Original-URL des Artikels: https://www.golem.de/news/big-blue-button-das-grosse-blaue-sicherheitsrisiko-2010-151610.html    Veröffentlicht: 21.10.2020 09:00    Kurz-URL: https://glm.io/151610

Big Blue Button

Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.

Die Software Big Blue Button gehört zu den beliebtesten Open-Source-Lösungen für Videochats. Die Coronakrise hat für viel Verbreitung gesorgt, und die Software wird in vielen Unternehmen, Schulen und Universitäten eingesetzt. Doch in Sachen Sicherheit sieht es bei Big Blue Button nicht gut aus: Golem.de fand mehrere Sicherheitslücken und meldete sie dem Entwickler; eine besonders kritische Lücke wurde erst nach Monaten geschlossen.

Als außergewöhnlich problematisch erwies sich bei unseren Tests eine Funktion, mit der man digitale Präsentationen hochladen kann. Diese können in einer Reihe von Formaten sein, neben PDFs und reinen Bildern können auch Office-Dokumente hochgeladen werden. Die werden dann auf dem Server mit Hilfe von Libreoffice konvertiert. Libreoffice unterstützt extrem viele Dateiformate mit komplexen Features - eine große Angriffsfläche.

Dateien exfiltrieren mit Libreoffice

In einem Blogpost erläutert der IT-Sicherheitsexperte Brett Buerhaus eine Anzahl von Möglichkeiten, wie sich Libeoffice in Fällen angreifen lässt, in denen es zur serverseitigen Konvertierung genutzt wird.

Das von Libreoffice standardmäßig verwendete Opendocument-Format ermöglicht es, externe Dateien über URLs in eine Office-Datei einzubinden. Diese URLs können entweder normale Web-URLs oder Verweise auf lokale Dateien sein. Bei einem Test mit Big Blue Button konnten wir damit problemlos Dateien des lokalen Systems einbinden und uns anzeigen lassen.

Der Angriff ist damit fast trivial: Man erzeugt ein Dokument, welches ein externes Objekt einbindet, und verweist auf eine lokale Datei. Dieses Dokument lädt man anschließend als Präsentation hoch und kann den Inhalt der Datei sehen.

Als Proof of Concept haben wir eine Datei erstellt, die die Konfigurationsdatei mit dem API-Key extrahiert. Über die API kann man anschließend auch Räume von anderen Personen vollständig kontrollieren und sich etwa unberechtigt in geschlossene Sitzungen einwählen.



Kritische Lücke erst viele Monate später geschlossen

Als wir diese Lücke an die Entwickler von Big Blue Button meldeten, erhielten wir zunächst keine Reaktion. Nach einer Rückfrage verwies man uns auf einen öffentlichen Report, der ein ähnliches Problem meldete. Allerdings handelte es sich um eine andere, uns bis dahin unbekannte Methode, um mit Libreoffice Daten zu exfiltrieren. Es gab also bereits eine bekannte, ähnlich kritische Sicherheitslücke, die jedoch kaum wahrgenommen wurde. Durch eine Konfigurationsänderung wurde dieses Problem behoben - doch die von uns gemeldete Methode funktionierte weiterhin.



Libreoffice-Sandbox für nächste Version geplant

Die Entwickler von Big Blue Button schrieben uns, dass sie planten, ein entsprechendes Sandboxing für Libreoffice zu implementieren. Zuerst hieß es, man wolle Libreoffice in ein Chroot einsperren. Dann erwog man, den Prozess in einem Docker-Container auszuführen. Passiert ist bislang beides nicht, die Container-Lösung sei aber für die kommende Version 2.3 geplant.

Nachdem bei dieser Lücke längere Zeit nichts passierte, schauten wir uns das Problem noch einmal genauer an. Denn eigentlich sollte ein solcher Angriff überhaupt nicht funktionieren, da Libreoffice externe Dateien nur nach einem Nutzerdialog einbindet. Bei einer Konvertierung auf der Kommandozeile wird dies automatisch abgelehnt.

Jodconverter erlaubt in Standardeinstellung Einbinden von Dateien

Als Ursache fanden wir eine Software namens Jodconverter, die einen Wrapper um die Konvertierungsfunktionalität von Libreoffice bereitstellt und von Big Blue Button verwendet wird. In Jodconverter wird das Einbinden von externen Dateien standardmäßig aktiviert. Will man das nicht, muss man diese Funktion aktiv ausschalten. Der Entwickler von Jodconverter überlegt, diese Standardeinstellung zu ändern, bislang ist das aber nicht passiert.

Nachdem wir dies den Entwicklern von Big Blue Button mitgeteilt hatten, änderte man dort die Einstellung. Die Änderung floss in Version 2.2.27 ein, alle Nutzer von Big Blue Button sollten dieses Update schnellstmöglich installieren. Besonders transparent ist Big Blue Button mit dem Problem nicht umgegangen. In den Release-Notes ist nicht erkennbar, dass hier ein kritisches Sicherheitsproblem behoben wurde.

Wissen sollte man zudem, dass dies vermutlich nicht der einzige mögliche Angriff auf die Libreoffice-Dateikonvertierung ist. Ein weiteres großes Risiko ist, dass Libreoffice standardmäßig auch EPS-Dateien unterstützt, diese werden mit dem Tool Ghostscript konvertiert. Ghostscript implementiert den Postscript-Standard, bei dem es sich faktisch um eine vollwertige Programmiersprache handelt. Zwar hat Ghostscript eine schwache Sandbox hierfür, doch regelmäßig werden darin Fehler entdeckt und es ist häufig möglich, die Sandbox auszuhebeln.



Die Datei-Exfiltrierung mit Libreoffice war die kritischste Lücke, die wir bei unseren Recherchen fanden, aber leider nicht die einzige.



XSS-Lücke und keine sicheren Session-Cookies

Ebenfalls im Präsentationsupload fanden wir bereits im April eine Cross-Site-Scripting-Lücke (XSS). Präsentationen können Nutzern zum Herunterladen angeboten werden, dabei wurde jedoch kein entsprechender Content-Type-Header gesetzt. Damit war es möglich, eine Datei hochzuladen, die zwar von der Dateiendung einem der unterstützen Dateitypen entspricht - in unserem Test haben wir .png verwendet, deren Inhalt aber HTML-Code enthält.

Webbrowser versuchen beim Fehlen des Content Types zu erraten, um was für eine Datei es sich handelt. Daher wird in so einem Fall der HTML-Code gerendert und darin enthaltener Javascript-Code ausgeführt. Wir meldeten diese Lücke an die Entwickler von Big Blue Button und erfuhren, dass diese fast zeitgleich bereits von einer anderen Person gemeldet worden sei. In den Release-Notes für die entsprechende Version wird nur erwähnt, dass man die Sicherheit verbessert habe, ein konkreter Verweis auf die XSS-Sicherheitslücke fehlt.

Cookies ohne Secure-Flag

Ein weiteres Problem haben wir den Entwicklern ebenfalls bereits im April gemeldet: Die Session-Cookies von Big Blue Button enthalten, auch wenn die Seite über HTTPS aufgerufen wird, kein Secure-Flag. Das bedeutet konkret, dass Cookies auch bei unverschlüsselten Verbindungen übertragen werden. Damit ist es für Netzwerkangreifer möglich, Sitzungen von Nutzern zu übernehmen. Sie müssen lediglich dafür sorgen, dass eine einzelne, unverschlüsselte Verbindung zum entsprechenden Host stattfindet, und können das Cookie mitlesen.

Zu dieser Lücke haben wir über mehrere Monate überhaupt keine Antwort der Entwickler von Big Blue Button erhalten. Erst nach mehreren Rückfragen wurde die Lücke geschlossen. Der erste Patch war zudem unvollständig - er setzte zwar das Secure-Flag für Big Blue Button selbst, aber nicht für das standardmäßig mitgelieferte Webfrontend Greenlight. Erst nach nochmaligem Nachhaken wurde auch dort das Secure-Flag gesetzt.



Neben diesen konkreten Sicherheitslücken erscheint uns auch das Gesamtdesign von Big Blue Button aus Sicherheitsperspektive sehr problematisch und wir fanden eine Reihe kleinerer Probleme.



Uraltes Ubuntu und nicht mehr unterstütze NodeJS-Version

Prinzipiell funktioniert Big Blue Button nur auf der inzwischen vier Jahre alten Ubuntu-Version 16.04. Die Installation ist äußert komplex, daher wird Nutzenden empfohlen, sie über ein Shellskript durchzuführen, das zahlreiche Pakete installiert sowie konfiguriert und diverse zusätzliche Paketquellen zum System hinzufügt.

Darunter sind auch Pakete, für die es längst keine Sicherheitsupdates mehr gibt. So erscheint während der Installation eine Warnung von einem Repository mit Nodejs-Paketen, dass Nodejs in der Version 8 installiert werde und es hierfür keine Sicherheitsfixes mehr gebe.

Offene Netzwerkports und ein Default-Passwort

Die Installation startet standardmäßig zahlreiche Netzwerkservices. Bis vor kurzem war es noch so, dass deren Ports anschließend von außen erreichbar waren. Ein unnötiges Risiko: Die meisten dieser Services werden nur lokal genutzt.

Die Dokumentation empfiehlt, diese mittels einer Firewall-Konfiguration zu sperren, doch unklar blieb, warum das Installationsskript dies nicht automatisch machte. Nachdem wir die Entwickler darauf ansprachen, wurde das geändert.



Standardmäßig wurde auch die Software Freeswitch mit einem Default-Passwort installiert ("ClueCon"). Zwar war der Freeswitch-Service von außen nicht erreichbar, daher war das Standardpasswort nicht direkt für einen Angriff verwendbar. Ein lokaler Angreifer hätte das aber ausnutzen können. Nach unserem Hinweis wurde dies geändert und das Passwort wird nun zufällig erzeugt.



Videoaufzeichnungen standardmäßig aktiviert

Neben vielen sicherheitstechnischen Problemen gibt es in Big Blue Button auch einige in Sachen Datenschutz. In der Standardkonfiguration von Big Blue Button werden Videokonferenzen grundsätzlich aufgezeichnet - und zwar auch dann, wenn im Nutzerinterface die Videoaufzeichnung eigentlich deaktiviert ist. Will man dieses etwas irritierende Verhalten nicht, muss man die Einstellung manuell konfigurieren.

Für Aufregung sorgte vor kurzem auch die Tatsache, dass der Mute-Button nicht dazu führt, dass die Audio-Datenübertragung zum Server unterbrochen wird. Das Muten fand rein serverseitig statt. Dieses Problem wurde inzwischen behoben.

Datenschutzbeauftragte empfehlen Big Blue Button

Insgesamt kein gutes Bild bei einer Software, die gerade von vielen Seiten als besonders datenschutzfreundlich empfohlen wird. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat Big Blue Button kürzlich zusammen mit anderen Systemen empfohlen. Auch der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, hat im April Schulen den Einsatz von Big Blue Button empfohlen.

Auf Anfrage verwies das Büro des baden-württembergischen Datenschutzbeauftragten darauf, dass sich die Empfehlung nur auf die Konfiguration bezogen habe, die in baden-württembergischen Schulen zum Einsatz komme und dass dort das automatische Aufzeichnen von Konferenzen deaktiviert werde. "Üblicherweise führt der LfDI keine ausführlichen Security-Audits durch, sondern bewertet eine Software nach datenschutzrechtlichen Gesichtspunkten. Die IT-Sicherheit ist dabei ein Element. Bisher ist Big Blue Button unserer Kenntnis nach nicht negativ aufgefallen", heißt es weiter zum Thema Sicherheit.

Berliner Datenschutzbeauftragte würde öffentlich finanzierte Weiterentwicklung begrüßen

Die Berliner Datenschutzbeauftragte zeigte sich sehr interessiert an unseren Recherchen und sieht auch Bedarf nach einem umfangreicheren Sicherheitsaudit von Big Blue Button: "Wir stimmen Ihnen zu, dass eine Durchsicht des Quellcodes auf weitere Problemstellen geboten erscheint, und würden es begrüßen, wenn die öffentliche Verwaltung die Weiterentwicklung des Produkts fördern würde. Eine Investition in Fehlerbereinigung oder Ergänzung quelloffener Software kommt nicht nur der öffentlichen Hand selbst zugute, sondern der Allgemeinheit."

Bei unseren Recherchen erfuhren wir, dass das US-Verteidigungsministerium vor einigen Jahren einen Sicherheitsaudit von Big Blue Button durchgeführt hat. Dort nutzt man die Software bereits seit 2015. Wir haben versucht, Einblick in diesen Audit über das US-Informationsfreiheitsgesetz (Freedom of Information Act) zu erhalten. Man teilte uns jedoch mit, dass die entsprechenden Dokumente klassifiziert seien.

Der Verein Cyber4Edu, der Big-Blue-Button-Instanzen ehrenamtlich für Bildungseinrichtungen betreut, schaute sich die Sicherheit der Software ebenfalls an und fand Probleme, teilweise dieselben, auf die wir bei unserer Recherche stießen. Auch hier lief die Kommunikation mit den Entwicklern von Big Blue Button eher schleppend.



Freie Software ermöglicht zumindest Selbsthilfe

Trotzdem kommt Andreas Steinhauser von Cyber4Edu zu einem eher positiven Fazit: "Da es sich um freie und offene Software handelt, haben wir die Möglichkeit, dabei zu helfen, die Schwachstellen zu erkennen und sie zu beheben. Das tun wir derzeit oft, und das ist viel Aufwand und nervt manchmal, aber anders als bei kommerziellen Produkten ist es überhaupt möglich."

Insgesamt bleibt festzuhalten: Big Blue Button ist zurzeit enorm beliebt und wird von unzähligen öffentlichen Einrichtungen genutzt. Die Sicherheit der Software ist mangelhaft, was selbst bei einem groben Blick darauf bereits auffällt. Aus Datenschutzsicht sind einige Designentscheidungen sehr zweifelhaft.

Den Entwicklern von Big Blue Button kann man vorwerfen, dass sie beim Umgang mit Sicherheitslücken eher unprofessionell agieren und Sicherheitsfixes nicht transparent kommuniziert werden. Es gilt aber natürlich zu beachten, dass hier ein vergleichsweise kleines Entwicklerteam ein Videochat-System als freie Software bereitstellt, die von unzähligen Institutionen und Firmen kostenlos genutzt wird.

Dabei stellt sich die Frage, ob Unterstützung bei der Sicherheit durch staatliche Behörden, beispielsweise durch einen umfangreichen Security-Audit, angemessen und verdient wäre für eine Software, die gerade auch in datenschutzsensiblen Bereichen wie beispielsweise Schulen verwendet wird. Doch dafür fühlt sich offenbar bisher niemand zuständig.

 (hab)


Verwandte Artikel:
Backdoor: NSA-Hintertür von anderem Staat ausgenutzt   
(29.10.2020, https://glm.io/151801 )
Document Foundation: Libreoffice will Ende von Openoffice   
(14.10.2020, https://glm.io/151507 )
Homeoffice: Liebe Firmen, lasst uns spielen!   
(11.08.2020, https://glm.io/149710 )
Peertube: Debian spendet für freie Live-Streaming-Software   
(26.10.2020, https://glm.io/151715 )
SIS: Polizeidatenbank soll für Tausende Behörden geöffnet werden   
(30.10.2020, https://glm.io/151840 )

© 1997–2021 Golem.de, https://www.golem.de/