Bundesrechtsanwaltskammer: BeA-Webseite zeitweise angreifbar

Die Webseite zum Anwaltspostfach BeA ist zurzeit offline - zwischendurch war eine ungeschützte Wordpress-Installation erreichbar.

Artikel veröffentlicht am ,
Humorvoll wird das BeA mit dem Spruch "Digital. Einfach. Sicher." beworben.
Humorvoll wird das BeA mit dem Spruch "Digital. Einfach. Sicher." beworben. (Bild: BRAK (Screenshot))

Seit Montagmittag gibt es auf der Webseite des besonderen elektronischen Anwaltspostfachs (BeA) eine Reihe von Problemen. Zurzeit ist dort nur eine Fehlermeldung zu sehen. Zwischenzeitlich war eine Wordpress-Installation erreichbar, was von Angreifern relativ einfach für eine Remote Code Execution ausgenutzt werden könnte.

Stellenmarkt
  1. Facility Technology Solution Lead (m/f/x)
    Autodoc AG, Berlin, Szczecin (Polen), Cheb (Tschechische Republik)
  2. Softwarearchitektin / Softwarearchitekt (w/m/d)
    Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
Detailsuche

Das BeA ist ein Kommunikationssystem für Rechtsanwälte und Gerichte, das wegen zahlreicher Sicherheitspannen in der Kritik ist. Auch Golem.de deckte mehrfach Sicherheitsprobleme beim BeA auf.

Webseite seit Mittag nicht erreichbar

Die Bundesrechtsanwaltskammer (BRAK) betreibt eine Informationsseite zum BeA unter bea.brak.de. Heute Mittag war dort zeitweise eine leere Standard-Wordpress-Seite zu sehen, einige Zeit später nur noch ein Datenbankfehler. Daraufhin fand sich dort eine ungeschützte Wordpress-Installation.

Inzwischen sieht man auf der Seite eine Fehlermeldung, auf der auch die Versionen des Apache-Webservers (2.4.26) sowie die verwendete PHP- (5.6.31) und OpenSSL-Version (1.0.2k) zu sehen sind: lange veraltete und nicht mehr unterstütze Versionen.

Ungeschützte Wordpress-Installation ermöglicht Remote Code Execution

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
  2. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
Weitere IT-Trainings

Am gefährlichsten ist bei all dem die ungeschützte Wordpress-Installation. Ein Angreifer, der zu diesem Zeitpunkt die BeA-Seite aufgerufen hätte, hätte die Installation selbst durchführen können und wäre in der entsprechenden Wordpress-Instanz Administrator. Durch die Installation eines Plugins lässt sich so auch Code auf dem Server ausführen.

Ebenso ist es möglich, die Installation damit anschließend wieder rückgängig zu machen, so dass ein solcher Angriff auch nicht unbedingt auffällt. Ein Angreifer könnte somit auch eine Hintertür platzieren, die kaum auffällt.

Hierbei handelt es sich zwar nur um die Informationswebseite zum BeA, nicht um das BeA selbst. Doch auch auf der eigentlichen BeA-Seite gibt es technische Probleme. Wenn man die Domain über HTTP aufruft wird man auf eine unsinnige URL ("https:///") weitergeleitet, was im Browser ebenfalls zu einer Fehlermeldung führt.

Wir haben die Bundesrechtsanwaltskammer um eine Stellungnahme gebeten. "Die Nichterreichbarkeit der Seite ist uns bekannt, wir arbeiten an dem technischen Problem", schreibt uns die Pressestelle der Anwaltskammer dazu. Auf eine spätere Nachfrage, in der wir auf das Wordpress-Sicherheitsproblem verweisen, haben wir bislang keine Antwort erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /