Mehrere Schwachstellen im neuen Portal des CyberForums

Sicherheitsforscher von aramido haben auf der Seite des CyberForums mehrere Sicherheitsl√ľcken gefunden. Diese L√ľcken wurden im Rahmen des Vorgehens zum verantwortlichen Offenlegen von Sicherheitsl√ľcken dem Betreiber der Seite gemeldet. Nach Aussagen des CyberForums wurde die Seite inzwischen mit Updates zu den L√ľcken aktualisiert. Dieser Artikel beschreibt die vorgefundenen L√ľcken, da sie so oder so √§hnlich bei vielen anderen Webseiten mit von Nutzern erstellten Inhalten vorkommen k√∂nnen.

Die CyberForum-Webseite als Prototyp einer Community-Webseite

Das CyberForum ist mit √ľber 1.000 Mitgliedern eines der gr√∂√üten Netzwerke f√ľr Hightech- und IT-Unternehmen in Europa. Mitglieder sind Unternehmen aus dem gesamten s√ľdwestdeutschen Raum. Mit seinen verschiedenen Angeboten f√ľr Unternehmen, Startups, Investoren, Auszubildenden und Studenten ist das CyberForum ein starker Standortfaktor insbesondere f√ľr die TechnologieRegion Karlsruhe. Als IT-Unternehmen ist die aramido GmbH selbstverst√§ndlich auch Mitglied im CyberForum und wei√ü das vielseitige Angebot sehr zu sch√§tzen. Mit dem Launch der neuen Webseite auf Basis von Typo3 am 20.07.2016 hat das CyberForum verschiedene Angebote f√ľr die Mitglieder eingef√ľhrt. Diese k√∂nnen neben der Pflege eines eigenen Profils auf der Seite Nachrichten einstellen, Termine ank√ľndigen und Stellenanzeigen schalten. Zum Erstellen dieser Inhalte wurde auf den Open Source Medium Editor als Rich Text Editor zur√ľckgegriffen.

Persistentes Cross Site Scripting (XSS) auf der CyberForum-Webseite

Die erste von aramido gefundene Sicherheitsl√ľcke betrifft das Erstellen von neuen Inhalten. Eine der Grundregeln sicherer Softwareentwicklung und damit auch Schwerpunkte der Secure Coding Schulung von aramido ist es s√§mtliche Nutzereingaben serverseitig zu validieren und s√§mtliche Ausgaben zu maskieren. Diese Regeln wurden offensichtlich nicht eingehalten. Stattdessen wurde eine clientseitige Validierung des JavaScript Rich Text Editors verwendet. Grunds√§tzlich ist eine √úberpr√ľfung auf der Client-Seite nur ein Feature zur Verbesserung der Benutzbarkeit einer Seite, aber keine Sicherheitspr√ľfung, da Eingaben vor dem Absenden zum Server von Angreifern trotzdem beliebig manipuliert werden k√∂nnen. Durch die unzureichende Validierung und Maskierung von Nutzerinhalten war es jedem mit Zugang zu einem Mitgliedskonto m√∂glich JavaScript-Code dauerhaft auf der Webseite des CyberForums zu speichern. Im aramido Sicherheitshinweis ARAMIDO-2017-001 finden Sie weitere Informationen zu dieser persistenten XSS-Sicherheitsl√ľcke.

Fehlender Autorisierung beim Bearbeiten und Löschen von Artikeln

Bei der √úberpr√ľfung des Behebungsstands der XSS-Sicherheitsl√ľcke sind den aramido Sicherheitsforschern weitere Sicherheitsl√ľcken aufgefallen, die in Kombination sogar noch schwerwiegender gewesen w√§ren, als die zuerst entdeckte XSS-L√ľcke. Durch eine fehlende √úberpr√ľfung der Zugangsberechtigungen von angemeldeten Nutzern gepaart mit einer Cross Site Request Forgery (CSRF) Sicherheitsl√ľcke w√§re es einem Angreifer m√∂glich gewesen eine manipulierte Webseite zu bauen, die beim Besuch durch ein eingeloggtes CyberForum-Mitglied s√§mtliche nutzergenerierten Inhalte aller CyberForum-Mitglieder gel√∂scht h√§tte. Diese Sicherheitsl√ľcken wurden im Sicherheitshinweis ARAMIDO-2017-002 Unautorisiertes Bearbeiten und L√∂schen von Inhalten der CyberForum Webseite zusammengefasst und dem Betreiber gemeldet.

Fazit

Die gefundenen Sicherheitsl√ľcken sind typische Schwachstellen von Webanwendungen, die die Pentester von aramido regelm√§√üig auch in Penetrationstests von Webanwendungen entdecken. Deshalb lautet die Empfehlung: Neue Webseiten und andere Anwendungen sollten vor einer Ver√∂ffentlichung und nach ma√ügeblichen √Ąnderungen durch einen Penetrationstest von unabh√§ngigen Dritten √ľberpr√ľft werden.

Die aramido GmbH bedankt sich f√ľr die gute Zusammenarbeit mit dem CyberForum w√§hrend der Schwachstellenbehebung. Nach Aussage des CyberForums wurde den Schwachstellen inzwischen durch Updates der Webseite begegnet.