BSI deckt schwerwiegende Sicherheitslücken in Matrix und Mastodon auf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüfte zusammen mit der Münchner Firma MGM Security Partners den Quellcode des Messenger-Dienstes Matrix und der Social-Media-Anwendung Mastodon. Im Rahmen des Projekts zur Codeanalyse von Open-Source-Software (Caos 2.0) prüften Experten die Dienste auf mögliche Mängel und wurden fündig. Mastodon wies laut den im Herbst 2023 durchgeführten Analysen in der Version 4.1.6 zwei als hoch riskant eingestufte Sicherheitslücken auf, mit denen ein Angreifer gezielt Benutzer und die Anwendung kompromittieren konnte. Diese kritischen Schwachstellen teilte das BSI den entsprechenden Entwicklern sofort mit. Die Programmierer haben die Schwachstellen analysiert und bereits reagiert.

Laut dem Ergebnisbericht zur Twitter-Alternative Mastodon handelt es sich um die Lücken CVE-2023-46950 und CVE-2023-46951. In beiden Fällen geht es um Cross-Site-Scripting-Schwachstellen in Contribsys Sidekiq in Version 6.5.8 und die damit bestehende Möglichkeit für einen Angreifer, aus der Ferne über eine manipulierte Nutzlast vertrauliche Informationen zu erhalten. Das BSI machte hier "ein hohes Gefährdungspotenzial" aus.

Eine weitere Lücke fanden die Forscher bei einer umgehbaren Durchsatzratenbegrenzung (Rate-Limitierung). Diese werde in ihrem Schweregrad dadurch verschärft, dass die Anwendung die Nutzung von trivialen Passwörtern sowie die unlimitierte Enumeration von validen Nutzernamen zulasse, heißt es in der Studie. Eine Schwachstellennummer werde dafür noch beantragt. Mastodon verwende zudem 22 Abhängigkeiten von anderem Open-Source-Code mit bekannten Sicherheitslücken, die als kritisch oder hoch eingestuft würden. Weitere, deutlich weniger sicherheitskritische Auffälligkeiten, seien eine überlange Gültigkeit der Session, eine begrenzte und auf den Administrator beschränkte Möglichkeit, beliebiges CSS in die Anwendung zu injizieren, sowie eine unnötige Speicherung sensibler Daten in einem Cache.

Schlechter Schutz hochgeladener Dateien bei Matrix

Beim dezentralen Messenger-Server Matrix Synapse stießen die Prüfer der zweiten Untersuchung zufolge auf "einige als niedrig eingestufte Sicherheitslücken". Unter anderem konnten sie auch hier eine überlange Gültigkeit einer Session feststellen. Ferner ließen sich nicht Ende-zu-Ende verschlüsselte, hochgeladene Dateien ohne Authentifizierung von jedem, dem die ID des Uploads bekannt ist, herunterladen. Normal privilegierten Nutzern war es zudem gestattet, von anderen Usern erstellte Umfragen zu beenden. Nicht zuletzt fanden die Forscher eine Umgehung für die Schwachstelle CVE-2023-32683.

Beim Matrix-Zugangsclient Element entdeckten die Experten eine als niedrig eingestufte Sicherheitslücke. Dabei handelt es sich um einen vom Server in der Standardkonfiguration nicht gesetzten Response-Header, der – bei richtigem Einsatz – als Verteidigungsmaßnahme die Sicherheit der Anwendung weiter erhöhen könnte. Matrix bildet hierzulande etwa die Basis für den BwMessenger der Bundeswehr und einen neuen BundesMessenger. Das Open-Source-Protokoll ist zudem die Grundlage für eine Kommunikationsplattform im Gesundheitswesen. Bei Synapse und Element kamen ferner ebenfalls mehrere Abhängigkeiten mit bekannten Schwachstellen zutage.

Gewachsene, unaufgeräumte Code-Basis

Sowohl bei Mastodon als auch bei Matrix konnten die Prüfer keine Hinweise auf ein strukturiertes, toolgestütztes Vorgehen zur regelmäßigen Identifikation und Korrektur von Schwachstellen finden. Die relativ große Menge an Code-Duplizierungen per Copy-and-Paste deuteten zudem auf teilweise chaotisch "gewachsene", unaufgeräumte Projekte hin. Die Experten empfehlen in beiden Fällen daher eine manuelle oder automatisierte Strukturverbesserung von Quelltexten (Refactoring), um auch künftig die generelle Erweiterbarkeit und insbesondere die effektive Handhabe von Schwachstellen zu gewährleisten.

Das Kooperationsprojekt läuft seit 2021. Ziel ist es, die Sicherheit beliebter Open-Source-Software zu prüfen und die zuständigen Teams beim Schreiben sicheren Codes zu unterstützen. Der Schwerpunkt der Untersuchungen liegt "auf Anwendungen, die vermehrt von Behörden oder Privatanwendern" verwendet werden. Entdeckte, umfangreiche Schwachstellen teilen die Macher den Entwicklern im Responsible-Disclosure-Verfahren vorab mit. Im Rahmen der Initiative untersuchten BSI und MGM etwa auch bereits die Videokonferenz-Werkzeuge Jitsi und BigBlueButton. Weitere Codeanalysen sind als Caos 3.0 geplant.

(usz)