Sicherheitsloch bei Server4Free gestopft

Aufgrund einer Sicherheitslücke bei Intergenia (server4free.de) waren diverse Root-Passwörter von Kundenservern über Monate öffentlich einsehbar. Die Sicherheitslücke klaffte im Reboot-Ticket-System von Server4Free: Kunden, die einen Reboot ihres Server ausgeführt haben möchten, konnten dies durch Eingabe von Username und Passwort über das Administrations-Web-Interface von Intergenia beauftragen. Damit "im Falle einer technischen Störung auch ohne weitere Rückfragen das System hochgebracht" werden kann, muss der Kunde ebenso das Root-Passwort des Linux-Systems angeben.

Dabei gab es zwei kritische Sicherheitsprobleme: Zum einen war das Administrations-Interface nicht SSL-verschlüsselt, sodass alle Daten, inklusive des Root-Passworts, im Klartext übertragen wurden. Das wesentlich kritischere Loch aber war, dass die Informationen für den Reboot (interner Standort, Hostname und Root-Passwort) auf einer Web-Seite im Rechenzentrum abgelegt sind, bis der Reboot ausgeführt ist -- und genau diese Seite war monatelang öffentlich erreichbar.

In einer Stellungnahme erklärte Intergenia-Chef Thomas Strohe gegenüber c't: "In der ursprünglichen Konfiguration unserer firmeninternen Firewall ist der Zugriff auf diese Liste nur für zwei Arbeitsplätze im Rechenzentrum freigegeben gewesen, für den kompletten Rest des Internets war der Zugriff gesperrt. Leider ist es durch den Fehler eines einzelnen Mitarbeiters unseres Hauses bei der Veränderung der Einstellung der Firewall zu einem Fehler gekommen. Der Mitarbeiter hatte das bestehende Konfigurationsfile der Firewall aus Versehen mit einer älteren Version überspielt, in der die IP-Adresse der Liste noch nicht für den Zugriff von außen gesperrt war. Dadurch ist die Liste auch von anderen Rechnern im Internet zu erreichen gewesen."

Nachdem c't Intergenia auf das Problem aufmerksam machte, hat das Unternehmen umgehend reagiert: Binnen Minuten wurde die entsprechende Website mit einem Passwort geschützt. Seit dem heutigen Donnerstagvormittag blockiert die Firewall alle Zugriffe von außen auf diese Seite. Außerdem wurde das Admin-Interface auf SSL-umgestellt, sodass ab sofort alle Übertragungen via HTTP verschlüsselt stattfinden. Die Firma will umgehend alle Kunden kontaktieren und ihnen raten, ihre Root-Passwörter vorsichtshalber zu ändern. Bei Intergenia stufte man den Vorfall als äußerst kritisch ein. "Wir bedauern diesen Vorfall sehr und haben sofort nach Bekanntwerden alle Schritte in die Wege geleitet, entsprechende Sicherheit wiederherzustellen, eine Wiederholung des Vorfalls auszuschließen und den entstanden Schaden auf ein absolutes Minimum zu begrenzen.", sagte Strohe gegenüber c't. (pab)