Hochschule nutzte veraltete Version mit bekannten Sicherheitslücken

Wie genau die Ilias-Installation angegriffen wurde, konnten wir nicht herausfinden, auch weil bislang keiner der Beteiligten für eine Stellungnahme erreichbar war. Doch eine Analyse der Software brachte einige Details zu Tage, die möglicherweise Hinweise geben.

Stellenmarkt
  1. Mitarbeiterin (m/w/d) Betrieb Rechenzentrum
    HUK-COBURG VVaG, Coburg
  2. SAP FI/CO Berater (m/w/x)
    über duerenhoff GmbH, Raum Nürnberg
Detailsuche

Im Google-Cache war zum Zeitpunkt unserer Recherche noch die zuletzt aktive Version von Ilias unter der betroffenen Webseite abrufbar. Daraus geht hervor, dass diese mit Version 5.1.16 von Ilias betrieben wurde. Diese wurde bereits vor einem Jahr, im März 2017, veröffentlicht. Seither gab es mehrere Sicherheitsupdates, die offenbar nicht installiert wurden.

Der Upload von SVG-Dateien ermöglichte eine Cross-Site-Scripting-(XSS)-Lücke, eine weitere XSS-Lücke gab es aufgrund fehlender Filterung von Formulareingaben. Eine Lücke in der Mailzustellung führte dazu, dass Systemmails manchmal an die falschen Nutzer zugestellt wurden. Im Oktober 2017 wurde eine nicht näher erläuterte Sicherheitslücke bei der Behandlung von Mediendateien gefunden. Und Anfang Februar 2018 fand sich eine weitere Cross-Site-Scripting-Lücke.

Um Schwachstellen dieser Art auszunutzen, ist es in der Regel erforderlich, das Opfer auf eine bestimmte Seite mit Angriffscode zu locken. Das ist meist deutlich umständlicher als andere Klassen von Sicherheitslücken, bei denen man oft direkt Code ausführen oder Daten abgreifen und manipulieren kann. Für professionelle Angreifer wäre das aber ein realistischer Aufwand.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
Weitere IT-Trainings

Eine kritischere Lücke wurde in der von der Hochschule verwendeten Version 5.1.6 behoben: Sie ermöglicht laut der Beschreibung das Kopieren von Dateien an beliebige Stellen im Dateisystem. Damit ist es vermutlich relativ einfach möglich, eine Installation komplett zu übernehmen und Code auszuführen. Diese Lücke ist zwar in der vor wenigen Tagen noch genutzten Version von Ilias behoben, doch bisherigen Berichten zufolge soll der Angriff mehrere Monate vor dem vergangenen Dezember begonnen haben.

Adminsitratoraccount mit Standardpasswort "homer"

Bei der Analyse von Ilias ist uns ein weiterer Schwachpunkt aufgefallen. Wenn man das System neu installiert, wird ein Standardaccount mit Administratorrechten angelegt. Dieser hat den Benutzernamen "root" und das Passwort "homer". Nirgendwo wird man dazu aufgefordert, das Passwort umgehend zu ändern. Denkbar wäre es also, dass das Standardpasswort schlicht nicht geändert wurde.

Wir haben keine Möglichkeit gefunden, mit einem Administratoraccount direkt Code auszuführen. aber es ist natürlich nicht auszuschließen, dass es eine solche Möglichkeit gibt und wir sie nicht gefunden haben. Natürlich ist auch denkbar, dass der Angriff über eine bislang unbekannte Lücke erfolgte. Insgesamt ist das Ilias-System sehr umfangreich, es bietet für Nutzer viele Möglichkeiten, zu interagieren. Datei-Uploads von zahlreichen Medienformaten, ein Wiki, ein Pluginsystem und vieles mehr bieten eine große Angriffsfläche.

Von der Nato geprüft

Bei unseren Recherchen sind wir außerdem auf eine Meldung aus dem Jahr 2008 gestoßen. Demnach hat die Nato die Ilias-Software einem dreitägigen Test unterzogen und dabei keine Sicherheitsprobleme gefunden. Ilias kann demnach auch im internen Nato-Netz Chronos eingesetzt werden. Auch soll Ilias bereits vor diesem Test von der Nato zur Vorbereitung von Soldaten auf Isaf-Einsätze in Afghanistan verwendet worden sein.

Hinweis: Eine englischsprachige Version des Textes können Sie hier nachlesen

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias
  1.  
  2. 1
  3. 2


BLi8819 15. Mär 2018

Kannst du ja dennoch, wenn es notwendig wird. Wird aber wohl eher selten der Fall sein...

mimimi123 13. Mär 2018

jaja sicher. Falls das jemals wer geglaubt hat, dann glaubt der das leider noch immer.

Hirngespinste 12. Mär 2018

@SilentWolf: Ich habe gerade mit Hilfe eines Skalarwellen-Funkempfaengers mit Dr. Axel...

bombinho 12. Mär 2018

Also wenn ich hier nicht irgendetwas verpasst habe, kenne ich keine mittelstaendische...

KlugKacka 12. Mär 2018

Hmm, Nutzen die es auch? Oder nur um uns zu Hacken?



Aktuell auf der Startseite von Golem.de
Chorus im Test
Action im All plus galaktische Grafik

Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
Von Peter Steinlechner

Chorus im Test: Action im All plus galaktische Grafik
Artikel
  1. Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
    Bald exklusiv bei Disney+
    Serien verschwinden aus Abos von Netflix und Prime Video

    Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
    Von Ingo Pakalski

  2. Exos X20 und Ironwolf Pro: Seagate baut 20-TByte-Festplatten für NAS und Server
    Exos X20 und Ironwolf Pro
    Seagate baut 20-TByte-Festplatten für NAS und Server

    Sowohl die Seagate Exos X20 als auch die Ironwolf Pro gibt es künftig auch mit 20 TByte. Die HDDs sind für sicheren Storage gedacht.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /