Flughafen Stuttgart beseitigt Sicherheitslücke

Die Betreiber der Website Flughafen-Stuttgart.de wurden von uns über eine kritische Sicherheitslücke informiert, die einem Angreifer vermutlich den Zugriff auf sämtliche Datenbanken ermöglicht hat haben könnte. Über ungefilterte Parameter konnte eine SQL Injection durchgeführt werden, welche es möglich machte, die Datenbankabfrage der betroffenen Seite zu manipulieren und so an sämtliche Inhalte der Datenbank zu gelangen. Wir wurden von "Außen" über die Problemstelle informiert und konnten diese bei einer Überprüfung bestätigen. ...

Die Betreiber wurden in der vergangenen Nacht informiert und haben von uns eine Demonstration erhalten, die das Problem aufzeigt. Man hat dort sehr schnell reagiert und das betroffene Verzeichnis unzugänglich gemacht. Demnach kann diese Sicherheitslücke nicht mehr von einem Angreifer ausgenutzt werden. Eine Antwort auf unseren Hinweis haben wir bisher leider noch nicht erhalten. Wir gehen aber davon aus, dass man sich zum Thema noch äußern wird.

Ob die Schwachstelle bereits aktiv von einem Angreifer ausgenutzt und Informationen aus der Datenbank "gestohlen" wurden, ist bisher nicht bekannt. Auch Informationen der Betreiber, über die betroffenen Bereiche bzw. Datenbanken sind uns bisher nicht zugetragen worden. Wir können also keine Auskunft darüber geben, ob auch Kunden- bzw. Besucherdaten von der Schwachstelle betroffen waren.

An dieser Stelle möchten wir uns bei den Betreibern der Website "Flughafen-Stuttgart.de" für die schnelle Reaktion bedanken und auch an den anonymen Finder, welcher die Schwachstelle bei uns gemeldet hat, ein herzliches "Dankeschön" aussprechen. Die Information von Außen hat in diesem Fall zu einer schnellen Beseitigung der Problemstelle geführt. So soll es sein. :o)

Update 07.09.2011:
Am 02.09. erhielten wir erstmals eine Rückmeldung per Email von einem "Online Marketing Manager" der Flughafen Stuttgart GmbH. In dieser Email hat man sich für den Hinweis bedankt, jedoch gleichzeitig behauptet, dass der Beitrag bei Sicherheit-Online.org nicht den Tatsachen entsprichen würde.

Man erklärte uns:
"Sie haben lediglich Zugriff auf Backups einer alten Version der Website, erkennbar am Layout und anhand der Bezeichnung de.bak (bak – Backup) gehabt. Wenn Sie diese veraltete Seite aufrufen, kann es auf den ersten Blick so erscheinen, als ob eine SQL-Injection erfolgreich gewesen wäre – tatsächlich hat aber die alte Version keinen Zugang mehr zu unseren Datenbanken."

Zudem forderte man uns auf:
"Ungeachtet dessen bitten wir Sie, den Artikel auf Ihrer Webseite, der nicht den Tatsachen entspricht und zudem tendenziös ist, unverzüglich zu entfernen und mir dies bitte per E-Mail zu bestätigen."

Natürlich haben wir auf die Email geantwortet und den Betreibern sogar angeboten, die Schwachstelle erneut und ausführlich zu prüfen. Hierzu hätte man das Verzeichnis mit dem Backup nocheinmal aktivieren und ggf. mit einem Verzeichnisschutz ausstatten können, so dass ein Zugriff nur mit Passwort möglich wäre, die Schwachstelle aber genauer überprüft werden könnte. Wir haben den Betreibern auch erklärt, dass auch ein Backup, welches auf dem gleichen Server liegt und die gleiche Datenbank nutzt, einen Übergriff auf andere Datenbanken ermöglicht, die dem gleichen Datenbanknutzer zugeordnet sind. Demnach wären alle Datenbanken die dem Benutzer gehören zugänglich gewesen.Wir haben auch angeboten, den Beitrag hier im Security-Blog entsprechend zu ändern, sollten bestimmte Aussagen nicht der Wahrheit entsprechen.

Man ging aber weder auf das Angebot mit der erneuten Überprüfung, noch auf die Möglichkeit der Änderung des Beitrags ein. Stattdessen forderte man erneut auf, den Beitrag nun unverzüglich zu entfernen. Offensichtlich möchte man die Problematik nun vertuschen und ggf. Kritik vermeiden. Aus unserer Sicht besteht aber überhaupt kein Anlass, den Bericht bezüglich der Schwachstelle bei Flughafen-Stuttgart.de zu entfernen. Es steht im besonderen öffentlichen Interesse, dass die Benutzer der Internetdienste über ggf. vorhandene Sicherheitsprobleme aufgeklärt werden. Ziel ist es grundsätzlich, die Nutzer und Betreiber der Internetportale vor böswilligen Übergriffen zu schützen. Demnach ist der Bericht gerechtfertigt.

An dieser Stelle möchten wir den Betreibern erneut anbieten, die genannte Sicherheitslücke genauer zu überprüfen und über einen simulierten Angriff, das Ausmaß der Problematik herauszufinden. So könnte man ganz einfach und schnell aussagen, welche Informationen aus der Datenbank für einen Angreifer zugänglich gewesen wären und ob ggf. auch sehr sensible Informationen davon betroffen waren. Zudem bitten wir um eine öffentliche Stellungnahme zur Sache.