Wolfgang Ettlinger und Marc Nimmerrichter haben im Auftrag des in Wien ansässigen SEC Consult Vulnerability Lab mehrere Schwachstellen in dem von deutschen Behörden verwendeten Protokoll OSCI-Transport aufgedeckt. Sie könnten ausgenutzt werden, um Daten, die zwischen Behörden übermittelt werden, zu entschlüsseln, zu manipulieren oder Dateien von Behörden-Servern auszulesen.
OSCI-Transport wurde bereits 2002 festgelegt und ist seit 2004 für die elektronische Kommunikation in der Bundesverwaltung im Einsatz. Das Protokoll wird unter anderem in der Justiz, dem Gesundheitswesen und dem Meldewesen genutzt. Anspruch ist es, Integrität, Authentizität, Vertraulichkeit und Nachvollziehbarkeit bei der Übermittlung von Nachrichten zu gewährleisten.
Den Erkenntnissen von Ettlinger und Nimmerrichter zufolge wird der aufgrund mehrerer Sicherheitslücken, die bereits bei einer “oberflächlichen Sicherheitsüberprüfung” gefunden worden seien, aber nicht eingelöst. Denn in der OSCI-Transport Bibliothek, eine Java-Implementierung der Version 1.2 des OSCI-Transport Protokolls, stecken mehrere Sicherheitslücken. Das keine vollständige Sicherheitsanalyse durchgeführt worden sei, ist es den Forscher zudem möglich, dass weitere Schwachstellen oder Angriffsszenarien existieren.
Auf jeden Fall konnte SEC Consult eigenen Angaben zufolge in Version 1.6.1 der OSCI Bibliothek für Java mehrere Schwachstellen identifizieren und diese in zumindest einem OSCI Kommunikationsszenario verifizieren. Demnach ist das auf dem XML-Format basierende Protokoll für einen Angriff mit XML External Entity Injection (XXE) anfällig. Dafür muss der Angreifer eine manipulierte Protokollnachricht an einen Teilnehmer senden. Das erlaubt es ihm dann zum Beispiel, Konfigurationsdateien mit Passwörtern, private Schlüssel oder andere interne Informationen auszulesen.
In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.
Auch eine anderweitig bekannte Angriffsmethode, XML Signature Wrapping, führte den Forschern zufolge zum Erfolg. Dabei lassen sich signierte Daten durch beliebige Daten ersetzen. Da die Sicherheitsmechanismen von OSCI-Transport 1.2 allesamt optional sind, sind den Forschern zufolge weitere Angriffsszenarien denkbar. Allerdings könnten sie durch die verwendeten Anwendungen, auf die SEC Consult keinen Zugriff hatte, wieder eingeschränkt werden.
Die Koordinierungsstelle für IT-Standards (KoSIT) hat aufgrund der jetzt veröffentlichten Forschungsergebnisse, über die sie bereits vorab informiert war, bereits am 13. März eine fehlerbereinigte Version (1.7.1) zur Verfügung gestellt. Am 30. März wurde dann auch eine korrigierte Version des Standards veröffentlicht. Derzeit werden wohl noch Nutzer der Bibliothek darüber informiert. Ob die inzwischen alle die fehlerbereinigte Version nutzen ist nicht bekannt.
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
View Comments
"...und viele Arztpraxen verfügten noch nicht einmal über die zum Auslesen der Daten benötigte Infrastruktur. Sie sollen Stand heute ab 2018 durch Abzüge gezwungen werden, bei der elektronischen Gesundheitskarte mitzumachen."
Wir sind längst im Bereich der angedrohten Strafen, falls die Hardware nicht bereitgestellt wird. Die Hardware ist aber bis zum heutigen Tag nicht erhätlich.