Offensive Services

Sicherheitslücke in Lernplattform Mebis!

Aktualisiert am

Lernplattformen bekommen in Covid19-Zeiten immer mehr aufsehen und gewinnen stark an Nutzern. Jedoch sind nicht alle dieser Plattformen sicher und schützen die Daten der Nutzer ausreichend. So ist es auch mit der Plattform Mebis, die vom Bayerischen Kultusministerium entwickelt wurde. Eine Hackergruppe veröffentlichte nun einen Beitrag, indem mehrere Schwachstellen genannt wurden, die in der Plattform Mebis enthalten sind.

Hackergruppe aus Nürnberg entdeckt Sicherheitslücken in Mebis

Bereits am 20. Mai 2020 entdeckte die Hackergruppe eine Open Redirect Sicherheitslücke in der Lernplattform Mebis. Ein Mitglied der Hackergruppe ist selbst noch Schüler und verwendet im Unterricht diese Lernplattform. Bei der gefundenen Open Redirect Schwachstelle war es den Angreifern möglich in die URL eine Webseite einzugeben, auf die automatisch weitergeleitet wird. Solch eine Sicherheitslücke kann verwendet werden um Opfer eine Phishing-Seite weiterzuleiten.

Einen Tag später meldete die Hackergruppe weitere Sicherheitslücken, dabei waren weitere Open Redirect Schwachstellen, eine Client Side Only Validation und eine XSS-Sicherheitslücke. Die XSS-Sicherheitslücke ist hierbei am gefährlichsten, denn Angreifern ist es möglich eigenen Java-Script-Code zur Ausführung zu bringen.

Erneut können hierdurch Opfer auf Phishing-Seiten geleitet werden, dass gefährlichere im Vergleich zu der Open Redirect Schwachstelle ist, dass die URL die angezeigt wird unverändert ist und somit der Nutzer nur schwer erkennen kann, dass er auf einer Phishing-Seite gelandet ist.

92 Tage später – Erste Sicherheitslücke wurde geschlossen

Nachdem die Hackergruppe im Mai 2020 die Sicherheitslücken entdeckt hatte, meldeten sie diese umgehend an das Bayerische Kultusministerium. Sie gaben dem Ministerium eine 90tägige Frist, um dieses Lücken zu schließen, bevor die Hackergruppe einen Pressebericht verfassen würde.

Nach mehrmaligem Erinnern an die Frist ohne eine konkrete Antwort, wann die Lücken geschlossen werden sollen, verstrichen die 90 Tage am 19.08.2020. Genau an diesem Tag wurde ein Beitrag auf der Webseite der Hackergruppe veröffentlicht, der unter anderem alle Sicherheitslücken detailliert darstellt.

Am 21.08.2020 tauchte der erste Pressebericht auf. Lediglich 1 Stunde später wurde die XSS-Lücke geschlossen. Der Landesbeauftragte meldetet der Hackergruppe, dass die XSS-Lücke geschlossen wurde, jedoch die anderen Lücken noch nicht alle behoben werden konnten. Die weiteren Lücken wurden jedoch alle spätestens am darauffolgenden Tag geschlossen.

Mebis Schwachstellen wurden nicht ausgenutzt

Laut der ersten veröffentlichten Pressemitteilung gäbe es keine Anzeichen, dass diese Schwachstellen ausgenutzt wurden. Dennoch ist es gut, dass die Hackergruppe diese teilweise kritischen Schwachstellen gefunden und gemeldet hat, denn ca. 1 Million Schüler besitzen auf dieser Plattform einen Account.

Wenn man selbst Interesse hat Schwachstellen in realen Systemen zu finden kann man gut mit Bug Bounty Programmen starten. Findet man in einer echten Anwendung tatsächlich Schwachstellen können diese Funde belohnt werden.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.