Große Hoster sind voller Lücken: Web-Konfiguratoren leicht angreifbar

Internet, Betrug, Schadsoftware, Phishing Bildquelle: CC0 / Pixabay
Einige der weltweit größten Webhoster sind über ziemlich problematische Sicherheitslücken angreifbar. Diese boten Unbefugten nicht nur Zugang zu sensiblen Informationen der Kunden, sondern erlaubten teils auch die komplette Übernahme von Accounts und damit den über diese betriebenen Webseiten. Entdeckt wurden die Probleme vom Sicherheitsforscher Paulos Yibelo. Diesem genügte teilweise einfach nur der passende Link, um fremde Nutzerkonten zu kapern. Eklatante Schwachstellen fand dieser dabei bei Hostern wie Bluehost, DreamHost, Hostgator, OVH und iPage. "Alle fünf hatten mindestens eine ernsthafte Schwachstelle, die eine Übernahme von Accounts erlaubte", erklärte Yibelo gegenüber dem US-Magazin TechCrunch.

Und der Sicherheitsforscher konnte auch eine Ursache ausmachen, die zu den Problemen führt: Die Backend-Systeme bei den Hostern sind jeweils nicht besonders gut gewartet und beruhen auf einer alternden Infrastruktur. Und auf dieser laufen dann webbasierte Systeme, mit denen die Anwender ihre Konten und Dienste verwalten können. Diese werden mit der Zeit immer komplexer, was dann in Verbindung mit enormen Kundenzahlen zu gravierenden Problemen führen kann.


Spearphishing mit Erfolg

Die jeweiligen Schwachstellen konnten nach Angaben des Experten insbesondere gut genutzt werden, um gezielt große Angebote zu übernehmen. Dafür mussten im Grunde oft nur Spearphishing-Kampagnen gegen die Betreiber gefahren werden. Wenn diese dann beispielsweise auf einen übermittelten Link klickten, wurde das Hoster-Konto für den Angreifer aufgemacht.

In anderen Fällen kam Yibelo weiter, indem er die Inhaber der Accounts auf Webseiten lockte, in die bestimmte JavaScript-Codes eingebettet waren. Dann konnte er über Cross-Site Request Forgery (CSRF)-Angriffe den Session übernehmen, mit der gerade auf die Konfigurations-Oberfläche des Hosters zugegriffen wurden. Oder es gelang, direkt aus dem Code heraus eine eigene E-Mail-Adresse zum Zurücksetzen des Passwortes an den Hoster zu übermitteln.

Alle von dem Sicherheitsforscher gefundenen Schwachstellen sind in ihrer jeweiligen Form behoben worden und damit nicht mehr nutzbar. Allerdings sind die grundlegenden Probleme nicht beseitigt, so dass es durchaus noch weitere Lücken geben kann.

Siehe auch: High End-Hacker? - IT der US-Raketenwaffe hält nichtmal Phishing stand Internet, Betrug, Schadsoftware, Phishing Internet, Betrug, Schadsoftware, Phishing CC0 / Pixabay
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 07:25 Uhr JCOTTON USB Ladegerät Mehrfach 6 Ports USB Adapter NetzteileJCOTTON USB Ladegerät Mehrfach 6 Ports USB Adapter Netzteile
Original Amazon-Preis
36,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,44
Ersparnis zu Amazon 15% oder 5,55

Video-Empfehlungen

Tipp einsenden