{"id":293978,"date":"2024-04-02T01:44:42","date_gmt":"2024-04-01T23:44:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293978"},"modified":"2024-06-17T14:12:33","modified_gmt":"2024-06-17T12:12:33","slug":"cyberangriff-auf-schul-webseiten-im-schweizer-kanton-freiburg-april-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/02\/cyberangriff-auf-schul-webseiten-im-schweizer-kanton-freiburg-april-2024\/","title":{"rendered":"Cyberangriff auf Schul-Webseiten im Schweizer Kanton Freiburg? (April 2024)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>Im Schweizer Kanton Fribourg (Freiburg) sind wohl eine Reihe Webseiten von Schulen offline. Bestenfalls erhalten die Besucher beim Abruf der betreffenden URLs einen Fehlerhinweis und es hei\u00dft wohl offiziell, dass eine technische Wartung erfolgt. Dieser Zustand h\u00e4lt aber schon einige Tage an &#8211; und wenn meine Informationen stimmen, hat sich dort ein \"Cybervorfall\" ereignet, bei dem auch Daten abgeflossen sein k\u00f6nnten. <strong>Nachtrag:<\/strong> Eine Quelle teilte mit, dass er Antwort erhalten habe, es sei ein \"technischer Fehler\" f\u00fcr diesen Ausfall verantwortlich gewesen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/d6b74eb54e074dc7b148fd369ec43618\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/Kanton_Freiburg\" target=\"_blank\" rel=\"noopener\">Freiburg<\/a> (frz.: Fribourg) ist ein l\u00e4ndlicher Kanton im Westen der Schweiz und grenzt an Bern und den Neuenburgersee. Der Kanton, durch den die Saane flie\u00dft, ist f\u00fcr seine 2 Sprachen bekannt, im Westen spricht man Franz\u00f6sisch, im Osten Deutsch. Die offizielle Eigenbezeichnung lautet: <i>Etat de Fribourg \/ Staat Freiburg<\/i>. Er geh\u00f6rt sowohl der frankophonen <a href=\"https:\/\/de.wikipedia.org\/wiki\/Romandie\" target=\"_blank\" rel=\"noopener\">Romandie<\/a> als auch der <a href=\"https:\/\/de.wikipedia.org\/wiki\/Deutschschweiz\" target=\"_blank\" rel=\"noopener\">Deutschschweiz<\/a> an. Etwa zwei Drittel der Bev\u00f6lkerung sprechen Franz\u00f6sisch und knapp ein Drittel Deutsch, womit Freiburg zusammen mit den Kantonen Bern, Wallis und Graub\u00fcnden zu den offiziell mehrsprachigen Kantonen geh\u00f6rt. Der Hauptort ist die gleichnamige Stadt <a href=\"https:\/\/de.wikipedia.org\/wiki\/Freiburg_im_%C3%9Cechtland\" target=\"_blank\" rel=\"noopener\">Freiburg<\/a>.<\/p>\n<h2>Schul-Webseiten offline<\/h2>\n<p>Ein Blog-Leser hat mich darauf hingewiesen, dass ich mir mal diverse Schul-Webseiten in diesem Kanton ansehen m\u00f6ge. Ich habe mal folgende Webseiten versucht aufzurufen:<\/p>\n<ul>\n<li>os-plaffeien.ch<\/li>\n<li>dosf.ch<\/li>\n<li>ostafers.ch<\/li>\n<li>osduedingen.ch<\/li>\n<li>kgprim-stantoni.ch<\/li>\n<\/ul>\n<p>Bei allen diesen Webseiten meldet der Browser \"The website encountered an unexpected error. Please try again later.\" Nachfolgender Screenshot zeigt einen solchen Versuch, der mir von einem Leser zuging.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Schulwebseite os-plaffeien.ch offline\" src=\"https:\/\/i.postimg.cc\/G9nrnhdk\/image.png\" alt=\"Schulwebseite os-plaffeien.ch offline\" width=\"699\" height=\"318\" \/><\/p>\n<p>Mein Versuch, die Webseiten im Internetarchiv zu inspizieren, war nicht sehr erfolgreich &#8211; die meisten Schulseiten werden dort nicht erfasst. Bei einigen URLs gab es Schnappsch\u00fcsse, aber ich habe auch in diesem Snapshots des Internetarchivs seit einigen Tagen einen Crawl-Error zur\u00fcckgemeldet bekommen.<\/p>\n<h2>Drupal 8 im Einsatz?<\/h2>\n<p>Ein Blick in den Quellcode der im Internetarchiv aufgezeichneten (noch funktionierenden) Schnappsch\u00fcsse zeigt, dass dort wohl &#8211; zumindest teilweise &#8211; Meta-Eintr\u00e4ge zu Drupal (Version 8) auftreten, d.h. es kommt als Content Management System (CMS) Drupal zum Einsatz.<\/p>\n<p><img decoding=\"async\" title=\"Drupal 8 auf Schulseite von kgprim-stantoni.ch\" src=\"https:\/\/i.postimg.cc\/0jc16dsy\/image.png\" alt=\"Drupal 8 auf Schulseite von kgprim-stantoni.ch\" \/><\/p>\n<p>Aktuell ist meines Wissens nach Drupal 10. Schlage ich in der <a href=\"https:\/\/de.wikipedia.org\/wiki\/Drupal\" target=\"_blank\" rel=\"noopener\">Wikipedia<\/a> nach Drupal und der Version 8 nach, hat diese diese Version am 17. November 2021 die letzte kritisch eingestufte Sicherheitsaktualisierung auf 8.9.20 erhalten und der Drupal 8 Core hat das Ende des Supports (End of Life) erreicht. Und in 2022 wurden mehrere kritische Schwachstellen <a href=\"https:\/\/web.archive.org\/web\/20240510010847\/https:\/\/www.drupal.org\/sa-core-2022-016\" target=\"_blank\" rel=\"noopener\">gemeldet<\/a>, die erst in diversen Drupal 9-Versionen beseitigt wurden. Die Schulseiten waren also (m\u00f6glicherweise) mit einer nicht mehr im Support befindlichen Drupal-Version online.<\/p>\n<h2>Gab es einen Cybervorfall?<\/h2>\n<p>Von meiner Quelle hie\u00df es, dass seit mehr als zwei Tagen die Meldung \u00fcber eine \"offizielle Wartung\" der betreffenden Schulseiten ausgegeben wurde. Kann schon mal passieren &#8211; aber es w\u00e4re dann gut, wenn auf den Schulseiten \u00fcber Ostern ein kurzer Hinweis auf \"Wartung\" zu finden w\u00e4re. Allerdings gibt es den Verdacht, dass da mehr als eine \"offizielle Wartung\" passiert ist.<\/p>\n<p>Mir wurde dann berichtet, dass dem Personal empfohlen werde, alle Kennw\u00f6rter zu wechseln, was f\u00fcr mich sofort den Verdacht sch\u00fcrt, dass dort ein Hack oder Cyberangriff erfolgt ist. Aus einer Quelle kam die unbest\u00e4tigte Information, dass Lehrpersonal die Informationen bekommen habe, dass bei einem Hack wohl Namen, Passw\u00f6rter, Kreditkartendaten (was machen diese Daten an Schulen) und weitere pers\u00f6nliche Informationen in unbefugte H\u00e4nde geraten seien. L\u00e4sst sich da was n\u00e4heres zu sagen oder diese Information best\u00e4tigen bzw. widerlegen? Ich habe mal beim Kanton nachgefragt, aber bisher keine R\u00fcckmeldung bekommen.<\/p>\n<h2>Technischer Fehler als Ursache<\/h2>\n<p><strong>Nachtrag:<\/strong> Ich hatte beim Kanton Freiburg nachgefragt. Von dort liegt mir nur der Hinweis vor, dass man die Anfrage \"schnellstm\u00f6glich\" beantworten wolle. Parallel dazu hatte ich gestern\u00a0Phillip Anz von der Schweizer-Seite Inside IT per Mail kontaktiert und gebeten nachzufragen. Er schrieb mir dazu:<\/p>\n<blockquote><p>Ich habe eine Antwort vom Freiburger Bildungsdepartement (Direktion f\u00fcr Bildung und kulturelle Angelegenheiten) erhalten: Es handelte sich um eine Panne, die heute Morgen [2. April 2024] behoben wurde. Die Sites sind wieder online erreichbar.<\/p>\n<p>Hier die aus dem Franz\u00f6sischen \u00fcbersetzte Antwort der Mediensprecherin:<\/p>\n<p>\"Auf Nachfrage bei unserem Fritic-Kompetenzzentrum wurde uns mitgeteilt, dass es sich um eine einfache Panne handelt, die eine Datenbank betrifft: kein Hacking und keine Verbindungsprobleme in den Schulen.<\/p>\n<p>Die Panne trat am Freitag, dem 29. M\u00e4rz, um 3.47 Uhr auf und wurde heute Morgen um 9.30 Uhr vom Team des Fritic Centers behoben. Sie betraf die Schulen, deren Webseiten vom Fritic Center gehostet werden.\"<\/p><\/blockquote>\n<p>Damit ist die Sachlage erst einmal offiziell in Bezug auf \"Cyberangriff\" abger\u00e4umt. Ich habe dann aber mal einen Sicherheits-Check f\u00fcr die <a href=\"https:\/\/web.archive.org\/web\/20240402102058\/https:\/\/www.os-plaffeien.ch\/de\/orientierungsschule-plaffeien\" target=\"_blank\" rel=\"noopener\">Schulseite von Plaffeien<\/a> mittels der Seite <a href=\"https:\/\/pentest-tools.com\/website-vulnerability-scanning\/website-scanner?view_report=true\" target=\"_blank\" rel=\"noopener\">pentest-tools.com<\/a> durchf\u00fchren lassen. Denn ich war mir nicht sicher, ob die in obigem Quellcode-Auszug gezeigten Drupal 8-Meta-Eintr\u00e4ge nicht veraltet seien. Das Ergebnis sieht irgendwie ern\u00fcchternd aus:<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/5td3Fy7r\/image.png\" alt=\"Sicherheitscheck Schulseite Plaffeien\" \/><\/p>\n<p>Es wird ein hohes Risiko gemeldet und in den Details des Security-Scanners werden mir einige Probleme mit Drupal 8 gemeldet.<\/p>\n<ul>\n<li>CVE-2020-13675: Drupal's JSON:API and REST\/File modules allow file uploads through their HTTP APIs. The modules do not correctly run all file validation, which causes an access bypass vulnerability. An attacker might be able to upload files that bypass the file validation process implemented by modules on the site. CVSS 3.1: 7.5<\/li>\n<li>CVE-2017-6920: Drupal core 8 before versions 8.3.4 allows remote attackers to execute arbitrary code due to the PECL YAML parser not handling PHP objects safely during certain operations.\u00a0CVSS 3.1: 7.5<\/li>\n<li>CVE-2018-7600: Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1 allows remote attackers to execute arbitrary code because of an issue affecting multiple subsystems with default or common module configurations. VSS 3.1: 7.5<\/li>\n<li>CVE-2017-6925: In versions of Drupal 8 core prior to 8.3.7; There is a vulnerability in the entity access system that could allow unwanted access to view, create, update, or delete entities. This only affects entities that do not use or do not have UUIDs, and entities that have different access restrictions on different revisions of the same entity. VSS 3.1: 7.5<\/li>\n<li>CVE-2022-25273: Drupal core's form API has a vulnerability where certain contributed or custom modules' forms may be vulnerable to improper input validation. This could allow an attacker to inject disallowed values or overwrite data. Affected forms are uncommon, but in certain cases an attacker could alter critical or sensitive data. VSS 3.1: 7.5<\/li>\n<\/ul>\n<p>Alle oben genannten CVEs beziehen sich auf Drupal 8. Auch bei weiteren der oben genannten Schulseiten-URLs erhalte ich die gleichen Hinweise auf Schwachstellen in Drupal 8. Tests mit dem <a href=\"https:\/\/sitecheck.sucuri.net\/results\/dosf.ch\" target=\"_blank\" rel=\"noopener\">Sucuri-Security-Scanner<\/a> haben aber keinen Malware-Befall gemeldet &#8211; noch scheinen die Seiten also sauber zu sein. Aber die obigen Tests lassen mich dann doch etwas ratlos zur\u00fcck. Entweder die Leute betreiben die Schulseiten wirklich auf einem veralteten Drupal 8. Oder die Sicherheitsscanner werden bei einer Pr\u00fcfung fehlgeleitet und melden Risiken, wo keine sind. Aber auch mein Scan mit <a href=\"https:\/\/hackertarget.com\/drupal-security-scan\/\" target=\"_blank\" rel=\"noopener\">diesem Drupal-Scanner<\/a> liefert Hinweise auf Drupal 8. Aufkl\u00e4rung k\u00f6nnten nur die Betreiber liefern.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im Schweizer Kanton Fribourg (Freiburg) sind wohl eine Reihe Webseiten von Schulen offline. Bestenfalls erhalten die Besucher beim Abruf der betreffenden URLs einen Fehlerhinweis und es hei\u00dft wohl offiziell, dass eine technische Wartung erfolgt. Dieser Zustand h\u00e4lt aber schon einige &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/04\/02\/cyberangriff-auf-schul-webseiten-im-schweizer-kanton-freiburg-april-2024\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-293978","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293978","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293978"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293978\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293978"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293978"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293978"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}