Abo
  • IT-Karriere:

Remote Code Execution: Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.

Ein Bericht von Hanno Böck veröffentlicht am
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen.
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen. (Bild: 4028mdk09, Wikimedia Commons/CC-BY-SA 3.0)

Die Webseite des TÜV Süd war für eine trivial ausnutzbare Remote-Code-Execution-Lücke verwundbar. Es war einem Angreifer möglich, in ein Formular eingegebenen Perl-Code auszuführen. Der TÜV Süd rühmt sich eigentlich damit, besondere Kompetenz in Sachen Websicherheit zu haben: Er vergibt ein Siegel für sichere Shopping-Webseiten.

Inhalt:
  1. Remote Code Execution: Die löchrige Webseite des TÜV Süd
  2. Doppeltes Cross-Site-Scripting

Erst kürzlich hatten wir darüber berichtet, dass die Webseite des TÜV Süd durch eine Cross-Site-Scripting-Lücke (XSS) verwundbar war. Außerdem hatten diverse vom TÜV geprüfte Webshops sehr einfach auffindbare Sicherheitslücken. Wir hatten versprochen, die Cross-Site-Scripting-Lücke in einem späteren Artikel nochmals genauer zu erläutern.

Der Golem.de-Leser, der uns ursprünglich auf den Cross-Site-Scripting-Fehler hingewiesen hatte, teilte uns jedoch inzwischen mit, dass die TÜV-Webseite eine Lücke aufwies, die noch viel schwerwiegender war.

Script Injection mittels Perl-Code

Beim Aufruf der Suchfunktion auf der TÜV-Webseite werden mehrere Variablen übergeben. In eine dieser Variablen konnt man Perl-Code einfügen, der anschließend ausgeführt wurde. Testen konnte man das, indem man dort einen sleep-Befehl in entsprechender Perl-Syntax (z.B. ${sleep(10)}) eingab, der für eine bestimmte Anzahl von Sekunden wartet. Wenn die Antwortzeiten nur geringfügig länger als die angegebenen Sekunden sind und dies mit verschiedenen Werten funktioniert, kann man mit Sicherheit davon ausgehen, dass der entsprechende Code ausgeführt wurde.

Stellenmarkt
  1. Netze BW GmbH, Stuttgart, Karlsruhe
  2. BWI GmbH, Meckenheim, München

Wir informierten den TÜV umgehend über diese sehr gefährliche Sicherheitslücke. "Unsere Experten konnten den Sachverhalt nachvollziehen und die Lücke beseitigen", antwortete der TÜV einen Tag später. Doch geschlossen war die Lücke zu diesem Zeitpunkt nicht.

Zwar funktionierten die Beispiel-URLs, die wir dem TÜV mitgeteilt hatten, nicht mehr. Doch mit einer kleinen Variation war der Angriff weiterhin möglich. Wir hatten unnötige Variablen aus den URLs entfernt, um das Beispiel einfacher nachvollziehbar zu machen. Doch wenn man die übrigen Variablen, die bei einer Suchanfrage in der URL standen, wieder hinzufügte, war der Angriff weiterhin möglich.

Nachdem wir dies dem TÜV ebenfalls mitgeteilt hatten, war die Lücke einen Tag später dann tatsächlich geschlossen. Der TÜV teilte uns noch mit, dass er diesen Vorfall zum Anlass nehme, die Webseite einem umfangreichen Penetrationstest zu unterziehen.

Doppeltes Cross-Site-Scripting 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 88,00€
  2. 107,00€ (Bestpreis!)
  3. 135,80€
  4. (u. a. Alien 40th Anniversary Steelbook, Ash vs Evil Dead Collector's edition, Predator 1 - 4 Box...

zuschauer 07. Nov 2018

aber damals seid Ihr ja noch ins Gymnasium gegangen. Zum Glück kann man sich ja wehren...

dummzeuch 06. Nov 2018

Die Leute die andere Webseiten zertifizieren und die, die die eigenene Webseite bauen...

dummzeuch 06. Nov 2018

Den TÜV (Süd, in diesem Fall, denn es gibt ja in Deutschland drei unterschiedliche TÜVs...

joediboe 06. Nov 2018

Was genau haben die Waffen der Polizei/BW und Politiker mit der Webseite des TÜV Süd zu...

Truster 06. Nov 2018

... Wenn sie das denn können, ich habe schon Sachen erlebt....


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

    •  /