Remote Code Execution: Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.

Ein Bericht von Hanno Böck veröffentlicht am
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen.
Der TÜV Süd hat auf seiner Webseite noch mehr Probleme als zunächst angenommen. (Bild: 4028mdk09, Wikimedia Commons/CC-BY-SA 3.0)

Die Webseite des TÜV Süd war für eine trivial ausnutzbare Remote-Code-Execution-Lücke verwundbar. Es war einem Angreifer möglich, in ein Formular eingegebenen Perl-Code auszuführen. Der TÜV Süd rühmt sich eigentlich damit, besondere Kompetenz in Sachen Websicherheit zu haben: Er vergibt ein Siegel für sichere Shopping-Webseiten.

Inhalt:
  1. Remote Code Execution: Die löchrige Webseite des TÜV Süd
  2. Doppeltes Cross-Site-Scripting

Erst kürzlich hatten wir darüber berichtet, dass die Webseite des TÜV Süd durch eine Cross-Site-Scripting-Lücke (XSS) verwundbar war. Außerdem hatten diverse vom TÜV geprüfte Webshops sehr einfach auffindbare Sicherheitslücken. Wir hatten versprochen, die Cross-Site-Scripting-Lücke in einem späteren Artikel nochmals genauer zu erläutern.

Der Golem.de-Leser, der uns ursprünglich auf den Cross-Site-Scripting-Fehler hingewiesen hatte, teilte uns jedoch inzwischen mit, dass die TÜV-Webseite eine Lücke aufwies, die noch viel schwerwiegender war.

Script Injection mittels Perl-Code

Beim Aufruf der Suchfunktion auf der TÜV-Webseite werden mehrere Variablen übergeben. In eine dieser Variablen konnt man Perl-Code einfügen, der anschließend ausgeführt wurde. Testen konnte man das, indem man dort einen sleep-Befehl in entsprechender Perl-Syntax (z.B. ${sleep(10)}) eingab, der für eine bestimmte Anzahl von Sekunden wartet. Wenn die Antwortzeiten nur geringfügig länger als die angegebenen Sekunden sind und dies mit verschiedenen Werten funktioniert, kann man mit Sicherheit davon ausgehen, dass der entsprechende Code ausgeführt wurde.

Stellenmarkt
  1. Referent_in Datenschutz
    Diözesan-Caritasverband für das Erzbistum Köln e.V., Köln
  2. Prozessmanager (w/m/d) Digitalisierung
    Stadt Erlangen, Erlangen
Detailsuche

Wir informierten den TÜV umgehend über diese sehr gefährliche Sicherheitslücke. "Unsere Experten konnten den Sachverhalt nachvollziehen und die Lücke beseitigen", antwortete der TÜV einen Tag später. Doch geschlossen war die Lücke zu diesem Zeitpunkt nicht.

Zwar funktionierten die Beispiel-URLs, die wir dem TÜV mitgeteilt hatten, nicht mehr. Doch mit einer kleinen Variation war der Angriff weiterhin möglich. Wir hatten unnötige Variablen aus den URLs entfernt, um das Beispiel einfacher nachvollziehbar zu machen. Doch wenn man die übrigen Variablen, die bei einer Suchanfrage in der URL standen, wieder hinzufügte, war der Angriff weiterhin möglich.

Nachdem wir dies dem TÜV ebenfalls mitgeteilt hatten, war die Lücke einen Tag später dann tatsächlich geschlossen. Der TÜV teilte uns noch mit, dass er diesen Vorfall zum Anlass nehme, die Webseite einem umfangreichen Penetrationstest zu unterziehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Doppeltes Cross-Site-Scripting 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
PC-Hardware
Grafikkarten werden günstiger und besser verfügbar

Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
Artikel
  1. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

  2. Bundesdruckerei: Pilotbetrieb für digitale Schulzeugnisse gestartet
    Bundesdruckerei
    Pilotbetrieb für digitale Schulzeugnisse gestartet

    Das digitale Schulzeugnis soll vieles einfacher und sicherer machen, zunächst gehen drei Bundesländer mit IT-Experten in die Erprobung.

  3. Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
    Oberleitungs-Lkw
    Herr Gramkow will möglichst weit elektrisch fahren

    Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
    Ein Bericht von Werner Pluta

zuschauer 07. Nov 2018

aber damals seid Ihr ja noch ins Gymnasium gegangen. Zum Glück kann man sich ja wehren...

dummzeuch 06. Nov 2018

Die Leute die andere Webseiten zertifizieren und die, die die eigenene Webseite bauen...

dummzeuch 06. Nov 2018

Den TÜV (Süd, in diesem Fall, denn es gibt ja in Deutschland drei unterschiedliche TÜVs...

joediboe 06. Nov 2018

Was genau haben die Waffen der Polizei/BW und Politiker mit der Webseite des TÜV Süd zu...

Truster 06. Nov 2018

... Wenn sie das denn können, ich habe schon Sachen erlebt....


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /