Im Zuge eines Kundenprojekts konnte das Research Team der it.sec GmbH, zwei bisher unbekannte Schwachstellen im Oracle Communications Enterprise Session Border Controller (Oracle E-SBC) identifizieren und auszunutzen. Bei den Schwachstellen handelte es sich um ein Denial of Servcice (DoS) und eine unmaskierte Anzeige von Klartext-Passwörtern.
Was ist der Oracle E-SBC
Der Oracle Enterprise Session Border Controller (E-SBC) verbindet Kommunikationsnetzwerke auf IP-Basis. Des Weiteren wird ein Augenmerk auf die Interoperabilität gelegt, um eine zuverlässige Kommunikation zu erreichen. Der E-SBC dient zur Absicherung gegen Sicherheitsbedrohungen und Kontrolle von Echtzeit-Telefonie, Video und genereller Unified Communications beim Übergang in andere IP-Netze
DoS Schwachstelle - Die betroffene Funktion
Während des Penetrationstest des Oracle E-SBC wurde eine administrative Funktion zum Setzen eines Login-Banners für das Webinterface identifiziert. Dieses Banner wurde nach Aktivierung beim Loginprozess allen Nutzern angezeigt, welche korrekte Logindaten eingegeben hatten. Das Login-Banner wurde in einer HTML-Textarea dargestellt. Nachfolgend wurden die Benutzer zum Dashboard weitergeleitet.
Der Fehler
Beim Bearbeiten des Login-Banners über das Webinterface wurden alle getesteten Zeichen korrekt encodiert, bzw. entfernt. Das Login-Banner konnte jedoch genutzt werden, um potenziell schädliche Zeichen einzuschleusen, indem die HTTP-Anfragen direkt an den Server gesendet wurden. Somit konnte der clientseitige Schutzmechanismus umgangen werden.
Die Zeichenfolge \< wurde erfolgreich und ohne Encodierung in den Login-Banner übernommen. Jedes Mal, wenn ein Benutzer sich mit korrekten Zugangsdaten am System anzumelden versuchte, wurden diese Zeichen via Login-Banner an den Nutzer gesendet. Nachdem diese Antwort des Servers an den Client gesendet wurde, stoppte die Applikation, bzw. führte keine Weiterleitung zu dem Dashboard durch. Ein Aktualisieren der Seite führte zu einem leeren Login Formular.
Unterschiedliches Browserverhalten
Wurde die Seite mit Google Chrome aufgerufen, gab es keine Möglichkeit das DoS zu umgehen. Es war keinem Benutzer möglich sich an der Applikation anzumelden. Wurde jedoch der Mozilla Firefox verwendet und die Seite kurz nach Eingabe der Zugangsdaten aktualisiert, konnte ein erfolgreicher Login durchgeführt werden. Ist die Seite zu spät aktualisiert worden, wurde der Nutzer gleich wie im Google Chrome Browser nicht eingeloggt, sondern wieder auf die leere Login-Seite weitergeleitet
Fazit – DoS
Je nach Verfügbarkeit verschiedener Browser, bzw. Änderungen im aktuellen Mozilla Firefox kann das Webinterface komplett unbenutzbar gemacht werden. Sollte es keine alternative Möglichkeit geben das Login-Banner zu setzen, z. B. via SSH, ergibt sich ein potenziell hoher Schaden. Für den Angriff wird jedoch ein administrativer Benutzer benötigt, was die Ausnutzbarkeit deutlich erschwert.
Generell zeigt diese Schwachstelle, dass eine strikte Eingabevalidierung und Encodierung aller Zeichen auch serverseitig erfolgen muss, um Angriffe zu verhindern.
Unmaskierte Klartextpasswörter
Der Oracle Enterprise Session Border Controller (E-SBC) erlaubte das Setzen von verschiedenen Boot-Parametern, wobei auch ein FTP-Dienst genutzt werden konnte, um das Boot-Image zu laden. Des Weiteren konnte ein FTP-Dienst genutzt werden, um ein Softwareupgrade durchzuführen.
In beiden Fällen waren Username und Passwort im Klartext im Webinterface abrufbar.
Die Zugangsdaten zu den Systemen wurden beim Aufruf der entsprechenden Seiten sofort angezeigt, ohne, dass eine separate Demaskierungsfunktion oder ähnliches aufgerufen werden musste. Da nicht nur aktuell eingegebene Passwörter, sondern auch gespeicherte angezeigt wurden, mussten diese in einem zurückrechenbaren Format vorliegen.
Dies bedeutet, dass Passwörter vermutlich auch im Backend der Applikation im Klartext vorlagen.
Fazit – Unmaskierte Klartextpasswörter
Werden Passwörter im Klartext verschlüsselt oder codiert im Backend gespeichert, kann ein Angreifer mit Zugriff auf die Daten, diese potenziell auslesen und für den Angriff auf diese Systeme verwenden.
Passwörter sollten nur in Form eines kryptographisch starken Hashes in einer Datenbank gespeichert werden. Zusätzlich sollte jedes Passwort mit einem Salt gehasht werden, um Angriffe zu erschweren.
Aktueller Stand und weitere Informationen
Die Schwachstellen CVE-2021-2416 und CVE-2021-2414 wurden bereits behoben und ein Security Patch steht bereit. Wir raten allen Oracle E-SBC Betreibern Sicherheitsupdates stets zeitnah zu installieren, um bekannte Schwachstellen zu beheben. Weitere Informationen zu den Schwachstellen können aus dem Oracle Critical Patch Update Advisory für Oktober 2021 entnommen werden.
Ihr it.sec Research Team
Moderne Probleme erfordern moderne Lösungen. Trotz der immer wieder aufflammenden Diskussion um die Vertrauenswürdigkeit von Messenger-Diensten sind sie doch selbstverständliche und nicht mehr wegzudenkende Kommunikationsmittel in unserem Alltag geworden. Wir sind es gewohnt, dass wir schnell und unkompliziert Text-, Bild- und Sprachnachrichten mit einzelnen Kontakten oder – ratzfatz und kinderleicht erstellten – Gruppen austauschen können. Was privat normal geworden ist, vermissen viele im beruflichen Kontext. Aus Gründen des Datenschutzes und der Informationssicherheit sind Messenger-Dienste in Unternehmen und Behörden regelmäßig verboten und die Mitarbeitenden an E-Mails oder gar Faxe gefesselt. Eigenständige Lösungen, wie sie von einigen Branchen oder Behörden entwickelt wurden, scheinen zwar sicher, sind dabei aber mit einem abschreckenden Aufwand verbunden.
Eine der meiner Meinung nach besten Lösungen bietet nunmehr der Schweizer Anbieter Threema mit seinem neuen „Threema OnPrem“. Dabei handelt es sich um ein vollständig vom Verwender selbst gehostetes Threema. Die Nutzer können mit der vielleicht schon aus dem Privatleben bekannten Oberfläche arbeiten und die gleichen Funktionen nutzen, während die Datenverarbeitung vollständig in der Hoheit des Unternehmens bleibt.
Für den internen Betrieb im Unternehmen sind überschaubare Ressourcen erforderlich, die sich mit einem physischen oder virtuellen Linux-Server gut unterbringen lassen. Über die Kosten informiert der Anbieter derzeit nur auf Anfrage (www.threema.ch).
Konsequenterweise ist mit dieser Variante von Threema auch nur die ausschließlich interne Kommunikation möglich. Ein Austausch mit externen Nutzern oder einer anderen OnPrem-Instanz ist nicht möglich. Für einige Verwender mag das ein Nachteil sein, für Verantwortliche mit sehr hohen Ansprüchen an Sicherheit und Vertraulichkeit jedoch definitiv ein Vorteil.
Wer mit Threema sowohl intern als auch extern kommunizieren möchte, könnte in Threema Work eine Lösung finden. Der Funktionsumfang von OnPrem und Work identisch. Beide Versionen kommen mit einem MDM und einem „Management-Cockpit“ für die zentrale Administration und Nutzerverwaltung. Einziger Unterschied ist, dass Threema Work auf Servern des Anbieters in der Schweiz betrieben wird. Die Kommunikation mit Externen ist dadurch möglich, kann aber im Bedarfsfall auch technisch unterbunden werden.
Entscheidendes Argument für Threema ist die Möglichkeit, die App auch ohne Zugriff auf das Telefonbuch des Smartphones zu verwenden. So wird eine Datenübermittlung an Dritte, für die eine Rechtsgrundlage bestehen müsste und die Informationspflichten auslöst, vermieden. Der Kommunikationskanal muss dann über die Threema-ID hergestellt werden, die für sich genommen ein relativ starkes Pseudonym ist.
Stefan Effmert
Berater für Datenschutz und Informationssicherheit
Volljurist
In einem Beschluss (Beschluss v. 22.07.2020 - Az.: 6 A 211/17) hat das OVG Lüneburg auf die Risiken bei der Verwendung von Faxgeräten zum Versand sensibler personenbezogener Daten hingewiesen. Im Rahmen eines Prozesses hatte eine Behörde ihrem Prozessbevollmächtigte wiederholt unverschlüsselt per Fax sensible Daten über den Kläger zukommen lassen, obwohl der Kläger der unverschlüsselten Übermittlung von personenbezogenen Daten bereits zu Beginn des Verfahrens widersprochen und auf seine besondere Schutzbedürftigkeit hingewiesen hatte.
Das Gericht sah hierin einen Verstoß gegen das Niedersächsischen Landesdatenschutzgesetzes durch die Behörde. Faxen sei ein unsicheres Kommunikationsmedium, weil die Informationen grundsätzlich unverschlüsselt versandt werden, abhörbar seien und ein Fehlversand aufgrund falscher Eingabe der Rufnummer immer wieder vorkommen. Außerdem hätten bei modernen Faxgeräten oftmals Wartungsfirmen Zugriff auf die Geräte und könnten daher Kenntnis vom Inhalt versandter Dokumente erhalten. Daher sei irrelevant, dass die Mitarbeiter der Kanzlei als Empfänger der Nachricht ebenso wie die Rechtsanwälte selbst einer beruflichen Schweigepflicht unterliegen.
Wir nehmen das Urteil zum Anlass, Sie darauf hinzuweisen, auch beim Faxen die notwendigen datenschutzrechtlichen Vorgaben zu beachten:
- Verzichten Sie möglichst auf das Faxen von sensiblen personenbezogenen Daten.
- Verwenden Sie nach Möglichkeit Verschlüsselungslösungen im Faxgerät.
- Erstellen Sie Adresslisten im Faxgerät selbst um eine Falscheingabe von Faxnummern zu verhindern
- Sorgen Sie für einen zugangsbeschränkten Standort von Faxgeräten.
- Prüfen Sie regelmäßig und sorgfältig die technischen Parameter Ihrer Geräte, Verteilerlisten und Protokolle der Faxsoftware.
Wie immer stehen wir bei weiteren Fragen gerne zur Verfügung.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Online-Kommunikationstools werden angesichts neuer Formen der überörtlichen Zusammenarbeit immer wichtiger. Sie helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten.
Die ENISA (European Union Agency for Cybersecurity) hat hierzu einige Empfehlungen veröffentlicht. Es folgt eine kurze Zusammenfassung der Empfehlungen auf Deutsch:
- Verschlüsselte Kommunikation sollte unbedingt unterstützt werden.
- Die zentralisierte Verwaltung sollte unterstützt werden. Dies bedeutet, dass ein Administrator die Einstellungen für alle Teilnehmer vornehmen kann. So können Berechtigungen, Passwortpolicy, und virtuelle Meetingräume gemanagt und unbefugtes Mithören verhindert werden.
- Eine starke Benutzerauthentifizierung (Mehrfaktor-Authentifizierung) ist zu empfehlen.
- Die Konfigurationsoptionen geben Aufschluss über eine mögliche lokale Nutzung von Diensten/Tools. Lokales Hosting auf einem eigenen Server ist gegenüber externer Datenverarbeitung (in einer Cloud) vorzugswürdig.
- Die Datenschutzhinweise sollten genau und kritisch gelesen werden. Wichtige Punkte sind: Erhobene Datenarten, Ort(e) der Datenverarbeitung, mögliche Drittlandtransfers, Speicherdauer sowie Voreinstellungen bzgl. Datenschutz. Ein Teilen der erhobenen Daten mit sozialen Netzwerken sollte grundsätzlich vermieden werden. Ziehen Sie für eine genauere Einschätzung den Datenschutzbeauftragten zu Rate!
- Private Endgeräte dürfen nicht für Videokonferenzen o.Ä. genutzt werden. Bei Verwendung mobiler Endgeräte (Smartphones, Tablets) müssen vor der Nutzung die Berechtigungen der jeweiligen App überprüft und ggf. angepasst werden.
- Genutzt werden sollte immer nur die aus sicheren Quellen stammende, letzte Version einer Software mit aktuellen Sicherheitspatches.
- Alle Meetings, Gruppen und Räume sollten passwortgeschützt sein. Links zu Konferenzräumen dürfen nicht außerhalb der Teilnehmergruppe geteilt werden.
- Bei der Einrichtung sind privatsphärefreundliche Voreinstellungen zu wählen (Kamera standardmäßig inaktiv, keine Aufnahme/Mitschnitt des Meetings oder von versandten Kurznachrichten). Sollte dennoch eine Aufzeichnung erforderlich sein, müssen vorab alle Teilnehmer informiert werden und müssen der Aufzeichnung zustimmen.
- Chat-, Audio- und Bildschirmteilungsfunktionen sollten mit Bedacht eingesetzt werden, damit keinerlei Informationen unbeabsichtigt geteilt werden. Es können i.d.R. auch nur einzelne Fenster freigegeben werden. Der Hintergrund bei Videokonferenzen sollte neutral gewählt werden, um keine personenbezogenen oder vertraulichen Informationen preiszugeben.
Insgesamt ist also beim Einsatz von Online-Kommunikationstools Einiges zu beachten, um für den geschäftlichen Einsatz sicher unterwegs zu sein. Eine solche Absicherung sollte immer sowohl in technischer, als auch in organisatorischer Weise vorgenommen werden. Wie schon in Punkt 5. erwähnt, hilft die frühzeitige Einbindung des Datenschutzbeauftragten dabei, Fehler zu vermeiden.
Florian S.
Justiziar | M.A.
Consultant für Datenschutz
Da hat es sich Facebook wohl zu einfach gemacht. Lapidar hat das Unternehmen behauptet, kein Mitglied ihrer Rechtsabteilung habe ausreichende deutsche Sprachkenntnisse, um Beschwerden, Gerichtsbeschlüsse oder Mitteilungen auf Deutsch in vollem Umfang zu verstehen. Zu Unrecht, wie das OLG Düsseldorf im Rahmen eines Kostenfestsetzungsverfahrens im Dezember 2019 festgestellt hat:
Sachverhalt
Das Landgericht Düsseldorf hatte Facebook in Irland im Wege der Rechtshilfe einen Beschluss in deutscher Sprache zustellen lassen. Facebook verweigerte die Annahme wegen einer fehlenden englischen Übersetzung und argumentierte, dass der Beschluss damit nicht zugestellt worden sei.
Entscheidung des OLG
Davon ließ sich das OLG jedoch nicht beeindrucken. Es komme bei der Beurteilung der Verständnisfähigkeit nicht darauf an, ob konkrete Mitglieder der Geschäftsleitung oder der jeweiligen Rechtsabteilung über entsprechende Sprachkenntnisse verfügen, sondern auf die Organisation des Unternehmens insgesamt. Dass das Unternehmen den Beschluss nicht verstehen könne, sei in diesem Fall eine reine Schutzbehauptung.
Facebook habe Millionen von Nutzern in Deutschland, mit denen ausdrücklich auf Deutsch kommuniziert wird. Sämtliche im Verhältnis zwischen Unternehmen und Nutzern bestehenden Vertragsdokumente (AGB, Gemeinschaftsstandards, Nutzungsbedingungen) würden auf Deutsch vorliegen, auch das deutsche Recht würde in den entsprechenden Dokumenten besonders berücksichtigt, so z.B. das Deutsche Produkthaftungsgesetz. Derartige Formulierungen seien ohne profunde Kenntnisse der deutschen Sprache und des deutschen Rechts nicht möglich. Das Gericht sah es damit als erwiesen an, dass Facebook über ausreichende Deutschkenntnisse verfügt, so dass die Verweigerung der Annahme des gerichtlichen Schriftstücks durch Facebook unzulässig und rechtsmißbräuchlich gewesen sei.
Fazit
Bei der Entscheidung zeigt sich einmal mehr, wie eine kleine Rechtsstreitigkeit über einen nur geringen dreistelligen Betrag, große Wirkung entfalten kann. Die Notwendigkeit, mit den international tätigen und auftretenden Unternehmen nur in der jeweiligen Sprache des Hauptsitzes kommunizieren zu müssen, scheint jedenfalls aufgrund dieser Entscheidung zu entfallen.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz