rotes Megafon f├╝r Ank├╝ndigungen

Sicherheitshinweis: Drei Funde bei prescreen.io und jobbase.io

Am 02.11. dieses Jahres stellten Sicherheitsforscher von aramido folgende L├╝cken in der Umsetzung der Bewerbermanagement-Anwendungen prescreen.io und jobbase.io von Preescreen International GmbH fest:

  • CWE-601 ÔÇĺ URL Redirection to Untrusted Site ('Open Redirect'):
    Die Anwendungsmanagement-Werkzeuge von prescreen.io erlaubten offene Redirects auf fremde Websites. B├Âswillige Nutzer konnten diese Redirect-Funktion f├╝r einen offenen Redirect an eine Website verwenden, die sich nicht unter Prescreens Kontrolle befindet. Beispielsweise h├Ątte eine Phishingseite aufgesetzt werden k├Ânnen, an die Nutzer dann durch den offenen Redirect h├Ątten weitergeleitet werden k├Ânnen.
  • CWE-204 ÔÇĺ Response Discrepancy Information Exposure:
    Die Anwendungsmanagement-Werkzeuge von prescreen.io enth├╝llten die E-Mail-Adressen, mit denen Nutzer sich registriert haben, indem sie beim Passwort-Reset unterschiedliche Informationen f├╝r registrierte und nicht registrierte E-Mail-Adressen ausgaben. Angreifer, die beispielsweise einen Phishing-Angriff gegen Prescreen fahren wollten, konnten die Informationsoffenbarung an dieser Stelle nutzen, um die G├╝ltigkeit von E-Mail-Adressen zu testen. Dar├╝ber hinaus schien die Anzahl der Mails, die zur Passwortr├╝cksetzung an Nutzer verschickt werden konnten, nicht begrenzt zu sein. Angreifer h├Ątten diese Funktionalit├Ąt nutzen k├Ânnen, um die Mailkonten von Nutzern mit Passwortr├╝cksetzungs-Mails zu ├╝berfluten. Sowohl das Frontend f├╝r Bewerber jobbase.io als auch das Unternehmens-Frontend prescreenapp.io waren von dieser Schwachstelle betroffen.
  • CWE-523 ÔÇĺ Unprotected Transport of Credentials:
    Das Anwendungsmanagement-Werkzeug von jobbase.io verlangte von Nutzern nicht, ihr Anfangspasswort zu ├Ąndern, das dar├╝ber hinaus auch noch in einer unverschl├╝sselten E-Mail verschickt wird. Wenn Nutzer der Prescreen Webanwendung f├╝r Bewerber (jobbase.io) sich erstmalig anmelden, erhalten sie ein Anfangspasswort in einer unverschl├╝sselten E-Mail. Befindet sich ein Angreifer im selben Netzwerk wie ein Bewerber oder hat er Zugriff auf den Mailserver, so kann er das Passwort abfangen. Weil nun jobbase.io von Nutzern nicht sofort ein neues Passwort forderte, h├Ątten Angreifer mit dem abgefangenen Anfangspasswort so lange auf das Nutzerkonto und die darin befindlichen pers├Ânlichen Unterlagen des Bewerbers zugreifen k├Ânnen, bis dieser das Passwort aus eigenem Antrieb ge├Ąndert h├Ątte.

Wie sollten Nachbesserungen in solchen F├Ąllen aussehen?

Zur Vermeidung von Open Redirects sollte der Wert des Parameters ref vor Ausf├╝hrung des Redirect validiert werden. Generell sollten offene Redirects an Websites au├čerhalb der eigenen Kontrolle verworfen werden. Um Angreifern keine Informationen ├╝ber Nutzeradressen zur Verf├╝gung zu stellen, sollte die Fehlermeldung f├╝r die Passwortzur├╝cksetzung so formuliert werden, dass sie keine R├╝ckschl├╝sse auf die Existenz eines Benutzerkontos zul├Ąsst. Zur Absicherung der Zugangsdaten sollten Nutzer bei der Registrierung ihr Passwort selbst setzen k├Ânnen, statt ein maschinell erstelltes Anfangspasswort zugesandt zu bekommen. Alternativ sollte die Laufzeit des Tokens, das zum ersten Login eingesetzt wird, beschr├Ąnkt werden.

Gem├Ą├č aramidos Vorgehen zum verantwortlichen Offenlegen von Sicherheitsl├╝cken auf diese M├Ąngel aufmerksam gemacht, folgte die Prescreen International GmbH im Dezember unserer Aufforderung zu ihrer Behebung und setzte diese zufriedenstellend um. Der zeitliche Verlauf kann als Teil der von aramido formulierten Sicherheitshinweise ( aramido-2018-002, aramido-2018-003, aramido-2018-004) eingesehen werden.

Die cloud-basierte Bewerbermanagement-Software der Prescreen International GmbH ist f├╝r Nutzer ├╝ber eine Webanwendung bedienbar. F├╝r Nutzer auf der Recruiting-Seite ist dies prescreen.io, f├╝r Nutzer auf der Bewerberseite jobbase.io. Prescreen verspricht Kunden durch die Software die M├Âglichkeit zur Zentralisierung der Bewerbungen, zur Analyse der Daten und zur Erleichterung der Auswertung.

Wir begleiten Sie gerne auf dem Weg der sicheren IT. Bitte senden Sie uns eine Anfrage per E-Mail. Wir rufen Sie zeitnah zur├╝ck und kl├Ąren mit Ihnen die Details f├╝r ein verbindliches Angebot ab.