Sicherheitswarnung: 1CRM sch√ľtzt Daten unzureichend (CVE-2020-15958)

Sicherheitsforscher von aramido entdeckten eine Sicherheitsl√ľcke im Customer-Relationship-Management-System 1CRM. Die All-in-One-CRM-Software wird seit √ľber zehn Jahren von Firmen weltweit f√ľr Kundenverwaltung, Rechnungswesen, Projektmanagement, Vertrieb und Marketing eingesetzt. Im Rahmen der aramido-Richtlinien zum verantwortlichen Offenlegen von Sicherheitsl√ľcken meldete aramido die Schwachstelle an den Hersteller zur Behebung, die laut dem deutschen Vertriebspartner von 1CRM, der Visual4 GmbH, inzwischen erfolgt ist. Der von aramido formulierte Sicherheitshinweis kann √∂ffentlich eingesehen werden.

Unberechtigte Dritte hätten sensitive Dateien des CRM Systems herunterladen können

Die Sicherheitsforscher konnten feststellten, dass nicht authentifizierte Benutzer aufgrund unvollst√§ndiger Berechtigungspr√ľfungen Zugriff auf gespeicherte Dateien im Stammverzeichnis des Webservers hatten. Je nach genutztem Modul w√§re es Angreifern m√∂glich gewesen, auf Bestellungen, Rechnungen und Lebensl√§ufe zuzugreifen. Insbesondere Datensicherungen konnten aufgrund einer vorhersehbaren Dateibenennung mit wenig Aufwand unbefugt heruntergeladen werden. Diese Datensicherungen enthalten einen vollst√§ndigen Abzug der Datenbank, Konfigurationen, Passw√∂rter und auch in das System hochgeladene Dateien.

Betreiber von 1CRM-Systemen sollten das bereitgestellte Update schnellstmöglich einspielen

1CRM fordert alle Cloud- und On-Premise-Kunden auf, das Update auf Version 8.6.7 oder neuer einzuspielen. Grunds√§tzlich empfiehlt aramido beim Betreiben von auf Standardsoftware basierenden Webanwendungen H√§rtungsma√ünahmen durchzuf√ľhren. Zum Beispiel k√∂nnen auf Ebene der Konfiguration von Webservern die Grundeinstellungen auf die Anwendung so angepasst werden, dass die eigenen IT-Systeme gegen Angriffe wie diese abgesichert sind. Zudem wird angeraten Systeme mit besonders sensitiven Daten in einem Intranet zu betreiben und durch ein VPN zur Verf√ľgung zur stellen.

Fehlende Berechtigungspr√ľfungen waren die Ursache f√ľr die Schwachstelle

Alle hochgeladenen Dateien des CRMs werden in Ordnern innerhalb des Stammverzeichnisses des Webservers (Web-Root) gespeichert. Zus√§tzlich werden Backups der Datenbank, Anwendungskonfigurationen, Dateianh√§nge und Module dort abgelegt. Durch eine unsichere direkte Objektreferenz war es m√∂glich auf Dateien im Stammverzeichnis zuzugreifen. Die Anfragen zu solchen Datei werden nicht von der 1CRM-Anwendung bearbeitet, sondern vom Webserver selbst beantwortet. Die Dateinamen m√ľssen dem Nutzer f√ľr einen erfolgreichen Zugriff zwar bekannt sein - doch folgt 1CRM einer vorhersehbaren Ordnerstruktur wie /files/upload/42/ und die Dateinamen vieler sensitiver Dateien sind einfach zu erraten. Zum Beispiel lassen sich Backup-Dateien durch systematisches Ausprobieren der im Dateinamen enthaltenen Zeitstempel herunterladen.

Unberechtigte Dateizugriffe durch Pr√ľfen der Logs erkennen

Um zu erkennen, ob die Schwachstelle bereits ausgenutzt wurde, sollten Betreiber von 1CRM-On-Premise-L√∂sungen die Logs des Webservers auf Auff√§lligkeiten untersuchen. Ein Indiz k√∂nnte eine H√§ufung nicht erfolgreicher Zugriffe sein, die durch das Ausprobieren verschiedener Dateinamen hervorgerufen wurde. Ebenso sollte gepr√ľft werden, ob Zugriffe auf sensitive Dateien wie Backups von unbekannten IP-Adressen erfolgt sind.

Stehen die Logs des Webservers nicht (mehr) zur Verf√ľgung, sollten als Vorsichtsma√ünahme Passw√∂rter gewechselt werden. Im Einzelfall m√ľssen datenschutzrechtliche Schritte besprochen werden.

Der Hersteller sollte zur Behebung eine ordnungsgemäße Zugriffskontrolle einrichten

aramido empfiehlt Herstellern von Anwendungen sensitive Daten immer au√üerhalb des Stammverzeichnisses des Webservers zu speichern. Zudem muss eine ordnungsgem√§√üe Zugriffskontrolle eingerichtet werden, damit die Daten nur an autorisierte Benutzer ausgeliefert werden. Dar√ľber hinaus r√§t aramido die Dokumente mit willk√ľrlich gew√§hlten Dateinamen im Dateiverzeichnis abzuspeichern. Ein zuf√§lliger Dateiname kann so gew√§hlt werden, dass er schwer zu erraten ist und au√üerdem nur sichere Zeichen f√ľr Betriebs- oder Dateisysteme enth√§lt. Zudem sollten aufgrund m√∂glicher negativer Auswirkungen eines Leaks Backup-Dateien immer verschl√ľsselt werden.

Die Sicherheitsl√ľcke wurden am 27.07.2020 von aramido an 1CRM Systems Corp und den deutschen Vertriebspartner Visual4 gemeldet. Die Schwachstelle hat die CVE-2020-15958 erhalten. Visual4 meldete am 27.08.2020 die Behebung der Sicherheitsl√ľcke und hatte im Vorfeld bereits seine Kunden informiert. Informationen √ľber die konkrete Behebung oder ein Abbild der aktuellsten Version wurden nicht zur Verf√ľgung gestellt, wodurch die Behebung durch aramido bislang nicht √ľberpr√ľft werden konnte.

Andreas Sperber

Am 14.09.2020 in der Kategorie Sicherheitshinweise veröffentlicht.