Mehrere Schwachstellen im neuen Portal des CyberForums

Sicherheitsforscher von aramido haben auf der Seite des CyberForums mehrere Sicherheitslücken gefunden. Diese Lücken wurden im Rahmen des Vorgehens zum verantwortlichen Offenlegen von Sicherheitslücken dem Betreiber der Seite gemeldet. Nach Aussagen des CyberForums wurde die Seite inzwischen mit Updates zu den Lücken aktualisiert. Dieser Artikel beschreibt die vorgefundenen Lücken, da sie so oder so ähnlich bei vielen anderen Webseiten mit von Nutzern erstellten Inhalten vorkommen können.

Die CyberForum-Webseite als Prototyp einer Community-Webseite

Das CyberForum ist mit über 1.000 Mitgliedern eines der größten Netzwerke für Hightech- und IT-Unternehmen in Europa. Mitglieder sind Unternehmen aus dem gesamten südwestdeutschen Raum. Mit seinen verschiedenen Angeboten für Unternehmen, Startups, Investoren, Auszubildenden und Studenten ist das CyberForum ein starker Standortfaktor insbesondere für die TechnologieRegion Karlsruhe. Als IT-Unternehmen ist die aramido GmbH selbstverständlich auch Mitglied im CyberForum und weiß das vielseitige Angebot sehr zu schätzen. Mit dem Launch der neuen Webseite auf Basis von Typo3 am 20.07.2016 hat das CyberForum verschiedene Angebote für die Mitglieder eingeführt. Diese können neben der Pflege eines eigenen Profils auf der Seite Nachrichten einstellen, Termine ankündigen und Stellenanzeigen schalten. Zum Erstellen dieser Inhalte wurde auf den Open Source Medium Editor als Rich Text Editor zurückgegriffen.

Persistentes Cross Site Scripting (XSS) auf der CyberForum-Webseite

Die erste von aramido gefundene Sicherheitslücke betrifft das Erstellen von neuen Inhalten. Eine der Grundregeln sicherer Softwareentwicklung und damit auch Schwerpunkte der Secure Coding Schulung von aramido ist es sämtliche Nutzereingaben serverseitig zu validieren und sämtliche Ausgaben zu maskieren. Diese Regeln wurden offensichtlich nicht eingehalten. Stattdessen wurde eine clientseitige Validierung des JavaScript Rich Text Editors verwendet. Grundsätzlich ist eine Überprüfung auf der Client-Seite nur ein Feature zur Verbesserung der Benutzbarkeit einer Seite, aber keine Sicherheitsprüfung, da Eingaben vor dem Absenden zum Server von Angreifern trotzdem beliebig manipuliert werden können. Durch die unzureichende Validierung und Maskierung von Nutzerinhalten war es jedem mit Zugang zu einem Mitgliedskonto möglich JavaScript-Code dauerhaft auf der Webseite des CyberForums zu speichern. Im aramido Sicherheitshinweis ARAMIDO-2017-001 finden Sie weitere Informationen zu dieser persistenten XSS-Sicherheitslücke.

Fehlender Autorisierung beim Bearbeiten und Löschen von Artikeln

Bei der Überprüfung des Behebungsstands der XSS-Sicherheitslücke sind den aramido Sicherheitsforschern weitere Sicherheitslücken aufgefallen, die in Kombination sogar noch schwerwiegender gewesen wären, als die zuerst entdeckte XSS-Lücke. Durch eine fehlende Überprüfung der Zugangsberechtigungen von angemeldeten Nutzern gepaart mit einer Cross Site Request Forgery (CSRF) Sicherheitslücke wäre es einem Angreifer möglich gewesen eine manipulierte Webseite zu bauen, die beim Besuch durch ein eingeloggtes CyberForum-Mitglied sämtliche nutzergenerierten Inhalte aller CyberForum-Mitglieder gelöscht hätte. Diese Sicherheitslücken wurden im Sicherheitshinweis ARAMIDO-2017-002 Unautorisiertes Bearbeiten und Löschen von Inhalten der CyberForum Webseite zusammengefasst und dem Betreiber gemeldet.

Fazit

Die gefundenen Sicherheitslücken sind typische Schwachstellen von Webanwendungen, die die Pentester von aramido regelmäßig auch in Penetrationstests von Webanwendungen entdecken. Deshalb lautet die Empfehlung: Neue Webseiten und andere Anwendungen sollten vor einer Veröffentlichung und nach maßgeblichen Änderungen durch einen Penetrationstest von unabhängigen Dritten überprüft werden.

Die aramido GmbH bedankt sich für die gute Zusammenarbeit mit dem CyberForum während der Schwachstellenbehebung. Nach Aussage des CyberForums wurde den Schwachstellen inzwischen durch Updates der Webseite begegnet.