinden.
ADSelfService Plus hat diese Sicherheitslücke in Build 6003 behoben.
Umgehung der Authentifizierung bei ManageEngine-Produktintegrationen
Schweregrad: Hoch
Diese Schwachstelle ermöglicht Angreifern die Integration mit anderen ManageEngine-Produkten unter Umgehung der Authentifizierungsprüfung.
Lösung: Nicht autorisierte Aufrufe wurden eingeschränkt.
ADSelfService Plus hat diese Sicherheitslücke in Build 5817 behoben.
Schwachstelle in der Remotecodeausführung
Schweregrad: Hoch
Diese Sicherheitslücke ermöglicht es einem Angreifer, verwundbare Systeme zu kompromittieren. Sie besteht aufgrund der unzureichenden Validierung der vom Benutzer bereitgestellten Eingaben. Ein entfernter Nicht-Angreifer kann speziell gestaltete Eingaben an die Anwendung übergeben und einen beliebigen Code auf dem Zielsystem ausführen.
Lösung: Der Zugriff auf den Endpunkt /cewolf wurde deaktiviert.
ADSelfService Plus hat diese Sicherheitslücke in Build 5815 behoben.
Vorhersagbare Handshake-Schlüssel-Schwachstelle
Schweregrad: Mittel
Diese Schwachstelle ermöglicht es einem entfernten Angreifer, den Handshake-Schlüssel vorherzusagen und verwundbare Systeme zu kompromittieren.
ADSelfService Plus hat diese Sicherheitslücke in Build 5815 behoben.
Umgehung der Authentifizierung in ADSelfService Plus
Schweregrad: Hoch
Diese Schwachstelle ermöglicht es einem Angreifer, über den ADSelfService Plus-Anmeldeagenten Zugriff auf den Datei-Explorer eines Computers zu erhalten, indem er selbstsignierte SSL-Zertifikate verwendet.
Lösung: Die Schwachstelle wurde behoben, indem das RESTRICT_BAD_CERT-Flag standardmäßig aktiviert wurde.
ADSelfService Plus hat diese Sicherheitslücke in Build 5814 behoben.
XSS-Schwachstelle durch die API der mobilen Anwendung
Schweregrad: Mittel
Diese Sicherheitslücke ermöglicht es einem Angreifer, die Verbindungen auszunutzen, die Benutzer mit unsicheren Anwendungen haben. Ein Angreifer kann sich als Benutzer ausgeben, alle Aktionen ausführen, die der Benutzer ausführen kann, und auf alle Daten des Benutzers zugreifen.
Lösung: Der reflektierte bösartige Inhalt wird übersprungen oder entfernt, so dass er nicht als HTML geparst wird.
ADSelfService Plus hat diese Sicherheitslücke in Build 5708 behoben.
SSRF-Sicherheitslücke
Schweregrad: Mittel
Server-seitige Anforderungsfälschung (auch als SSRF bekannt) ist eine Schwachstelle, die es einem Angreifer ermöglicht, eine serverseitige Anwendung dazu zu bringen, HTTP-Anforderungen an eine beliebige, vom Angreifer ausgewählte Domäne zu senden. Dies kann zu einem Zugriff auf Daten innerhalb des Unternehmens führen, entweder in der unsicheren Anwendung selbst oder in anderen Back-End-Systemen, mit denen die Anwendung kommuniziert.
ADSelfService Plus hat diese Sicherheitslücke in Build 5703 behoben.
Injection-Schwachstelle in Windows- und Linux-Login-Agenten
Schweregrad: Hoch
Diese Schwachstelle ermöglicht es einem Angreifer, die ADSelfService Plus-Client-Software auszunutzen und SYSTEM-Rechte auf einem Windows- oder Linux-Computer zu erlangen, indem er physischen Zugriff auf diesen hat.
Lösung:
Es wurde ein Sicherheitsupdate veröffentlicht, um diese Schwachstelle zu beheben.
ADSelfService Plus hat diese Sicherheitslücke in Build 5802 behoben.
Sicherheitsanfälligkeit bei externen XML-Entitäten
Schweregrad: Hoch
XML External Entity Injection (auch bekannt als XXE) ist eine Sicherheitslücke, die es einem Angreifer ermöglicht, in die XML-Datenverarbeitung einer Anwendung einzugreifen. Außerdem kann ein Angreifer Dateien im Dateisystem des Anwendungsservers einsehen und mit allen Back-End- oder externen Systemen kommunizieren, auf die die Anwendung zugreifen kann.
Lösung: Die anfälligen JAR-Dateien wurden entfernt und mit geeigneten Dateien aktualisiert. ADSelfService Plus hat diese Sicherheitslücke in Build 5701 behoben.
HttpOnly-Flag fehlt in Cookies
Schweregrad: Niedrig
Das Fehlen des HttpOnly-Flags in Cookies erhöht das Risiko, dass ein clientseitiges Skript auf Cookies zugreift, was zu einem Cross-Site-Request-Forgery-Angriff (CSRF) führen kann.
Lösung: ADSelfService Plus enthält das HttpOnly-Flag in Cookies. Wenn ein clientseitiges Skript versucht, das Cookie zu lesen, gibt der Browser als Ergebnis einen leeren String zurück. ADSelfService Plus hat diese Schwachstelle in Build 5520 vom 31. Mai 2018 behoben.
Ausnutzung der ungenutzten HTTP-Methoden
Schweregrad: Niedrig
HTTP-Methoden wie GET, HEAD, TRACE, PUT, DELETE und OPTIONS sind anfällig für Angriffe und stellen eine Sicherheitsbedrohung für Webanwendungen dar. TRACE wird beispielsweise verwendet, um eine an den Webserver gesendete Zeichenkette an den Client zurückzusenden. Obwohl TRACE ursprünglich für Debugging-Zwecke entwickelt wurde, kann es für einen Cross-Site-Tracing (XST)-Angriff gegen Server verwendet werden.
Lösung: ADSelfService Plus blockiert die ungenutzten HTTP-Methoden wie GET, HEAD, DELETE TRACE und OPTIONS.
ADSelfService Plus hat diese Sicherheitslücke in Build 5517 vom 17. April 2018 behoben.
Schwachstellen in den älteren Versionen von jQuery
Schweregrad: Hoch
Frühere Versionen von jQuery enthalten Sicherheitslücken.
Lösung: ADSelfService Plus hat das jQuery-Bundle von 1.8.1 auf 1.12.2 in Build 5517 vom 17. April 2018 aktualisiert.
Sicherheitslücke beim uneingeschränkten Datei-Upload
Schweregrad: Hoch
Bei dieser Art von Sicherheitsanfälligkeit lädt ein Angreifer eine Multipart- oder Form-Data-POST-Anfrage mit einem speziell gestalteten Dateinamen oder MIME-Typ hoch, was zu Cross-Site-Scripting (XSS) und der Ausführung von Schadcode auf der Serverseite führt.
Lösung: ADSelfService Plus verwendet beim Hochladen von Dateien einen Whitelist-Filter. Er akzeptiert nur die Formate PNG, HTML, CSV, PDF, XLS, XLXS und CSVDE.
ADSelfService Plus hat diese Sicherheitslücke in Build 5516 vom 29. März 2018 behoben.
Schwachstelle durch serverseitige Anforderungsfälschung
Schweregrad: Hoch
Bei einem Server-seitigen Request Forgery (SSRF)-Angriff ändert ein Angreifer eine bestehende URL oder gibt eine neue URL an, die an den Server gesendet werden soll. Wenn diese manipulierte URL-Anfrage vom Server bearbeitet wird, liest oder sendet der Server Daten an die manipulierte URL. Normalerweise zielt der Angreifer auf den NTLM-Hash bestimmter Konten ab, um auf die mit diesem Konto verbundenen Ressourcen zuzugreifen.
Lösung: ADSelfService Plus hat die Datei dd-plist.jar (Standardspeicherort: Installationsverzeichnis\lib\dd-plist.jar) in Build 5516 am 29. März 2018 aktualisiert.
Reflektierte XSS-Schwachstelle
Schweregrad: Hoch
Die reflektierte XSS-Schwachstelle wurde speziell für den Angriff auf Websites entwickelt, die ein Benutzer besucht. Wenn ein Benutzer auf einen bösartigen Link auf einer vertrauenswürdigen Website klickt, wird ein Skript in die Anfrage eingeschleust, die an den Server weitergeleitet und so reflektiert wird, dass die HTTP-Antwort das bösartige Skript enthält. Der Browser führt das bösartige Skript aus, da dieses Skript von einem "vertrauenswürdigen" Server stammt.
Lösung: ADSelfService Plus bereinigt das Skript von Zeichen wie <, >, &, ' und ", die in den Abfrageparametern enthalten sind.
ADSelfService Plus hat diese Sicherheitslücke in Build 5516 vom 29. März 2018 behoben.
Umgehung von clientseitigen Validierungen
Schweregrad: Hoch
Durch Ausnutzung dieser Sicherheitsanfälligkeit umgeht ein Angreifer die clientseitige Eingabevalidierung für gezielte Inhalte, z. B. Passwortfelder.
Angreifer umgehen in der Regel die Eingabevalidierung einer Webanwendung, indem sie entweder JavaScript mit einem Webentwickler-Tool entfernen oder die HTTP-Anfrage (mit einem Proxy-Tool) so bearbeiten, dass sie nicht durch den Browser geht.
Lösung: Für diese Sicherheitslücke ist keine Behebung erforderlich. ADSelfService Plus ist gegen diese Schwachstelle immun, da es sowohl client- als auch serverseitige Validierung einsetzt.
Informationsleck durch Kommentare
Schweregrad: Niedrig
Ein Informationsleck entsteht, wenn eine Anwendung unbeabsichtigt sensible Daten preisgibt, z. B. die technischen Details eines Netzwerks oder einer Anwendung oder benutzerspezifische Daten. Je nachdem, welche Daten durchgesickert sind, könnten sie von einem Angreifer genutzt werden, um die Ziel-Webanwendung, ihr Hosting-Netzwerk oder die Benutzer der Anwendung auszunutzen.
Lösung: Die Programmierer von ADSelfService Plus haben dafür gesorgt, dass sensible Informationen, die möglicherweise durch Kommentare im Quellcode offengelegt wurden, entfernt wurden.
Fingerprinting des Webservers
Schweregrad: Niedrig
Das Ausnutzen von Sicherheitsschwachstellen einer Anwendung ist einfacher, wenn die Angreifer die Plattform kennen, auf der die Webanwendung aufgebaut ist. Obwohl die HTTP-Header hauptsächlich dazu dienen, Informationen für eine effektive Bearbeitung von Anfragen und Antworten bereitzustellen, können sie von Angreifern auch dazu genutzt werden, den verwendeten Webserver und dessen Version zu identifizieren.
Lösung: Für diese Sicherheitslücke ist keine Behebung erforderlich. ADSelfService Plus ist gegen diese Schwachstelle immun, da es ein Server-Tag in die Datei server.xml einfügt (Standardspeicherort: Installationsverzeichnis/conf), um den tatsächlichen Webserver zu verbergen.
Beispiel:
<Connectorserver="ADSSP" />
Gleichzeitige Sitzungsanmeldungen
Schweregrad: Mittel
Eine Anwendung, die für gleichzeitige Anmeldungen ausgelegt ist, kann dazu führen, dass ein böswilliger Benutzer gültige Anmeldedaten zur gleichen Zeit wie ein rechtmäßiger Benutzer eingibt, um sich im Netzwerk zu authentifizieren. Dies kann zu Sicherheitsproblemen innerhalb des Unternehmens führen, wie z. B. dem Missbrauch der persönlichen Daten des Benutzers zur Durchführung nicht autorisierter Aktionen.
Lösung: Die Funktion "Deny Concurrent Login" von ADSelfService Plus verhindert, dass Benutzer mehrere Sitzungen gleichzeitig im Produkt ausführen können.
ADSelfService Plus hat diese Schwachstelle in Build 5517 im April 2018 behoben.
Cross-Site-Scripting (XSS)-Schwachstellen
Schweregrad: Hoch
Bei XSS-Angriffen injiziert ein Angreifer ein clientseitiges Skript in die Zielanwendung. Der Browser des Endbenutzers hat keine Möglichkeit zu erkennen, dass das Skript nicht vertrauenswürdig ist, und führt das bösartige Skript aus.
Lösung: Entfernen Sie das # am Anfang von X-XSS-Protection in der Datei security_params.xml (Standardspeicherort: Installation Directory/conf) und setzen Sie es auf 1. Die meisten Browser erkennen diesen Header und ergreifen die notwendigen Maßnahmen, um XSS-Angriffe zu verhindern, sobald sie diesen Header sehen.
Nachfolgend sehen Sie, wie der Header nach der Korrektur aussehen wird:
X-XSS-Protection=1
ADSelfService Plus hat diese Sicherheitslücke in Build 4500 behoben.
Cross-Site-Request-Forgery (CSRF)-Schwachstelle
Schweregrad: Hoch
CSRF ist ein Angriff, der einen Webbrowser dazu verleitet, einen unerwünschten Befehl in einer Anwendung auszuführen, bei der ein Benutzer angemeldet ist. Dies wird erreicht, indem ein Benutzer versehentlich auf einen bösartigen Link auf einer legitimen Website klickt. Dabei wird eine HTTP-Anforderung gesendet, die der Benutzer nicht beabsichtigt hat, und die einen Cookie-Header mit der Sitzungs-ID des Benutzers enthält. Da die Anwendung den Benutzer zum Zeitpunkt des Angriffs authentifiziert, ist es für die Anwendung außerdem unmöglich, zwischen legitimen und gefälschten Anfragen zu unterscheiden.
Lösung: ADSelfService Plus sendet jede Anfrage mit einem Token aus. Dadurch wird die Ausführung von Aktionen verhindert, die keine notwendigen Authentifizierungs-Tokens bereitstellen.
ADSelfService Plus hat diese Sicherheitslücke in Build 5300 im April 2015 behoben.
Frame-übergreifendes Scripting (XSF)/Clickjacking
Schweregrad: Hoch
Beim Cross-Frame-Scripting wird ein Benutzer dazu verleitet, auf etwas anderes zu klicken, als er dachte, so dass er versehentlich sensible Informationen preisgibt oder einen unbeabsichtigten Befehl ausführt. Typischerweise wird Cross-Frame Scripting erreicht, wenn ein Angreifer bösartige iFrames in eine legitime Website einbettet, um Benutzer zur Eingabe ihrer Daten zu verleiten. Wenn ein Benutzer seine Anmeldedaten auf der legitimen Website innerhalb des iFrames eingibt, zeichnet der bösartige JavaScript-Keylogger die Tastenanschläge des Opfers auf und sendet sie an den Server des Angreifers.
Lösung: Entfernen Sie das # am Anfang der x-frame-options in der Datei security_params.xml (Standardspeicherort: Installation Directory/conf) und setzen Sie es auf SAMEORIGIN. Dieser Fix verhindert, dass andere Sites ADSelfService Plus in ihren iFrames laden.
Nachstehend sehen Sie, wie die Header-Anfrage nach der Korrektur aussehen wird:
x-frame-options=SAMEORIGIN
ADSelfService Plus hat diese Schwachstelle in Build 5300 im April 2015 behoben.
Schwache Cache-Richtlinie oder Server-Cache-Richtlinie
Schweregrad: Mittel
Eine Browserseite speichert Inhalte im Cache auf dem Rechner des Benutzers, damit sie nicht jedes Mal heruntergeladen werden muss, wenn der Benutzer die Seite öffnet. Selbst in sicheren SSL-Kanälen können sensible Daten von Proxys und SSL-Terminatoren gespeichert werden. Wenn ein Angreifer den Cache des Browsers ausnutzt, sind sensible Daten wie Kreditkartendaten und Benutzernamen gefährdet.
Lösung: Jede HTTP-Seite in ADSelfService Plus wird mit Cache-Control-, Pragma- und Expires-Antwort-Headern versehen, um das Zwischenspeichern von Daten zu verhindern. Um diesen Fix zu aktivieren, müssen Sie das # am Anfang von cache-control=no-cache, no-store in der Datei security_params.xml entfernen (Standardspeicherort: Installationsverzeichnis/conf).
Nachfolgend sehen Sie, wie die Header-Anfrage nach der Korrektur aussehen wird:
cache-control=no-cache, no-store
ADSelfService Plus hat diese Schwachstelle in Build 5300, im April 2015, behoben.
MIME-SNIFFING
Schweregrad: Niedrig
Wenn nicht genügend Metadaten vorhanden sind, um den Inhaltstyp von Daten zu bestimmen, versuchen die meisten Browser, insbesondere der Microsoft Internet Explorer, den korrekten Inhaltstyp mit einer Technik namens MIME-Sniffing (auch als Medientyp bekannt) zu ermitteln. Angreifer nutzen diese Technik jedoch aus, indem sie den Browser so manipulieren, dass er Daten auf eine Weise interpretiert, die unerwartete Operationen wie Cross-Site-Scripting ermöglicht.
Lösung: Entfernen Sie das # am Anfang des x-content-type und setzen Sie es in der Datei security_params.xml auf nosniff.
Nachstehend sehen Sie, wie die Header-Anfrage nach der Korrektur aussehen wird:
x-content-type=nosniff
ADSelfService Plus hat diese Sicherheitslücke in Build 5300 im April 2015 behoben.
Unsichere Wildcard für die herkunftsübergreifende Ressourcennutzung (CORS)
Schweregrad: Hoch
CORS (Cross-Origin Resource Sharing) ist ein Standard, der eine Reihe von Headern definiert, mit denen ein Server und ein Browser bestimmen können, welche Anfragen nach domänenübergreifenden Ressourcen zulässig sind und welche nicht. Der Nachteil dieses Standards besteht darin, dass die Validierung/Whitelist der Anfragesteller nicht funktioniert, wenn das access-control-allow-origin-Symbol auf "*" gesetzt ist. Dieses Symbol ist ein Platzhalter, und wenn die Zugriffskontrolle auf * gesetzt wird, kann im Grunde jede Domäne im Web auf die Ressourcen dieser Website zugreifen.
Lösung: Setzen Sie den access-control-allow-origin auf einen bestimmten Domainnamen, um die CORS-Schwachstelle zu beheben. ADSelfService Plus hat diese Sicherheitslücke in Build 5300 im April 2015 behoben.
Problem mit der automatischen Datenvervollständigung im Browser
Schweregrad: Niedrig
Die meisten Browser erstellen eine zwischengespeicherte Kopie der Anmeldeinformationen eines Benutzers, die in HTML-Formulare eingegeben werden. Diese Funktion speichert die Anmeldeinformationen auf dem Computer des Benutzers und ermöglicht eine schnellere Antwort, wenn der Benutzer das nächste Mal versucht, auf die Anwendung zuzugreifen. Diese Schwachstelle kann von einem Angreifer mit lokalem Zugriff ausgenutzt werden, um Klartext-Passwörter aus dem Browser-Cache einzusehen.
Lösung: ADSelfService Plus lässt die Verwendung der Autovervollständigungsfunktion in seinen Passwortfeldern nicht zu.
ADSelfService Plus hat diese Sicherheitslücke in Build 5300 im April 2015 behoben.
Fehlendes HTTPOnly-Flag und Secure-Flag in den Sitzungscookies
Schweregrad: Niedrig
Wenn ein Sitzungscookie kein HttpOnly-Flag hat, kann auf das Cookie über JavaScript zugegriffen werden. Im Wesentlichen bedeutet dies, dass ein XSS-Angriff dazu führen kann, dass Cookies gestohlen werden, was wiederum zu einer Konto- oder Sitzungsübernahme führen kann.
Abhilfe: Aktivieren Sie SSL in ADSelfService Plus und setzen Sie dann das HTTPOnly-Flag und das Secure-Flag für Sitzungscookies. Dadurch gibt der Browser einen leeren String als Ergebnis zurück, wenn ein clientseitiges Skript versucht, Cookies zu lesen. ADSelfService Plus hat diese Schwachstelle in Build 5300 im April 2015 behoben.
SHA1WithRSA-Schwachstellen
Schweregrad: Hoch
Die Verwendung von SHA1WithRSA verursacht eine Kollisionsschwachstelle, die es einem Angreifer ermöglicht, zwei Eingabestrings mit demselben SHA-1-Hash mit weniger Rechenleistung zu erstellen, als es für eine gute Hash-Funktion erforderlich wäre.
Lösung: ADSelfService Plus verwendet standardmäßig SHA256WithRSAENCRYPTION, um diese Sicherheitslücke zu schließen.
ADSelfService Plus hat diese Sicherheitslücke in Build 5300 im April 2015 behoben.
Sitzungsbehebung
Schweregrad: Hoch
Bei dieser Sicherheitslücke zielt ein Angreifer auf die Einschränkungen der Sitzungs-ID-Verwaltung der Anwendung ab. Wenn der böswillige Benutzer die Anwendung besucht, wird ihm eine Sitzungs-ID zugewiesen. Der Angreifer merkt sich diese Sitzungs-ID und lässt den Browser geöffnet.
Wenn sich ein anderer Benutzer auf demselben Rechner in der Anwendung authentifiziert, ohne den Browser zu schließen, wird er mit der vom Angreifer festgelegten Sitzungs-ID angemeldet. Der Angreifer kann diese Informationen nutzen, um vollständigen Zugriff auf das Anwendungskonto des Benutzers zu erhalten, bis die Sitzung endet. Dies kann zu potenziellen Sicherheitsproblemen führen, da der Angreifer diesen Zugriff nutzen kann, um das Kennwort des Benutzers zu ändern.
Lösung: ADSelfService Plus erstellt neue Sitzungs-IDs für jede erfolgreiche Authentifizierung (d.h. für jede neue Sitzung).
ADSelfService Plus hat diese Sicherheitslücke in Build 5300 im April 2015 behoben.
SQL Injektion durch Framework-Build
Schweregrad: Hoch
SQL-Injektion tritt auf, wenn ein Angreifer bösartigen Code in eine von der Webanwendung ausgeführte SQL-Anweisung einfügt oder injiziert. Eine erfolgreiche SQL-Injektion ermöglicht es Angreifern, die Identität eines Benutzers vorzutäuschen, vorhandene Daten zu manipulieren und sogar die vollständige Kontrolle über den Server der Webanwendung zu erlangen.
Lösung: Datenbankoperationen für ADSelfService Plus werden über unser internes Framework abgewickelt, um SQL-Injektionen und andere ähnliche Angriffe zu verhindern.
Schwache SSL-Verschlüsselung
Schweregrad: Hoch
Jede Anwendung ist auf den Schutz von drei Parametern angewiesen, die zusammen als Cipher Suite bekannt sind: Authentifizierung, Verschlüsselung und Hashing-Algorithmen. Eine Anwendung, die sich bei Datenübertragungen auf SSL/TLS mit schwachen Chiffren verlässt, lässt die Anwendung ungeschützt und ermöglicht es einem Angreifer, sensible Daten zu stehlen oder zu manipulieren.
Lösung: Fügen Sie die unten angegebenen starken Chiffren zu ADSelfService Plus in der Datei server.xml hinzu (Standardspeicherort: Installationsverzeichnis/conf).
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"
Beispiel:
<Connector /> Sollten weitere, oben nicht aufgeführte Fehler auftreten, senden Sie uns bitte eine E-Mail an support@adselfserviceplus.com, oder rufen Sie uns an unter +1.408.916.9890.
Besuchen Sie: www.adselfserviceplus.com
Befreit Active Directory-Nutzer von langatmigen Helpdesk-Anrufen, da Kennwörter und Konten auch ohne fremde Unterstützung rückgesetzt oder freigeschaltet werden können. Problemlose Kennwortänderung für Active Directory-Nutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus.
Genießen Sie in nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Applikationen. Mit Einmalanmeldung für Unternehmen können Nutzer all ihre Cloud-Applikationen mit ihren Active Directory-Anmeldeinformationen abrufen. Dank ADSelfService Plus!
Benachrichtigen Sie Active Directory-Nutzer über bevorstehenden Kennwort-/Kontoablauf durch Zustellung solcher Kennwort-/Kontoablaufbenachrichtigungen per E-Mail.
Synchronisieren Sie Änderungen von Windows Active Directory-Nutzerkennwörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Office 365, G Suite, IBM iSeries und mehr.
Sorgen Sie mit ADSelfService Plus für starke Kennwörter, die zahlreichen Hackerangriffen standhalten – zwingen Sie Active Directory-Nutzer durch Anzeigen von Kennwortkomplexitätsanforderungen, richtlinienkonforme Kennwörter zu verwenden.
Ein Portal, über das Active Directory-Nutzer ihre Daten auf den neuesten Stand bringen können, das eine Schnellsuche zum Einholen von Informationen über Kollegen mit Suchschlüsseln wie der Telefonnummer des Kollegen bietet.