Störung beim BundId Login - wegen Aufdeckung einer kritischen Schwachstelle

Table of Contents

7. Juni 2024 – Lilith Wittmann, eine bekannte Hacktivistin des Chaos Computer Clubs (CCC), hat eine schwerwiegende Sicherheitslücke im BundID-Anmeldesystem aufgedeckt. Diese Schwachstelle betrifft die Implementierung des zentralen Anmeldesystems bei der Plattform OpenRathaus der ITEBO Unternehmensgruppe, wodurch die Logins aller Nutzer vorübergehend deaktiviert wurden. In Folge dessen sind vorübergehend keine OpenRathaus verbundenen Services für Bürger mehr möglich.

BundID dient als zentrales Anmeldesystem für zahlreiche öffentliche Dienste auf Bundes-, Länder- und Kommunalebene. Es ermöglicht Bürgern, sich mit einer einmaligen Anmeldung Zugang zu verschiedenen staatlichen Dienstleistungen zu verschaffen. Lilith Wittmann stellte fest, dass die Anmeldedaten unsicher weitergeleitet wurden, wodurch Angreifer in der Lage waren, sich als legitime Benutzer auszugeben und persönliche Daten abzugreifen.

Wittmann entdeckte, dass die fehlerhafte Implementierung der BundID-Anmeldung bei OpenRathaus es Scammern ermöglichte, gefälschte Login-Seiten zu erstellen. Diese Seiten konnten so gestaltet werden, dass sie wie legitime staatliche Anmeldeseiten aussahen. Nutzer, die sich über diese Seiten anmeldeten, gaben unwissentlich ihre Zugangsdaten an die Angreifer weiter. Der Exploit funktioniert über eine OpenRedirect Sicherheitslücke im Bund ID Anmelde System, bei dem es den Angreifern ganz einfach möglich ist, einen Post Request auf eine Seite eines Rathauses zu machen und per Input Field die Return Seite auf die eigene bösartige Seite zeigen zu lassen:

 <form action="https://openrathaus.xy.de/auth/-/servicekonto-bund/login?p_auth=secret" method="post">
<input type="hidden" name="_bund_WAR_orcomponentservicekonto_authLevel" value="LOW">
    <input type="hidden" name="_bund_WAR_orcomponentservicekonto_returnTo" value="https://boesartige-scam-webseite.de/account">

Eineinhalb Stunden nach der Veröffentlichung der Schwachstelle durch die Hacktivistin wurden sämtliche BundID-Logins bei OpenRathaus deaktiviert.

Lilith Wittmann warnte auf ihrem Twitter-Account vor den Risiken unsicherer Implementierungen und betonte, dass Bürger beim Ausfüllen von Anträgen auf staatlichen Webseiten stets auf sichere Verbindungen und korrekte URLs achten sollten. Sie stellte zudem ein Beispiel für eine gefälschte Login-Seite bereit, um die potenzielle Gefahr zu verdeutlichen.

Update

Die zuständigen Behörden und OpenRathaus arbeiten nun an der Behebung der Schwachstelle. In weiten Teilen sind die Services schon wieder verfügbar.

Für weitere Infos empfehlen wir den zugehörigen Blog Artikel von Lilith Wittmann auf Medium.com.

Weitere Schwachstellen aufgetaucht

Nachdem die o.g. Schwachstelle geschlossen worden ist, wurde bekannt, dass weitere Schwachstellen durch Verwendung unsicherer stark veralteter Liferay Software bekannt wurden. Liferay hat eine lange Liste an Schwachstellen, die in den letzten 8 Jahren bekannt wurden. Es wird wahrscheinlich notwendig sein, betroffene Openrathaus Installationen zu updaten oder alternativ eine Web Application Firewall vorzuschalten, um einen sicheren Betrieb zu gewährleisten.

Related Posts

Kritische RCE-Sicherheitslücke in PHP-CGI entdeckt

DEVCORE hat eine schwerwiegende Remote-Code-Execution-Sicherheitslücke (CVE-2024-4577) in PHP entdeckt. Diese Schwachstelle ermöglicht es Angreifern, durch Argument-Injection beliebigen Code auf PHP-Servern auszuführen, die unter Windows betrieben werden. Aufgrund der hohen Verbreitung und einfachen Ausnutzbarkeit von PHP stuft DEVCORE die Schwachstelle als kritisch ein. Die Lücke wurde dem PHP-Team gemeldet, das am 6. Juni 2024 einen Patch veröffentlichte.

Read More

SQL Injection Sicherheitslücke in Email Subscribers Plugin für WordPress entdeckt

Am 4. Juni 2024 wurde eine schwerwiegende Sicherheitslücke in dem Plugin “Email Subscribers by Icegram Express” für WordPress öffentlich bekannt gemacht. Diese Schwachstelle ermöglicht eine nicht authentifizierte SQL-Injection über den ‘hash’-Parameter in allen Versionen bis einschließlich 5.7.20. Das Plugin “Email Subscribers by Icegram Express” wird für E-Mail-Marketing, Newsletter und Automatisierung auf WordPress- und WooCommerce-Websites verwendet

Read More

FBI Aufruf an LockBit Opfer: wir konnten 7.000 Decryption Keys sicherstellen

In diesem Jahr führte das FBI auch eine komplexe Operation gegen LockBit durch, ein großes Ransomware-as-a-Service (RaaS)-Modell. LockBit wurde von dem russischen Programmierer Dimitri Khoroshev, alias “Putinkrab”, “Nerowolfe” und “LockBitsupp” gegründet. Er lizenziert LockBit-Ransomware an hunderte kriminelle Gruppen und erhält 20 % der erpressten Gelder. Khoroshev unterstützt seine Affiliates durch Hosting, Schätzung optimaler Lösegeldforderungen und Geldwäsche. Seit 2019 hat LockBit weltweit über 2.400 Angriffe durchgeführt, die Milliarden von Dollar an Schäden verursacht haben.

Read More