Big Blue Button: Das große blaue Sicherheitsrisiko
Die Software Big Blue Button gehört zu den beliebtesten Open-Source-Lösungen für Videochats. Die Coronakrise hat für viel Verbreitung gesorgt, und die Software wird in vielen Unternehmen, Schulen und Universitäten eingesetzt. Doch in Sachen Sicherheit sieht es bei Big Blue Button nicht gut aus: Golem.de fand mehrere Sicherheitslücken und meldete sie dem Entwickler; eine besonders kritische Lücke wurde erst nach Monaten geschlossen.
Als außergewöhnlich problematisch erwies sich bei unseren Tests eine Funktion, mit der man digitale Präsentationen hochladen kann. Diese können in einer Reihe von Formaten sein, neben PDFs und reinen Bildern können auch Office-Dokumente hochgeladen werden. Die werden dann auf dem Server mit Hilfe von Libreoffice konvertiert. Libreoffice unterstützt extrem viele Dateiformate mit komplexen Features – eine große Angriffsfläche.
Dateien exfiltrieren mit Libreoffice
In einem Blogpost erläutert der IT-Sicherheitsexperte Brett Buerhaus(öffnet im neuen Fenster) eine Anzahl von Möglichkeiten, wie sich Libeoffice in Fällen angreifen lässt, in denen es zur serverseitigen Konvertierung genutzt wird.
Das von Libreoffice standardmäßig verwendete Opendocument-Format ermöglicht es, externe Dateien über URLs in eine Office-Datei einzubinden. Diese URLs können entweder normale Web-URLs oder Verweise auf lokale Dateien sein. Bei einem Test mit Big Blue Button konnten wir damit problemlos Dateien des lokalen Systems einbinden und uns anzeigen lassen.
Der Angriff ist damit fast trivial: Man erzeugt ein Dokument, welches ein externes Objekt einbindet, und verweist auf eine lokale Datei. Dieses Dokument lädt man anschließend als Präsentation hoch und kann den Inhalt der Datei sehen.
Als Proof of Concept haben wir eine Datei erstellt, die die Konfigurationsdatei mit dem API-Key extrahiert. Über die API kann man anschließend auch Räume von anderen Personen vollständig kontrollieren und sich etwa unberechtigt in geschlossene Sitzungen einwählen.
Kritische Lücke erst viele Monate später geschlossen
Als wir diese Lücke an die Entwickler von Big Blue Button meldeten, erhielten wir zunächst keine Reaktion. Nach einer Rückfrage verwies man uns auf einen öffentlichen Report(öffnet im neuen Fenster) , der ein ähnliches Problem meldete. Allerdings handelte es sich um eine andere, uns bis dahin unbekannte Methode, um mit Libreoffice Daten zu exfiltrieren(öffnet im neuen Fenster) . Es gab also bereits eine bekannte, ähnlich kritische Sicherheitslücke, die jedoch kaum wahrgenommen wurde. Durch eine Konfigurationsänderung wurde dieses Problem behoben – doch die von uns gemeldete Methode funktionierte weiterhin.
Libreoffice-Sandbox für nächste Version geplant
Die Entwickler von Big Blue Button schrieben uns, dass sie planten, ein entsprechendes Sandboxing für Libreoffice zu implementieren. Zuerst hieß es, man wolle Libreoffice in ein Chroot einsperren. Dann erwog man, den Prozess in einem Docker-Container auszuführen. Passiert ist bislang beides nicht, die Container-Lösung sei aber für die kommende Version 2.3 geplant.
Nachdem bei dieser Lücke längere Zeit nichts passierte, schauten wir uns das Problem noch einmal genauer an. Denn eigentlich sollte ein solcher Angriff überhaupt nicht funktionieren, da Libreoffice externe Dateien nur nach einem Nutzerdialog einbindet. Bei einer Konvertierung auf der Kommandozeile wird dies automatisch abgelehnt.
Jodconverter erlaubt in Standardeinstellung Einbinden von Dateien
Als Ursache fanden wir eine Software namens Jodconverter(öffnet im neuen Fenster) , die einen Wrapper um die Konvertierungsfunktionalität von Libreoffice bereitstellt und von Big Blue Button verwendet wird. In Jodconverter wird das Einbinden von externen Dateien standardmäßig aktiviert. Will man das nicht, muss man diese Funktion aktiv ausschalten. Der Entwickler von Jodconverter überlegt, diese Standardeinstellung zu ändern, bislang ist das aber nicht passiert.
Nachdem wir dies den Entwicklern von Big Blue Button mitgeteilt hatten, änderte man dort die Einstellung(öffnet im neuen Fenster) . Die Änderung floss in Version 2.2.27 ein(öffnet im neuen Fenster) , alle Nutzer von Big Blue Button sollten dieses Update schnellstmöglich installieren. Besonders transparent ist Big Blue Button mit dem Problem nicht umgegangen. In den Release-Notes ist nicht erkennbar, dass hier ein kritisches Sicherheitsproblem behoben wurde.
Wissen sollte man zudem, dass dies vermutlich nicht der einzige mögliche Angriff auf die Libreoffice-Dateikonvertierung ist. Ein weiteres großes Risiko ist, dass Libreoffice standardmäßig auch EPS-Dateien unterstützt, diese werden mit dem Tool Ghostscript konvertiert. Ghostscript implementiert den Postscript-Standard, bei dem es sich faktisch um eine vollwertige Programmiersprache handelt. Zwar hat Ghostscript eine schwache Sandbox hierfür, doch regelmäßig werden darin Fehler entdeckt und es ist häufig möglich, die Sandbox auszuhebeln .
Die Datei-Exfiltrierung mit Libreoffice war die kritischste Lücke, die wir bei unseren Recherchen fanden, aber leider nicht die einzige.
XSS-Lücke und keine sicheren Session-Cookies
Ebenfalls im Präsentationsupload fanden wir bereits im April eine Cross-Site-Scripting-Lücke (XSS). Präsentationen können Nutzern zum Herunterladen angeboten werden, dabei wurde jedoch kein entsprechender Content-Type-Header gesetzt. Damit war es möglich, eine Datei hochzuladen, die zwar von der Dateiendung einem der unterstützen Dateitypen entspricht – in unserem Test haben wir .png verwendet, deren Inhalt aber HTML-Code enthält.
Webbrowser versuchen beim Fehlen des Content Types zu erraten, um was für eine Datei es sich handelt. Daher wird in so einem Fall der HTML-Code gerendert und darin enthaltener Javascript-Code ausgeführt. Wir meldeten diese Lücke an die Entwickler von Big Blue Button und erfuhren, dass diese fast zeitgleich bereits von einer anderen Person gemeldet worden sei(öffnet im neuen Fenster) . In den Release-Notes für die entsprechende Version(öffnet im neuen Fenster) wird nur erwähnt, dass man die Sicherheit verbessert habe, ein konkreter Verweis auf die XSS-Sicherheitslücke fehlt.
Cookies ohne Secure-Flag
Ein weiteres Problem haben wir den Entwicklern ebenfalls bereits im April gemeldet: Die Session-Cookies von Big Blue Button enthalten, auch wenn die Seite über HTTPS aufgerufen wird, kein Secure-Flag. Das bedeutet konkret, dass Cookies auch bei unverschlüsselten Verbindungen übertragen werden. Damit ist es für Netzwerkangreifer möglich, Sitzungen von Nutzern zu übernehmen. Sie müssen lediglich dafür sorgen, dass eine einzelne, unverschlüsselte Verbindung zum entsprechenden Host stattfindet, und können das Cookie mitlesen.
Zu dieser Lücke haben wir über mehrere Monate überhaupt keine Antwort der Entwickler von Big Blue Button erhalten. Erst nach mehreren Rückfragen wurde die Lücke geschlossen(öffnet im neuen Fenster) . Der erste Patch war zudem unvollständig – er setzte zwar das Secure-Flag für Big Blue Button selbst, aber nicht für das standardmäßig mitgelieferte Webfrontend Greenlight. Erst nach nochmaligem Nachhaken wurde auch dort das Secure-Flag gesetzt(öffnet im neuen Fenster) .
Neben diesen konkreten Sicherheitslücken erscheint uns auch das Gesamtdesign von Big Blue Button aus Sicherheitsperspektive sehr problematisch und wir fanden eine Reihe kleinerer Probleme.
Uraltes Ubuntu und nicht mehr unterstütze NodeJS-Version
Prinzipiell funktioniert Big Blue Button nur auf der inzwischen vier Jahre alten Ubuntu-Version 16.04. Die Installation ist äußert komplex, daher wird Nutzenden empfohlen, sie über ein Shellskript durchzuführen, das zahlreiche Pakete installiert sowie konfiguriert und diverse zusätzliche Paketquellen zum System hinzufügt.
Darunter sind auch Pakete, für die es längst keine Sicherheitsupdates mehr gibt. So erscheint während der Installation eine Warnung von einem Repository mit Nodejs-Paketen, dass Nodejs in der Version 8 installiert werde und es hierfür keine Sicherheitsfixes mehr gebe(öffnet im neuen Fenster) .
Offene Netzwerkports und ein Default-Passwort
Die Installation startet standardmäßig zahlreiche Netzwerkservices. Bis vor kurzem war es noch so, dass deren Ports anschließend von außen erreichbar waren. Ein unnötiges Risiko: Die meisten dieser Services werden nur lokal genutzt.
Die Dokumentation empfiehlt, diese mittels einer Firewall-Konfiguration zu sperren(öffnet im neuen Fenster) , doch unklar blieb, warum das Installationsskript dies nicht automatisch machte. Nachdem wir die Entwickler darauf ansprachen, wurde das geändert.
Standardmäßig wurde auch die Software Freeswitch mit einem Default-Passwort installiert ("ClueCon"). Zwar war der Freeswitch-Service von außen nicht erreichbar, daher war das Standardpasswort nicht direkt für einen Angriff verwendbar. Ein lokaler Angreifer hätte das aber ausnutzen können. Nach unserem Hinweis wurde dies geändert und das Passwort wird nun zufällig erzeugt.
Videoaufzeichnungen standardmäßig aktiviert
Neben vielen sicherheitstechnischen Problemen gibt es in Big Blue Button auch einige in Sachen Datenschutz. In der Standardkonfiguration von Big Blue Button werden Videokonferenzen grundsätzlich aufgezeichnet(öffnet im neuen Fenster) – und zwar auch dann, wenn im Nutzerinterface die Videoaufzeichnung eigentlich deaktiviert ist. Will man dieses etwas irritierende Verhalten nicht, muss man die Einstellung manuell konfigurieren.
Für Aufregung sorgte vor kurzem auch die Tatsache(öffnet im neuen Fenster) , dass der Mute-Button nicht dazu führt, dass die Audio-Datenübertragung zum Server unterbrochen wird. Das Muten fand rein serverseitig statt. Dieses Problem wurde inzwischen behoben(öffnet im neuen Fenster) .
Datenschutzbeauftragte empfehlen Big Blue Button
Insgesamt kein gutes Bild bei einer Software, die gerade von vielen Seiten als besonders datenschutzfreundlich empfohlen wird. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat Big Blue Button kürzlich zusammen mit anderen Systemen empfohlen . Auch der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, hat im April Schulen den Einsatz von Big Blue Button empfohlen(öffnet im neuen Fenster) .
Auf Anfrage verwies das Büro des baden-württembergischen Datenschutzbeauftragten darauf, dass sich die Empfehlung nur auf die Konfiguration bezogen habe, die in baden-württembergischen Schulen zum Einsatz komme und dass dort das automatische Aufzeichnen von Konferenzen deaktiviert werde. "Üblicherweise führt der LfDI keine ausführlichen Security-Audits durch, sondern bewertet eine Software nach datenschutzrechtlichen Gesichtspunkten. Die IT-Sicherheit ist dabei ein Element. Bisher ist Big Blue Button unserer Kenntnis nach nicht negativ aufgefallen" , heißt es weiter zum Thema Sicherheit.
Berliner Datenschutzbeauftragte würde öffentlich finanzierte Weiterentwicklung begrüßen
Die Berliner Datenschutzbeauftragte zeigte sich sehr interessiert an unseren Recherchen und sieht auch Bedarf nach einem umfangreicheren Sicherheitsaudit von Big Blue Button: "Wir stimmen Ihnen zu, dass eine Durchsicht des Quellcodes auf weitere Problemstellen geboten erscheint, und würden es begrüßen, wenn die öffentliche Verwaltung die Weiterentwicklung des Produkts fördern würde. Eine Investition in Fehlerbereinigung oder Ergänzung quelloffener Software kommt nicht nur der öffentlichen Hand selbst zugute, sondern der Allgemeinheit."
Bei unseren Recherchen erfuhren wir, dass das US-Verteidigungsministerium vor einigen Jahren einen Sicherheitsaudit von Big Blue Button durchgeführt hat. Dort nutzt man die Software bereits seit 2015. Wir haben versucht, Einblick in diesen Audit über das US-Informationsfreiheitsgesetz (Freedom of Information Act) zu erhalten. Man teilte uns jedoch mit, dass die entsprechenden Dokumente klassifiziert seien.
Der Verein Cyber4Edu, der Big-Blue-Button-Instanzen ehrenamtlich für Bildungseinrichtungen betreut , schaute sich die Sicherheit der Software ebenfalls an und fand Probleme, teilweise dieselben, auf die wir bei unserer Recherche stießen. Auch hier lief die Kommunikation mit den Entwicklern von Big Blue Button eher schleppend.
Freie Software ermöglicht zumindest Selbsthilfe
Trotzdem kommt Andreas Steinhauser von Cyber4Edu zu einem eher positiven Fazit: "Da es sich um freie und offene Software handelt, haben wir die Möglichkeit, dabei zu helfen, die Schwachstellen zu erkennen und sie zu beheben. Das tun wir derzeit oft, und das ist viel Aufwand und nervt manchmal, aber anders als bei kommerziellen Produkten ist es überhaupt möglich."
Insgesamt bleibt festzuhalten: Big Blue Button ist zurzeit enorm beliebt und wird von unzähligen öffentlichen Einrichtungen genutzt. Die Sicherheit der Software ist mangelhaft, was selbst bei einem groben Blick darauf bereits auffällt. Aus Datenschutzsicht sind einige Designentscheidungen sehr zweifelhaft.
Den Entwicklern von Big Blue Button kann man vorwerfen, dass sie beim Umgang mit Sicherheitslücken eher unprofessionell agieren und Sicherheitsfixes nicht transparent kommuniziert werden. Es gilt aber natürlich zu beachten, dass hier ein vergleichsweise kleines Entwicklerteam ein Videochat-System als freie Software bereitstellt, die von unzähligen Institutionen und Firmen kostenlos genutzt wird.
Dabei stellt sich die Frage, ob Unterstützung bei der Sicherheit durch staatliche Behörden, beispielsweise durch einen umfangreichen Security-Audit, angemessen und verdient wäre für eine Software, die gerade auch in datenschutzsensiblen Bereichen wie beispielsweise Schulen verwendet wird. Doch dafür fühlt sich offenbar bisher niemand zuständig.