SublimeText mit sFTP – Vorsicht geboten!

SublimeText mit sFTP – Vorsicht geboten!

Ich wurde vor wenigen Stunden von Nico Hemkes über ein schwerwiegendes Sicherheitsproblem, bei der Verwendung des SublimeText Editors informiert. Einige Programmierer nehmen sich für Ihre Arbeit die Software SublimeText zur Hilfe, um schnell und einfach an Projekten arbeiten und bearbeitete Dateien auf den Webserver laden zu können. Grundsätzlich ist es natürlich praktisch, wenn man direkt aus dem Editor heraus, Dateien mit dem entfernten Speicher austauschen und dort auch aktualisieren kann. Ähnliche Funktionen gibt es in diversen anderen Editoren auch.

Bei SublimeText unter Verwendung des sFTP-Plugins jedoch, gibt es mit dem Upload der Dateien einen negativen Nebeneffekt. Die Software lädt neben den eigentlichen Dateien des Projekts, auch eine Datei namens sftp-config.json mit auf den Webserver und liefert damit – neben diversen Einstellungen – auch die FTP-Zugangsdaten, wie den Benutzernamen, das Passwort, den Pfad und Port zum Webverzeichnis. Wenn man nun annehmen würde, dass die sensiblen Daten verschlüsselt in das Webverzeichnis abgelegt werden, täuscht man sich leider. Sämtliche Inhalte werden unverschlüsselt – also in Klartext – abgelegt und sind – sofern das Verzeichnis nicht zusätzlich geschützt wird – auch von Dritten über das Netz erreichbar. Angreifer freuen sich in solch einem Fall, da man sich die lange Suche nach Lücken im System sparen kann und den Schlüssel quasi mit einer Google-Abfrage schon geliefert bekommt.

Der Hinweisgeber berichtet, dass er selbst eine Recherche durchführte und dabei nebst anderen Betreibern, auch eine Universität aus Denver (USA), mit den offengelegten Zugangsdaten über Google entdeckt hatte. Nach etwa 2 Stunden hat man dort seinen Hinweis befolgt und die Datei mit den Zugangsdaten vom System entfernt. Passwörter möchte man schnellstmöglich zurücksetzen.

Ob alle Nutzer des SublimeText Editors von der Problematik betroffen sind, ist derzeit noch unklar. Mit Sicherheit sollten die Entwickler aber einen Blick auf ihre Software werfen und mögliche Besserung nachholen. Ich denke man wird sich einig sein, dass unverschlüsselte FTP-Zugangsdaten in einem öffentlichen Webverzeichnis nichts verloren haben und geradezu ein gefundenes Fressen für Angreifer darstellen.

An dieser Stelle möchte ich die Nutzer des SublimeText Editors darum bitten, die eigenen Verzeichnisse auf derartige Konfigurationsdateien zu überprüfen und zum eigenen Schutz, die Datei/en zu löschen. Vielen Dank an Nico Hemkes für die Informationen!