7. Juni 2024 – Lilith Wittmann, eine bekannte Hacktivistin des Chaos Computer Clubs (CCC), hat eine schwerwiegende Sicherheitslücke im BundID-Anmeldesystem aufgedeckt. Diese Schwachstelle betrifft die Implementierung des zentralen Anmeldesystems bei der Plattform OpenRathaus der ITEBO Unternehmensgruppe, wodurch die Logins aller Nutzer vorübergehend deaktiviert wurden. In Folge dessen sind vorübergehend keine OpenRathaus verbundenen Services für Bürger mehr möglich.
BundID dient als zentrales Anmeldesystem für zahlreiche öffentliche Dienste auf Bundes-, Länder- und Kommunalebene. Es ermöglicht Bürgern, sich mit einer einmaligen Anmeldung Zugang zu verschiedenen staatlichen Dienstleistungen zu verschaffen. Lilith Wittmann stellte fest, dass die Anmeldedaten unsicher weitergeleitet wurden, wodurch Angreifer in der Lage waren, sich als legitime Benutzer auszugeben und persönliche Daten abzugreifen.
Wittmann entdeckte, dass die fehlerhafte Implementierung der BundID-Anmeldung bei OpenRathaus es Scammern ermöglichte, gefälschte Login-Seiten zu erstellen. Diese Seiten konnten so gestaltet werden, dass sie wie legitime staatliche Anmeldeseiten aussahen. Nutzer, die sich über diese Seiten anmeldeten, gaben unwissentlich ihre Zugangsdaten an die Angreifer weiter. Der Exploit funktioniert über eine OpenRedirect Sicherheitslücke im Bund ID Anmelde System, bei dem es den Angreifern ganz einfach möglich ist, einen Post Request auf eine Seite eines Rathauses zu machen und per Input Field die Return Seite auf die eigene bösartige Seite zeigen zu lassen:
<form action="https://openrathaus.xy.de/auth/-/servicekonto-bund/login?p_auth=secret" method="post">
<input type="hidden" name="_bund_WAR_orcomponentservicekonto_authLevel" value="LOW">
<input type="hidden" name="_bund_WAR_orcomponentservicekonto_returnTo" value="https://boesartige-scam-webseite.de/account">
Eineinhalb Stunden nach der Veröffentlichung der Schwachstelle durch die Hacktivistin wurden sämtliche BundID-Logins bei OpenRathaus deaktiviert.
Lilith Wittmann warnte auf ihrem Twitter-Account vor den Risiken unsicherer Implementierungen und betonte, dass Bürger beim Ausfüllen von Anträgen auf staatlichen Webseiten stets auf sichere Verbindungen und korrekte URLs achten sollten. Sie stellte zudem ein Beispiel für eine gefälschte Login-Seite bereit, um die potenzielle Gefahr zu verdeutlichen.
Update
Die zuständigen Behörden und OpenRathaus arbeiten nun an der Behebung der Schwachstelle. In weiten Teilen sind die Services schon wieder verfügbar.
Für weitere Infos empfehlen wir den zugehörigen Blog Artikel von Lilith Wittmann auf Medium.com.
Weitere Schwachstellen aufgetaucht
Nachdem die o.g. Schwachstelle geschlossen worden ist, wurde bekannt, dass weitere Schwachstellen durch Verwendung unsicherer stark veralteter Liferay Software bekannt wurden. Liferay hat eine lange Liste an Schwachstellen, die in den letzten 8 Jahren bekannt wurden. Es wird wahrscheinlich notwendig sein, betroffene Openrathaus Installationen zu updaten oder alternativ eine Web Application Firewall vorzuschalten, um einen sicheren Betrieb zu gewährleisten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: