Abo
  • IT-Karriere:

Remote Code Execution: Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.

Ein Bericht von Hanno Böck veröffentlicht am
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen.
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen. (Bild: 4028mdk09, Wikimedia Commons/CC-BY-SA 3.0)

Die Webseite des TÜV Süd war für eine trivial ausnutzbare Remote-Code-Execution-Lücke verwundbar. Es war einem Angreifer möglich, in ein Formular eingegebenen Perl-Code auszuführen. Der TÜV Süd rühmt sich eigentlich damit, besondere Kompetenz in Sachen Websicherheit zu haben: Er vergibt ein Siegel für sichere Shopping-Webseiten.

Inhalt:
  1. Remote Code Execution: Die löchrige Webseite des TÜV Süd
  2. Doppeltes Cross-Site-Scripting

Erst kürzlich hatten wir darüber berichtet, dass die Webseite des TÜV Süd durch eine Cross-Site-Scripting-Lücke (XSS) verwundbar war. Außerdem hatten diverse vom TÜV geprüfte Webshops sehr einfach auffindbare Sicherheitslücken. Wir hatten versprochen, die Cross-Site-Scripting-Lücke in einem späteren Artikel nochmals genauer zu erläutern.

Der Golem.de-Leser, der uns ursprünglich auf den Cross-Site-Scripting-Fehler hingewiesen hatte, teilte uns jedoch inzwischen mit, dass die TÜV-Webseite eine Lücke aufwies, die noch viel schwerwiegender war.

Script Injection mittels Perl-Code

Beim Aufruf der Suchfunktion auf der TÜV-Webseite werden mehrere Variablen übergeben. In eine dieser Variablen konnt man Perl-Code einfügen, der anschließend ausgeführt wurde. Testen konnte man das, indem man dort einen sleep-Befehl in entsprechender Perl-Syntax (z.B. ${sleep(10)}) eingab, der für eine bestimmte Anzahl von Sekunden wartet. Wenn die Antwortzeiten nur geringfügig länger als die angegebenen Sekunden sind und dies mit verschiedenen Werten funktioniert, kann man mit Sicherheit davon ausgehen, dass der entsprechende Code ausgeführt wurde.

Stellenmarkt
  1. DEKRA SE, Stuttgart
  2. M-net Telekommunikations GmbH, München

Wir informierten den TÜV umgehend über diese sehr gefährliche Sicherheitslücke. "Unsere Experten konnten den Sachverhalt nachvollziehen und die Lücke beseitigen", antwortete der TÜV einen Tag später. Doch geschlossen war die Lücke zu diesem Zeitpunkt nicht.

Zwar funktionierten die Beispiel-URLs, die wir dem TÜV mitgeteilt hatten, nicht mehr. Doch mit einer kleinen Variation war der Angriff weiterhin möglich. Wir hatten unnötige Variablen aus den URLs entfernt, um das Beispiel einfacher nachvollziehbar zu machen. Doch wenn man die übrigen Variablen, die bei einer Suchanfrage in der URL standen, wieder hinzufügte, war der Angriff weiterhin möglich.

Nachdem wir dies dem TÜV ebenfalls mitgeteilt hatten, war die Lücke einen Tag später dann tatsächlich geschlossen. Der TÜV teilte uns noch mit, dass er diesen Vorfall zum Anlass nehme, die Webseite einem umfangreichen Penetrationstest zu unterziehen.

Doppeltes Cross-Site-Scripting 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

zuschauer 07. Nov 2018

aber damals seid Ihr ja noch ins Gymnasium gegangen. Zum Glück kann man sich ja wehren...

dummzeuch 06. Nov 2018

Die Leute die andere Webseiten zertifizieren und die, die die eigenene Webseite bauen...

dummzeuch 06. Nov 2018

Den TÜV (Süd, in diesem Fall, denn es gibt ja in Deutschland drei unterschiedliche TÜVs...

joediboe 06. Nov 2018

Was genau haben die Waffen der Polizei/BW und Politiker mit der Webseite des TÜV Süd zu...

Truster 06. Nov 2018

... Wenn sie das denn können, ich habe schon Sachen erlebt....


Folgen Sie uns
       


Fairphone 3 - Fazit

Behebt das Fairphone 3 die Mängel der Vorgänger? Wir haben es getestet.

Fairphone 3 - Fazit Video aufrufen
TVs, Konsolen und HDMI 2.1: Wann wir mit 8K rechnen können
TVs, Konsolen und HDMI 2.1
Wann wir mit 8K rechnen können

Ifa 2019 Die Ifa 2019 ist bezüglich 8K nüchtern. Wird die hohe Auflösung wie 4K fast eine Dekade lang eine Nische bleiben? Oder bringen kommende Spielekonsolen und Anschlussstandards die Auflösung schneller als gedacht?
Eine Analyse von Oliver Nickel

  1. Kameras und Fernseher Ein 120-Zoll-TV mit 8K reicht Sharp nicht
  2. Sony ZG9 Erste 8K-Fernseher werden bald verkauft
  3. 8K Sharp schließt sich dem Micro-Four-Thirds-System an

Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

Acer Predator Thronos im Sit on: Der Nerd-Olymp
Acer Predator Thronos im Sit on
Der Nerd-Olymp

Ifa 2019 Ob wir es nun den eisernen Thron oder den Sitz der Götter nennen: Der Predator Thronos von Acer fällt auf dem Messestand des Herstellers schon auf. Golem.de konnte den skurrilen Stuhl ausprobieren. Er ist eines Gaming-Kellers würdig.
Ein Hands on von Oliver Nickel

  1. Nitro XV273X Acer baut ersten Monitor mit IPS-Panel und 240 Hz
  2. Acer Beim Predator-Notebook fährt die Tastatur wie eine Rampe aus
  3. Geräte für Mediengestalter Acer gibt Verfügbarkeit der Concept-D-Laptops bekannt

    •  /