rotes Megafon f├╝r Ank├╝ndigungen

Reflektierte HTML-Injection bei CRM-Software

Wie Sicherheitsforscher von aramido feststellten, wies die Login-Seite des webbasierten CRM-Systems CRM+ der Brainformatik GmbH eine Schwachstelle f├╝r reflektierte HTML Injections auf. Dabei handelt es sich um eine Sicherheitsl├╝cke, die bei Websiten mit Eingabefeldern immer wieder auftaucht, obwohl sie seit Langem als eine der h├Ąufigsten Sicherheitsrisiken f├╝r Webanwendungen gilt. Im Rahmen unseres Vorgehens zum verantwortlichen Offenlegen von Sicherheitsl├╝cken meldete aramido die L├╝cke an den Hersteller zur Behebung, die laut der Brainformatik GmbH inzwischen erfolgt ist. Der von aramido formulierte Sicherheitshinweis kann zudem ├Âffentlich eingesehen werden.

Auf der Login-Webseite der CRM+-Version 4.1 befand sich ein Formular, das mehrere versteckte Input-Felder enthielt. Eines dieser versteckten Felder trug die Bezeichnung forward_action; seine Werte konnten durch den Parameter action kontrolliert werden, was eine HTML-Injection erm├Âglichte. Obwohl die Applikation den action-Parameter filterte, war es m├Âglich, die HTML-Tags a, div oder img einzuimpfen. Die URL zur manipulierten Website h├Ątte anschlie├čend an Personen mit einem CRM+-Konto verschickt werden k├Ânnen. Angreifer h├Ątten auf diese Weise versuchen k├Ânnen, deren Nutzernamen oder Passwort zu erhalten, oder Nutzer auf andere Websites als die CRM+-Website umzuleiten.

Zur Behebung einer Schwachstelle dieses Typs ist es n├Âtig, auf folgenden Ebenen nachzubessern:

  1. Validierung aller Benutzereingaben mit einer entspechenden Fehlerbehandlung.
  2. Escaping aller Variableninhalte gem├Ą├č des Zielsystems, beispielsweise HTML- oder JavaScript-Output.
  3. Formulierung einer Content Security Policy (CSP).

CRM+ ist ein webbasiertes System zum Management von Kundenbeziehungen, das nach Angaben des Herstellers die gew├╝nschten Informationen zeit- und ortsunabh├Ąngig strukturiert und prozessorientiert bereitstellt. Die dokumentierte Schwachstelle wurde bei der Versin 4.1 von CRM+ festgestellt. Kunden der Brainformatik GmbH werden aufgefordert, ihre Instanz von CRM+ auf die aktuelle Version upzugraden. Dar├╝ber hinaus empfiehlt aramido, H├Ąrtungsma├čnahmen durchzuf├╝hren, also das eigene IT-System gegen den hier beschriebenen Angriff weiter abzusichern und beispielsweise die Login-Seite von CRM+ nur aus dem internen Netzwerk heraus erreichbar zu machen.

Wir begleiten Sie gerne auf dem Weg der sicheren IT. Bitte senden Sie uns eine Anfrage per E-Mail. Wir rufen Sie zeitnah zur├╝ck und kl├Ąren mit Ihnen die Details f├╝r ein verbindliches Angebot ab.