14.11.2024 | 1 Bild

G DATA entdeckt fünf Sicherheitslücken in Geschäftssoftware „TOPqw Webportal“

Schwachstellen ermöglichten Zugang zu persönlichen Informationen
Zu dieser Meldung gibt es:

Ein Kieler Softwarehaus musste nach Tests der G DATA Advanced Analytics insgesamt fünf Sicherheitslücken stopfen – eine davon kritisch. Die Software ist in insgesamt zwölf Bundesländern im Einsatz, unter anderem in kommunalen Betrieben, Gemeinden und Stadtverwaltungen.

Pressetext Pressetext als .txt

Security-Fachleute der G DATA Advanced Analytics haben bei einem Penetrationstest der Webanwendung „TOPqw Webportal“ des Kieler Softwareherstellers baltic IT mehrere Schwachstellen identifiziert. Dabei fiel auf, dass potenzielle Angreifer auf triviale Art und Weise den kompletten Inhalt von Datenbanken hätten einsehen können. Möglich war das durch eine sogenannte „SQL-Injection“. Unter anderem waren in der Datenbank Namen, E-Mailadressen und auch (gehashte) Passwörter lesbar. Für den Zugriff war kein Passwort erforderlich.

„Die Sicherheitslücke erlaubte keine Ausführung von Code auf dem Datenbankserver", sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Aber der Zugriff allein war bereits schlimm genug, insbesondere vor dem Hintergrund, dass in der Datenbank persönliche Informationen über Empfänger von Sozialleistungen hinterlegt waren.“

Zugriff und Einsicht auf persönliche Daten
Eine Funktion, die neue Benutzer in der Datenbank anlegt, war ebenfalls über eine Sicherheitslücke mittels SQL-Injection angreifbar. Angreifer hätten mit Hilfe dieser Schwachstelle direkt auf die Datenbank zugreifen können und eigenen SQL-Code einschleusen. Das hätte wiederum vollen Zugriff auf den gesamten Inhalt der Datenbank ermöglicht.

Die dritte Schwachstelle war eine nicht korrekt implementierte Zugriffskontrolle. Nutzer, die nicht über entsprechende Freigaben verfügen, können auf administrative Komponenten der Webanwendung zugreifen, indem sie einfach die Adresse im Browser entsprechend anpassen. Das erlaubt es jedem angemeldeten Benutzer, andere Benutzerkonten einzusehen, sowie bestehende Konten zu löschen oder neue anzulegen. Damit wäre es bei einem Angriff beispielsweise möglich, sämtliche Benutzer auszusperren. Auch die Manipulation von Daten ist möglich. Über das Kalkulationsmodul der Anwendung lassen sich auch bösartige Dateien einschleusen.

Zwei weitere Sicherheitslücken erlaubten es einem Angreifer, eigenen Javascript-Code in die Webanwendung zu schleusen. Da die Plattform Dateinamen an einer Stelle nicht validiert und an einer anderen Stelle Javascript als Protokoll zulässt, ist es möglich, auch bösartige Skripte im Kontext der Webanwendung laufen zu lassen.

Dienstleister reagiert schnell
Glücklicherweise sind diese Schwachstellen im Rahmen des Penetrationstests aufgefallen und nicht erst durch eine böswillige Ausnutzung durch Kriminelle

baltic IT hat schnell reagiert und die kritische Sicherheitslücke in TOPqw bereits nach zwei Tagen geschlossen. Auch die übrigen Schwachstellen wurden nach und nach behoben. Der Veröffentlichungsprozess folgte den Regeln der Responsible Disclosure. Seit dem 25. Juli 2024 sind alle fünf gemeldeten Sicherheitslücken geschlossen und die entsprechenden Updates an alle Produktionsumgebungen der TOPqw-Kunden ausgerollt.

Alle technischen Details zu den gefundenen Schwachstellen sowie die komplette Timeline finden sich im ausführlichen Blogpost von G DATA Advanced Analytics auf cyber.wtf.

G DATA CyberDefense

Die G DATA CyberDefense AG ist ein führendes deutsches Unternehmen im Bereich IT-Sicherheit. Mit einem klaren Fokus auf innovativen Lösungen bietet der 1985 in Bochum gegründete Cyber-Defense-Spezialist Unternehmen und Privatanwendern auf der ganzen Welt umfassenden Schutz vor Cyberbedrohungen. Das engagierte Team der mehr als 550 Angestellten arbeitet kontinuierlich daran, die Sicherheitslösungen zu verbessern und den ständig wachsenden Herausforderungen der digitalen Welt gerecht zu werden.

Das Cyber-Defense-Portfolio von G DATA reicht von modernsten Sicherheitslösungen, Managed eXtended Detection and Response (MXDR) über Security Awareness Trainings bis hin zu Security-Dienstleistungen wie Penetrationstests, Incident Response und forensischen Analysen. Die mehrfach ausgezeichneten Technologien des Unternehmens basieren auf jahrzehntelanger Erfahrung und kontinuierlicher Forschung und Entwicklung in Deutschland.

Im Herbst 2024 hat G DATA die angesehene ISO-27001-Zertifizierung für die höchsten Datenschutz- und Sicherheitsstandards im Umgang mit Systemen und Kundendaten erhalten.