Abo
  • Services:

Zahlreiche weitere Sicherheitsrisiken

Innerhalb der HTTP-Header lassen sich beispielsweise Informationen zum verwendeten Webserver finden. Die Systeme basieren auf dem Open-Source-Projekt Eclipse Jetty, als Server wird Jetty/3.1 angegeben. Prüft man in der Versionsgeschichte des Projekts, so wird deutlich, dass diese Version des Webservers etwa vom Anfang des Jahrtausends stammt. Die aktuelle Version des Jetty-Webservers ist zum Zeitpunkt dieses Artikels 9.4.X. Auf der Wikipedia-Seite zu dem Projekt wird der Status der Version 3.1 als "fossilized" (deutsch: versteinert) beschrieben. Ob entsprechende Security Patches aus den Zwischenversionen eingespielt wurden, konnten wir im Rahmen unserer Recherchen nicht herausfinden. Ein Angreifer, der genug Zeit und Ressourcen in die Analyse der öffentlichen Quellcodes investieren würde, könnte aber möglicherweise durch ein Tool wie Diff Unterschiede in den Quellcodes der Versionen und damit in neueren Versionen geschlossene Sicherheitslücken ausfindig machen.

Stellenmarkt
  1. Weischer.Solutions GmbH, Hamburg
  2. Deutsche Vermögensberatung Aktiengesellschaft, Frankfurt am Main

Eine Lücke im Jetty-Webserver aus dem Jahr 2007 beschreibt beispielsweise, dass der Algorithmus zur Generierung der Session-IDs keine zufälligen Werte nutzt und somit Session-IDs vorhersehbar sind. In einschlägigen Schwachstellen-Suchmaschinen lassen sich darüber hinaus weiter gravierende Sicherheitslücken auffinden. Ob diese Lücken bei den aufgefundenen Systemen vorhanden sind, ließ sich nicht abschließend feststellen, ist aber bei manchen Systemen anzunehmen, bei denen wir entnehmen konnten, dass seit 2006 keine Modifikation mehr an auf den Servern befindlichen Dateien vorgenommen wurde.

Andere Lücken sind ebenfalls öffentlich und leichter nachvollziehbar. So hat der Sicherheitsforscher Darius Freamon schon im Oktober 2013 auf einen äußerst peinlichen Fehler aufmerksam gemacht. Innerhalb der Login-Felder der Nordex-Wind-Farm-Portale war es ihm möglich, eine XSS-Lücke im Parameter "username" auszunutzen. Auf der Seite des US-CERT heißt es zu der Lücke recht nüchtern: "Besitzer von Nordex-NC2-basierten Windfarmen ohne gültigen Service-Vertrag können einen Patch bei der jeweiligen Service-Organisation erhalten." Bei der Durchführung eines kleinen Proof of Concept an stichprobenartig erhobenen Anlagen entdeckten wir, dass viele Betreiber für diese Sicherheitslücke keinen Patch eingespielt haben und weiterhin anfällig sind - die Verantwortung liegt in diesem Fall beim Betreiber.

Einzelne Directory Listings werden zur Gefahr für alle Anlagen

Neben den aufgezeigten Sicherheitsrisiken bei dem Webserver gibt es weitere mögliche Schwachstellen. Einige der Server hatten beispielsweise Directory Listing aktiv, wodurch es Angreifern gelingt, den Aufbau der Verzeichnisstruktur nachzuvollziehen. Besonders gravierend war aus unserer Sicht, dass so Konfigurationsdateien ohne Authentifizierung direkt ausgelesen werden konnten. Davon betroffen sind nicht nur Anlagen, bei denen Directory Listing aktiv ist, sondern bei Kenntnis der genauen URL lässt sich diese Abfrage auch an allen sonstigen Anlagen durchführen. Es gibt bei den Nordex-Wind-Farm-Portalen eine Konfigurationsdatei, in der Konstanten für die Steuerung der Windanlagen hinterlegt werden können. Wieso diese Datei wichtig ist und was ihre Funktion ist, das wollen wir nachfolgend an der Steuerung von Windparks erklären.

Die Steuerung der Anlagen erfolgt über die Open-Platform-Communications-Schnittstelle. Mittels verschiedener Steuerungscodes kann ein Befehl mitgegeben werden - beispielsweise könnte eine 5 für den Start eines Motors stehen. Wenn man die Anlage nun mittels Webapplikation steuert, so übermittelt man diese 5. Sie wird mit weiteren Informationen, etwa denen aus der Konfigurationsdatei, angereichert und an den Server oder ein Steuerungssystem übertragen. Diese Komponente wiederum überträgt den Befehl an eine kleine Steuerungseinheit (RFC = Remote Field Controller), welche schließlich die Aktion am Motor einleitet.

Meist sind diese Steuerungscodes gleich, allerdings ist es auch möglich, Anpassungen und Optimierungen an den Konstanten vorzunehmen. Wie wir herausgefunden haben, kann die genaue Konfiguration der Werte durch unbefugte Dritte ausgelesen werden. Streng genommen müsste es sich um eine Art Betriebsgeheimnis der jeweiligen Anlage handeln, beziehungsweise sollten diese vertraulichen Informationen nicht von außen abrufbar sein. Neben dieser Konfigurationsdatei sind weitere Ressourcen abrufbar, die ebenfalls nicht öffentlich sein sollten.

Stichprobenartig haben wir uns auch die verwendete Infrastruktur etwas genauer angeschaut und sind bei diesem Punkt zu ähnlich schlechten Ergebnissen gekommen wie bei der Verschlüsselung oder dem Webserver.

 Ein Zertifikat für fast alle WindräderAuch sonstige IT-Infrastruktur ist verwundbar 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Meistgelesen

Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. 7,99€ inkl. FSK-18-Versand
  3. (nur für Prime-Mitglieder)
  4. (2 Monate Sky Ticket für nur 4,99€)

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Siri auf Deutsch auf dem Homepod

Wir haben uns die deutsche Version von Siri auf dem Homepod angehört. Bei den Funktionen hinkt Siri der Konkurrenz von Alexa und Google Assistant hinterher. Und auch an der Aussprache gibt es noch einiges zu feilen. Apples erster smarter Lautsprecher kostet 350 Euro.

Siri auf Deutsch auf dem Homepod Video aufrufen
Leistungsschutzrecht/Uploadfilter: Worüber das Europaparlament wirklich abstimmt
Leistungsschutzrecht/Uploadfilter
Worüber das Europaparlament wirklich abstimmt

Das Europaparlament entscheidet am Donnerstag über das Leistungsschutzrecht und Uploadfilter. Doch Gegner und Befürworter streiten bis zuletzt, worüber eigentlich abgestimmt wird. Golem.de analysiert die Vorschläge.
Eine Analyse von Friedhelm Greis

  1. Urheberrecht Europaparlament bremst Leistungsschutzrecht und Uploadfilter
  2. Urheberrecht Freies Netz für freie Bürger
  3. Leistungsschutzrecht Verleger attackieren Bär und Jarzombek scharf

Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

    •  /