Schwachstellen ermöglichten Zugang zu persönlichen Informationen
Security-Fachleute der G DATA Advanced Analytics haben bei einem Penetrationstest der Webanwendung „TOPqw Webportal“ des Kieler Softwareherstellers baltic IT mehrere Schwachstellen identifiziert. Dabei fiel auf, dass potenzielle Angreifer auf triviale Art und Weise den kompletten Inhalt von Datenbanken hätten einsehen können. Möglich war das durch eine sogenannte „SQL-Injection“. Unter anderem waren in der Datenbank Namen, E-Mailadressen und auch (gehashte) Passwörter lesbar. Für den Zugriff war kein Passwort erforderlich.
„Die Sicherheitslücke erlaubte keine Ausführung von Code auf dem Datenbankserver", sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense.
„Aber der Zugriff allein war bereits schlimm genug, insbesondere vor dem Hintergrund, dass in der Datenbank persönliche Informationen über Empfänger von Sozialleistungen hinterlegt waren.“Zugriff und Einsicht auf persönliche DatenEine Funktion, die neue Benutzer in der Datenbank anlegt, war ebenfalls über eine Sicherheitslücke mittels SQL-Injection angreifbar. Angreifer hätten mit Hilfe dieser Schwachstelle direkt auf die Datenbank zugreifen können und eigenen SQL-Code einschleusen. Das hätte wiederum vollen Zugriff auf den gesamten Inhalt der Datenbank ermöglicht.
Die dritte Schwachstelle war eine nicht korrekt implementierte Zugriffskontrolle. Nutzer, die nicht über entsprechende Freigaben verfügen, können auf administrative Komponenten der Webanwendung zugreifen, indem sie einfach die Adresse im Browser entsprechend anpassen. Das erlaubt es jedem angemeldeten Benutzer, andere Benutzerkonten einzusehen, sowie bestehende Konten zu löschen oder neue anzulegen. Damit wäre es bei einem Angriff beispielsweise möglich, sämtliche Benutzer auszusperren. Auch die Manipulation von Daten ist möglich. Über das Kalkulationsmodul der Anwendung lassen sich auch bösartige Dateien einschleusen.
Zwei weitere Sicherheitslücken erlaubten es einem Angreifer, eigenen Javascript-Code in die Webanwendung zu schleusen. Da die Plattform Dateinamen an einer Stelle nicht validiert und an einer anderen Stelle Javascript als Protokoll zulässt, ist es möglich, auch bösartige Skripte im Kontext der Webanwendung laufen zu lassen.
Dienstleister reagiert schnellGlücklicherweise sind diese Schwachstellen im Rahmen des Penetrationstests aufgefallen und nicht erst durch eine böswillige Ausnutzung durch Kriminelle
baltic IT hat schnell reagiert und die kritische Sicherheitslücke in TOPqw bereits nach zwei Tagen geschlossen. Auch die übrigen Schwachstellen wurden nach und nach behoben. Der Veröffentlichungsprozess folgte den Regeln der Responsible Disclosure. Seit dem 25. Juli 2024 sind alle fünf gemeldeten Sicherheitslücken geschlossen und die entsprechenden Updates an alle Produktionsumgebungen der TOPqw-Kunden ausgerollt.
Alle technischen Details zu den gefundenen Schwachstellen sowie die komplette Timeline finden sich im ausführlichen Blogpost von
G DATA Advanced Analytics auf cyber.wtf.