Sicherheitslücke auf LKA Beratungswebsite beseitigt

Die Zentrale Geschäftsstelle des Landeskriminalamt Baden-Württemberg - Herausgeber der Beratungswebsite zur Polizeilichen Kriminalprävention der Länder und des Bundes, wurde vor einigen Tagen über ein gravierendes Sicherheitsproblem auf den Webseiten unter Polizei-Beratung.de hingewiesen. Durch eine dort eingesetzte Komponente des Content-Management-Systems "Joomla!" war es möglich, Kontaktadressen der Beratungsstellen zu manipulieren und so die Kommunikation der Besucher abzufangen. ...

Da musste ich schon staunen, als ich ausgerechnet bei einer Website unserer "Freunde und Helfer" auf ein kritisches Sicherheitsproblem - genauer genommen eine 0day Schwachstelle einer bestimmten Komponente - aufmerksam geworden bin. Das auf der Website verwendete System für die Kontaktaufnahme der Besucher bzw. für das Generieren von Formularen war von einer Schwachstelle/Fehlfunktion betroffen, die administrativen Zugriff vom Frontend aus ermöglichte. Ein Angreifer hätte so problemlos und schnell die Kontaktadressen (E-Mail) der Ansprechpartner, die für den Versand von Kontaktanfragen der Website benutzt wurden, manipulieren bzw. ändern und somit die Kontaktanfragen abfangen können.

Dass dies unter Umständen ein sehr großes Problem hätte werden können, ist völlig klar. Theoretisch hätte ein Angreifer unbemerkt das Vertrauen der Besucher und Nutzer des Internetportals missbrauchen und so an sehr sensible Informationen gelangen können. Das Ganze dann auch noch sehr unauffällig, da die Zugriffe und die Administration der Komponente über das Frontend möglich waren.

Ich habe die Betreiber umgehend nach Feststellung der Sicherheitslücke, über die Problematik informiert und eine ausführliche Nachricht übersandt, die sämtliche Erkenntnisse und Tipps zur Lösung der Problematik beinhaltete. Man hat auch sehr kompetent und schnell auf den Hinweis reagiert. Bereits kurze Zeit nach der Kontaktaufnahme wurde die Problematik beseitigt. Man hat mich auch darüber informiert, dass bereits bekannt war, dass das System etwas veraltet wäre und aktuell bereits eine Agentur mit der Neugestaltung des Internetportals beschäftigt sei. Man werde sehr viel Wert auf die Sicherheit der User legen, was das neue Internetportal betrifft.

Man hat sich für das ehrenamtliche Engagement und die schnelle, unbürokratische Hilfe bedankt. Auch das Landesamt für Zentrale Polizeiliche Dienste (LZPD) sprach einen Dank aus, für die Hilfe von mir bzw. Sicherheit-Online und das Melden der sicherheitsrelevanten Probleme. Man freut sich über die externe Unterstützung und wünscht dem Projekt Sicherheit-Online weiterhin viel Erfolg um "das Web sicherer zu machen".