• IT-Karriere:
  • Services:

Sicherheitslücke bei FCC: Die FCC akzeptiert Malware-Uploads

Bei der US-Kommunikationsbehörde FCC können Nutzer über eine API Stellungnahmen hochladen. Das Problem: Mit dem richtigen API-Schlüssel konnten dort beliebige Dokumente hochgeladen werden, so dass Angreifer den Regierungsserver für Malware- und Phishing-Kampagnen nutzen können.

Artikel veröffentlicht am ,
Bei der FCC konnten Nutzer beliebige Dateien hochladen.
Bei der FCC konnten Nutzer beliebige Dateien hochladen. (Bild: Gemeinfrei)

Die Federal Communications Commission (FCC) ist der oberste Telekomregulierer in den USA - doch in puncto Sicherheit muss die Behörde wohl noch ordentlich dazulernen. Eine fehlerhaft konfigurierte API ermöglichte Nutzern, beliebige Dateien bis zu einer Größe von 25 MByte hochzuladen. Nach dem Upload sind die Dateien per Link weltweit verfügbar. Verifiziert sind Uploads mit den Dateiendungen PDF, GIf, Elf, Exe und MP4.

Stellenmarkt
  1. finanzen.de, Berlin
  2. Landeshauptstadt Stuttgart, Stuttgart

Der Blogger Guise Bule hatte unter Verweis auf eine anonyme Quelle zunächst über den Fehler berichtet. Tatsächlich gibt es zahlreiche öffentlich verfügbare Dokumente, die nicht von der FCC selbst stammen dürften. Unter Hinweis auf die kontroverse Diskussion um die Aufhebung der Regeln zur Netzeneutralität in den USA steht in einem etwa: "Fuck Net Neutrality. God bless America".

Keine speziellen Hacking-Kenntnisse notwendig

Die Ausnutzung der mittlerweile behobenen Lücke erforderte keine speziellen Kenntnisse. Es reichte, sich nach den Regeln der Dokumentation der FCC einen Schlüssel für die API zu besorgen. Darüber konnten die gewünschten Dokumente hochgeladen werden. Je nachdem, von wem die Sicherheitslücke ausgenutzt wird, kann es mehr als nur peinlich werden. Denn neben Protestbotschaften an die FCC könnten Angreifer auch Malware oder Phishing-Kampagnen auf einem Server mit offizieller Regierungsadresse hosten.

Die hochgeladenen Dokumente sind weiterhin verfügbar. Neue API-Schlüssel werden derzeit offenbar nicht vergeben, allerdings soll ein zu Demonstrationszwecken auf der Webseite angegebener Schlüssel weiterhin funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Emtec X150 Power Plus SSD 480 GB für 52,90€, Apacer AS340 120 GB SSD für 18...
  2. 285,71€ (Bestpreis!)
  3. (u. a. Surface Go ab 379,00€, Surface Pro 7 ab 764,00€, Surface Laptop 2 ab 999,00€)
  4. 21,00€ (Standard)/35,00€ (Gold)/42,00€ (Ultimate)

Folgen Sie uns
       


TES Morrowind (2002) - Golem retro_

Eine gigantische Spielwelt umgeben von Pixelshader-Wasser: The Elder Scrolls 3 Morrowind gilt bis heute als bester Teil der Serie. Trotz sperriger Bedienung war Morrowind dank der dichten Atmosphäre, der spielerischen Freiheit und der exzellenten Grafik ein RPG-Meilenstein.

TES Morrowind (2002) - Golem retro_ Video aufrufen
SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /