Schwachstellen in Kernkomponente deutscher Behördenkommunikation aufgedeckt

Security (Bild: Shutterstock)

Sie steckten in dem seit 2004 verwendeten Protokoll OSCI-Transport. Das ist für die elektronische Kommunikation in der Bundesverwaltung verpflichtend vorgesehen. Über die von Forschern gefundenen Schwachstellen konnten Angreifer zwischen Behörden ausgetauschte Informationen manipulieren, entschlüsseln oder Dateien von Behörden-Servern auslesen.

Wolfgang Ettlinger und Marc Nimmerrichter haben im Auftrag des in Wien ansässigen SEC Consult Vulnerability Lab mehrere Schwachstellen in dem von deutschen Behörden verwendeten Protokoll OSCI-Transport aufgedeckt. Sie könnten ausgenutzt werden, um Daten, die zwischen Behörden übermittelt werden, zu entschlüsseln, zu manipulieren oder Dateien von Behörden-Servern auszulesen.

Security (Bild: Shutterstock)

OSCI-Transport wurde bereits 2002 festgelegt und ist seit 2004 für die elektronische Kommunikation in der Bundesverwaltung im Einsatz. Das Protokoll wird unter anderem in der Justiz, dem Gesundheitswesen und dem Meldewesen genutzt. Anspruch ist es, Integrität, Authentizität, Vertraulichkeit und Nachvollziehbarkeit bei der Übermittlung von Nachrichten zu gewährleisten.

Den Erkenntnissen von Ettlinger und Nimmerrichter zufolge wird der aufgrund mehrerer Sicherheitslücken, die bereits bei einer “oberflächlichen Sicherheitsüberprüfung” gefunden worden seien, aber nicht eingelöst. Denn in der OSCI-Transport Bibliothek, eine Java-Implementierung der Version 1.2 des OSCI-Transport Protokolls, stecken mehrere Sicherheitslücken. Das keine vollständige Sicherheitsanalyse durchgeführt worden sei, ist es den Forscher zudem möglich, dass weitere Schwachstellen oder Angriffsszenarien existieren.

Auf jeden Fall konnte SEC Consult eigenen Angaben zufolge in Version 1.6.1 der OSCI Bibliothek für Java mehrere Schwachstellen identifizieren und diese in zumindest einem OSCI Kommunikationsszenario verifizieren. Demnach ist das auf dem XML-Format basierende Protokoll für einen Angriff mit XML External Entity Injection (XXE) anfällig. Dafür muss der Angreifer eine manipulierte Protokollnachricht an einen Teilnehmer senden. Das erlaubt es ihm dann zum Beispiel, Konfigurationsdateien mit Passwörtern, private Schlüssel oder andere interne Informationen auszulesen.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Auch eine anderweitig bekannte Angriffsmethode, XML Signature Wrapping, führte den Forschern zufolge zum Erfolg. Dabei lassen sich signierte Daten durch beliebige Daten ersetzen. Da die Sicherheitsmechanismen von OSCI-Transport 1.2 allesamt optional sind, sind den Forschern zufolge weitere Angriffsszenarien denkbar. Allerdings könnten sie durch die verwendeten Anwendungen, auf die SEC Consult keinen Zugriff hatte, wieder eingeschränkt werden.

Die Koordinierungsstelle für IT-Standards (KoSIT) hat aufgrund der jetzt veröffentlichten Forschungsergebnisse, über die sie bereits vorab informiert war, bereits am 13. März eine fehlerbereinigte Version (1.7.1) zur Verfügung gestellt. Am 30. März wurde dann auch eine korrigierte Version des Standards veröffentlicht. Derzeit werden wohl noch Nutzer der Bibliothek darüber informiert. Ob die inzwischen alle die fehlerbereinigte Version nutzen ist nicht bekannt.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.