Sicherheitshinweis: Drei Funde bei prescreen.io und jobbase.io

Am 02.11. dieses Jahres stellten Sicherheitsforscher von aramido folgende Lücken in der Umsetzung der Bewerbermanagement-Anwendungen prescreen.io und jobbase.io von Preescreen International GmbH fest:

  • CWE-601 ‒ URL Redirection to Untrusted Site ('Open Redirect'):
    Die Anwendungsmanagement-Werkzeuge von prescreen.io erlaubten offene Redirects auf fremde Websites. Böswillige Nutzer konnten diese Redirect-Funktion für einen offenen Redirect an eine Website verwenden, die sich nicht unter Prescreens Kontrolle befindet. Beispielsweise hätte eine Phishingseite aufgesetzt werden können, an die Nutzer dann durch den offenen Redirect hätten weitergeleitet werden können.
  • CWE-204 ‒ Response Discrepancy Information Exposure:
    Die Anwendungsmanagement-Werkzeuge von prescreen.io enthüllten die E-Mail-Adressen, mit denen Nutzer sich registriert haben, indem sie beim Passwort-Reset unterschiedliche Informationen für registrierte und nicht registrierte E-Mail-Adressen ausgaben. Angreifer, die beispielsweise einen Phishing-Angriff gegen Prescreen fahren wollten, konnten die Informationsoffenbarung an dieser Stelle nutzen, um die Gültigkeit von E-Mail-Adressen zu testen. Darüber hinaus schien die Anzahl der Mails, die zur Passwortrücksetzung an Nutzer verschickt werden konnten, nicht begrenzt zu sein. Angreifer hätten diese Funktionalität nutzen können, um die Mailkonten von Nutzern mit Passwortrücksetzungs-Mails zu überfluten. Sowohl das Frontend für Bewerber jobbase.io als auch das Unternehmens-Frontend prescreenapp.io waren von dieser Schwachstelle betroffen.
  • CWE-523 ‒ Unprotected Transport of Credentials:
    Das Anwendungsmanagement-Werkzeug von jobbase.io verlangte von Nutzern nicht, ihr Anfangspasswort zu ändern, das darüber hinaus auch noch in einer unverschlüsselten E-Mail verschickt wird. Wenn Nutzer der Prescreen Webanwendung für Bewerber (jobbase.io) sich erstmalig anmelden, erhalten sie ein Anfangspasswort in einer unverschlüsselten E-Mail. Befindet sich ein Angreifer im selben Netzwerk wie ein Bewerber oder hat er Zugriff auf den Mailserver, so kann er das Passwort abfangen. Weil nun jobbase.io von Nutzern nicht sofort ein neues Passwort forderte, hätten Angreifer mit dem abgefangenen Anfangspasswort so lange auf das Nutzerkonto und die darin befindlichen persönlichen Unterlagen des Bewerbers zugreifen können, bis dieser das Passwort aus eigenem Antrieb geändert hätte.

Wie sollten Nachbesserungen in solchen Fällen aussehen?

Zur Vermeidung von Open Redirects sollte der Wert des Parameters ref vor Ausführung des Redirect validiert werden. Generell sollten offene Redirects an Websites außerhalb der eigenen Kontrolle verworfen werden. Um Angreifern keine Informationen über Nutzeradressen zur Verfügung zu stellen, sollte die Fehlermeldung für die Passwortzurücksetzung so formuliert werden, dass sie keine Rückschlüsse auf die Existenz eines Benutzerkontos zulässt. Zur Absicherung der Zugangsdaten sollten Nutzer bei der Registrierung ihr Passwort selbst setzen können, statt ein maschinell erstelltes Anfangspasswort zugesandt zu bekommen. Alternativ sollte die Laufzeit des Tokens, das zum ersten Login eingesetzt wird, beschränkt werden.

Gemäß aramidos Vorgehen zum verantwortlichen Offenlegen von Sicherheitslücken auf diese Mängel aufmerksam gemacht, folgte die Prescreen International GmbH im Dezember unserer Aufforderung zu ihrer Behebung und setzte diese zufriedenstellend um. Der zeitliche Verlauf kann als Teil der von aramido formulierten Sicherheitshinweise ( aramido-2018-002, aramido-2018-003, aramido-2018-004) eingesehen werden.

Die cloud-basierte Bewerbermanagement-Software der Prescreen International GmbH ist für Nutzer über eine Webanwendung bedienbar. Für Nutzer auf der Recruiting-Seite ist dies prescreen.io, für Nutzer auf der Bewerberseite jobbase.io. Prescreen verspricht Kunden durch die Software die Möglichkeit zur Zentralisierung der Bewerbungen, zur Analyse der Daten und zur Erleichterung der Auswertung.

Elisabeth Apicella

Am 20.12.2018 in der Kategorie Sicherheitshinweise veröffentlicht.