Hochschule nutzte veraltete Version mit bekannten Sicherheitslücken

Wie genau die Ilias-Installation angegriffen wurde, konnten wir nicht herausfinden, auch weil bislang keiner der Beteiligten für eine Stellungnahme erreichbar war. Doch eine Analyse der Software brachte einige Details zu Tage, die möglicherweise Hinweise geben.

Im Google-Cache war zum Zeitpunkt unserer Recherche noch die zuletzt aktive Version von Ilias unter der betroffenen Webseite abrufbar. Daraus geht hervor, dass diese mit Version 5.1.16 von Ilias betrieben wurde. Diese wurde bereits vor einem Jahr, im März 2017, veröffentlicht. Seither gab es mehrere Sicherheitsupdates, die offenbar nicht installiert wurden.

Der Upload von SVG-Dateien ermöglichte eine Cross-Site-Scripting-(XSS)-Lücke, eine weitere XSS-Lücke gab es aufgrund fehlender Filterung von Formulareingaben. Eine Lücke in der Mailzustellung führte dazu, dass Systemmails manchmal an die falschen Nutzer zugestellt wurden. Im Oktober 2017 wurde eine nicht näher erläuterte Sicherheitslücke bei der Behandlung von Mediendateien gefunden. Und Anfang Februar 2018 fand sich eine weitere Cross-Site-Scripting-Lücke.

Um Schwachstellen dieser Art auszunutzen, ist es in der Regel erforderlich, das Opfer auf eine bestimmte Seite mit Angriffscode zu locken. Das ist meist deutlich umständlicher als andere Klassen von Sicherheitslücken, bei denen man oft direkt Code ausführen oder Daten abgreifen und manipulieren kann. Für professionelle Angreifer wäre das aber ein realistischer Aufwand.

Eine kritischere Lücke wurde in der von der Hochschule verwendeten Version 5.1.6 behoben: Sie ermöglicht laut der Beschreibung das Kopieren von Dateien an beliebige Stellen im Dateisystem. Damit ist es vermutlich relativ einfach möglich, eine Installation komplett zu übernehmen und Code auszuführen. Diese Lücke ist zwar in der vor wenigen Tagen noch genutzten Version von Ilias behoben, doch bisherigen Berichten zufolge soll der Angriff mehrere Monate vor dem vergangenen Dezember begonnen haben.

Adminsitratoraccount mit Standardpasswort "homer"

Bei der Analyse von Ilias ist uns ein weiterer Schwachpunkt aufgefallen. Wenn man das System neu installiert, wird ein Standardaccount mit Administratorrechten angelegt. Dieser hat den Benutzernamen "root" und das Passwort "homer". Nirgendwo wird man dazu aufgefordert, das Passwort umgehend zu ändern. Denkbar wäre es also, dass das Standardpasswort schlicht nicht geändert wurde.

Wir haben keine Möglichkeit gefunden, mit einem Administratoraccount direkt Code auszuführen. aber es ist natürlich nicht auszuschließen, dass es eine solche Möglichkeit gibt und wir sie nicht gefunden haben. Natürlich ist auch denkbar, dass der Angriff über eine bislang unbekannte Lücke erfolgte. Insgesamt ist das Ilias-System sehr umfangreich, es bietet für Nutzer viele Möglichkeiten, zu interagieren. Datei-Uploads von zahlreichen Medienformaten, ein Wiki, ein Pluginsystem und vieles mehr bieten eine große Angriffsfläche.

Von der Nato geprüft

Bei unseren Recherchen sind wir außerdem auf eine Meldung aus dem Jahr 2008 gestoßen. Demnach hat die Nato die Ilias-Software einem dreitägigen Test unterzogen und dabei keine Sicherheitsprobleme gefunden. Ilias kann demnach auch im internen Nato-Netz Chronos eingesetzt werden. Auch soll Ilias bereits vor diesem Test von der Nato zur Vorbereitung von Soldaten auf Isaf-Einsätze in Afghanistan verwendet worden sein.

Hinweis: Eine englischsprachige Version des Textes können Sie hier nachlesen