Vermeidbare Sicherheitslücke durch häufigen Bedienungsfehler

[IT-Management]

Dadurch, dass bei der Installation zwei Admin-Accounts angelegt werden - einer mit einem benutzerdefinierten, der andere mit einem (öffentlich bekannten) Standard-Password -, wird ein Bedienungsfehler provoziert: Weil gerade auf kleineren Präsenzen i.d.R. nur einer der Accounts benötigt wird, besteht die Gefahr, dass vergessen wird die Zugangsdaten des anderen nach der Installation zu ändern. Bei einer kleinen Stichprobe über die unter www.contenido.org angezeigte Referenzliste stellten wir bei zwei von drei getesteten Seiten fest, dass tatsächlich der Account „admin“ offen ist (die beiden betroffenen Site-Betreiber habe ich darauf hingewiesen).

Diese Fehlersituation kann auf einfachste Weise automatisiert entdeckt und die Sicherheitslücke genutzt werden, z.B. um Schadsoftware auf Internet-Präsenzen einzuschleusen und mit den Seiten zu verbreiten, oder um fremde Internet-Präsenzen als Drehscheibe für illegale Datenbestände zu missbrauchen. (Und vieles andere mehr).

Da ich das resultierende Problem als kritisch einstufe, es offenbar sehr häufig auftritt und zudem leicht vermeidbar ist, erlaube ich mir, diesen Forumsbeitrag hier einzustellen, obwohl vermutlich das Thema von vielen Lesern als trivial oder bekannt erachtet werden wird.


Empfehlung für Anwender:

Anwendern, die das bislang noch nicht gemacht haben, möchte ich daher empfehlen, das Password für den Benutzer „admin“ zu ändern, und Ihren Datenbestand auf dem Web-Server auf Veränderungen zu überprüfen.


Empfehlung für Entwickler:

Es gibt zahlreiche Lösungsmöglichkeiten, hier nur ein paar Vorschläge:

Option 1: Expliziter, nicht zu übersehender Hinweis in der Installationsanleitung (erfolgreich praxiserprobtes Verfahren: Checkliste für die Installation inkl. Feldern, in denen die Admins ihre persönlichen Einstellungen notieren können).

Option 2: Hinweis auf der Startseite des Backends, sofern für "admin" noch das Default-Password festgelegt ist.

Option 3: Dem Account "admin" ebenfalls das benutzerdefinierte Password von "sysadmin" zuordnen. Seiteneffekt 1: Handbücker und die evtl. Einrichtung auf opensourcecms.org etc. sind zu ändern. Seiteneffekt 2: Zwei Benutzer mit dem gleichen Passwort - und wiederum fehlender Notwendigkeit eines davon zu ändern - ist ebenfalls sub-optimal.

Option 4: Bei der Installation Passwörter für "admin" und "sysadmin" erfragen. Seiteneffekt 1: wie oben.

Schöne Grüße

Alexander

[Maribeauli]

Das Thema interessiert hier niemanden, teilweise auch verständlich da hier andere Ansatzpunkte / Blickwinkel im Focus sind.

Das Thema habe ich hier bereits angesprochen:
http://www.contenido.de/forum/viewtopic.php?p=76992
(mein 2. Beitrag)

Eine konkrete Sutuation ist hier genannt:
http://www.contenido.de/forum/viewtopic.php?p=76989
_Annahme_: Über den Admin-Account die Datei auf den Server hochladen, sich selber verschieben lassen.

Ich habe diese Datei bekommen und analysieren lassen.
Diese Datei ist hochgefährlich, wird von Experten als außerordentlich gut und sauber programmiert eingestuft.
Kann alles auf dem Server machen, öffnet Backdoors, ...
Liegt diese Datei einmal auf dem Server kann man mit Hilfe dieser Datei
Phishing-Mails versenden, den Server als Zombie einrichten und und und ...

Lapidare bekommene Antwort:

...
Contenido wäre dann genau im gleichen Maße gefährdet wie die 1000000 anderen Applikationen
...
Eine gezielte Suche nach Sicherheitslücken ist nicht so im Fokus

[HerrB]

Das es so ist, ist lange bekannt und noch länger gemeldet. Das es noch nicht korrigiert ist, ist ungünstig, aber wir (Community) können es nicht ändern (da würden wir gerne noch einiges andere ändern).

Es ist eindeutig ein Fehler und man kann es auch mit weniger Worten zusammenfassen:
"Bei der Installation werden zwei Accounts angelegt. Bitte ändern Sie das admin-Kennwort umgehend nach Installation, denn es verfügt über ein Standard-Passwort."

@Maribeauli:
Wir sind hier eine ehrenamtliche Community, die das alles freiwillig und kostenfrei macht. Warum nimmst Du Dir nicht mal die Zeit, den Code nach Sicherheitslücken zu durchstöbern? Das ist der Gedanke hinter Open Source: "Alle machen mit".

Und ja, uns fehlt die Zeit dafür leider auch...

Da es zu den von Dir genannten Meldungen keine weiteren Informationen gab, wie soll man rausbekommen, wie die Datei eingeschleust wurde? Dafür bietet Contenido schon etliche Dateien und alles andere, was auf dem Server läuft, kann ebenso das Schlupfloch gewesen sein.

Du hast geschrieben, das Contenido in "höchstem Maße gefährdet sei" (und das bezog sich bei Dir auf die Möglichkeit einer Einschleusung einer Datei, übrigens kombiniert mit der Frage an mich, ob das denn bei Contenido möglich sei). Und dem ist nicht so. Die Gefahr ist genauso groß wie bei allen anderen Web-Applikationen. Nicht mehr und nicht weniger.

Und - unglaublich, aber wahr - der Fokus in der Entwicklung bei Contenido liegt in der Funktion und der Usability und nicht in der gezielten Suche nach Sicherheitslücken. Aber an dieser Aufgabe kann sich ja jeder gerne beteiligen.

Unabhängig davon habe ich mal einen Blick geworfen. Zumindest in die V4.6.8.3 können wir das ja einbauen.

Gruß
HerrB

[Maribeauli]

@Maribeauli:
Warum nimmst Du Dir nicht mal die Zeit, den Code nach Sicherheitslücken zu durchstöbern? Das ist der Gedanke hinter Open Source: "Alle machen mit".

Und ja, uns fehlt die Zeit dafür leider auch...

Du hast darauf bereits eine Antwort von mir!
Weil ich hier "Anwender" bin und nicht das Experten-Wissen für Contenido-Techniken oder php-Schwachstellen-Technik habe.
Und ich habe dir auch gesagt warum und wieso ich einige der angesprochenen Punkte so und nicht anders beurteile.
(aber das gehört hier nicht hin).

Aber an dieser Aufgabe kann sich ja jeder gerne beteiligen.

Mach ich doch auch, im Rahmen meiner begrenzten Kenntnis zu php und MySql

[rezeptionist]

Unabhängig davon habe ich mal einen Blick geworfen. Zumindest in die V4.6.8.3 können wir das ja einbauen.

ist nun eingebaut auf Wunsch von HerrB in V4.6.8.4