Sicherheitslücke bei FCC: Die FCC akzeptiert Malware-Uploads

Bei der US-Kommunikationsbehörde FCC können Nutzer über eine API Stellungnahmen hochladen. Das Problem: Mit dem richtigen API-Schlüssel konnten dort beliebige Dokumente hochgeladen werden, so dass Angreifer den Regierungsserver für Malware- und Phishing-Kampagnen nutzen können.

Artikel veröffentlicht am ,
Bei der FCC konnten Nutzer beliebige Dateien hochladen.
Bei der FCC konnten Nutzer beliebige Dateien hochladen. (Bild: Gemeinfrei)

Die Federal Communications Commission (FCC) ist der oberste Telekomregulierer in den USA - doch in puncto Sicherheit muss die Behörde wohl noch ordentlich dazulernen. Eine fehlerhaft konfigurierte API ermöglichte Nutzern, beliebige Dateien bis zu einer Größe von 25 MByte hochzuladen. Nach dem Upload sind die Dateien per Link weltweit verfügbar. Verifiziert sind Uploads mit den Dateiendungen PDF, GIf, Elf, Exe und MP4.

Stellenmarkt
  1. Trainee (m/w/d) Anwendungsentwicklung C#
    Hallesche Krankenversicherung a. G., Stuttgart
  2. IT-Administrator / Assistent (m/w/d)
    Schmidt u. Bender GmbH & Co. KG Optische Geräte, Biebertal
Detailsuche

Der Blogger Guise Bule hatte unter Verweis auf eine anonyme Quelle zunächst über den Fehler berichtet. Tatsächlich gibt es zahlreiche öffentlich verfügbare Dokumente, die nicht von der FCC selbst stammen dürften. Unter Hinweis auf die kontroverse Diskussion um die Aufhebung der Regeln zur Netzeneutralität in den USA steht in einem etwa: "Fuck Net Neutrality. God bless America".

Keine speziellen Hacking-Kenntnisse notwendig

Die Ausnutzung der mittlerweile behobenen Lücke erforderte keine speziellen Kenntnisse. Es reichte, sich nach den Regeln der Dokumentation der FCC einen Schlüssel für die API zu besorgen. Darüber konnten die gewünschten Dokumente hochgeladen werden. Je nachdem, von wem die Sicherheitslücke ausgenutzt wird, kann es mehr als nur peinlich werden. Denn neben Protestbotschaften an die FCC könnten Angreifer auch Malware oder Phishing-Kampagnen auf einem Server mit offizieller Regierungsadresse hosten.

Die hochgeladenen Dokumente sind weiterhin verfügbar. Neue API-Schlüssel werden derzeit offenbar nicht vergeben, allerdings soll ein zu Demonstrationszwecken auf der Webseite angegebener Schlüssel weiterhin funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Leistungsaufnahme: Effizienz muss man auch wollen
    Leistungsaufnahme
    Effizienz muss man auch wollen

    Neue Hardware wird immer effizienter. Auch High-End-Prozessoren und Grafikkarten können sehr sparsam sein. Leider ist das nicht Standard.
    Ein IMHO von Martin Böckmann

  2. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

  3. PXW: Huawei bietet bald wieder 5G-Smartphones an
    PXW
    Huawei bietet bald wieder 5G-Smartphones an

    Der Telekomausrüster Huawei kommt nicht ohne seine darniederliegende Smartphone-Sparte aus. Jetzt zeichnen sich trotz Handelskrieg echte Lösungen ab.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /