XSS Schwachstellen bei iclear & Co.

Bei einem Sicherheitstest der iclear Schnittstelle innerhalb eines bekannten Shopsystems, bin ich auf eine Schwachstelle gestoßen, die neben der iclear Schnittstellen für diverse Shopsysteme, auch andere Dienste von unzähligen Internetportalen, welche ähnliche Schnittstellen nutzen, betrifft. Eine gezielte Google-Abfrage brachte rund 69 Millionen Ergebnisse, die zum größten Teil von der Problematik betroffen sein sollten. Da ein derartiges Problem bei einer Schnittstelle eines Zahlungsanbieters nicht gerade ungefährlich ist, wurde iclear umgehend über Sicherheitsprobleme informiert.

Über einen Bug im Script der Schnittstelle, lässt sich beliebiger Code in die aufgerufene Seite einschleusen. Angreifer könnten dies für gezielte Phishing-Angriffe, zum Verbreiten von Malware, sowie zum Ausnutzen von Browser-Schwachstellen und damit der Kontrollübernahme des Besucher-PCs nutzen. Da die iclear-Schnittstelle in sehr vielen Shopsystemen vorhanden - meist auch standardmäßig installiert - ist, kann man davon ausgehen, dass alleine bezüglich iclear viele Hunderttausend Portale betroffen sind. Selbst Shops, die nicht auf die Dienste von iclear zurückgreifen sind gefährdet, sofern die entsprechenden Dateien der Schnittstelle auf dem Server erreichbar sind.

Die Verantwortlichen bei iclear wurden bereits über Sicherheitsprobleme in deren Schnittstelle informiert. Man hat auf die Kontaktanfrage auch relativ schnell geantwortet, jedoch blieb ein weiterer Kontakt aus. Gegen eine kleine Zuwendung, als Entschädigung für die aufgebrachte Zeit, hätte ich sogar die direkte Hilfe bei der detaillierten Überprüfung, sowie bei der Beseitigung der Schwachstelle angeboten. In der Regel ist die Unterstützung ja nicht mit Kosten verbunden, jedoch gibt es hier und da Ausnahmen. Nämlich dann, wenn ein Unternehmen viel Geld mit deren Software/Diensten verdienen möchte und die Aufwände bezüglich eines Sicherheitstests und ggf. Beseitigung den Rahmen des "ehrenamtlich Möglichen" sprengen. Da neben der Sicherheitsproblematik in der Schnittstelle, auch Bugs in deren Portal aufgedeckt wurden, wäre der Aufwand sowieso ein wenig größer ausgefallen.

Leider gab es von iclear seit einem Monat keinerlei Rückmeldung mehr. Selbst nach einer Statusnachfrage und der Bitte zu antworten, gab es kein Lebenszeichen. Offenbar scheint die Sicherheit der Nutzer/Kunden nicht gerade hoch geschätzt zu werden. Die Schwachstelle ist noch immer aktiv und könnte zu jeder Zeit von einem Angreifer ausgenutzt werden.

Nachdem ich keine Antwort mehr erhalten habe, wollte ich ein wenig recherchieren und wurde dann auch fündig.  Bereits seit einiger Zeit ist eine Schwachstelle in NuSOAP - einem SOAP Toolkit für PHP - bekannt. Durch einen Bug im Script, lässt sich die Ausgabe entsprechend manipulieren und so auch schädlicher Code einfügen. Es gibt zwar bereits entsprechende Wege, diese Schwachstelle zu beseitigen, jedoch haben dies wohl einige Entwickler rund um den Globus verschlafen. Auch die iclear-Schnittstelle sollte mit nur wenig Aufwand abgesichert werden können.

Ein Beispiel wie die Schwachstelle ausgenutzt werden könnte: http://pastebin.com/MiHAAvsv

Auch größere Internetportale, Webseiten von Behörden und Auktionshäuser sind von diesem Sicherheitsproblem betroffen. Bei meinen Recherchen bin ich auf ähnliche Probleme bei Auvito, der Uni-Regensburg, sowie vielen anderen Portalen gestoßen. Jeden Betreiber über das Problem zu informieren ist allerdings unrealistisch, zumal es sich um mehrere Millionen betroffene Seiten handelt. Entwickler von Schnittstellen die auf die gleiche Quelle setzen, sollten sich einmal näher mit der Problematik befassen und eigene Anwendungen/Dienste entsprechend absichern.