Comodos Forum wird gehackt, nachdem das Unternehmen einen Sicherheitspatch nicht rechtzeitig anwenden kann

Comodo Forum Hacked After a Delayed Patch

Auf diesen Seiten erfahren wir oft, wie wichtig Software-Updates sind, nicht nur aufgrund der neuen Funktionen und Leistungsverbesserungen, sondern auch aufgrund der Sicherheitspatches. Am Montag hat Comodo, ironischerweise eine Sicherheitsfirma, eine Geschichte veröffentlicht, die zeigt, was passieren kann, wenn die besagten Patches um nicht mehr als vier Tage verzögert werden. Bevor wir jedoch dem Problem auf den Grund gehen, sollten wir erwähnen, dass der Vorfall nicht wirklich so schrecklich ist.

Nicht der größte Verstoß der Welt

Comodo veröffentlichte eine kurze Sicherheitsmitteilung, in der darauf hingewiesen wurde , dass unbekannte Hacker am 29. September Zugang zu einer Datenbank erhielten, die die Informationen ihrer Forumsbenutzer enthielt. Möglicherweise wurde auf insgesamt 245.000 Datensätze zugegriffen, von denen jeder einen Namen, eine E-Mail-Adresse, die neueste IP-Adresse des Benutzers und ein "verschlüsseltes" Kennwort enthielt.

Angesichts anderer Sicherheitsvorfälle der letzten Zeit könnten einige versucht sein, diesen bestimmten Verstoß als unbedeutend einzustufen. In der Tat ist die Datenmenge, die gefährdet wurde, nicht so groß, und obwohl der Hinweis ein wenig spärlich ist, gibt es nur wenige Gründe zu der Annahme, dass besonders sensible Informationen preisgegeben wurden.

Abgesehen davon gibt der tatsächliche Mechanismus des Einbruchs Anlass zur Sorge, da sich herausstellt, dass ein in der Cybersicherheitsbranche bekannter Name keine Aktualisierungsrichtlinie festgelegt hat, mit der er (und seine Benutzer) geschützt werden können.

Eine gepatchte vBulletin-Sicherheitslücke war der Grund für die Datenverletzung

Am 23. September hat ein anonymer Sicherheitsforscher eine zuvor unbekannte Sicherheitslücke in der fünften Version von vBulletin, einer beliebten in PHP geschriebenen Software für Internetforen, öffentlich gemeldet. Verfolgt als CVE-2019-16759, ist der Fehler aus einigen sehr guten Gründen ziemlich beängstigend.

Erstens, obwohl es als "Zero-Day-Sicherheitslücke" bezeichnet wurde, wussten einige Leute davon, lange bevor es veröffentlicht wurde. Wie The Register zu der Zeit berichtete , sagten Experten, dass Exploits seit Jahren auf dem Untergrundmarkt sind. Mit anderen Worten, Cyberkriminelle haben relativ einfachen Zugriff auf den Code, der Tausende von vBulletin-Foren gefährden kann.

Darüber hinaus ist der Angriff nicht besonders schwer durchzuführen. Das Ausnutzen der Lücke erfordert einige Zeilen Python-Code, die in eine HTTP-POST-Anforderung eingefügt werden. Diese Leitungen sind jetzt öffentlich verfügbar.

Last but not least bedeutet die Tatsache, dass CVE-2019-16759 ein Fehler bei der Remotecodeausführung ist, dass Hacker nach einem erfolgreichen Exploit mehr oder weniger tun können, was sie wollen.

Weil der Fehler so gefährlich ist, haben die Entwickler von vBulletin ziemlich schnell einen Patch zusammengestellt. Am 25. September, vier Tage vor dem Angriff auf Comodo, wurden Korrekturen für alle gefährdeten Versionen veröffentlicht, und Sicherheitsexperten forderten alle dringend auf, die Patches zu installieren. Comodo hat nicht aufgepasst, und die Ergebnisse sind jetzt offensichtlich. Das Unternehmen versprach, von nun an eine strikte Update-Richtlinie zu erstellen und zu befolgen, und die Benutzer können nur hoffen, dass es sein Wort hält. Sie können auch hoffen, dass die Hinweise ein wenig deutlicher sind, wenn es das nächste Mal um einen Sicherheitsvorfall geht.

Comodo sorgt für einige Verwirrung bei der Benachrichtigung über Datenschutzverletzungen

Die Benachrichtigung über Datenschutzverletzungen wurde auf https://forums.comodo.com/ (den Comodo und seinen Produkten gewidmeten Foren) veröffentlicht, und die darin erwähnten 425.000 Datensätze gehören Personen, die dieses bestimmte Forum genutzt haben. Der Moderator, der die Mitteilung veröffentlichte, machte keinen Versuch, die Tatsache zu verbergen, dass die Angreifer CVE-2019-16759 ausnutzten, um die Daten zu stehlen, und dies ließ einige Leute ratlos zurück. Wie einige Benutzer schnell betonten , basiert https://forums.comodo.com/ auf Simple Machines Forum, einer anderen Internet Message Board-Software, die nichts mit vBulletin zu tun hat.

Die Moderatoren mussten dann erklären, dass die Angreifer tatsächlich https://forum.itarian.com/ gehackt haben, ein anderes Forum, das Comodo gehört und auf vBulletin basiert. Da https://forum.itarian.com/ und https://forums.comodo.com/ auf demselben Server gehostet werden, erhielten die Hacker Zugriff auf nicht nur eine, sondern zwei Datenbanken. Die mit https://forum.itarian.com/ voll besetzte hatte offenbar etwas mehr als 45.000 Besucher.

Selbst mit der zweiten Datenbank ist die Verletzung nicht besonders schrecklich. Das heißt, es enthüllt eine unglückliche Wahrheit über den aktuellen Stand der Cybersicherheit. Genau wie die weit verbreitete Wiederverwendung von Kennwörtern unter Sicherheitsexperten zeigt dieser Vorfall, dass selbst die Fachleute nicht bereit sind, ihren eigenen Ratschlägen zu vertrauen und die grundlegendsten Sicherheitsprinzipien einzuhalten.

October 2, 2019

Antworten