“vBulletin verrät MySQL-Login” (heise.de)

Eine kritische Sicherheitslücke in der weit verbreiteten Forensoftware vBulletin führt dazu, dass Angreifer mit minimalem Aufwand an die Zugangsdaten des MySQL-Servers gelangen.

Dieser minimale Aufwand besteht lediglich in einer Suchanfrage nach “Datenbank” oder “Database”.

Das BSI meinte dazu in “Kurzinfo CB-K10/0285” (cert-bund.de):

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 23.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel

So bisschen “Ausspähen von Informationen” kann ja nicht so schlimm sein, also nur “mittel”.

Natürlich bin ich da wieder anderer Meinung — wie sollte es auch anders sein. :O)


Da vBulletin auch die verwendete Version im Footer mit ausgibt, ist es per Suchmaschine sehr einfach potentielle Opfer zu finden. Nach nur wenigen Minuten fand ich mehr als zwei dutzend Foren die die MySQL-Zugangsdaten ausplauderten.

Da es weit verbreitet ist phpMyAdmin direkt mit der Domain zu verbandeln, um schneller darauf zuzugreifen,

• http://phpmyadmin.domain.tld/
  oder
• http://domain.tld/phpmyadmin/

bekommt ein Angreifer u.U. leichten Zugang zur Foren-Datenbank und damit evtl. auch zu weiteren Datenbanken, die auf dem gleichen Server laufen.

Bei solch einer Sicherheitslücke von “mittel” zu sprechen halte ich für fahrlässig.

---

Gerade sehe ich dass das BSI ein Update der Meldung veröffentlicht hat:

“Kurzinfo CB-K10/0285 Update 1” (cert-bund.de)

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 26.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch

Der Bug ist immer noch der gleiche nur die Einstufung und das Datum wurden geändert, und dies noch bevor ich meine (unerhebliche) Meinung zum Besten gegeben habe. ;O)

---

Ich gebe es zu, manchmal fällt es auch mir nicht so leicht eine Sicherheitslücke richtig einzuschätzen. Gibt es einen Bug z.B. in Windows, so könnte fast immer die Risikostufe auf “sehr hoch” stehen, da meist mehrere Millionen von Benutzern betroffen sind. Aber nur von der schieren Menge an Betroffenen sollte man sich bei der Einstufung nicht leiten lassen.

Auch wenn vBulletin weit verbreitet ist ist der eigentliche Knackpunkt hier nicht die Menge der möglichen Opfer, sondern eher das was mit der Lücke für Schaden angerichtet werden kann. Findet ein Angreifer einen Weg in die Administration der Datenbank, so kann er nicht nur Daten auslesen, sondern auch eigene Daten einspeisen. Wie schon erwähnt, liegen meist mehrere verschiedene Datenbanken in einem Account. Da findet sich z.B. jeweils eine Datenbank für die Website, für den Shop, für das Blog und schließlich für das Forum, und auf alles hat der Angreifer Zugriff.

Ein echter Angreifer, also kein Scriptkiddie welches einfach alle erreichbaren Datenbanken löscht, würde wohl damit anfangen Dumps der Datenbanken runterzuladen. Speist der Angreifer anschließend Daten in den Shop ein, so wird das Opfer kaum auf die Idee kommen dass das Einfallstor für den Angreifer das Forum war.

Aus einem einfachen “Ausspähen von Informationen” kann somit sehr schnell eine schwerwiegende Sicherheitslücke werden, die vollkommen andere Systeme betrifft, als das ursprünglich angegriffene.


Es gibt aber auch Sicherheitslücken die einfach nur durch die Anzahl der möglichen Opfer hochgradig gefährlich werden. Wenn zum Beispiel in einer Website die nur wenige Besucher zählt eine XSS-Lücke stecken würde, so wäre diese nicht annähernd so kritisch wie die die vor ein paar Wochen in den Kommentaren von YouTube steckte: “Google schließt Cross-Site-Scripting-Lücke in YouTube-Kommentaren” (heise.de)


Bevor von anerkannten Stellen Risikoeinschätzungen abgegeben werden, sollten diese genau hinschauen wie weitreichend eine Lücke ist. Eine zu geringe Einstufung wie “mittel” kann dazu führen das eine Sicherheitslücke kaum bis gar keine Beachtung findet.

“Innenministerium kontert Kritik: De-Mail ist sicher” (zeit.de)
Neben dem üblichen Herbeisehnen “Zudem sei das System so sicher…” las ich noch:

Der Bundesverband Digitale Wirtschaft (BVDW) forderte, im Gesetzentwurf eine einheitliche Kennzeichnung der De-Mails zu verankern,…
Die Deutsche Post weicht allerdings davon ab, hier soll die Adresse «vorname.nachname@epost.de» lauten.

«Zusätzliche Domains bergen ein erhebliches Risiko, die Endnutzer zu verwirren und so die Eindeutigkeit und die Glaubwürdigkeit der De- Mail zu gefährden», erklärte der BVDW.

Ich wollte eigentlich nur etwas genauer schauen wer, was, wann gesagt hatte — denn das was die Deutsche Post anbietet gehört nicht zu De-Mail, sondern ist ein Konkurrenzprodukt — aber soweit kam ich gar nicht:

Safe Browsing Diagnostic page for bvdw.org (google.com) (Screenshot)
Da hat Google also Malware gefunden oder zumindest etwas verdächtiges registriert.


Im Quellcode auf bvdw.org fand ich dann einen Hinweis:
<!-- Generated by OpenX 2.8.1 -->

“Schwachstelle in OpenX ermöglicht Kompromittierung von Ad-Serern” (buerger-cert.de)

Empfehlung
Das Bürger-CERT empfiehlt Adminstratoren von OpenX Ad-Servern [1] ihre Systeme auf Kompromitterung zu überprüfen. Desweitern empfiehlt das Bürger-CERT eine Aktualisierung auf Version 2.8.5,…

“OpenX Ad Server – SQL Injection on 2.8.4” (developer.openx.org)
Allerdings ist diese Meldung schon ein paar Monate (!) alt:

Created: 03/Mar/10 03:48 PM     Updated: 03/Mar/10 03:48 PM

Mit veralteten Software-Versionen und den anderen Lücken (Cross-Site Scripting, Session Fixation, Information Disclosure, etc.) macht bvdw.org keine gute Figur. Aber ihr Slogan “Wir sind das Netz” passt zu dem was ich so üblicherweise im Netz finde — ich habe also nichts herausragend schlechtes gefunden. ;O)