Sicherheitslücke durch Symfony Profiler

Rotes Kreuz leakt Passwörter und interne Nachrichten

Deutsches Rotes Kreuz
Bildquelle: nitpicker /Shutterstock.com

Beim Berliner Roten Kreuz sind sensible Informationen wie Passwörter und interne Kommunikation für jedermann im Internet einsehbar gewesen.

Das Cybernews-Rechercheteam deckte eine Fehlkonfiguration in den Systemen des Bezirksverbands Berlin-Nordost auf, die einen uneingeschränkten Zugriff auf Daten der Organisation ermöglichte.

Anzeige

Die durchgesickerten Daten umfassten unter anderem Mitarbeiter-E-Mails, Passwörter im Klartext sowie vertrauliche interne Nachrichten. In manchen Fällen wurden darin brisante Details wie Zugangscodes, Schlüsselaufbewahrungsorte und “sicherheitsrelevante Problemstellen” in Einrichtungen des Roten Kreuzes offenbart.

form info
Ein Beispiel der geleakten Nachrichten. Bildquelle: Cybernews

Besonders alarmierend sind die geleakten Login-Daten, da sie für Credential-Stuffing-Angriffe auf weitere Systeme des Berliner sowie gesamtdeutschen Roten Kreuzes genutzt werden könnten. Dort werden möglicherweise persönliche Daten von Hilfsempfängern, Mitarbeitern, Ehrenamtlichen und Spendern verarbeitet.

Die Forscher fanden außerdem Hinweise auf automatisierte Versuche durch Schadsoftware wie Androxgh0st und Legion, die Anmeldeinformationen auszulesen. Obwohl keine Beweise für einen erfolgreichen Angriff vorliegen, ist die schlichte Tatsache, dass die Systeme öffentlich zugänglich waren und ins Visier gerieten, ein Sicherheitsdesaster.

Anzeige

Die Panne wurde durch ein aktives und öffentlich erreichbares Symfony-Profiler-Tool auf der Roten Kreuz-Website verursacht. Symfony ist ein leistungsstarkes PHP-Framework und dient Entwicklern normalerweise zur Fehlersuche und Performance-Optimierung in der Test- und Entwicklungsphase. Sie erfassen jedoch eine Vielzahl sensibler Laufzeitdaten wie Datenbankabfragen, Formulareingaben und eben auch Anmeldeinformationen, die nicht öffentlich einsehbar sein sollten. Das Cybernews-Team rät dringend, solche Profiler in Produktionsumgebungen zu deaktivieren.

Der Berliner Bezirksverband Nordost ist Teil des Berliner Roten Kreuzes mit acht Kreisverbänden. Er beschäftigt über 100 Mitarbeiter, hat 10.000 Mitglieder und 400 Freiwillige, die ein breites Angebot von Familienberatung über Erste-Hilfe-Kurse bis zur Obdachlosenhilfe leisten. Cybernews informierte das Rote Kreuz, woraufhin der ungesicherte Zugriff geschlossen wurde. Die Daten waren jedoch seit September 2022 frei verfügbar. Eine offizielle Stellungnahme steht noch aus.

Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.