marx.wtf

Versicherung

Eine Versicherung, die nicht genannt werden möchte, betrieb unter einer Subdomain eine veraltete Filehosting-Software.

Für ein Plugin der veralteten Filehosting-Software sind Exploits bekannt (Remote Code Execution). Diese funktionierten jedoch nicht mit der Software, die dem Anschein nach seit 2009 nicht geupdatet worden war. Die von der Versicherung verwendete Version war jedoch für Blind Remote Command Execution anfällig.

Die Sicherheitslücke

Unterschiede in Ausführungszeiten (||+sleep+5 vs ||+sleep+0) konnten genutzt werden, um mit Rechten des Webservers andere Dateien auf dem Server zu lesen oder zu schreiben. So kann etwa auf Dateien unter /<ordner> zugegriffen oder eine Webshell angelegt werden. Auf dem Server konnte so unter anderen auf interne Dokumente der Versicherung zugegriffen werden.

Weiteres

Die Versicherung hat besagten Server etwa drei Stunden nach Meldung der Lücke endgültig vom Netz genommen. Laut Versicherung sollte die Filehosting-Software längst abgelöst worden sein, die Nachfolgeanwendung sei bereits in Betrieb. Jedoch hätte sich die Restmigration verzögert.

Disclosure Timeline

  • 21.03.2018
    • Öffentlichen PGP-Schlüssel angefragt
    • Öffentlichen PGP-Schlüssel erhalten
    • Details zur Sicherheitslücke mitgeteilt
    • Die Versicherung hat die Sicherheitslücke nachvollzogen, der Server ging vom Netz
  • 17.04.2018
    • Telefonat mit Stv. Leiter der IT
    • Aufforderung den Namen der Versicherung nicht zu nennen und nur von <zensiert> zu sprechen
  • 02.05.2018
    • Entwurf dieses Beitrags an die Versicherung geschickt
    • Aufforderung nicht von <zensiert>, sondern nur von Versicherung oder besser Dienstleister zu sprechen und weitere Details zu entfernen
  • 07.05.2018
    • Weitere Details entfernt und modifizierten Entwurf an die Versicherung geschickt