usd HeroLab Top 5 Schwachstellen 2020: Transport Layer Security (TLS) 1.0

usd AG News, Pentest Insights, Security Research

Unsere Security Analysten decken während ihrer Penetrationstests immer wieder Einfallstore in IT-Systemen und Anwendungen auf, die erhebliche Risiken für die Unternehmenssicherheit darstellen. Dabei begegnen ihnen vermehrt die gleichen Schwachstellen in unterschiedlichen IT-Assets, die teilweise schon seit Jahren bekannt sind. In unserer Mini-Serie stellen wir unsere Top 5 auffälligsten Schwachstellen aus 2020 vor. Teil 4: TLS 1.0

Hintergrund zur Schwachstelle

Zur Authentifizierung und Verschlüsselung von Netzwerkverbindungen wird häufig TLS eingesetzt. TLS ist ein Protokoll, das zwischen dem TCP Protokoll und den Protokollen der Anwendungs- und Darstellungsebene liegt. Die Authentizität des kontaktierten Servers wird durch ein Zertifikat garantiert und die Verbindung zwischen Client und Server verschlüsselt.

TLS ist vermutlich eines der am meisten verbreiteten Verschlüsselungsprotokolle für Netzwerkkommunikation. Die Verschlüsselung von Daten wird hierbei von dem eigentlichen Applikationsprotokoll separiert, sodass Anwendungsprogrammierer sich mit der Verschlüsselungsebene nicht auseinandersetzen müssen. Nur die Konfiguration von TLS bedarf noch manueller Einstellung und liefert somit viel Potential für Schwachstellen. So verwenden viele Systeme noch die veraltete Version TLSv1.0, die bereits seit 2016 nicht mehr vom PCI Council als ausreichend sicher anerkannt wird.

Beispielhafter Hackerangriff und seine Folgen

Schwachstellen auf TLS-Ebene sind meistens nur unter Laborbedingungen ausnutzbar[1]. Der Grund dafür, dass es diese Schwachstellen-Kategorie dennoch in unsere Auflistung geschafft hat, ist die herausragende Häufigkeit, mit der TLSv1.0 in getesteten Systemen identifiziert wurde. Ein klares Zeichen, dass Schwachstellen auf TLS-Ebene weiterhin zu wenig ernst genommen werden.

Maßnahmenempfehlung

TLSv1.0 ist eine veraltete Version des TLS- Protokolls mit bekannten Schwachstellen. Eine konkrete Ausnutzung ist zwar schwierig, dennoch ist ein Sicherheitsrisiko gegeben. Insbesondere PCI-relevante Systeme dürfen kein TLSv1.0 mehr unterstützen, um Compliance-Richtlinien zu erfüllen.

Bitte beachten Sie, dass es sich hierbei um eine allgemeingültige Maßnahmenempfehlung handelt. Gern unterstützen wir Sie mit individuellen Lösungen. Sprechen Sie uns gern an.


[1] In unserer Mini-Serie gehen wir nicht auf kryptographische Details ein.

In unserem Jahresbericht 2020 finden Sie mehr zu unseren Top 5 auffälligsten Schwachstellen und weitere spannende Themen.