Abo
  • Services:

ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte

Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer.

Artikel veröffentlicht am , Hanno Böck
Note F für jobboerse.arbeitsagentur.de
Note F für jobboerse.arbeitsagentur.de (Bild: Screenshot)

Die Webseite der Bundesagentur für Arbeit war bis vor kurzem in Sachen TLS-Sicherheit nicht gerade vorbildlich. In einem Tweet wies der IT-Sicherheitsexperte Thorsten Schröder darauf hin, dass die Webseite beim SSL-Labs-Test die schlechteste Bewertung F erhielt.

Stellenmarkt
  1. Zentiva Pharma GmbH, Berlin
  2. Zentralinstitut für die kassenärztliche Versorgung, Berlin

Der Grund dafür: Die Webseite war für den ROBOT-Angriff auf RSA verwundbar. Da die Webseite zudem ausschließlich alte Cipher mit RSA-Verschlüsselung und ohne Forward Secrecy unterstützte, war dies besonders kritisch. Konkret hätte ein Angreifer damit sämtlichen verschlüsselten Datenverkehr zu der Webseite entschlüsseln können.

Der ROBOT-Angriff ist dann möglich, wenn eine Webseite auf verschiedene Fehler bei der RSA-Entschlüsselung unterschiedlich reagiert. Anhand des Verhaltens der Seite lässt sich somit eine sehr zuverlässige Zuordnung zu einem bestimmten Gerät herleiten. Die Webseite der Arbeitsagentur nutzte dabei vermutlich einen Loadbalancer aus der ACE-Serie der Firma Cisco. Für diese Loadbalancer gibt es keine Sicherheitsupdates mehr. Cisco hat bereits 2013 die Unterstützung eingestellt.

Arbeitsagentur hat einige Probleme behoben

Wir hatten die Arbeitsagentur um eine Stellungnahme gebeten. Die Haupt-Webseite unter www.arbeitsagentur.de ist demnach inzwischen nicht mehr verwundbar, offenbar wurde das betreffende Gerät nach unserer Anfrage ersetzt. Laut der Arbeitsagentur lag das Problem bei einem externen Dienstleister.

Weiterhin verwundbar sind jedoch zahlreiche Subdomains. Darunter sind auch Webseiten, auf denen Zugangsdaten übertragen werden, beispielsweise jobboerse.arbeitsagentur.de. Laut der Pressespecherin der Arbeitsagentur sollen diese in Kürze auch umgestellt werden.

Zur verwendeten Hardware wollte sich die Sprecherin nicht äußern. Da man täglich mit Hackerangriffen aus aller Welt zu kämpfen habe, könne man solche Informationen nicht preisgeben, da diese den Angreifern helfen könnten.



Anzeige
Hardware-Angebote
  1. 399€ (Wert der Spiele rund 212€)
  2. 249€ + Versand
  3. ab 225€
  4. 99,90€

quasides 12. Mär 2018

stimmt schon das solche infos angreifern helfen können. freilich bietet verschweigen...

megazocker 10. Mär 2018

Der danze ÖD hat damit ein Problem Diese Geldgeber haben null Verständnis für das was an...

Prinzeumel 10. Mär 2018

Was sie dafür bezahlt hatten? 60 Millionen oder so? ...


Folgen Sie uns
       


Nintendo Gameboy - ein kurzer Rückblick

Tetris, Pokémon, Super Mario - wir fassen die Geschichte des Gameboy im Video zusammen.

Nintendo Gameboy - ein kurzer Rückblick Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
    Fitbit Versa Lite im Test
    Eher smartes als sportliches Wearable

    Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
    Von Peter Steinlechner

    1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
    2. Inspire Fitbits neues Wearable gibt es nicht im Handel
    3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet

      •  /