Regular Expression Denial of Service (ReDoS)

Regular Expression Denial of Service (ReDoS) ist eine Art von Denial-of-Service-Angriff (DoS), der die Schwächen bei der Verarbeitung von regulären Ausdrücken ausnutzt. Das grundlegende Prinzip eines ReDoS-Angriffs besteht darin, einen regulären Ausdrucksprozessor mit Eingaben zu versorgen, deren Verarbeitung extrem lange dauert, wodurch die Systemressourcen effektiv erschöpft werden und die Anwendung angehalten oder erheblich verlangsamt wird.

Hier ist, wie es typischerweise funktioniert:

  1. Verwundbare Reguläre Ausdrücke: Der Angriff konzentriert sich auf reguläre Ausdrücke, die übermäßiges Backtracking verursachen können. Besonders anfällig sind “böse Regexes”, die überlappende Wiederholungen, verschachtelte Quantifizierer oder mehrere Möglichkeiten enthalten, um dieselbe Eingabe zu matchen.
  2. Bösartige Eingabe: Ein Angreifer erstellt einen spezifischen Eingabestring, der die Schwachstelle auslöst. Wenn dieser String gegen den anfälligen regulären Ausdruck abgeglichen wird, veranlasst er die Regex-Engine, eine sehr hohe Anzahl von Operationen auszuführen, die exponentiell in ihrer Komplexität zunimmt.
  3. Systemerschöpfung: Die Verarbeitung der Eingabe verbraucht eine übermäßige Menge an Rechenressourcen, was potenziell zu einer Dienstverweigerung führt. Dies kann sich als Systemabsturz, Verlangsamung oder Unreagierbarkeit manifestieren, was die Verfügbarkeit des Dienstes beeinträchtigt.

Maßnahmen zur Minderung von ReDoS-Angriffen umfassen typischerweise:

  • Analyse Regulärer Ausdrücke: Regelmäßige Überprüfung und Analyse der in Anwendungen verwendeten regulären Ausdrücke, um potenzielle Schwachstellen zu identifizieren.
  • Timeouts: Implementierung von Timeouts für die Auswertung regulärer Ausdrücke, um zu verhindern, dass sie unendlich lange laufen.
  • Vereinfachte Muster: Vereinfachung komplexer regulärer Ausdrücke und Vermeidung von Mustern, die bekanntermaßen anfällig für ReDoS sind.
  • Bibliotheken und Tools: Verwendung von Bibliotheken oder Tools, die darauf ausgelegt sind, ReDoS-Schwachstellen in regulären Ausdrücken zu erkennen oder zu mindern.
  • Eingabesanierung: Validierung und Sanierung von Benutzereingaben, um zu verhindern, dass bösartige Muster verarbeitet werden.

Related Posts

Microsoft erlaubt SMB über QUIC: Ein doppelschneidiges Schwert

Microsoft hat kürzlich die Herstellung von SMB (Server Message Block) Connections über das neuartige Internetprotokoll QUIC (Quick UDP Internet Connections) erlaubt. Diese Technologie ermöglicht es Benutzern, auf Dateifreigaben über das Internet zuzugreifen, ohne auf herkömmliche VPNs (Virtual Private Networks) angewiesen zu sein. SMB über QUIC nutzt dabei den Internet-freundlichen UDP-Port 443 und verschlüsselt die Datenübertragung mit TLS 1.3, was einen signifikanten Sicherheitsvorteil gegenüber herkömmlichen Methoden bietet.

Read More

Solarwinds Security Event Manager: Patch schliesst kritische Sicherheitslücke

Am 1.3.24 hat Solarwinds einen Patch für eine aktiv ausgenutzte kritische Schwachstelle in SolarWinds Security Event Manager (SEM) veröffentlicht. Die Schwachstelle, bekannt unter der Kennung CVE-2024-0692, stellt eine erhebliche Bedrohung dar, da sie es einem nicht authentifizierten Angreifer ermöglicht, aus der Ferne Code auf einem anfälligen System auszuführen. Die Tragweite dieser Sicherheitslücke mit CVSS 8.8/10 ist groß, denn ein Angreifer könnte vollständige Kontrolle über das betroffene System erlangen. Dies öffnet die Tür für eine Vielzahl bösartiger Aktivitäten, wie den Diebstahl von Daten, die Installation von Malware oder die Unterbrechung von Betriebsabläufen.

Read More

Gehackte Wordpress verwenden Client Browser für DDOS Angriffe

WordPress-Websites werden zunehmend Ziel von Hackerangriffen, bei denen die Browser von Besuchern für schädliche Operationen missbraucht werden. Eine kürzliche Untersuchung von Sucuri offenbart, dass Cyberkriminelle WordPress-Seiten kompromittieren, um in HTML-Vorlagen bösartigen Code einzuschleusen. Sobald ein Besucher die betroffene Website aufruft, wird dieser Code aus einer spezifischen URL in seinen Browser geladen und initiiert dort unerwünschte Aktivitäten. WordPress-Websites von Hackern dazu missbraucht, ein bösartiges Skript einzuschleusen, das die Browser der Besucher für DDoS-Angriffe (Distributed Denial of Service) gegen bestimmte Websites verwendet. Sobald geladen, zwingt das JavaScript den Browser des Besuchers dazu, HTTP GET-Anfragen an die aufgeführten Websites zu senden, ohne dass die Website-Betreiber oder die Besucher davon wissen.

Read More