Schwachstellen in der Bayerischen Lernplattform MEBIS

Updates:

21.08.2020, 10:41 Uhr: Erster Pressebericht taucht auf.

21.08.2020, 12 Uhr: Die XSS-Lücke wurde geschlossen.

21.08.2020, 15:14 Uhr: Bay. Landesbeauftragter für Datenschutz meldet uns, dass die XSS-Lücke geschlossen wurde. Berichtet auch, dass noch nicht alle gemeldeten Mängel behoben sind.

21.08.2020, 16:54 Uhr: client side validation Lücke wurde geschlossen.

22.08.2020: open redirect wurde geschlossen.

03.09.2020: Zerody findet noch weitere gravierende Sicherheitslücken (u.a. XSS, Open Redirects) und beschreibt diese in seinem Blog. Es gelingt ihm neben dem Phishing, zusätzlich auch die Cookies auszulesen. Zudem wurden noch ein paar weitere open redirects gefunden, welche noch nicht behoben sind (Stand 07.09.2020). Wir schließen uns seinem Fazit an, dass es in der Qualität und Sicherheit der Software starke Mängel gibt und professionelle Hilfe zur Beseitigung dieser Mängel nötig ist, welche die Hersteller nicht liefern können. Wir verweisen daher Nutzer:innen darauf, die Plattform so gut es geht zu vermeiden, bis dies passiert ist.

Leute aus unserem Hackerspace fanden neulich ein paar gravierende Sicherheitslücken in der Lernplattform Mebis. Mebis wird vom Freistaat Bayern angeboten und in vielen Schulen verwendet. Besonders jetzt, während der Corona-Krise, setzen immer mehr Institutionen auf die Plattform.

Die Sicherheitslücken ermöglichen Phishing und andere Angriffe auf Nutzer:innen von Mebis. Weil mrey als Nutzerin der Plattform selbst von diesen Sicherheitslücken betroffen ist, baten wir das Entwicklungsteam am 21.05.2020, die Lücken zu fixen.

Entwicklungsteam nahm das Problem nicht ernst genug

Das nennt man Responsible Disclosure. Man gibt den Entwickler:innen eine Chance, das Problem selbst zu fixen, bevor man Nutzer:innen vor der Gefahr warnt. So wird einerseits dafür gesorgt, dass die Sicherheitslücken geschlossen werden, bevor diese öffentlich sind. Andererseits sorgt man für Transparenz, da die Öffentlichkeit über die Lücken informiert wird.

Leider haben die Entwickler:innen die 90-Tage-Frist, ihr System abzusichern, nicht genutzt. Dabei haben sie just einen Tag vor Ablauf der Frist sogar Wartungsarbeiten durchgeführt. Deswegen veröffentlichen wir nun das Problem - nur so können sich Nutzer:innen davor schützen, dass Hacker:innen mit bösen Absichten ihnen schaden können.

Was ist mebis und wie viele Nutzer sind betroffen?

mebis ist ein Internetportal des bayerischen Kultusministeriums, welches in bayerischen Schulen eingesetzt wird. Nach eigenen Angaben hat die Plattform im Jahr 2020 eine Millionen Nutzer:innen und wird an 5428 Schulen genutzt (Quelle).

Wie gefährlich ist die Sicherheitslücke?

Durch die Sicherheitslücken entsteht eine Phishing-Gefahr. Angreifer:innen können Nutzer:innen von Mebis einen manipulierten Link zuschicken. Wenn die Betroffenen dann auf so einen Link klicken, werden sie auf eine manipulierte Seite weitergeleitet oder Javascript-Code auf den Geräten der Betroffenen ausgeführt. Damit können Angreifer:innen beispielsweise Login-Daten klauen.

Normalerweise wird Leuten beigebracht, nicht auf unbekannte Links in Spam-Mails zu klicken. Deswegen ist die Mebis-Lücke so gravierend - da die Mebis-URL bayern.de enthält, werden viele Nutzer:innen dem Link erst einmal vertrauen. Gerade Beamte erhalten oft Mails von Adressen, die sie noch nicht kennen, und würden wohl auf einen bayern.de-Link hereinfallen.

Hier ein Beispiel-Video, wie ein solcher Angriff für Betroffene aussehen könnte:

Der Mebis-Link enthält eine XSS-Lücke, über die Javascript eingebunden wird. Das Javascript gaukelt Nutzer:innen eine gefälschte Login-Seite vor, auf der sie nichtsahnend ihr Passwort eingeben; danach wird ihnen ein Rick-Roll-Video gezeigt, um sie weiter zu trollen. An dieser Stelle könnte man aber auch weitere Schadsoftware ausführen.

Die XSS-Lücke ist besonders gravierend, aber wir fanden noch weitere Sicherheitslücken in Mebis. Zum Beispiel ist es auch ohne XSS möglich, Nutzer:innen einen Link zu schicken, der sie auf eine, schädliche Webseite weiterleitet. Dafür muss man nur hinter https://www.mebis.bayern.de/info-shib/Shibboleth.sso/Logout?return= eine beliebige Webseite anfügen. Auch hier ist zu erwarten, dass Nutzer:innen dem bayern.de vertrauen.

Eine dritte Sicherheitslücke betrifft das ändern von Werten im Nutzerprofil. Beispielsweise soll es Schüler:innen eigentlich nicht möglich sein, ihren Vornamen zu ändern. Aber weil nur Client-seitig geprüft wird, ob man das darf oder nicht, kann man sich darüber einfach hinwegsetzen. Möglicherweise lässt sich nicht nur der Vorname darüber dauherhaft ändern, sondern auch die Rolle (wie Schüler:in oder Admin). Das wollten wir allerdings nicht selbst testen, ohne einen Test-Account dafür zu haben.

Die technische Zusammenfassung der Sicherheitslücken findet ihr hier.

Responsible Disclosure Timeline

Am 20.5.2020 setzten wir uns mit dem Entwicklungsteam in Verbindung und zeigten eine Sicherheitslücke auf.
Am 21.5.2020 wiesen wir auf zwei weitere Sicherheitslücken hin, und setzten eine 90-Tage-Frist, um alle gemeldeten Schwachstellen zu beheben.
Am 22.5.2020 reagierte ein Supportmitarbeiter und erklärte, dass er die Information an die entsprechende Stelle weitergeleitet hatte.
Als zwei Monate später, am 27.7.2020, immer noch keine weitere Rückmeldung kam, fragten wir erneut nach, ob sich etwas getan hatte.
Am 28.7.2020 antwortete der Entwickler, dass nicht abzusehen sei, wann das Problem behoben werden könnte. Wir antworteten, dass wir an der 90-Tage-Frist festhalten. Diese Frist lief am 19.8.2020 ab.

Was kann getan werden?

Bis Mebis meldet, dass die Lücke behoben ist, empfehlen wir Mebis-Nutzer:innen dringend, nicht auf Links zu klicken, die sie auf Mebis führen, wenn sie der Absender:in nicht vertrauen. Ansonsten appellieren wir an das Entwicklungsteam, die Sicherheitslücken schleunigst zu beheben.

Wir als 0x90.space e.V. fordern außerdem den Freistaat Bayern auf, dass ausgeschriebene IT-Projekte als Freie Software veröffentlicht werden. Einerseits ermöglicht das Begutachtung durch interessierte Entwickler:innen und Sicherheitsexpert:innen, andererseits ist nicht verständlich warum öffentliche Gelder in nicht-öffentliche Software gesteckt werden. Budget, das derzeit gerne in den Einkauf noch unbekannter Sicherheitslücken durch Polizei und andere Behörden gesteckt wird, um diese in verfehlten Konzepten wie der sogenannten “Quellen-TKÜ” oder “Back-Hacking” für Schadsoftware zu nutzen, sollte lieber in die Entwicklung und Auditierung quelloffener Systeme investiert werden. Das verringert die Häufigkeit von Sicherheitslücken und schützt so die Nutzer:innen, statt sie absichtlich durch Geheimhaltung eingekaufter Lücken im Regen stehen zu lassen.