• IT-Karriere:
  • Services:

Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.

Eine Exklusivmeldung von veröffentlicht am
Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund
Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund (Bild: Cert-Bund/Screenshot: Golem.de)

Cert-Bund, laut eigener Beschreibung das "Computer-Notfallteam des BSI", betreibt eine Webseite, auf der Informationen zu Softwareschwachstellen abgerufen werden können. Mit einem registrierten Account können die Warnmeldungen auch per E-Mail empfangen werden.

Stellenmarkt
  1. Quentic GmbH, Berlin
  2. Bechtle Onsite Services GmbH, Baunatal

Wie Golem.de herausgefunden hat, war die Accountverwaltung selbst von einer Sicherheitslücke betroffen. Die Formulare, mit denen die Accounteinstellungen geändert werden können, hatten keinerlei Schutz gegen sogenannte Cross-Site-Request-Forgery-Angriffe. Auf diese Weise hätten Angreifer auch die Mailadresse eines Accounts ändern können.

Zugriff auf nichtöffentliche Advisories

Beim Registrieren auf der Cert-Bund-Webseite gibt es zwei Arten von Accounts. Jeder kann sich registrieren und die öffentlich verfügbaren Kurzinfos von Cert-Bund abonnieren. Zusätzlich gibt es aber ausführlichere Sicherheitsadvisories, die nur für Vertreter von Bundesbehörden zugänglich sind. Mit der CSRF-Lücke wäre es möglich, einen derartigen Account zu übernehmen und somit Zugriff auf die nichtöffentlichen Advisories zu erlangen.

Bei Cross Site Request Forgery handelt es sich um ein sehr grundlegendes Sicherheitsproblem von Formularen auf Webseiten. Bei einem Formular werden die eingegebenen Daten in Form von Variablen - üblicherweise als sogenannter POST-Request - an die Webseite übermittelt. Das Problem dabei: Wird dies ohne zusätzliche Schutzmaßnahmen umgesetzt, weiß die Webseite nicht, ob die Formulardaten von der eigenen Webseite oder von einer fremden Seite kommen.

Ein Angreifer kann somit ein Formular nachbauen, unsichtbar auf einer anderen Webseite einbinden und via Javascript dafür sorgen, dass es direkt ohne Nutzerinteraktion an die angegriffene Webseite geschickt wird. Verhindert werden solche Angriffe üblicherweise dadurch, dass in Formularen ein geheimer Sicherheitstoken eingebaut wird. Dieser Token muss in jedem Fall pro Nutzer und im Idealfall auch pro Formular und pro Sitzung einmalig sein und darf dem Angreifer nicht bekannt sein. Beim Empfangen der Formulardaten prüft der Server den Token und verwirft die Anfrage, wenn dieser nicht korrekt ist.

Einen solchen Schutz gab es bei den Formularen auf der Cert-Bund-Webseite nicht. Damit war es ohne Probleme möglich, von einer beliebigen Webseite aus die Accounteinstellungen zu verändern. Die Voraussetzung dafür war nur, dass der Nutzer gleichzeitig in den Account eingeloggt ist.

Änderung der E-Mail-Adresse möglich

Die Änderung der Mailadresse war für einen Angreifer etwas aufwendiger, da hier ein zweistufiger Prozess durchgeführt werden musste. Zuerst wurde nach der neuen Mailadresse gefragt, anschließend wurde ein Code an die neue Mailadresse geschickt, der ebenfalls in ein Formular eingegeben werden musste. Ein Angreifer müsste hier also zuerst das erste Formular abschicken, den Code empfangen und anschließend ein zweites Formular erzeugen und abschicken.

Golem.de hat Cert-Bund über diese Sicherheitslücke informiert und sie wurde inzwischen geschlossen. Die Formulare haben nun, wie das üblich ist, einen entsprechenden CSRF-Token.

Zwar dürften die Auswirkungen dieser Sicherheitslücke begrenzt sein. Doch es handelt sich um einen ausgesprochen banalen Fehler, daher ist es durchaus bemerkenswert, dass eine Behörde für IT-Sicherheit ihre eigene Infrastruktur nicht auf derartige Probleme geprüft hat. CSRF-Lücken gehören zu den absoluten Klassikern in Sachen Websicherheit.

Cert-Bund stand zuletzt in der Kritik, weil es eine Sicherheitslücke im Videoplayer VLC massiv übertrieben dargestellt hat. Mehrere Medien hatten diese Einschätzung unkritisch übernommen. Auch in anderen Fällen übertreibt Cert-Bund regelmäßig die Gefährlichkeit von Sicherheitslücken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 4,96€
  3. 2,99€
  4. 13,99€

chithanh 30. Okt 2019 / Themenstart

Doch, leider ist das "mal eben so" möglich. Microtargeting nach IP-Adressen bei Online...

Kommentieren


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  2. Elektroauto von VW Es hat sich bald ausgegolft
  3. ID.3 kommt Volkswagen verkauft den E-Golf zum Schnäppchenpreis

In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Surface Laptop 3 (15 Zoll) im Test: Das 15-Zoll-Macbook mit Windows 10 und Ryzen
Surface Laptop 3 (15 Zoll) im Test
Das 15-Zoll-Macbook mit Windows 10 und Ryzen

Was passiert, wenn ein 13-Zoll-Notebook ein 15-Zoll-Panel erhält? Es entsteht der Surface Laptop 3. Er ist leicht, sehr gut verarbeitet und hat eine exzellente Tastatur. Das bereitet aber nur Freude, wenn wir die wenigen Anschlüsse und den recht kleinen Akku verkraften können.
Ein Test von Oliver Nickel

  1. Surface Laptop 3 mit 15 Zoll Microsoft könnte achtkernigen Ryzen verbauen

    •  /