Verräterische Statusseiten

Pornoserver verraten die IP-Adressen der Besucher und Bezahldienstleister gefährden Sitzungs-Token ihrer gerade aktiven Kunden. Die Ursache ist jedoch kein cleverer Hack sondern Schlamperei der Administratoren.

In Pocket speichern vorlesen Druckansicht 88 Kommentare lesen
Lesezeit: 2 Min.

Viele Web-Server etwa von Banken, Porno-Anbietern und Portalen aller Art veröffentlichen Sicherheits- oder Datenschutz-relevante Informationen über öffentlich einsehbare Status-Seiten. Ursache des Übels ist das eigentlich harmlose Apache-Modul mod_status – beziehungsweise eigentlich eher der schlampige Umgang vieler Admins mit dem nützlichen Tool.

Das Modul präsentiert über die Seite /server-status Verwaltungsinformationen zur Last auf einem System; darunter auch die aktuell aktiven Verbindungen – inklusive URL und IP-Adressen der Clients. Diese Informationen sind für den Admin nützlich; in fremden Händen können sie jedoch zum Problem werden. Wenn etwa eine Pornoseite die personenbeziehbaren IP-Adressen der Kunden von livegranny.com öffentlich macht oder die Deutsche Post zumindest Teile der Session-ID von gerade durchgeführten Transaktionen ihres Bezahldienstes Postpay preis gibt, wird klar, dass diese Informationen durchaus schützenswert wären.

Die Session-ID bei einem Bezahldienst wäre durchaus schützenswert, erlaubt sie es doch die Sitzung des angemeldeten Benutzers zu kapern.

Trotzdem präsentieren hunderte von Servern diese Informationen völlig frei zugänglich; über Suchmaschinen sind sie leicht auffindbar. Die Santander-Bank hat kurz nach Bekanntwerden des Problems den Zugriff auf die Statusseite gesperrt; bei mindestens einer deutschen Bank besteht hingegen immer noch Handlungsbedarf. Übrigens verraten auch scheinbar harmlose Informationen unter Umständen nützliche Details über Pfade, Servernamen oder Parameter, die bei der Vorbereitung eines Angriffs nützlich sein könnten. Sicherheitsbewusste Admins beschränken deshalb den Zugriff auf solche Informationen zumindest auf bestimmte IP-Adressen oder verlangen eine Authentifizierung.

Update vom 02.11.2012, 10:20: Betroffen war auch die deutsche DAB-Bank, die den Zugriff auf die Status-Seite nach einem Hinweis von heise Security sperrte. Der Sicherheitsspezialist HD Moore hat mit einem selbst gebauten Skript die laut Alexa 100.000 meistbesuchten Webseiten geprüft und dabei 1774 Status-Seiten entdeckt, wie Ars Technica berichtet. Teilweise konnte er darüber auch Nutzernamen und die dazugehörigen Klartext-Passwörter einsehen. (ju)