Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.

Eine Exklusivmeldung von veröffentlicht am
Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund
Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund (Bild: Cert-Bund/Screenshot: Golem.de)

Cert-Bund, laut eigener Beschreibung das "Computer-Notfallteam des BSI", betreibt eine Webseite, auf der Informationen zu Softwareschwachstellen abgerufen werden können. Mit einem registrierten Account können die Warnmeldungen auch per E-Mail empfangen werden.

Stellenmarkt
  1. Stellvertretender Teamleiter (m/w/d) Fertigungsplanung / Supply Chain und Projekte
    SKF GmbH, Mühlheim an der Donau
  2. Data Scientist / Aktuar (m/w/d) im Bereich Business Intelligence
    Allianz Versicherungs-AG, München, Unterföhring
Detailsuche

Wie Golem.de herausgefunden hat, war die Accountverwaltung selbst von einer Sicherheitslücke betroffen. Die Formulare, mit denen die Accounteinstellungen geändert werden können, hatten keinerlei Schutz gegen sogenannte Cross-Site-Request-Forgery-Angriffe. Auf diese Weise hätten Angreifer auch die Mailadresse eines Accounts ändern können.

Zugriff auf nichtöffentliche Advisories

Beim Registrieren auf der Cert-Bund-Webseite gibt es zwei Arten von Accounts. Jeder kann sich registrieren und die öffentlich verfügbaren Kurzinfos von Cert-Bund abonnieren. Zusätzlich gibt es aber ausführlichere Sicherheitsadvisories, die nur für Vertreter von Bundesbehörden zugänglich sind. Mit der CSRF-Lücke wäre es möglich, einen derartigen Account zu übernehmen und somit Zugriff auf die nichtöffentlichen Advisories zu erlangen.

Bei Cross Site Request Forgery handelt es sich um ein sehr grundlegendes Sicherheitsproblem von Formularen auf Webseiten. Bei einem Formular werden die eingegebenen Daten in Form von Variablen - üblicherweise als sogenannter POST-Request - an die Webseite übermittelt. Das Problem dabei: Wird dies ohne zusätzliche Schutzmaßnahmen umgesetzt, weiß die Webseite nicht, ob die Formulardaten von der eigenen Webseite oder von einer fremden Seite kommen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Ein Angreifer kann somit ein Formular nachbauen, unsichtbar auf einer anderen Webseite einbinden und via Javascript dafür sorgen, dass es direkt ohne Nutzerinteraktion an die angegriffene Webseite geschickt wird. Verhindert werden solche Angriffe üblicherweise dadurch, dass in Formularen ein geheimer Sicherheitstoken eingebaut wird. Dieser Token muss in jedem Fall pro Nutzer und im Idealfall auch pro Formular und pro Sitzung einmalig sein und darf dem Angreifer nicht bekannt sein. Beim Empfangen der Formulardaten prüft der Server den Token und verwirft die Anfrage, wenn dieser nicht korrekt ist.

Einen solchen Schutz gab es bei den Formularen auf der Cert-Bund-Webseite nicht. Damit war es ohne Probleme möglich, von einer beliebigen Webseite aus die Accounteinstellungen zu verändern. Die Voraussetzung dafür war nur, dass der Nutzer gleichzeitig in den Account eingeloggt ist.

Änderung der E-Mail-Adresse möglich

Die Änderung der Mailadresse war für einen Angreifer etwas aufwendiger, da hier ein zweistufiger Prozess durchgeführt werden musste. Zuerst wurde nach der neuen Mailadresse gefragt, anschließend wurde ein Code an die neue Mailadresse geschickt, der ebenfalls in ein Formular eingegeben werden musste. Ein Angreifer müsste hier also zuerst das erste Formular abschicken, den Code empfangen und anschließend ein zweites Formular erzeugen und abschicken.

Golem.de hat Cert-Bund über diese Sicherheitslücke informiert und sie wurde inzwischen geschlossen. Die Formulare haben nun, wie das üblich ist, einen entsprechenden CSRF-Token.

Zwar dürften die Auswirkungen dieser Sicherheitslücke begrenzt sein. Doch es handelt sich um einen ausgesprochen banalen Fehler, daher ist es durchaus bemerkenswert, dass eine Behörde für IT-Sicherheit ihre eigene Infrastruktur nicht auf derartige Probleme geprüft hat. CSRF-Lücken gehören zu den absoluten Klassikern in Sachen Websicherheit.

Cert-Bund stand zuletzt in der Kritik, weil es eine Sicherheitslücke im Videoplayer VLC massiv übertrieben dargestellt hat. Mehrere Medien hatten diese Einschätzung unkritisch übernommen. Auch in anderen Fällen übertreibt Cert-Bund regelmäßig die Gefährlichkeit von Sicherheitslücken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Wettbewerb: EU soll Untersuchung von Googles Werbegeschäft planen
    Wettbewerb
    EU soll Untersuchung von Googles Werbegeschäft planen

    Die EU-Kommission lässt Google keine Pause: Als Nächstes soll das Werbegeschäft genau auf Wettbewerbseinschränkungen untersucht werden.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

chithanh 30. Okt 2019

Doch, leider ist das "mal eben so" möglich. Microtargeting nach IP-Adressen bei Online...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /