Froxlor: Blind XSS Schwachstelle führt zur vollständigen Kompromittierung

Table of Contents

In der beliebten Webhosting-Management-Software Froxlor wurde eine schwerwiegende Sicherheitslücke entdeckt. Blind Cross-Site Scripting (Blind XSS) Schwachstelle ermöglicht es Angreifern, die Kontrolle über die Anwendung zu übernehmen. Diese Sicherheitslücke wurde unter der CVE-Nummer CVE-2024-34070 registriert und betrifft alle Versionen vor 2.1.9.

Die Schwachstelle wurde in der Funktion zur Protokollierung fehlgeschlagener Anmeldeversuche identifiziert. Ein Blind XSS tritt auf, wenn Benutzereingaben nicht ordnungsgemäß bereinigt werden und auf dem Server gespeichert werden, wodurch ein Angreifer bösartige Skripte einschleusen kann. Diese Skripte werden dann ausgeführt, wenn andere Benutzer, insbesondere Administratoren, die betroffene Seite aufrufen.

In diesem Fall kann ein nicht authentifizierter Benutzer bösartige Skripte im Parameter „loginname“ während eines Anmeldeversuchs einschleusen. Diese werden ausgeführt, wenn der Administrator die Systemprotokolle einsehen möchte. Die Anwendung schützt normalerweise vor XSS-Angriffen durch die Verwendung einer XSS-Bereinigungsbibliothek, jedoch wurden die Prüfungen dieser Bibliothek durch geschickte Nutzung von Datenbindung und Interpolation in Vue.js umgangen.

Auswirkungen

Die Auswirkungen dieser Sicherheitslücke sind schwerwiegend:

  • Ein Angreifer kann den Administrator dazu bringen, unbemerkt einen neuen, vom Angreifer kontrollierten Administrator hinzuzufügen.
  • Dies gibt dem Angreifer volle Kontrolle über die Froxlor-Anwendung.
  • Angreifer können sensible Informationen wie Anmeldedaten, Sitzungstoken und personenbezogene Daten (PII) stehlen.
  • Die Schwachstelle kann zur Verunstaltung der Anwendung führen.

Beispiel für ein schädliches XSS-Payload

Ein funktionierendes XSS-Payload wurde entwickelt, das den Administrator dazu zwingt, einen neuen, vom Angreifer kontrollierten Administrator-Benutzer hinzuzufügen: payload.txt

Schritte zur Reproduktion des Angriffs

Schritte des Angreifers:

  1. Einen ungültigen Benutzernamen bei der Anmeldung angeben.
  2. Abfangen in Burp Suite aktivieren.
  3. Im abgefangenen Request das folgende XSS-Payload als Wert des „loginname“-Parameters hinzufügen:
   payload.txt
  1. Abfangen deaktivieren.

Schritte des Opfers:

  1. Als Administrator anmelden.
  2. Systemprotokolle einsehen, das XSS-Payload wird ausgeführt und ein Popup erscheint, das zeigt, dass die Anwendung kompromittiert wurde.

Schritte des Angreifers:

  1. Anmelden beim neu erstellten, vom Angreifer kontrollierten Admin-Konto mit den Anmeldedaten: Benutzername: abcd & Passwort: abcd@@1234.

Maßnahmen zur Minderung

Um diese Sicherheitslücke zu beheben, sollten folgende Maßnahmen ergriffen werden:

  • Implementierung gründlicher Eingabevalidierungs- und Bereinigungsmechanismen für alle Benutzereingaben.
  • Sanitisierung von {{ und }}, um Datenbindung und Interpolation in Vue.js zu verhindern.
  • Bereinigung bösartiger JavaScript-Funktionen.

Lösung und Updates

Froxlor hat Version 2.1.9 veröffentlicht, die diese Sicherheitslücke behebt. Benutzer sollten ihre Anwendungen umgehend auf die neueste Version aktualisieren, um sich vor dieser kritischen Sicherheitslücke zu schützen.

Quelle: GitHub Security Advisory GHSA-x525-54hf-xr53, d00p

Related Posts

Trojaner nutzt GoTo Meeting als Rust Shellcode Loader

Laut einer Malware Studie von GData wird die Anwendung GoTo Meeting ausgenutzt, um Malware auf Windows zu installieren. Threat Actors nutzten dabei GoTo Meeting zur Verbreitung des Remcos RAT (Remote Access Trojan). Angreifer verwenden dabei Dateien, wie Software-Setup-Dateien und Steuerformulare, oft mit Dateinamen in russischer und englischer Sprache, um Opfer anzulocken. Der Bericht zeigt folgende Infektionskette auf:

Read More

Hackerangriff auf Landtechnik Hersteller Lemken stoppt Produktion

Der Landtechnikhersteller Lemken ist Opfer eines Hackerangriffs geworden, der das Unternehmen zur Einstellung der Produktion gezwungen hat. Seit dem Angriff am Samstag, dem 11. Mai 2024, bleiben an den Standorten weltweit viele Bildschirme schwarz und die Produktion ist zum Erliegen gekommen.

Read More

PostgreSQL: COPY-Befehl erlaubt System-Shell Zugriff

PostgreSQL hat sich als robustes und flexibles Datenbanksystem etabliert. Dennoch gibt es bestimmte Funktionen, die von Angreifern ausgenutzt werden können, wenn sie nicht ordnungsgemäß gesichert sind. Eine solche Funktion ist der COPY-Befehl, der sich als Achillesferse von PostgreSQL herausgestellt hat. Nachfolgend wird erläutert, warum dieser Befehl bei Hackern beliebt ist und wie er ausgenutzt werden kann.

Read More