Reflektierte HTML-Injection bei CRM-Software

Wie Sicherheitsforscher von aramido feststellten, wies die Login-Seite des webbasierten CRM-Systems CRM+ der Brainformatik GmbH eine Schwachstelle fĂŒr reflektierte HTML Injections auf. Dabei handelt es sich um eine SicherheitslĂŒcke, die bei Websites mit Eingabefeldern immer wieder auftaucht, obwohl sie seit Langem als eine der hĂ€ufigsten Sicherheitsrisiken fĂŒr Webanwendungen gilt. Im Rahmen unseres Vorgehens zum verantwortlichen Offenlegen von SicherheitslĂŒcken meldete aramido die LĂŒcke an den Hersteller zur Behebung, die laut der Brainformatik GmbH inzwischen erfolgt ist. Der von aramido formulierte Sicherheitshinweis kann zudem öffentlich eingesehen werden.

Auf der Login-Webseite der CRM+-Version 4.1 befand sich ein Formular, das mehrere versteckte Input-Felder enthielt. Eines dieser versteckten Felder trug die Bezeichnung forward_action; seine Werte konnten durch den Parameter action kontrolliert werden, was eine HTML-Injection ermöglichte. Obwohl die Applikation den action-Parameter filterte, war es möglich, die HTML-Tags a, div oder img einzuimpfen. Die URL zur manipulierten Website hĂ€tte anschließend an Personen mit einem CRM+-Konto verschickt werden können. Angreifer hĂ€tten auf diese Weise versuchen können, deren Nutzernamen oder Passwort zu erhalten, oder Nutzer auf andere Websites als die CRM+-Website umzuleiten.

Zur Behebung einer Schwachstelle dieses Typs ist es nötig, auf folgenden Ebenen nachzubessern:

  1. Validierung aller Benutzereingaben mit einer entsprechenden Fehlerbehandlung.
  2. Escaping aller Variableninhalte gemĂ€ĂŸ des Zielsystems, beispielsweise HTML- oder JavaScript-Output.
  3. Formulierung einer Content Security Policy (CSP).

CRM+ ist ein webbasiertes System zum Management von Kundenbeziehungen, das nach Angaben des Herstellers die gewĂŒnschten Informationen zeit- und ortsunabhĂ€ngig strukturiert und prozessorientiert bereitstellt. Die dokumentierte Schwachstelle wurde bei der Version 4.1 von CRM+ festgestellt. Kunden der Brainformatik GmbH werden aufgefordert, ihre Instanz von CRM+ auf die aktuelle Version upzugraden. DarĂŒber hinaus empfiehlt aramido, HĂ€rtungsmaßnahmen durchzufĂŒhren, also das eigene IT-System gegen den hier beschriebenen Angriff weiter abzusichern und beispielsweise die Login-Seite von CRM+ nur aus dem internen Netzwerk heraus erreichbar zu machen.

Elisabeth Apicella

Am 07.11.2018 in der Kategorie Sicherheitshinweise veröffentlicht.