Abo
  • IT-Karriere:

Sicherheitslücke bei FCC: Die FCC akzeptiert Malware-Uploads

Bei der US-Kommunikationsbehörde FCC können Nutzer über eine API Stellungnahmen hochladen. Das Problem: Mit dem richtigen API-Schlüssel konnten dort beliebige Dokumente hochgeladen werden, so dass Angreifer den Regierungsserver für Malware- und Phishing-Kampagnen nutzen können.

Artikel veröffentlicht am ,
Bei der FCC konnten Nutzer beliebige Dateien hochladen.
Bei der FCC konnten Nutzer beliebige Dateien hochladen. (Bild: Gemeinfrei)

Die Federal Communications Commission (FCC) ist der oberste Telekomregulierer in den USA - doch in puncto Sicherheit muss die Behörde wohl noch ordentlich dazulernen. Eine fehlerhaft konfigurierte API ermöglichte Nutzern, beliebige Dateien bis zu einer Größe von 25 MByte hochzuladen. Nach dem Upload sind die Dateien per Link weltweit verfügbar. Verifiziert sind Uploads mit den Dateiendungen PDF, GIf, Elf, Exe und MP4.

Stellenmarkt
  1. BWI GmbH, Hilden
  2. Deloitte, verschiedene Standorte

Der Blogger Guise Bule hatte unter Verweis auf eine anonyme Quelle zunächst über den Fehler berichtet. Tatsächlich gibt es zahlreiche öffentlich verfügbare Dokumente, die nicht von der FCC selbst stammen dürften. Unter Hinweis auf die kontroverse Diskussion um die Aufhebung der Regeln zur Netzeneutralität in den USA steht in einem etwa: "Fuck Net Neutrality. God bless America".

Keine speziellen Hacking-Kenntnisse notwendig

Die Ausnutzung der mittlerweile behobenen Lücke erforderte keine speziellen Kenntnisse. Es reichte, sich nach den Regeln der Dokumentation der FCC einen Schlüssel für die API zu besorgen. Darüber konnten die gewünschten Dokumente hochgeladen werden. Je nachdem, von wem die Sicherheitslücke ausgenutzt wird, kann es mehr als nur peinlich werden. Denn neben Protestbotschaften an die FCC könnten Angreifer auch Malware oder Phishing-Kampagnen auf einem Server mit offizieller Regierungsadresse hosten.

Die hochgeladenen Dokumente sind weiterhin verfügbar. Neue API-Schlüssel werden derzeit offenbar nicht vergeben, allerdings soll ein zu Demonstrationszwecken auf der Webseite angegebener Schlüssel weiterhin funktionieren.



Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBGRATISH10
  2. 529,00€ (zzgl. Versand)
  3. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Samsung Galaxy Note 10 und 10 Plus - Hands on

Samsung hat seine neuen Note-Modelle gezeigt und wir haben sie ausprobiert.

Samsung Galaxy Note 10 und 10 Plus - Hands on Video aufrufen
Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


      •  /