Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

Cert-Bund, laut eigener Beschreibung das "Computer-Notfallteam des BSI", betreibt eine Webseite, auf der Informationen zu Softwareschwachstellen abgerufen werden können. Mit einem registrierten Account können die Warnmeldungen auch per E-Mail empfangen werden.

Wie Golem.de herausgefunden hat, war die Accountverwaltung selbst von einer Sicherheitslücke betroffen. Die Formulare, mit denen die Accounteinstellungen geändert werden können, hatten keinerlei Schutz gegen sogenannte Cross-Site-Request-Forgery-Angriffe. Auf diese Weise hätten Angreifer auch die Mailadresse eines Accounts ändern können.

Zugriff auf nichtöffentliche Advisories

Beim Registrieren auf der Cert-Bund-Webseite gibt es zwei Arten von Accounts. Jeder kann sich registrieren und die öffentlich verfügbaren Kurzinfos von Cert-Bund abonnieren. Zusätzlich gibt es aber ausführlichere Sicherheitsadvisories, die nur für Vertreter von Bundesbehörden zugänglich sind. Mit der CSRF-Lücke wäre es möglich, einen derartigen Account zu übernehmen und somit Zugriff auf die nichtöffentlichen Advisories zu erlangen.

Bei Cross Site Request Forgery handelt es sich um ein sehr grundlegendes Sicherheitsproblem von Formularen auf Webseiten. Bei einem Formular werden die eingegebenen Daten in Form von Variablen - üblicherweise als sogenannter POST-Request - an die Webseite übermittelt. Das Problem dabei: Wird dies ohne zusätzliche Schutzmaßnahmen umgesetzt, weiß die Webseite nicht, ob die Formulardaten von der eigenen Webseite oder von einer fremden Seite kommen.

Ein Angreifer kann somit ein Formular nachbauen, unsichtbar auf einer anderen Webseite einbinden und via Javascript dafür sorgen, dass es direkt ohne Nutzerinteraktion an die angegriffene Webseite geschickt wird. Verhindert werden solche Angriffe üblicherweise dadurch, dass in Formularen ein geheimer Sicherheitstoken eingebaut wird. Dieser Token muss in jedem Fall pro Nutzer und im Idealfall auch pro Formular und pro Sitzung einmalig sein und darf dem Angreifer nicht bekannt sein. Beim Empfangen der Formulardaten prüft der Server den Token und verwirft die Anfrage, wenn dieser nicht korrekt ist.

Einen solchen Schutz gab es bei den Formularen auf der Cert-Bund-Webseite nicht. Damit war es ohne Probleme möglich, von einer beliebigen Webseite aus die Accounteinstellungen zu verändern. Die Voraussetzung dafür war nur, dass der Nutzer gleichzeitig in den Account eingeloggt ist.

Änderung der E-Mail-Adresse möglich

Die Änderung der Mailadresse war für einen Angreifer etwas aufwendiger, da hier ein zweistufiger Prozess durchgeführt werden musste. Zuerst wurde nach der neuen Mailadresse gefragt, anschließend wurde ein Code an die neue Mailadresse geschickt, der ebenfalls in ein Formular eingegeben werden musste. Ein Angreifer müsste hier also zuerst das erste Formular abschicken, den Code empfangen und anschließend ein zweites Formular erzeugen und abschicken.

Golem.de hat Cert-Bund über diese Sicherheitslücke informiert und sie wurde inzwischen geschlossen. Die Formulare haben nun, wie das üblich ist, einen entsprechenden CSRF-Token.

Zwar dürften die Auswirkungen dieser Sicherheitslücke begrenzt sein. Doch es handelt sich um einen ausgesprochen banalen Fehler, daher ist es durchaus bemerkenswert, dass eine Behörde für IT-Sicherheit ihre eigene Infrastruktur nicht auf derartige Probleme geprüft hat. CSRF-Lücken gehören zu den absoluten Klassikern in Sachen Websicherheit.

Cert-Bund stand zuletzt in der Kritik, weil es eine Sicherheitslücke im Videoplayer VLC massiv übertrieben dargestellt hat. Mehrere Medien hatten diese Einschätzung unkritisch übernommen. Auch in anderen Fällen übertreibt Cert-Bund regelmäßig die Gefährlichkeit von Sicherheitslücken.