Aktuelles, Branche - geschrieben von dp am Montag, November 18, 2024 19:04 - noch keine Kommentare
TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Datenbank enthielt nach Erkenntnissen von G DATA u.a. persönliche Informationen über Empfänger von Sozialleistungen
[datensicherheit.de, 18.11.2024] Die G DATA CyberDefense AG hat laut einer eigenen Meldung vom 14. November 2024 Sicherheitslücken der in Geschäftssoftware „TOPqw Webportal“ entdeckt und erläutert, dass diese Schwachstellen ggf. Zugang zu persönlichen Informationen ermöglicht hätten. Das betroffene Kieler Softwarehaus, baltic IT, habe nach Tests der „G DATA Advanced Analytics“ diese insgesamt fünf Sicherheitslücken stopfen müssen – eine davon habe als „kritisch“ gegolten.
Tim Berghoff („Security Evangelist“ bei G DATA CyberDefense): Potenzielle Angreifer hätten auf triviale Art und Weise den kompletten Inhalt von Datenbanken einsehen können…
IT-Security-Fachleute der „G DATA Advanced Analytics“ unternahmen Penetrationstest
Die Software sei in insgesamt zwölf Bundesländern im Einsatz – unter anderem in kommunalen Betrieben, Gemeinden und Stadtverwaltungen. IT-Security-Fachleute der „G DATA Advanced Analytics“ hätten bei einem Penetrationstest der Webanwendung „TOPqw Webportal“ des Kieler Softwareherstellers baltic IT mehrere Schwachstellen identifizieren können.
Dabei sei aufgefallen, dass potenzielle Angreifer auf triviale Art und Weise den kompletten Inhalt von Datenbanken hätten einsehen können. Möglich gewesen sei dies durch eine sogenannte „SQL-Injection“. Unter anderem seien in der Datenbank Namen, E-Mail-Adressen und auch (gehashte) Passwörter lesbar gewesen. Für den Zugriff war demnach kein Passwort erforderlich.
G DATA sieht bereits prinzipielle Zugriffsmöglichkeit als schlimm genug an
„Die Sicherheitslücke erlaubte keine Ausführung von Code auf dem Datenbankserver“, erklärt Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. Aber der Zugriff allein sei bereits schlimm genug gewesen – insbesondere vor dem Hintergrund, dass in der Datenbank persönliche Informationen über Empfänger von Sozialleistungen hinterlegt gewesen seien.
Eine Funktion, welche neue Benutzer in der Datenbank anlegen solle, sei ebenfalls über eine Sicherheitslücke mittels SQL-Injection angreifbar gewesen. Angreifer hätten mit Hilfe dieser Schwachstelle direkt auf die Datenbank zugreifen und eigenen SQL-Code einschleusen können. Dies hätte wiederum vollen Zugriff auf den gesamten Inhalt der Datenbank ermöglicht.
G DATA entdeckte u.a. nicht korrekt implementierte Zugriffskontrolle
Die dritte Schwachstelle war laut Berghoff eine nicht korrekt implementierte Zugriffskontrolle. „Nutzer, die nicht über entsprechende Freigaben verfügen, können auf administrative Komponenten der Web-Anwendung zugreifen, indem sie einfach die Adresse im Browser entsprechend anpassen.“ Dies erlaube es jedem angemeldeten Benutzer, andere Benutzerkonten einzusehen, sowie bestehende Konten zu löschen oder neue anzulegen. Damit wäre es bei einem Angriff beispielsweise möglich gewesen, sämtliche Benutzer auszusperren. Auch die Manipulation von Daten sei möglich gewesen. Über das Kalkulationsmodul der Anwendung hätten sich auch bösartige Dateien einschleusen lassen.
Zwei weitere Sicherheitslücken hätten es einem Angreifer erlaubt, eigenen „Javascript“-Code in die Webanwendung zu schleusen. Da die Plattform Dateinamen an einer Stelle nicht validiere und an einer anderen Stelle „Javascript“ als Protokoll zulasse, sei es möglich, auch bösartige Skripte im Kontext der Web-Anwendung laufen zu lassen.
Dienstleister baltic IT hat laut G DATA schnell reagiert
Glücklicherweise seien diese Schwachstellen im Rahmen des Penetrationstests aufgefallen und nicht erst durch eine böswillige Ausnutzung durch Kriminelle. baltic IT habe schnell reagiert und die kritische Sicherheitslücke in „TOPqw“ bereits nach zwei Tagen geschlossen.
Auch die übrigen Schwachstellen seien nach und nach behoben worden. Der Veröffentlichungsprozess sei den Regeln der „Responsible Disclosure“ gefolgt. „Seit dem 25. Juli 2024 sind alle fünf gemeldeten Sicherheitslücken geschlossen und die entsprechenden Updates an alle Produktionsumgebungen der ,TOPqw’-Kunden ausgerollt.“
Weitere Informationen zum Thema:
CYBER.WTF, Majid Lakhnati & Maximilian Hildebrand, 11.11.2024
Harvesting the Database – 5 CVEs in TOPqw Webportal
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren