TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf

Datenbank enthielt nach Erkenntnissen von G DATA u.a. persönliche Informationen über Empfänger von Sozialleistungen

[datensicherheit.de, 18.11.2024] Die G DATA CyberDefense AG hat laut einer eigenen Meldung vom 14. November 2024 Sicherheitslücken der in Geschäftssoftware „TOPqw Webportal“ entdeckt und erläutert, dass diese Schwachstellen ggf. Zugang zu persönlichen Informationen ermöglicht hätten. Das betroffene Kieler Softwarehaus, baltic IT, habe nach Tests der „G DATA Advanced Analytics“ diese insgesamt fünf Sicherheitslücken stopfen müssen – eine davon habe als „kritisch“ gegolten.

Foto: G DATA

Tim Berghoff („Security Evangelist“ bei G DATA CyberDefense): Potenzielle Angreifer hätten auf triviale Art und Weise den kompletten Inhalt von Datenbanken einsehen können…

IT-Security-Fachleute der „G DATA Advanced Analytics“ unternahmen Penetrationstest

Die Software sei in insgesamt zwölf Bundesländern im Einsatz – unter anderem in kommunalen Betrieben, Gemeinden und Stadtverwaltungen. IT-Security-Fachleute der „G DATA Advanced Analytics“ hätten bei einem Penetrationstest der Webanwendung „TOPqw Webportal“ des Kieler Softwareherstellers baltic IT mehrere Schwachstellen identifizieren können.

Dabei sei aufgefallen, dass potenzielle Angreifer auf triviale Art und Weise den kompletten Inhalt von Datenbanken hätten einsehen können. Möglich gewesen sei dies durch eine sogenannte „SQL-Injection“. Unter anderem seien in der Datenbank Namen, E-Mail-Adressen und auch (gehashte) Passwörter lesbar gewesen. Für den Zugriff war demnach kein Passwort erforderlich.

G DATA sieht bereits prinzipielle Zugriffsmöglichkeit als schlimm genug an

„Die Sicherheitslücke erlaubte keine Ausführung von Code auf dem Datenbankserver“, erklärt Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. Aber der Zugriff allein sei bereits schlimm genug gewesen – insbesondere vor dem Hintergrund, dass in der Datenbank persönliche Informationen über Empfänger von Sozialleistungen hinterlegt gewesen seien.

Eine Funktion, welche neue Benutzer in der Datenbank anlegen solle, sei ebenfalls über eine Sicherheitslücke mittels SQL-Injection angreifbar gewesen. Angreifer hätten mit Hilfe dieser Schwachstelle direkt auf die Datenbank zugreifen und eigenen SQL-Code einschleusen können. Dies hätte wiederum vollen Zugriff auf den gesamten Inhalt der Datenbank ermöglicht.

G DATA entdeckte u.a. nicht korrekt implementierte Zugriffskontrolle

Die dritte Schwachstelle war laut Berghoff eine nicht korrekt implementierte Zugriffskontrolle. „Nutzer, die nicht über entsprechende Freigaben verfügen, können auf administrative Komponenten der Web-Anwendung zugreifen, indem sie einfach die Adresse im Browser entsprechend anpassen.“ Dies erlaube es jedem angemeldeten Benutzer, andere Benutzerkonten einzusehen, sowie bestehende Konten zu löschen oder neue anzulegen. Damit wäre es bei einem Angriff beispielsweise möglich gewesen, sämtliche Benutzer auszusperren. Auch die Manipulation von Daten sei möglich gewesen. Über das Kalkulationsmodul der Anwendung hätten sich auch bösartige Dateien einschleusen lassen.

Zwei weitere Sicherheitslücken hätten es einem Angreifer erlaubt, eigenen „Javascript“-Code in die Webanwendung zu schleusen. Da die Plattform Dateinamen an einer Stelle nicht validiere und an einer anderen Stelle „Javascript“ als Protokoll zulasse, sei es möglich, auch bösartige Skripte im Kontext der Web-Anwendung laufen zu lassen.

Dienstleister baltic IT hat laut G DATA schnell reagiert

Glücklicherweise seien diese Schwachstellen im Rahmen des Penetrationstests aufgefallen und nicht erst durch eine böswillige Ausnutzung durch Kriminelle. baltic IT habe schnell reagiert und die kritische Sicherheitslücke in „TOPqw“ bereits nach zwei Tagen geschlossen.

Auch die übrigen Schwachstellen seien nach und nach behoben worden. Der Veröffentlichungsprozess sei den Regeln der „Responsible Disclosure“ gefolgt. „Seit dem 25. Juli 2024 sind alle fünf gemeldeten Sicherheitslücken geschlossen und die entsprechenden Updates an alle Produktionsumgebungen der ,TOPqw’-Kunden ausgerollt.“

Weitere Informationen zum Thema:

CYBER.WTF, Majid Lakhnati & Maximilian Hildebrand, 11.11.2024
Harvesting the Database – 5 CVEs in TOPqw Webportal