• IT-Karriere:
  • Services:

Bundesrechtsanwaltskammer: BeA-Webseite zeitweise angreifbar

Die Webseite zum Anwaltspostfach BeA ist zurzeit offline - zwischendurch war eine ungeschützte Wordpress-Installation erreichbar.

Artikel veröffentlicht am ,
Humorvoll wird das BeA mit dem Spruch "Digital. Einfach. Sicher." beworben.
Humorvoll wird das BeA mit dem Spruch "Digital. Einfach. Sicher." beworben. (Bild: BRAK (Screenshot))

Seit Montagmittag gibt es auf der Webseite des besonderen elektronischen Anwaltspostfachs (BeA) eine Reihe von Problemen. Zurzeit ist dort nur eine Fehlermeldung zu sehen. Zwischenzeitlich war eine Wordpress-Installation erreichbar, was von Angreifern relativ einfach für eine Remote Code Execution ausgenutzt werden könnte.

Stellenmarkt
  1. Hochschule für Technik Stuttgart, Stuttgart
  2. über experteer GmbH, Stuttgart

Das BeA ist ein Kommunikationssystem für Rechtsanwälte und Gerichte, das wegen zahlreicher Sicherheitspannen in der Kritik ist. Auch Golem.de deckte mehrfach Sicherheitsprobleme beim BeA auf.

Webseite seit Mittag nicht erreichbar

Die Bundesrechtsanwaltskammer (BRAK) betreibt eine Informationsseite zum BeA unter bea.brak.de. Heute Mittag war dort zeitweise eine leere Standard-Wordpress-Seite zu sehen, einige Zeit später nur noch ein Datenbankfehler. Daraufhin fand sich dort eine ungeschützte Wordpress-Installation.

Inzwischen sieht man auf der Seite eine Fehlermeldung, auf der auch die Versionen des Apache-Webservers (2.4.26) sowie die verwendete PHP- (5.6.31) und OpenSSL-Version (1.0.2k) zu sehen sind: lange veraltete und nicht mehr unterstütze Versionen.

Ungeschützte Wordpress-Installation ermöglicht Remote Code Execution

Am gefährlichsten ist bei all dem die ungeschützte Wordpress-Installation. Ein Angreifer, der zu diesem Zeitpunkt die BeA-Seite aufgerufen hätte, hätte die Installation selbst durchführen können und wäre in der entsprechenden Wordpress-Instanz Administrator. Durch die Installation eines Plugins lässt sich so auch Code auf dem Server ausführen.

Ebenso ist es möglich, die Installation damit anschließend wieder rückgängig zu machen, so dass ein solcher Angriff auch nicht unbedingt auffällt. Ein Angreifer könnte somit auch eine Hintertür platzieren, die kaum auffällt.

Hierbei handelt es sich zwar nur um die Informationswebseite zum BeA, nicht um das BeA selbst. Doch auch auf der eigentlichen BeA-Seite gibt es technische Probleme. Wenn man die Domain über HTTP aufruft wird man auf eine unsinnige URL ("https:///") weitergeleitet, was im Browser ebenfalls zu einer Fehlermeldung führt.

Wir haben die Bundesrechtsanwaltskammer um eine Stellungnahme gebeten. "Die Nichterreichbarkeit der Seite ist uns bekannt, wir arbeiten an dem technischen Problem", schreibt uns die Pressestelle der Anwaltskammer dazu. Auf eine spätere Nachfrage, in der wir auf das Wordpress-Sicherheitsproblem verweisen, haben wir bislang keine Antwort erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

TheUnichi 05. Okt 2020 / Themenstart

Dass es die Plugins gibt, macht das Grundproblem nicht besser. In PHP kann man via...

TheUnichi 05. Okt 2020 / Themenstart

Wenn in PHP 5.4 morgen eine gravierende Sicherheitslücke entdeckt wird, wird RedHat dort...

Ykandor 29. Sep 2020 / Themenstart

Webbaukästen sind so coooool. Da spart man sich haufenweise Geld für die eigene Tasche...

Kommentieren


Folgen Sie uns
       


Watch Dogs Legion angespielt

Mit Legion bekommt die Serie Watch Dogs eine dritte Chance von Ubisoft. Schauplatz ist London nach dem Brexit, eine korrupte Regierung und Banden unterdrücken die Bevölkerung, die sich allerdings wehrt. Wichtigste Neuerung gegenüber den Vorgängern: Spieler können Passanten für den Widerstand rekrutieren.

Watch Dogs Legion angespielt Video aufrufen
Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /