{"id":291767,"date":"2024-02-11T00:03:00","date_gmt":"2024-02-10T23:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291767"},"modified":"2024-06-17T14:12:39","modified_gmt":"2024-06-17T12:12:39","slug":"ihk-oldenburg-sicherheitslcken-in-tibros-online","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/11\/ihk-oldenburg-sicherheitslcken-in-tibros-online\/","title":{"rendered":"IHK Oldenburg: Sicherheitslücken in Tibros-Online"},"content":{"rendered":"

\"SicherheitAnfang Januar 2024 hat mich ein Blog-Leser auf eine potentielle Sicherheitsl\u00fccke in der Tibros-Online-Plattform aufmerksam gemacht, die IHKs (hier konkret die IHK-Oldenburg) f\u00fcr Abschlussprojekte bei der Ausbildung in IT-Berufen einsetzen. Der Leser befand sich in einer Zwickm\u00fchle, da er das Portal nutzen musste, aber die Schwachstelle nicht melden wollte, weil er Nachteile bef\u00fcrchtet. Ich habe dann den Kontakt zur IHK Oldenburg aufgenommen, um das Problem zu melden. Nachdem die IHK reagiert hat, lege ich den Sachverhalt nun offen.<\/p>\n

<\/p>\n

Sicherheitsl\u00fccken in Tibros-Online<\/h2>\n

\"\"Der Blog-Leser ist selbst in einer Ausbildung in einem IT-Berufe und stand vor der Situation, seinen Projektantrag f\u00fcr das Abschlussprojekt f\u00fcr seine Ausbildung in einem IT-Beruf zu entwerfen und dann bei der zust\u00e4ndigen IHK einzureichen. Bei einem angehenden Industrie-Informatiker muss eine IHK davon ausgehen, dass die Leute vielleicht mal genauer hinschauen (sozusagen ihr \"Gesellenst\u00fcck\" im Vorfeld abliefern und zeigen, was sie so drauf haben). <\/p>\n

Ich mache mal einen Antrag<\/h3>\n

Der Leser hatte die Aufforderung, seinen Antrag online mit den \"Azubi-Zugangsdaten\" und einem PIN gesch\u00fctzt, auf dem IHK-Portal einzureichen. Vom Ausbilder musste das Ganze per PIN best\u00e4tigt und anschlie\u00dfend f\u00fcr die IHK freigegeben werden. Wie schrieb der Leser: \"So weit technisch alles nicht optimal, aber f\u00fcr angehende IT-ler machbar.\" Nun ja, die IHK-Leute sichern das doppelt und dreifach ab. <\/p>\n

\"Tibros-Online-Portal<\/p>\n

Den Auszubildenden wurde dann in den zugestellten Dokumenten mitgeteilt, dass das Portal angeblich unter www.ihk-oldenburg.de\/pao<\/a> zu erreichen sein soll. Ruft man die Seite auf, erfolgt eine Umleitung zu einer IHK-Seite mit Informationen zum Thema \"Pr\u00fcfungsantrag und -dokumentation online\" (PAO). <\/p>\n

Elchtests beim Antrag<\/h3>\n

Der Leser schrieb mir aber, dass das (regionale) Portal unter der URL https:\/\/tibros-online4.de\/161\/tibrosBB\/projekteLogin.jsp<\/a> erreichbar sei. Und weil die IHK in Sicherheit denkt, oder sich vor dem Upload infizierter .doc(x) und .pdf-Dateien sch\u00fctzen m\u00f6chte, m\u00fcssen die Textfelder der Pr\u00fcfantragsseiten in den einzelnen Schritte durch Copy & Paste gef\u00fcllt  werden – ohne das Formatierungsm\u00f6glichkeiten bestehen. \"Sieht furchtbar un\u00fcbersichtlich aus und wird den Pr\u00fcfern das Lesen des Antrages nicht leichter machen.\" meinte der Leser. Aber der junge Mann will seine Abschlusspr\u00fcfung absolvieren, also gilt es nicht zu murren, und die geforderten Angaben per Copy & Paste in die Antragsseiten zu kippen.<\/p>\n

Mal genauer geschaut<\/h3>\n

Da die Anleitungen, die den Pr\u00fcflingen zugestellt wurden, nicht den Links im Portal entsprechen, muss sich der angehender ITler ein wenig selbst durchklicken, um \u00fcberhaupt zu seiner Antragsseite zu gelangen. Aber von der IHK wird eine integrierte Hilfe angeboten. Mit dem Klick auf das Fragezeichen oben rechts in der Ecke der Portalseite gelangt der Pr\u00fcfling zu einer \u00dcbersichtsseite Hilfe<\/a>. Ein weiterer Klick auf \"PDF-Dokumentation\" und man landet bei der URL , die ein Dokument hervorzaubern soll. <\/p>\n

\"HTTP <\/p>\n

Aber im Sinne \"wir machen einen Elchtest f\u00fcr IT-Azubis\" zeigt der Browser einen HTTP Error 404 Not Found an. Den Elchtest habe ich sogar als nicht ITler geschafft, denn k\u00fcrzt man das Ganze auf die URL https:\/\/tibros-online.de:9443\/help\/pdf\/<\/a> wird es interessant. Es erscheint dann diese Anzeige:<\/p>\n

\"Directory<\/p>\n

die nicht nur die Dokumente anbietet, sondern auch die Navigation in der Parent-Directory verspricht. Da juckt es einen doch direkt in den Fingern, was da wohl alles zu finden ist? <\/p>\n

\"Dokumentenliste\"<\/p>\n

Das Ganze war im aktuellen Fall nicht so wirklich wild, da im \u00fcbergeordneten Verzeichnis lediglich die Handb\u00fccher f\u00fcr das tibros-System lagen. Da konnte man die PDF-Dokumente abrufen. Ich h\u00e4tte mich an der Stelle l\u00e4ngst ausgeklinkt, aber ein angehender ITler klickt mal ein wenig herum. Einige Links f\u00fchren zu Online-Hilfeseiten, aber der Link Release Notes<\/a><\/em> schreit geradezu danach inspiziert zu werden. <\/p>\n

\"HTTP<\/p>\n

Humor haben sie ja, die Designer der betreffenden Webseiten: Einfach mal den angehenden IT-Azubis zeigen, was es alles f\u00fcr lustige Fehlermeldungen in diesem wilden weiten Web so gibt. Dieses Dienstlein will nicht mehr und ist unavailable, hei\u00dft es ganz schn\u00f6de. Aber ein angehender ITler interessiert sich weniger f\u00fcr den Error 503, sondern wird von so kryptischen Angaben der Art Powered by Jetty:\/\/ 9.4.28.v20200408<\/a> getriggert. <\/p>\n

Wer oder was ist Jetty?<\/h3>\n

Wenn nix mehr funktioniert, das \"Powered by\" klappt immer, und auf der Zielseite erf\u00e4hrt der staunende Azubi, dass \"The Eclipse Jetty Project\" unter dem Namen \"Jetty\" einen Webserver und einen Servlet-Container bereitstellt, der zus\u00e4tzlich Unterst\u00fctzung f\u00fcr HTTP\/2, WebSocket, OSGi, JMX, JNDI, JAAS und viele andere Integrationen bietet. Diese Komponenten sind Open Source und f\u00fcr die kommerzielle Nutzung und Verbreitung frei verf\u00fcgbar.<\/p>\n

Jetty wird in einer Vielzahl von Projekten und Produkten eingesetzt, sowohl in der Entwicklung als auch in der Produktion. Jetty ist seit langem bei Entwicklern beliebt, da es sich leicht in Ger\u00e4te, Tools, Frameworks, Anwendungsserver und moderne Cloud-Dienste einbinden l\u00e4sst. Ein normaler Azubi denkt sich \"was soll der Schei\u00df\" oder w\u00e4re erst gar nicht so weit vorgedrungen. <\/p>\n

Was wei\u00df das Web \u00fcber Jetty 9.4.28.v20200408?<\/h3>\n

Der angehende IT-Azubi, kurz vor der Abschlusspr\u00fcfung macht aber etwas anderes und zeigt, dass er auch eine Suchmaschine bedienen kann. Die Frage nach \"Jetty 9.4.28.v20200408 vulnerable\" f\u00f6rdert z.B. die Seite Vulnerabilities in Jetty 9.4.28.v20200408<\/a> zum Vorschein, bei dem es einem etwas \u00fcbel werden k\u00f6nnte.<\/p>\n

\"Jetty<\/a><\/p>\n

Nein, ich habe mich nicht \u00fcber \"Russia invaded Ukraine\" erschrocken, sondern \u00fcber die vielen Schwachstellen, die dort f\u00fcr diese Jetty-Version aufgelistet wurden. Auf der Webseite des Jetty-Projekts habe ich gesehen, dass die Version 12.0.x wohl aktuell ist. Die IHK verwendet also eine uralte und mit Schwachstellen durchsetzte Jetty-Version f\u00fcr Tibros-Online. <\/p>\n

Waren die IHKs nicht k\u00fcrzlich Opfer eines Cybervorfalls? Der IT-Azubi war nat\u00fcrlich jetzt in einer doofen Situation: Er soll seine Projektvorschl\u00e4ge f\u00fcr die Abschlussarbeit in einem Online Portal einhacken, welches auf einer mit Schwachstellen durchsetzte Software basiert. Habe ich eben im Satz \"hacken\" geschrieben – gef\u00e4hrlich, Hacker werden in Deutschland verknackt, wie der Modern Solutions-Fall<\/a> zeigt. Motzt der Azubi \u00fcber das unsichere Portal, kriegt er m\u00f6glicherweise einen auf den Deckel. Kreuzt er mit \"ich wei\u00df was, ihr seid hackbar\" auf, kriegt er m\u00f6glicherweise gleich zwei Mal einen auf den Deckel. O-Ton aus der Mail:<\/p>\n

\n

Das alles ist mir nur aufgefallen, weil ich versucht habe, meinen Antrag hochzuladen. Ich war kurz davor, es der IHK selbst zu melden aber bef\u00fcrchte dann Konsequenzen f\u00fcr meine Abgabe bzw. den Zorn meiner Mitsch\u00fcler:innen auf mich zu ziehen, dass die IHK wieder Probleme hat und ihr System offline nimmt bzw. unsere Abgaben nicht erfolgen k\u00f6nnen.<\/p>\n<\/blockquote>\n

Gut, perfekt gegendert, auch wenn das \"divers\" noch fehlt. Und clever \u00fcber Bande gespielt, denn der Leser schrieb:  Vielleicht ist das interessant f\u00fcr Sie, da Sie sonst auch immer sehr kompetent mit datenschutz- und sicherheitsrelevanen Themen wie etwa der Bauhaus-App umgehen. Ich habe nicht weiter nachgeforscht, ob dies jetzt ein Problem von Tibros-Online oder der IHK ist und ob es nur die IHK Oldenburg betrifft. Ich denke aber, dass es eine Kombination ist und mehrere IHK dieses System nutzen.<\/em> Ging nat\u00fcrlich runter wie \u00d6l, in Inkompentenz bin ich kompetent und nachfragen k\u00f6nnte man ja mal. <\/p>\n

Ich frag mal nach<\/h2>\n

Ich habe den Sachverhalt anonymisiert aufbereitet und der IHK-Oldenburg als E-Mail zukommen lassen. Dabei bat ich um Stellungnahme und k\u00fcndigte eine Offenlegung im Februar 2024 an. Die IHK hat dann auch z\u00fcgig geantwortet und mir nachfolgend geschildert, dass das keine Sicherheitsl\u00fccke sei und das man reagiert habe.<\/p>\n

\n

WG: Unsichere Tibros-Variante f\u00fcr Pr\u00fcfungen der IHK?<\/p>\n

Guten Tag, Herr Born,<\/p>\n

wir haben uns nach Eingang Ihrer Mail mit unserem Dienstleister ausgetauscht. Hier die Stellungnahme des Dienstleisters dazu:<\/p>\n

Unter https:\/\/tibros-online.de:9443\/help\/<\/a> sind die Anleitung f\u00fcr die tibros Fachanwendungen abgelegt. So wie bei jeden anderen Softwarehersteller auch das \"Handbuch\" welches kein Geheimnis ist. Da dort nur auf einem extra Server PDF-Dateien abgelegt sind, ist es auch nicht tragisch, dass dies auf einer alten JEtty Version l\u00e4uft. Sch\u00f6n ist das selbstverst\u00e4ndlich nicht. <\/p>\n

Wir haben die Seite offline genommen und werden diese zuk\u00fcnftig nur im Intranet der IHK bereitstellen und nat\u00fcrlich die Jetty Version auf den neusten Stand bringen. <\/p>\n

Bei den  Anleitungen handelt es sich  f\u00fcr eine auf dem freien Markt erwerbbare Software im Internet erreichbare Handb\u00fccher. Daraus l\u00e4\u00dft sich jedoch kein Sicherheitsrisiko f\u00fcr die IHK oder f\u00fcr die Daten von Pr\u00fcflingen ableiten. <\/p>\n

Die Daten lagen auf einem extra Dedicatet Linuxsserver. Zudem handelt es sich um Hilfe-Dateien (PDF-Dateien) die vom Dienstleister dort gehostet werden. <\/p>\n

Ein Sicherheitsrisiko f\u00fcr die IHK oder M\u00f6glichkeiten des unerlaubten Zugriffs auf Pr\u00fcflingsdaten bestand nicht. <\/p>\n<\/blockquote>\n

Dass die PDF-Dateien, die auf dem Server abrufbar waren, kein Sicherheitsrisiko darstellen, ist klar (wenn man mal davon absieht, dass PDF-Dokumente per se ein Sicherheitsrisiko darstellen). Auch die M\u00f6glichkeit zum Navigieren in der Ordnerstruktur scheint wirklich nur auf das PDF-Dokumentverzeichnis zu f\u00fchren. Zumindest konnte ich auf die Schnelle mit einigen URL-Varianten nur bis zur index.jsp des Systems zur\u00fcck springen. <\/p>\n

Immerhin hat man am 23. Januar 2024 angegeben, dass man nun die Seite offline genommen habe und nur noch per Intranet Zugriff gew\u00e4hre. Auch will man die Jetty-Version auf den neusten Stand aktualisieren. Die tibros-online-Seite ist aber nach wie vor auf der alten Version – spricht nicht f\u00fcr den tibros-Dienstleister. <\/p>\n

\"IHK-Oldenburg\"<\/p>\n

 <\/p>\n

Dabei wirbt die IHK-Oldenburg in der Signatur der E-Mail mit \"JETZT #K\u00d6NNENLERNEN – Ausbildung macht mehr aus uns\" – finde ich gut. Schicken wir den tibros-Dienstleister mal zum IHK-Kurs? Etwas gezuckt habe ich \u00fcber die obigen Angaben, wo die IHK alles vertreten ist – so ganz spontan habe ich noch WhatsApp \"vermisst\". An Meta und Microsoft kommen wir wohl nicht mehr vorbei – Datenschutz und DSGVO wird bei Institutionen eh \u00fcberbewertet, wir m\u00fcssen die Leute da in der Ausbildung abholen, wo sie beim Facebook oder LinkedIn herumlungern. <\/p>\n","protected":false},"excerpt":{"rendered":"

Anfang Januar 2024 hat mich ein Blog-Leser auf eine potentielle Sicherheitsl\u00fccke in der Tibros-Online-Plattform aufmerksam gemacht, die IHKs (hier konkret die IHK-Oldenburg) f\u00fcr Abschlussprojekte bei der Ausbildung in IT-Berufen einsetzen. Der Leser befand sich in einer Zwickm\u00fchle, da er das … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291767","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291767","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291767"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291767\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291767"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291767"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291767"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}