Nach Cross-Site-Scripting-Lücken: BAFA will BSI mit Website-Check beauftragen
Nachdem heisec-Leser kurz hintereinander zwei Lücken in der Website des Bundesamts für Wirtschaft und Ausfuhrkontrolle fanden, will dieses rundum nachbessern.
(Bild: Wikimedia Commons (gemeinfrei) / Screenshot (Collage))
Nachdem die heise Security-Redaktion das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) am vergangenen Mittwoch bereits auf die zweite Cross-Site-Scripting (XSS)-Lücke innerhalb von zwei Wochen hingewiesen hat, will dieses nun eine umfassende Sicherheitsüberprüfung seiner Website in Auftrag geben.
Im Gespräch und E-Mail-Verkehr mit heise Security betonten BAFA-Mitarbeiter aus IT und Pressestelle, dass die Behörde die Sicherheitsmängel– ebenso wie die Sicherheit potenziell sensibler Daten von Bürgerinnen und Bürgern – sehr ernst nähme. Zusätzlich zu den regelmäßig durchgeführten internen Sicherheitsüberprüfungen habe man deshalb nun vorfallsbezogen Hilfe von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) angefordert, um die Website auf potenzielle Schwachstellen zu untersuchen und Hilfestellung bei der präventiven Absicherung gegen künftige Bedrohungen zu erhalten.
Die BAFA stehe mit dem BSI, das als zentrale Behörde für die Informationssicherheit in Deutschland zuständig ist, "im engen Austausch für die Gestaltung der eigenen Sicherheitsarchitektur." Anlassbezogen bietet das BSI vorrangig für Bundesbehörden so genannte IS-Penetrationstests und -Webchecks an ("IS" steht hier für Informationssicherheit).
Weitere Schwachstellen sehr wahrscheinlich
Über die erste gefundene Schwachstelle, die ein Leser mit dem Pseudonym [PG]ikk0 entdeckte, hatte heise Security am vergangenen Dienstag berichtet. Sie hatte das Injizieren eigenen (potenziell schädlichen) Codes in die BAFA-Website nach folgendem Schema ermöglicht:
https://fms.bafa.de/BafaFrame/upload?themenbereich=FEM-FV"><script>alert(1)
Mehr dazu hier:
Nur wenige Stunden später kontaktierte uns dann ein zweiter Leser (@totz_sec), der, wie er uns schrieb, "innerhalb von nicht einmal 5 Minuten" eine zweite XSS-Schwachstelle gefunden hatte, die nach demselben Schema funktionierte. Die PoC-URL sah hier so aus, wobei (nicht nur) der Inhalt der Alert-Box austauschbar ist:
https://fms.bafa.de/BafaFrame/access?type=<script>alert(document.domain)
In beiden Fällen handelt es sich um sogenannte reflektierte oder nicht-persistente XSS-Angriffe. Bei solchen Angriffen wird Schadcode nicht auf dem Webserver gespeichert, sondern direkt beim Seitenaufruf in die lokale "Kopie" der Website geschrieben und ausgeführt. Angreifer hätten die Alert-Boxen aus den obigen Links gegen eigenen Code ersetzen und die präparierte URL etwa via Phishing-Mail verschicken können, um eigene Inhalte im Kontext der BAFA-Website anzuzeigen und beispielsweise über selbst erstellte Formulare Daten abzugreifen.
Die Ähnlichkeit zwischen beiden Lücken legt den Verdacht recht nahe, dass weitere ähnliche Angriffsmöglichkeiten existier(t)en.
Fazit = Positiv mit Luft nach oben
Die BAFA-IT reagierte auch beim zweiten Vorfall erfreulich schnell: Wir informierten die Behörde am Mittwochmittag, und als wir am nächsten Morgen die PoC-URL aufriefen, war der Fehler bereits behoben. Insgesamt schien die Behörde dankbar die Hinweise; die Kommunikation mit den zuständigen Mitarbeitern war freundlich und unkompliziert.
(Bild: Screenshot)
Abgesehen davon, dass Internetauftritte von Bundesbehörden bestenfalls von vornherein gut abgesichert sein sollten, lässt sich das positive Fazit ziehen, dass das Melden der Lücken im konkreten Fall tatsächlich der Sicherheit künftiger Website-Besucher zugute kommt. Und dass in der Konsequenz nicht nur partielles Flickwerk betrieben, sondern ein Rundum-Check angestoßen wurde.
Aus der Perspektive von Lesern, die gefundene Lücken lieber über den Umweg von heise Security an Bundesbehörden weitergeben, statt persönlich in Erscheinung zu treten, wäre noch eine weitere, generelle Neuerung wünschenwert. Nämlich eine verbindliche Vulnerability Disclosure Policy (VDP) , um einen klaren rechtlichen Rahmen zu schaffen und Lückenfinder auf diese Weise optimal zu schützen. Und vielleicht, so findet der Entdecker der zweiten BAFA-XSS-Lücke, auch ein Bug-Bounty-Programm der Bundesregierung.
(ovw)