Hotsplots ist einer der größten europäischen Anbieter für professionelle WLAN-Hotspot-Lösungen. Das 2004 in Berlin gegründete Unternehmen versorgt eine Vielzahl von Standorten mit öffentlichem Internetzugang, darunter Hotels, Restaurants, Campingplätze, Bibliotheken sowie Fahrzeuge des öffentlichen Nah- und Fernverkehrs (Busse und Bahnen). Die Systeme von Hotsplots verwalten den Internetzugang über spezielle Anmeldeseiten.

Im Rahmen einer zufälligen Untersuchung stießen wir auf mehrere kritische Sicherheitslücken in der Infrastruktur von Hotsplots. Diese Analyse beschreibt die technischen Details der gefundenen Schwachstellen.

Zusammenfassung der Schwachstellen

Durch eine Verkettung von Schwachstellen war es möglich, weitreichenden Zugriff auf interne Systeme von Hotsplots zu erlangen. Die Untersuchung begann mit einem öffentlich zugänglichen Git-Verzeichnis, das den Quellcode eines Authentifizierungsdienstes preisgab. Die Analyse dieses Quellcodes führte zur Entdeckung von internen Zugangsdaten und einer kritischen SQL-Injection-Schwachstelle. Diese ermöglichte den Zugriff auf hunderte Datenbanktabellen mit Kunden- und Geschäftsdaten. Eine weitere Lücke im Anmeldeverfahren der Router hätte es Angreifern erlaubt, VPN-Konfigurationen herunterzuladen und sich potenziell in das Router-Netzwerk einzuloggen.

Git-Verzeichnis und Quellcode-Zugriff

Durch einen Zufall stellten wir fest, dass das Git-Repository-Verzeichnis des Authentifizierungsdienstes unter der URL https://hotsplots.de/auth/.git/ öffentlich aufrufbar war. Dies ermöglichte das Herunterladen des gesamten Git-Verzeichnisses und damit die vollständige Wiederherstellung des Quellcodes des PHP-basierten Authentifizierungs-Services.

Bei der anschließenden Analyse des Quellcodes stießen wir auf Anmeldedaten für eine interne Datenbank.

Time-Based SQL-Injection

Die Untersuchung des PHP-Quellcodes offenbarte zudem eine schwerwiegende Sicherheitslücke in Form einer time-based SQL-Injection. Diese Schwachstelle konnte von uns verifiziert werden.

Durch die Ausnutzung dieser Lücke hätte ein Angreifer Lesezugriff auf die dahinterliegende Datenbank erhalten. Dies umfasste den Zugriff auf mehrere hundert Tabellen, die sensible Kunden- und Geschäftsdaten enthielten.

Schwachstelle im Router-Anmeldeverfahren

Unabhängig von den ersten beiden Schwachstellen identifizierten wir eine weitere Sicherheitslücke. Diese betraf das Anmeldeverfahren der von Hotsplots eingesetzten Router. Die Schwachstelle machte es möglich, die VPN-Konfiguration der Geräte herunterzuladen.

Mit den erlangten Konfigurationsdaten wäre es einem Angreifer potenziell möglich gewesen, eine VPN-Verbindung zum internen Router-Netzwerk aufzubauen und dieses weiter zu kompromittieren.