Abo
  • IT-Karriere:

Hochschule nutzte veraltete Version mit bekannten Sicherheitslücken

Wie genau die Ilias-Installation angegriffen wurde, konnten wir nicht herausfinden, auch weil bislang keiner der Beteiligten für eine Stellungnahme erreichbar war. Doch eine Analyse der Software brachte einige Details zu Tage, die möglicherweise Hinweise geben.

Stellenmarkt
  1. we.CONECT Global Leaders GmbH, Berlin-Kreuzberg,Berlin
  2. Bundeskriminalamt, Wiesbaden

Im Google-Cache war zum Zeitpunkt unserer Recherche noch die zuletzt aktive Version von Ilias unter der betroffenen Webseite abrufbar. Daraus geht hervor, dass diese mit Version 5.1.16 von Ilias betrieben wurde. Diese wurde bereits vor einem Jahr, im März 2017, veröffentlicht. Seither gab es mehrere Sicherheitsupdates, die offenbar nicht installiert wurden.

Der Upload von SVG-Dateien ermöglichte eine Cross-Site-Scripting-(XSS)-Lücke, eine weitere XSS-Lücke gab es aufgrund fehlender Filterung von Formulareingaben. Eine Lücke in der Mailzustellung führte dazu, dass Systemmails manchmal an die falschen Nutzer zugestellt wurden. Im Oktober 2017 wurde eine nicht näher erläuterte Sicherheitslücke bei der Behandlung von Mediendateien gefunden. Und Anfang Februar 2018 fand sich eine weitere Cross-Site-Scripting-Lücke.

Um Schwachstellen dieser Art auszunutzen, ist es in der Regel erforderlich, das Opfer auf eine bestimmte Seite mit Angriffscode zu locken. Das ist meist deutlich umständlicher als andere Klassen von Sicherheitslücken, bei denen man oft direkt Code ausführen oder Daten abgreifen und manipulieren kann. Für professionelle Angreifer wäre das aber ein realistischer Aufwand.

Eine kritischere Lücke wurde in der von der Hochschule verwendeten Version 5.1.6 behoben: Sie ermöglicht laut der Beschreibung das Kopieren von Dateien an beliebige Stellen im Dateisystem. Damit ist es vermutlich relativ einfach möglich, eine Installation komplett zu übernehmen und Code auszuführen. Diese Lücke ist zwar in der vor wenigen Tagen noch genutzten Version von Ilias behoben, doch bisherigen Berichten zufolge soll der Angriff mehrere Monate vor dem vergangenen Dezember begonnen haben.

Adminsitratoraccount mit Standardpasswort "homer"

Bei der Analyse von Ilias ist uns ein weiterer Schwachpunkt aufgefallen. Wenn man das System neu installiert, wird ein Standardaccount mit Administratorrechten angelegt. Dieser hat den Benutzernamen "root" und das Passwort "homer". Nirgendwo wird man dazu aufgefordert, das Passwort umgehend zu ändern. Denkbar wäre es also, dass das Standardpasswort schlicht nicht geändert wurde.

Wir haben keine Möglichkeit gefunden, mit einem Administratoraccount direkt Code auszuführen. aber es ist natürlich nicht auszuschließen, dass es eine solche Möglichkeit gibt und wir sie nicht gefunden haben. Natürlich ist auch denkbar, dass der Angriff über eine bislang unbekannte Lücke erfolgte. Insgesamt ist das Ilias-System sehr umfangreich, es bietet für Nutzer viele Möglichkeiten, zu interagieren. Datei-Uploads von zahlreichen Medienformaten, ein Wiki, ein Pluginsystem und vieles mehr bieten eine große Angriffsfläche.

Von der Nato geprüft

Bei unseren Recherchen sind wir außerdem auf eine Meldung aus dem Jahr 2008 gestoßen. Demnach hat die Nato die Ilias-Software einem dreitägigen Test unterzogen und dabei keine Sicherheitsprobleme gefunden. Ilias kann demnach auch im internen Nato-Netz Chronos eingesetzt werden. Auch soll Ilias bereits vor diesem Test von der Nato zur Vorbereitung von Soldaten auf Isaf-Einsätze in Afghanistan verwendet worden sein.

Hinweis: Eine englischsprachige Version des Textes können Sie hier nachlesen

 Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 32,99€
  2. (-80%) 1,99€
  3. 2,19€

BLi8819 15. Mär 2018

Kannst du ja dennoch, wenn es notwendig wird. Wird aber wohl eher selten der Fall sein...

mimimi123 13. Mär 2018

jaja sicher. Falls das jemals wer geglaubt hat, dann glaubt der das leider noch immer.

Hirngespinste 12. Mär 2018

@SilentWolf: Ich habe gerade mit Hilfe eines Skalarwellen-Funkempfaengers mit Dr. Axel...

bombinho 12. Mär 2018

Also wenn ich hier nicht irgendetwas verpasst habe, kenne ich keine mittelstaendische...

KlugKacka 12. Mär 2018

Hmm, Nutzen die es auch? Oder nur um uns zu Hacken?


Folgen Sie uns
       


Zenbook Pro Duo - Hands on

Braucht man das? Gut aussehen tut das Zenbook Pro Duo jedenfalls.

Zenbook Pro Duo - Hands on Video aufrufen
Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

    •  /