Abo
  • Services:

Remote Code Execution: Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.

Ein Bericht von Hanno Böck veröffentlicht am
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen.
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen. (Bild: 4028mdk09, Wikimedia Commons/CC-BY-SA 3.0)

Die Webseite des TÜV Süd war für eine trivial ausnutzbare Remote-Code-Execution-Lücke verwundbar. Es war einem Angreifer möglich, in ein Formular eingegebenen Perl-Code auszuführen. Der TÜV Süd rühmt sich eigentlich damit, besondere Kompetenz in Sachen Websicherheit zu haben: Er vergibt ein Siegel für sichere Shopping-Webseiten.

Inhalt:
  1. Remote Code Execution: Die löchrige Webseite des TÜV Süd
  2. Doppeltes Cross-Site-Scripting

Erst kürzlich hatten wir darüber berichtet, dass die Webseite des TÜV Süd durch eine Cross-Site-Scripting-Lücke (XSS) verwundbar war. Außerdem hatten diverse vom TÜV geprüfte Webshops sehr einfach auffindbare Sicherheitslücken. Wir hatten versprochen, die Cross-Site-Scripting-Lücke in einem späteren Artikel nochmals genauer zu erläutern.

Der Golem.de-Leser, der uns ursprünglich auf den Cross-Site-Scripting-Fehler hingewiesen hatte, teilte uns jedoch inzwischen mit, dass die TÜV-Webseite eine Lücke aufwies, die noch viel schwerwiegender war.

Script Injection mittels Perl-Code

Beim Aufruf der Suchfunktion auf der TÜV-Webseite werden mehrere Variablen übergeben. In eine dieser Variablen konnt man Perl-Code einfügen, der anschließend ausgeführt wurde. Testen konnte man das, indem man dort einen sleep-Befehl in entsprechender Perl-Syntax (z.B. ${sleep(10)}) eingab, der für eine bestimmte Anzahl von Sekunden wartet. Wenn die Antwortzeiten nur geringfügig länger als die angegebenen Sekunden sind und dies mit verschiedenen Werten funktioniert, kann man mit Sicherheit davon ausgehen, dass der entsprechende Code ausgeführt wurde.

Stellenmarkt
  1. UDG United Digital Group, Ludwigsburg
  2. move elevator GmbH, Oberhausen

Wir informierten den TÜV umgehend über diese sehr gefährliche Sicherheitslücke. "Unsere Experten konnten den Sachverhalt nachvollziehen und die Lücke beseitigen", antwortete der TÜV einen Tag später. Doch geschlossen war die Lücke zu diesem Zeitpunkt nicht.

Zwar funktionierten die Beispiel-URLs, die wir dem TÜV mitgeteilt hatten, nicht mehr. Doch mit einer kleinen Variation war der Angriff weiterhin möglich. Wir hatten unnötige Variablen aus den URLs entfernt, um das Beispiel einfacher nachvollziehbar zu machen. Doch wenn man die übrigen Variablen, die bei einer Suchanfrage in der URL standen, wieder hinzufügte, war der Angriff weiterhin möglich.

Nachdem wir dies dem TÜV ebenfalls mitgeteilt hatten, war die Lücke einen Tag später dann tatsächlich geschlossen. Der TÜV teilte uns noch mit, dass er diesen Vorfall zum Anlass nehme, die Webseite einem umfangreichen Penetrationstest zu unterziehen.

Doppeltes Cross-Site-Scripting 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 119,90€
  2. (reduzierte Überstände, Restposten & Co.)

zuschauer 07. Nov 2018 / Themenstart

aber damals seid Ihr ja noch ins Gymnasium gegangen. Zum Glück kann man sich ja wehren...

dummzeuch 06. Nov 2018 / Themenstart

Die Leute die andere Webseiten zertifizieren und die, die die eigenene Webseite bauen...

dummzeuch 06. Nov 2018 / Themenstart

Den TÜV (Süd, in diesem Fall, denn es gibt ja in Deutschland drei unterschiedliche TÜVs...

joediboe 06. Nov 2018 / Themenstart

Was genau haben die Waffen der Polizei/BW und Politiker mit der Webseite des TÜV Süd zu...

Truster 06. Nov 2018 / Themenstart

... Wenn sie das denn können, ich habe schon Sachen erlebt....

Kommentieren


Folgen Sie uns
       


AMD Athlon 200GE - Test

Der Athlon 200GE ist ein 55 Euro günstiger Chip für den Sockel AM4. Er konkurriert daher mit Intels Celeron G4900 und Pentium G5400. Dank zwei Kernen mit SMT und 3,2 GHz sowie einer Vega-3-Grafikeinheit schlägt er beide Prozessoren in CPU-Benchmarks und ist schneller in Spielen, wenn diese auf der iGPU laufen.

AMD Athlon 200GE - Test Video aufrufen
Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

Flexibles Smartphone: Samsung verspielt die Smartphone-Führung
Flexibles Smartphone
Samsung verspielt die Smartphone-Führung

Jahrelang dominierte Samsung den Smartphone-Markt mit Innovationen, in den vergangenen Monaten verliert der südkoreanische Hersteller aber das Momentum. Krönung dieser Entwicklung ist das neue flexible Nicht-Smartphone - die Konkurrenz aus China dürfte feiern.
Eine Analyse von Tobias Költzsch

  1. Flexibles Display Samsungs faltbares Smartphone soll im März 2019 erscheinen
  2. Samsung Linux-on-Dex startet in privater Beta
  3. Infinity Flex Samsung zeigt statt Smartphone nur faltbares Display

    •  /