Abo
  • Services:

Remote Code Execution: Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.

Ein Bericht von Hanno Böck veröffentlicht am
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen.
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen. (Bild: 4028mdk09, Wikimedia Commons/CC-BY-SA 3.0)

Die Webseite des TÜV Süd war für eine trivial ausnutzbare Remote-Code-Execution-Lücke verwundbar. Es war einem Angreifer möglich, in ein Formular eingegebenen Perl-Code auszuführen. Der TÜV Süd rühmt sich eigentlich damit, besondere Kompetenz in Sachen Websicherheit zu haben: Er vergibt ein Siegel für sichere Shopping-Webseiten.

Inhalt:
  1. Remote Code Execution: Die löchrige Webseite des TÜV Süd
  2. Doppeltes Cross-Site-Scripting

Erst kürzlich hatten wir darüber berichtet, dass die Webseite des TÜV Süd durch eine Cross-Site-Scripting-Lücke (XSS) verwundbar war. Außerdem hatten diverse vom TÜV geprüfte Webshops sehr einfach auffindbare Sicherheitslücken. Wir hatten versprochen, die Cross-Site-Scripting-Lücke in einem späteren Artikel nochmals genauer zu erläutern.

Der Golem.de-Leser, der uns ursprünglich auf den Cross-Site-Scripting-Fehler hingewiesen hatte, teilte uns jedoch inzwischen mit, dass die TÜV-Webseite eine Lücke aufwies, die noch viel schwerwiegender war.

Script Injection mittels Perl-Code

Beim Aufruf der Suchfunktion auf der TÜV-Webseite werden mehrere Variablen übergeben. In eine dieser Variablen konnt man Perl-Code einfügen, der anschließend ausgeführt wurde. Testen konnte man das, indem man dort einen sleep-Befehl in entsprechender Perl-Syntax (z.B. ${sleep(10)}) eingab, der für eine bestimmte Anzahl von Sekunden wartet. Wenn die Antwortzeiten nur geringfügig länger als die angegebenen Sekunden sind und dies mit verschiedenen Werten funktioniert, kann man mit Sicherheit davon ausgehen, dass der entsprechende Code ausgeführt wurde.

Stellenmarkt
  1. Coup Mobility GmbH, Berlin
  2. Rational AG, Landsberg am Lech

Wir informierten den TÜV umgehend über diese sehr gefährliche Sicherheitslücke. "Unsere Experten konnten den Sachverhalt nachvollziehen und die Lücke beseitigen", antwortete der TÜV einen Tag später. Doch geschlossen war die Lücke zu diesem Zeitpunkt nicht.

Zwar funktionierten die Beispiel-URLs, die wir dem TÜV mitgeteilt hatten, nicht mehr. Doch mit einer kleinen Variation war der Angriff weiterhin möglich. Wir hatten unnötige Variablen aus den URLs entfernt, um das Beispiel einfacher nachvollziehbar zu machen. Doch wenn man die übrigen Variablen, die bei einer Suchanfrage in der URL standen, wieder hinzufügte, war der Angriff weiterhin möglich.

Nachdem wir dies dem TÜV ebenfalls mitgeteilt hatten, war die Lücke einen Tag später dann tatsächlich geschlossen. Der TÜV teilte uns noch mit, dass er diesen Vorfall zum Anlass nehme, die Webseite einem umfangreichen Penetrationstest zu unterziehen.

Doppeltes Cross-Site-Scripting 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 119,90€

zuschauer 07. Nov 2018 / Themenstart

aber damals seid Ihr ja noch ins Gymnasium gegangen. Zum Glück kann man sich ja wehren...

dummzeuch 06. Nov 2018 / Themenstart

Die Leute die andere Webseiten zertifizieren und die, die die eigenene Webseite bauen...

dummzeuch 06. Nov 2018 / Themenstart

Den TÜV (Süd, in diesem Fall, denn es gibt ja in Deutschland drei unterschiedliche TÜVs...

joediboe 06. Nov 2018 / Themenstart

Was genau haben die Waffen der Polizei/BW und Politiker mit der Webseite des TÜV Süd zu...

Truster 06. Nov 2018 / Themenstart

... Wenn sie das denn können, ich habe schon Sachen erlebt....

Kommentieren


Folgen Sie uns
       


Red Dead Redemption 2 - Test

Das Spiel des Jahres - in punkto Hype - kommt 2018 von den GTA-Machern Rockstar. Im Test sortieren wir es im Genre ein.

Red Dead Redemption 2 - Test Video aufrufen
Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

Flexibles Smartphone: Samsung verspielt die Smartphone-Führung
Flexibles Smartphone
Samsung verspielt die Smartphone-Führung

Jahrelang dominierte Samsung den Smartphone-Markt mit Innovationen, in den vergangenen Monaten verliert der südkoreanische Hersteller aber das Momentum. Krönung dieser Entwicklung ist das neue flexible Nicht-Smartphone - die Konkurrenz aus China dürfte feiern.
Eine Analyse von Tobias Költzsch

  1. Samsung Linux-on-Dex startet in privater Beta
  2. Infinity Flex Samsung zeigt statt Smartphone nur faltbares Display
  3. Künstliche Intelligenz Auch Samsung soll SoC mit zwei KI-Kernen produzieren

KEF LSX angehört: Neue Streaming-Lautsprecher mit voluminösem Klang
KEF LSX angehört
Neue Streaming-Lautsprecher mit voluminösem Klang

Mit dem LSX hat der britische Edellautsprecherhersteller KEF ein für seine Größe überraschend voluminös klingendes Streaming-Lautsprecherset vorgestellt. Bei einer ersten Hörprobe sind uns die gut getrennten Frequenzen und die satten Tiefen positiv aufgefallen - der Preis scheint uns gerechtfertigt.
Ein Hands on von Tobias Költzsch

  1. Videostreaming Warner plant Konkurrenz für Netflix und Disney
  2. Streaming Netflix erzeugt 15 Prozent des globalen Downloads
  3. Streaming Plex macht seine Cloud dicht

    •  /