Angaben von G DATA zufolge mussten nach Tests seitens G Data Advanced Analytics insgesamt fünf Sicherheitslücken gestopft werden – eine davon kritisch. Die Web-Anwendung “TOPqw Webportal” der bit GmbH dient dem “Einrichtungsmanagement für Leistungsträger SGB VIII, SGB XI, SGB IX, SGB XII” sowie als Kommunikationsplattform zwischen Leistungsträger und den Leistungserbringern” und ist in insgesamt zwölf Bundesländern im Einsatz, darunter Berlin, Bremen, Sachsen-Anhalt – unter anderem in kommunalen Betrieben, Gemeinden und Stadtverwaltungen.
Bei den Penetrationstests fiel auf, dass potenzielle Angreifer auf triviale Art und Weise den kompletten Inhalt von Datenbanken hätten einsehen können. Möglich war das durch eine sogenannte SQL-Injection. Unter anderem waren in der Datenbank Namen, E-Mailadressen und auch (gehashte) Passwörter lesbar. Für den Zugriff war kein Passwort erforderlich.
„Die Sicherheitslücke erlaubte keine Ausführung von Code auf dem Datenbankserver”, erläutert Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Aber der Zugriff allein war bereits schlimm genug, insbesondere vor dem Hintergrund, dass in der Datenbank persönliche Informationen über Empfänger von Sozialleistungen hinterlegt waren.“
Eine Funktion, die neue Benutzer in der Datenbank anlegt, war ebenfalls über eine Sicherheitslücke mittels SQL-Injection angreifbar. Angreifer hätten mit Hilfe dieser Schwachstelle direkt auf die Datenbank zugreifen und eigenen SQL-Code einschleusen können. Das hätte wiederum potenziell vollen Zugriff auf den gesamten Inhalt der Datenbank ermöglicht.
Die dritte Schwachstelle war eine nicht korrekt implementierte Zugriffskontrolle. Nutzer, die nicht über entsprechende Freigaben verfügen, können auf administrative Komponenten der Webanwendung zugreifen, indem sie einfach die Adresse im Browser entsprechend anpassen. Das erlaubt es jedem angemeldeten Benutzer, andere Benutzerkonten einzusehen, sowie bestehende Konten zu löschen oder neue anzulegen. Damit wäre es bei einem Angriff beispielsweise möglich, sämtliche Benutzer auszusperren. Auch die Manipulation von Daten ist so theoretisch möglich. Über das Kalkulationsmodul der Anwendung lassen sich auch bösartige Dateien einschleusen.
Zwei weitere Sicherheitslücken erlaubten es einem Angreifer, eigenen Javascript-Code in die Webanwendung zu schleusen. Da die Plattform Dateinamen an einer Stelle nicht validiert und an einer anderen Stelle Javascript als Protokoll zulässt, ist es möglich, auch bösartige Skripte im Kontext der Webanwendung laufen zu lassen.
Der Anbieter des Portals, die bit GmbH (baltic IT), hat schnell reagiert und die kritische Sicherheitslücke in TOPqw bereits nach zwei Tagen geschlossen. Auch die übrigen Schwachstellen wurden nim Folgenden behoben. Inzwischen sind alle fünf entdeckten Sicherheitslücken geschlossen und die entsprechenden Updates an alle Produktionsumgebungen der TOPqw-Kunden ausgerollt.
Grundsätzlich lehrt dieser Vorfall mit Happy End wie sehr sich die Durchführung von Penetration Tests
gegen Software sowie sonstige (Zutritts-)Systeme oder Gebäude lohnt – jedenfalls bevor es zu spät ist.
Zum (englischsprachigen) Blogbeitrag auf cyber.wtf