“vBulletin verrät MySQL-Login” (heise.de)

Eine kritische Sicherheitslücke in der weit verbreiteten Forensoftware vBulletin führt dazu, dass Angreifer mit minimalem Aufwand an die Zugangsdaten des MySQL-Servers gelangen.

Dieser minimale Aufwand besteht lediglich in einer Suchanfrage nach “Datenbank” oder “Database”.

Das BSI meinte dazu in “Kurzinfo CB-K10/0285” (cert-bund.de):

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 23.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel

So bisschen “Ausspähen von Informationen” kann ja nicht so schlimm sein, also nur “mittel”.

Natürlich bin ich da wieder anderer Meinung — wie sollte es auch anders sein. :O)


Da vBulletin auch die verwendete Version im Footer mit ausgibt, ist es per Suchmaschine sehr einfach potentielle Opfer zu finden. Nach nur wenigen Minuten fand ich mehr als zwei dutzend Foren die die MySQL-Zugangsdaten ausplauderten.

Da es weit verbreitet ist phpMyAdmin direkt mit der Domain zu verbandeln, um schneller darauf zuzugreifen,

• http://phpmyadmin.domain.tld/
  oder
• http://domain.tld/phpmyadmin/

bekommt ein Angreifer u.U. leichten Zugang zur Foren-Datenbank und damit evtl. auch zu weiteren Datenbanken, die auf dem gleichen Server laufen.

Bei solch einer Sicherheitslücke von “mittel” zu sprechen halte ich für fahrlässig.

---

Gerade sehe ich dass das BSI ein Update der Meldung veröffentlicht hat:

“Kurzinfo CB-K10/0285 Update 1” (cert-bund.de)

Information zu Schwachstellen und Sicherheitslücken
Titel: vBulletin: Schwachstelle ermöglicht Informationsgewinnung
Datum: 26.07.2010
Software: Internet Brands vBulletin 3.8.6
Plattform: UNIX, Linux, Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch

Der Bug ist immer noch der gleiche nur die Einstufung und das Datum wurden geändert, und dies noch bevor ich meine (unerhebliche) Meinung zum Besten gegeben habe. ;O)

---

Ich gebe es zu, manchmal fällt es auch mir nicht so leicht eine Sicherheitslücke richtig einzuschätzen. Gibt es einen Bug z.B. in Windows, so könnte fast immer die Risikostufe auf “sehr hoch” stehen, da meist mehrere Millionen von Benutzern betroffen sind. Aber nur von der schieren Menge an Betroffenen sollte man sich bei der Einstufung nicht leiten lassen.

Auch wenn vBulletin weit verbreitet ist ist der eigentliche Knackpunkt hier nicht die Menge der möglichen Opfer, sondern eher das was mit der Lücke für Schaden angerichtet werden kann. Findet ein Angreifer einen Weg in die Administration der Datenbank, so kann er nicht nur Daten auslesen, sondern auch eigene Daten einspeisen. Wie schon erwähnt, liegen meist mehrere verschiedene Datenbanken in einem Account. Da findet sich z.B. jeweils eine Datenbank für die Website, für den Shop, für das Blog und schließlich für das Forum, und auf alles hat der Angreifer Zugriff.

Ein echter Angreifer, also kein Scriptkiddie welches einfach alle erreichbaren Datenbanken löscht, würde wohl damit anfangen Dumps der Datenbanken runterzuladen. Speist der Angreifer anschließend Daten in den Shop ein, so wird das Opfer kaum auf die Idee kommen dass das Einfallstor für den Angreifer das Forum war.

Aus einem einfachen “Ausspähen von Informationen” kann somit sehr schnell eine schwerwiegende Sicherheitslücke werden, die vollkommen andere Systeme betrifft, als das ursprünglich angegriffene.


Es gibt aber auch Sicherheitslücken die einfach nur durch die Anzahl der möglichen Opfer hochgradig gefährlich werden. Wenn zum Beispiel in einer Website die nur wenige Besucher zählt eine XSS-Lücke stecken würde, so wäre diese nicht annähernd so kritisch wie die die vor ein paar Wochen in den Kommentaren von YouTube steckte: “Google schließt Cross-Site-Scripting-Lücke in YouTube-Kommentaren” (heise.de)


Bevor von anerkannten Stellen Risikoeinschätzungen abgegeben werden, sollten diese genau hinschauen wie weitreichend eine Lücke ist. Eine zu geringe Einstufung wie “mittel” kann dazu führen das eine Sicherheitslücke kaum bis gar keine Beachtung findet.


Update: 20.11.2011 – 13:10 Uhr

Nach mehr als einem Jahr findet man noch immer Foren mit dem Bug: