Reflektierte HTML-Injection bei CRM-Software

Wie Sicherheitsforscher von aramido feststellten, wies die Login-Seite des webbasierten CRM-Systems CRM+ der Brainformatik GmbH eine Schwachstelle für reflektierte HTML Injections auf. Dabei handelt es sich um eine Sicherheitslücke, die bei Websites mit Eingabefeldern immer wieder auftaucht, obwohl sie seit Langem als eine der häufigsten Sicherheitsrisiken für Webanwendungen gilt. Im Rahmen unseres Vorgehens zum verantwortlichen Offenlegen von Sicherheitslücken meldete aramido die Lücke an den Hersteller zur Behebung, die laut der Brainformatik GmbH inzwischen erfolgt ist. Der von aramido formulierte Sicherheitshinweis kann zudem öffentlich eingesehen werden.

Auf der Login-Webseite der CRM+-Version 4.1 befand sich ein Formular, das mehrere versteckte Input-Felder enthielt. Eines dieser versteckten Felder trug die Bezeichnung forward_action; seine Werte konnten durch den Parameter action kontrolliert werden, was eine HTML-Injection ermöglichte. Obwohl die Applikation den action-Parameter filterte, war es möglich, die HTML-Tags a, div oder img einzuimpfen. Die URL zur manipulierten Website hätte anschließend an Personen mit einem CRM+-Konto verschickt werden können. Angreifer hätten auf diese Weise versuchen können, deren Nutzernamen oder Passwort zu erhalten, oder Nutzer auf andere Websites als die CRM+-Website umzuleiten.

Zur Behebung einer Schwachstelle dieses Typs ist es nötig, auf folgenden Ebenen nachzubessern:

  1. Validierung aller Benutzereingaben mit einer entsprechenden Fehlerbehandlung.
  2. Escaping aller Variableninhalte gemäß des Zielsystems, beispielsweise HTML- oder JavaScript-Output.
  3. Formulierung einer Content Security Policy (CSP).

CRM+ ist ein webbasiertes System zum Management von Kundenbeziehungen, das nach Angaben des Herstellers die gewünschten Informationen zeit- und ortsunabhängig strukturiert und prozessorientiert bereitstellt. Die dokumentierte Schwachstelle wurde bei der Version 4.1 von CRM+ festgestellt. Kunden der Brainformatik GmbH werden aufgefordert, ihre Instanz von CRM+ auf die aktuelle Version upzugraden. Darüber hinaus empfiehlt aramido, Härtungsmaßnahmen durchzuführen, also das eigene IT-System gegen den hier beschriebenen Angriff weiter abzusichern und beispielsweise die Login-Seite von CRM+ nur aus dem internen Netzwerk heraus erreichbar zu machen.

Elisabeth Apicella

Am 07.11.2018 in der Kategorie Sicherheitshinweise veröffentlicht.