• IT-Karriere:
  • Services:

Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.

Eine Exklusivmeldung von veröffentlicht am
Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund
Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund (Bild: Cert-Bund/Screenshot: Golem.de)

Cert-Bund, laut eigener Beschreibung das "Computer-Notfallteam des BSI", betreibt eine Webseite, auf der Informationen zu Softwareschwachstellen abgerufen werden können. Mit einem registrierten Account können die Warnmeldungen auch per E-Mail empfangen werden.

Stellenmarkt
  1. SySS GmbH, Tübingen
  2. Deloitte, Düsseldorf, München

Wie Golem.de herausgefunden hat, war die Accountverwaltung selbst von einer Sicherheitslücke betroffen. Die Formulare, mit denen die Accounteinstellungen geändert werden können, hatten keinerlei Schutz gegen sogenannte Cross-Site-Request-Forgery-Angriffe. Auf diese Weise hätten Angreifer auch die Mailadresse eines Accounts ändern können.

Zugriff auf nichtöffentliche Advisories

Beim Registrieren auf der Cert-Bund-Webseite gibt es zwei Arten von Accounts. Jeder kann sich registrieren und die öffentlich verfügbaren Kurzinfos von Cert-Bund abonnieren. Zusätzlich gibt es aber ausführlichere Sicherheitsadvisories, die nur für Vertreter von Bundesbehörden zugänglich sind. Mit der CSRF-Lücke wäre es möglich, einen derartigen Account zu übernehmen und somit Zugriff auf die nichtöffentlichen Advisories zu erlangen.

Bei Cross Site Request Forgery handelt es sich um ein sehr grundlegendes Sicherheitsproblem von Formularen auf Webseiten. Bei einem Formular werden die eingegebenen Daten in Form von Variablen - üblicherweise als sogenannter POST-Request - an die Webseite übermittelt. Das Problem dabei: Wird dies ohne zusätzliche Schutzmaßnahmen umgesetzt, weiß die Webseite nicht, ob die Formulardaten von der eigenen Webseite oder von einer fremden Seite kommen.

Ein Angreifer kann somit ein Formular nachbauen, unsichtbar auf einer anderen Webseite einbinden und via Javascript dafür sorgen, dass es direkt ohne Nutzerinteraktion an die angegriffene Webseite geschickt wird. Verhindert werden solche Angriffe üblicherweise dadurch, dass in Formularen ein geheimer Sicherheitstoken eingebaut wird. Dieser Token muss in jedem Fall pro Nutzer und im Idealfall auch pro Formular und pro Sitzung einmalig sein und darf dem Angreifer nicht bekannt sein. Beim Empfangen der Formulardaten prüft der Server den Token und verwirft die Anfrage, wenn dieser nicht korrekt ist.

Einen solchen Schutz gab es bei den Formularen auf der Cert-Bund-Webseite nicht. Damit war es ohne Probleme möglich, von einer beliebigen Webseite aus die Accounteinstellungen zu verändern. Die Voraussetzung dafür war nur, dass der Nutzer gleichzeitig in den Account eingeloggt ist.

Änderung der E-Mail-Adresse möglich

Die Änderung der Mailadresse war für einen Angreifer etwas aufwendiger, da hier ein zweistufiger Prozess durchgeführt werden musste. Zuerst wurde nach der neuen Mailadresse gefragt, anschließend wurde ein Code an die neue Mailadresse geschickt, der ebenfalls in ein Formular eingegeben werden musste. Ein Angreifer müsste hier also zuerst das erste Formular abschicken, den Code empfangen und anschließend ein zweites Formular erzeugen und abschicken.

Golem.de hat Cert-Bund über diese Sicherheitslücke informiert und sie wurde inzwischen geschlossen. Die Formulare haben nun, wie das üblich ist, einen entsprechenden CSRF-Token.

Zwar dürften die Auswirkungen dieser Sicherheitslücke begrenzt sein. Doch es handelt sich um einen ausgesprochen banalen Fehler, daher ist es durchaus bemerkenswert, dass eine Behörde für IT-Sicherheit ihre eigene Infrastruktur nicht auf derartige Probleme geprüft hat. CSRF-Lücken gehören zu den absoluten Klassikern in Sachen Websicherheit.

Cert-Bund stand zuletzt in der Kritik, weil es eine Sicherheitslücke im Videoplayer VLC massiv übertrieben dargestellt hat. Mehrere Medien hatten diese Einschätzung unkritisch übernommen. Auch in anderen Fällen übertreibt Cert-Bund regelmäßig die Gefährlichkeit von Sicherheitslücken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,15€
  2. 6,49€
  3. 4,65€
  4. (-75%) 4,99€

chithanh 30. Okt 2019

Doch, leider ist das "mal eben so" möglich. Microtargeting nach IP-Adressen bei Online...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Charachorder Schneller tippen als die Tastatur erlaubt
  2. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad
  3. Apex Pro im Test Tastatur für glückliche Gamer und Vielschreiber

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /