(openPR) Innovatives Enterprise Level Content Management System aus Duisburg war im Penetrationstest nicht zu knacken
"Erfolgreich online?! - aber sicher!" hieß es am Abend des 23. 9. 2015, als die Niederrheinische IHK zu Duisburg, die IHK zu Essen, die SIHK zu Hagen sowie die Wirtschaftsförderung Dortmund zum mit Spannung erwarteten Live-Hacking-Event im gediegenen Rahmen der Schifferbörse Duisburg-Ruhrort einluden. Die Veranstaltung fand statt im Rahmen der vom Bundesministerium für Wirtschaft und Energie geförderten Initiative Mittelstand-Digital und bildete den Abschluß des eBusiness-Lotsen Ruhr.
Etwa 50 Besucher waren Zeuge, als der IT-Forensiker Frank Timmermann vom Gelsenkirchener Institut für IT-Sicherheit das von sprengerbleilevens entwickelte cmspro, welches unter anderem bei der Duisburger Hafen AG und der Frank Schwarz Gastro Group GmbH zum Einsatz kommt, mit verschiedenen Angriffsszenarien konfrontierte. Zur Verfügung gestellt wurde eine Vorabversion des demnächst zum Roll-Out anstehenden Updates, bei der für bessere Testbedingungen zudem Schutzmechanismen gegen wiederholte automatische Attacken deaktiviert waren.
Timmermann entdeckte hauptsächlich diverse Konfigurationsmängel des für die Testumgebung verwendeten Web-Hosters. "Diese Situation ist uns bekannt und seitens des für die Testumgebung verwendeten Hosting-Anbieters auch leider fix vorgegeben," so die Stellungnahme des Geschäftsführers Oliver Sprenger zu diesem Fund. Kundenprojekte würden unter anderen Bedingungen gehostet, bei denen alle sicherheitsrelevanten Anpassungen an der Serverkonfiguration möglich und vorhanden seien.
Jedoch fand der Experte auf den Fehlerseiten, die bspw. bei einem nicht gefundenem Inhalt ausgegeben werden, eine Möglichkeit, temporär HTML in die Ausgabe einzuschleusen. In der Praxis könnte man damit unter zusätzlicher Ausnutzung einer Sicherheitslücke bei Facebook dort Links posten, die sich in der Vorschau als vertrauenswürdige Seite ausgäben, beim Anklicken aber auf ein anderes Ziel weiterleiteten. Dieser Exploit ist erstmalig in der Beta-Version aufgetaucht und konnte nach eigenen Recherchen auf die kurzfristige Installation der Testumgebung zurückgeführt werden. Stefan K. Bleilevens, CSA und Projektverantwortlicher des cmspro, erklärte, daß diese Lücke noch am Abend der Veranstaltung vollumfänglich geschlossen werden konnte. "Es ist uns wichtig, daß nicht nur geredet, sondern auch sofort gehandelt wird. Wir haben uns schließlich dieser Herausforderung gestellt, nun müssen wir auch die Konsequenzen für uns daraus ziehen und dazu gehört nun einmal auch, gefundene Schwachstellen zu beheben – wie klein sie auch sein mögen."
Abschließend war es Timmermann in einer halben Stunde nicht möglich, Zugang zu erhalten, interne Daten zu manipulieren oder gar herunterzuladen und auch ein Absturz des Systems ließ sich nicht provozieren. Sein Fazit lautete daher: Bestanden!
Bei sprengerbleilevens ist man erleichtert über den Ausgang, sieht jedoch auch die hohen Ansprüche bestätigt, die die bekannte Duisburger Agentur und Softwareschmiede an ihre Eigenentwicklungen stellt. "Letztendlich schafft ein transparenter Umgang mit Sicherheitsthemen in der Web-IT Vertrauen bei unseren Kunden und denjenigen, die es noch werden wollen," resümierte Bleilevens.
