Beiträge vom 13. Juni 2011

meineschufa.de: Server-Kopierarbeiten

Montag, 13. Juni 2011, 12:58 Uhr | Autor:

SCHUFA Webseite – gravierende Sicherheitslücke bietet beliebige Dateien zum Download an” (secalert.net)

Bei der Suche nach einem Antragsformular auf der Webseite der SCHUFA unter meineschufa.de fiel mir ein Link ins Auge, der das klassische Muster einer local file inclusion Schwachstelle aufweist.



Üblicherweise soll z.B. eine PDF-Datei zum Download angeboten werden:
http://domain.tld/download.php?file=datei.pdf

Wird nun in dem Download-Script versäumt den Parameter file korrekt zu filtern, so kann unter Umständen auch die download.php selber runtergeladen werden:
http://domain.tld/download.php?file=download.php

Abhängig davon wie der Server konfiguriert ist, kann jede Datei des Servers runtergeladen werden und dazu gehören auch Dateien in denen zum Beispiel die Zugangsdaten von Datenbanken gespeichert werden.


Sicherheitslücke auf dem Webserver der Schufa” (golem.de)

“Zu keinem Zeitpunkt war es möglich, Zugang auf personenbezogene Daten zu bekommen”, sagte ein Sprecher Golem.de auf Anfrage. (…) Zugriff sei aber nur auf den Downloadbereich möglich, wo beispielsweise Formulare bereitgestellt würden.

Das was der Schufa-Sprecher da behauptet ist nicht korrekt.

  • Es ist nicht auszuschließen, dass sich ein Angreifer auch den Zugriff auf verschiedene Datenbanken verschafft hat, da die Zugangsdaten üblicherweise in Konfigurationsdateien gespeichert sind.
  • Die Behauptung, nur Formulare hätten heruntergeladen werden können, ist falsch. Der Download von beliebigen Dateien in beliebigen Verzeichnissen war möglich, dazu musste nur /pfad/dateiname bekannt sein.

Dieses PR-Sprech gehört zum Job einer Presseabteilung: Nur das zugeben, was nicht mehr länger geleugnet werden kann. “Zu keinem Zeitpunkt…” könnte auch aus einer Atomlobby-PR-Schmiede stammen. ;O)


Das vor drei Tagen jemand auf diese Sicherheitslücke gestoßen ist, bedeutet natürlich nicht, dass nicht schon jemand anderer, vor Wochen oder Monaten bereits, alle Dateien vom Server runtergeladen hat.

Nachdem auf die Schnelle (immerhin an einem Sonntag) das fehlerhafte Download-Script gefixt wurde, sollte man sich nun die Zeit nehmen, um das ganze System einer gründlichen Prüfung zu unterziehen. Abseits der Nebelkerzen für die Öffentlichkeit, muss nun jede Möglichkeit abgeklopft werden, wo jemand unberechtigt an Quellcodes, Konfigurationsdateien oder auch an Zugangsdaten, die hardcoded in Dateien enthalten sind, gelangt ist.

Am Sichersten wäre es die Seite komplett vom Netz zu trennen und umfangreiche Tests folgen zu lassen. Die Schwere des Einbruchs, schon alleine der Verdacht, das Daten in falsche Hände geraten sind, sollte Rechnung getragen werden.

Ich gehe allerdings davon aus, dass man bei der Schufa wenig Einsichtig sein wird, die Schwachstelle weiterhin kleinredet und hofft, noch einmal mit dem blauen Auge davon gekommen zu sein. Sollte allerdings wirklich jemand schon vor längerer Zeit Zugriff auf den Server und alle Dateien gehabt haben, so gehe ich davon aus, dass der Schufa dieses Problem noch auf die Füße fallen wird.

Thema: Sicherheit | 2 Kommentare