Abo
  • Services:

Hochschule nutzte veraltete Version mit bekannten Sicherheitslücken

Wie genau die Ilias-Installation angegriffen wurde, konnten wir nicht herausfinden, auch weil bislang keiner der Beteiligten für eine Stellungnahme erreichbar war. Doch eine Analyse der Software brachte einige Details zu Tage, die möglicherweise Hinweise geben.

Stellenmarkt
  1. Otto-Friedrich-Universität Bamberg, Bamberg
  2. Haufe Group, Freiburg

Im Google-Cache war zum Zeitpunkt unserer Recherche noch die zuletzt aktive Version von Ilias unter der betroffenen Webseite abrufbar. Daraus geht hervor, dass diese mit Version 5.1.16 von Ilias betrieben wurde. Diese wurde bereits vor einem Jahr, im März 2017, veröffentlicht. Seither gab es mehrere Sicherheitsupdates, die offenbar nicht installiert wurden.

Der Upload von SVG-Dateien ermöglichte eine Cross-Site-Scripting-(XSS)-Lücke, eine weitere XSS-Lücke gab es aufgrund fehlender Filterung von Formulareingaben. Eine Lücke in der Mailzustellung führte dazu, dass Systemmails manchmal an die falschen Nutzer zugestellt wurden. Im Oktober 2017 wurde eine nicht näher erläuterte Sicherheitslücke bei der Behandlung von Mediendateien gefunden. Und Anfang Februar 2018 fand sich eine weitere Cross-Site-Scripting-Lücke.

Um Schwachstellen dieser Art auszunutzen, ist es in der Regel erforderlich, das Opfer auf eine bestimmte Seite mit Angriffscode zu locken. Das ist meist deutlich umständlicher als andere Klassen von Sicherheitslücken, bei denen man oft direkt Code ausführen oder Daten abgreifen und manipulieren kann. Für professionelle Angreifer wäre das aber ein realistischer Aufwand.

Eine kritischere Lücke wurde in der von der Hochschule verwendeten Version 5.1.6 behoben: Sie ermöglicht laut der Beschreibung das Kopieren von Dateien an beliebige Stellen im Dateisystem. Damit ist es vermutlich relativ einfach möglich, eine Installation komplett zu übernehmen und Code auszuführen. Diese Lücke ist zwar in der vor wenigen Tagen noch genutzten Version von Ilias behoben, doch bisherigen Berichten zufolge soll der Angriff mehrere Monate vor dem vergangenen Dezember begonnen haben.

Adminsitratoraccount mit Standardpasswort "homer"

Bei der Analyse von Ilias ist uns ein weiterer Schwachpunkt aufgefallen. Wenn man das System neu installiert, wird ein Standardaccount mit Administratorrechten angelegt. Dieser hat den Benutzernamen "root" und das Passwort "homer". Nirgendwo wird man dazu aufgefordert, das Passwort umgehend zu ändern. Denkbar wäre es also, dass das Standardpasswort schlicht nicht geändert wurde.

Wir haben keine Möglichkeit gefunden, mit einem Administratoraccount direkt Code auszuführen. aber es ist natürlich nicht auszuschließen, dass es eine solche Möglichkeit gibt und wir sie nicht gefunden haben. Natürlich ist auch denkbar, dass der Angriff über eine bislang unbekannte Lücke erfolgte. Insgesamt ist das Ilias-System sehr umfangreich, es bietet für Nutzer viele Möglichkeiten, zu interagieren. Datei-Uploads von zahlreichen Medienformaten, ein Wiki, ein Pluginsystem und vieles mehr bieten eine große Angriffsfläche.

Von der Nato geprüft

Bei unseren Recherchen sind wir außerdem auf eine Meldung aus dem Jahr 2008 gestoßen. Demnach hat die Nato die Ilias-Software einem dreitägigen Test unterzogen und dabei keine Sicherheitsprobleme gefunden. Ilias kann demnach auch im internen Nato-Netz Chronos eingesetzt werden. Auch soll Ilias bereits vor diesem Test von der Nato zur Vorbereitung von Soldaten auf Isaf-Einsätze in Afghanistan verwendet worden sein.

Hinweis: Eine englischsprachige Version des Textes können Sie hier nachlesen

 Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1.099€

BLi8819 15. Mär 2018

Kannst du ja dennoch, wenn es notwendig wird. Wird aber wohl eher selten der Fall sein...

mimimi123 13. Mär 2018

jaja sicher. Falls das jemals wer geglaubt hat, dann glaubt der das leider noch immer.

Hirngespinste 12. Mär 2018

@SilentWolf: Ich habe gerade mit Hilfe eines Skalarwellen-Funkempfaengers mit Dr. Axel...

bombinho 12. Mär 2018

Also wenn ich hier nicht irgendetwas verpasst habe, kenne ich keine mittelstaendische...

KlugKacka 12. Mär 2018

Hmm, Nutzen die es auch? Oder nur um uns zu Hacken?


Folgen Sie uns
       


Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live

Im Abschlussgespräch zur E3 2018 berichten die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek von ihren Eindrücken der Messe, analysieren die Auswirkungen auf die Branche und beantworten die Fragen der Zuschauer.

Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live Video aufrufen
K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


      •  /