Sicherheitshinweis: Drei Funde bei prescreen.io und jobbase.io

Am 02.11. dieses Jahres stellten Sicherheitsforscher von aramido folgende L√ľcken in der Umsetzung der Bewerbermanagement-Anwendungen prescreen.io und jobbase.io von Preescreen International GmbH fest:

  • CWE-601 ‚Äí URL Redirection to Untrusted Site ('Open Redirect'):
    Die Anwendungsmanagement-Werkzeuge von prescreen.io erlaubten offene Redirects auf fremde Websites. B√∂swillige Nutzer konnten diese Redirect-Funktion f√ľr einen offenen Redirect an eine Website verwenden, die sich nicht unter Prescreens Kontrolle befindet. Beispielsweise h√§tte eine Phishingseite aufgesetzt werden k√∂nnen, an die Nutzer dann durch den offenen Redirect h√§tten weitergeleitet werden k√∂nnen.
  • CWE-204 ‚Äí Response Discrepancy Information Exposure:
    Die Anwendungsmanagement-Werkzeuge von prescreen.io enth√ľllten die E-Mail-Adressen, mit denen Nutzer sich registriert haben, indem sie beim Passwort-Reset unterschiedliche Informationen f√ľr registrierte und nicht registrierte E-Mail-Adressen ausgaben. Angreifer, die beispielsweise einen Phishing-Angriff gegen Prescreen fahren wollten, konnten die Informationsoffenbarung an dieser Stelle nutzen, um die G√ľltigkeit von E-Mail-Adressen zu testen. Dar√ľber hinaus schien die Anzahl der Mails, die zur Passwortr√ľcksetzung an Nutzer verschickt werden konnten, nicht begrenzt zu sein. Angreifer h√§tten diese Funktionalit√§t nutzen k√∂nnen, um die Mailkonten von Nutzern mit Passwortr√ľcksetzungs-Mails zu √ľberfluten. Sowohl das Frontend f√ľr Bewerber jobbase.io als auch das Unternehmens-Frontend prescreenapp.io waren von dieser Schwachstelle betroffen.
  • CWE-523 ‚Äí Unprotected Transport of Credentials:
    Das Anwendungsmanagement-Werkzeug von jobbase.io verlangte von Nutzern nicht, ihr Anfangspasswort zu √§ndern, das dar√ľber hinaus auch noch in einer unverschl√ľsselten E-Mail verschickt wird. Wenn Nutzer der Prescreen Webanwendung f√ľr Bewerber (jobbase.io) sich erstmalig anmelden, erhalten sie ein Anfangspasswort in einer unverschl√ľsselten E-Mail. Befindet sich ein Angreifer im selben Netzwerk wie ein Bewerber oder hat er Zugriff auf den Mailserver, so kann er das Passwort abfangen. Weil nun jobbase.io von Nutzern nicht sofort ein neues Passwort forderte, h√§tten Angreifer mit dem abgefangenen Anfangspasswort so lange auf das Nutzerkonto und die darin befindlichen pers√∂nlichen Unterlagen des Bewerbers zugreifen k√∂nnen, bis dieser das Passwort aus eigenem Antrieb ge√§ndert h√§tte.

Wie sollten Nachbesserungen in solchen Fällen aussehen?

Zur Vermeidung von Open Redirects sollte der Wert des Parameters ref vor Ausf√ľhrung des Redirect validiert werden. Generell sollten offene Redirects an Websites au√üerhalb der eigenen Kontrolle verworfen werden. Um Angreifern keine Informationen √ľber Nutzeradressen zur Verf√ľgung zu stellen, sollte die Fehlermeldung f√ľr die Passwortzur√ľcksetzung so formuliert werden, dass sie keine R√ľckschl√ľsse auf die Existenz eines Benutzerkontos zul√§sst. Zur Absicherung der Zugangsdaten sollten Nutzer bei der Registrierung ihr Passwort selbst setzen k√∂nnen, statt ein maschinell erstelltes Anfangspasswort zugesandt zu bekommen. Alternativ sollte die Laufzeit des Tokens, das zum ersten Login eingesetzt wird, beschr√§nkt werden.

Gem√§√ü aramidos Vorgehen zum verantwortlichen Offenlegen von Sicherheitsl√ľcken auf diese M√§ngel aufmerksam gemacht, folgte die Prescreen International GmbH im Dezember unserer Aufforderung zu ihrer Behebung und setzte diese zufriedenstellend um. Der zeitliche Verlauf kann als Teil der von aramido formulierten Sicherheitshinweise ( aramido-2018-002, aramido-2018-003, aramido-2018-004) eingesehen werden.

Die cloud-basierte Bewerbermanagement-Software der Prescreen International GmbH ist f√ľr Nutzer √ľber eine Webanwendung bedienbar. F√ľr Nutzer auf der Recruiting-Seite ist dies prescreen.io, f√ľr Nutzer auf der Bewerberseite jobbase.io. Prescreen verspricht Kunden durch die Software die M√∂glichkeit zur Zentralisierung der Bewerbungen, zur Analyse der Daten und zur Erleichterung der Auswertung.

Elisabeth Apicella

Am 20.12.2018 in der Kategorie Sicherheitshinweise veröffentlicht.