Dieser Artikel bietet einen fachlichen Überblick über eine Sicherheitsanalyse, die 2023 für das Schulportal Hessen durchgeführt wurde. Im Rahmen dieser Analyse wurden mehrere kritische Schwachstellen entdeckt, die gemeldet und inzwischen behoben wurden. Es ist wichtig zu erwähnen, dass alle beschriebenen Ereignisse im Jahr 2023 stattfanden und alle identifizierten Sicherheitslücken geschlossen wurden. Unsere Zusammenarbeit mit dem Team des Schulportals Hessen war produktiv und professionell und zeigte dessen Einsatz für die Sicherheit der Plattform.

Die Untersuchung deckte eine Reihe von Schwachstellen auf, die auf Softwarefehler und Fehlkonfigurationen zurückzuführen waren. In Kombination ermöglichten diese Probleme die Ausweitung von Berechtigungen von einem anfänglich niedrigen Einstiegspunkt auf die vollständige administrative Kontrolle über ca. 100 Server innerhalb der Infrastruktur des Portals. Dazu gehörte auch der Zugriff auf eine Netzwerkverbindung innerhalb der Hessischen Zentrale für Datenverarbeitung (HZD).

Entdeckung der Schwachstellen

Das Schulportal Hessen nutzt weit verbreitete Open-Source-Plattformen, darunter Moodle für das Lernmanagement und Mahara für Schülerportfolios. Der erste Einstiegspunkt wurde durch die Identifizierung von Schwachstellen in Plugins von Drittanbietern ermöglicht, die in die Moodle-Instanzen des Portals integriert waren. Diese Schwachstellen ermöglichten das Auslesen sensibler Dateien vom Server, darunter auch Konfigurationsdateien.

Eine entscheidende Entdeckung war eine erhebliche Fehlkonfiguration. Eine Webseite für die Datenbankverwaltung, die für den internen Gebrauch bestimmt war, war ohne Authentifizierung zugänglich. Durch die Nutzung der Informationen aus den zuvor aufgerufenen Konfigurationsdateien war es möglich, Zugriff auf die zentrale Benutzerdatenbank des Portals zu erhalten. Diese Datenbank enthielt Informationen über alle Portalbenutzer, darunter Schüler, Eltern, Lehrer und Administratoren, sowie die zugehörigen Schulen, Namen und gehashte Passwörter.

Rechteausweitung und Systemkontrolle

Durch den Zugriff auf die zentrale Benutzerdatenbank wurde ein altes Administratorkonto identifiziert und vorübergehend kompromittiert, um weitreichende Administratorrechte zu erlangen. Dieser Zugriff ermöglichte eine gründliche Überprüfung der internen Dienste des Portals, wie beispielsweise Git-Repositorys und Dokumentationsplattformen.

Die letzte und kritischste Entdeckung wurde bei einem internen Cloud-Speicher gemacht. Es wurde ein SSH-Key gefunden, der vollständigen, uneingeschränkten Administratorzugriff (Root-Zugriff) auf jeden Server im Netzwerk des Schulportals gewährte. Damit hatten wir effektiv die Kontrolle über die Kerninfrastruktur der Plattform. Angesichts der Tatsache, dass sich dieser Zugriff potenziell auf das gesamte HZD-Netzwerk ausweiten konnte, war das Potenzial für Schaden erheblich.

Responsible Disclosure

Nach der Entdeckung wurden alle Schwachstellen den zuständigen Behörden gemeldet. Das Team des Schulportals Hessen reagierte umgehend, um jedes der identifizierten Probleme zu beheben. Die Kommunikation während dieses Prozesses war positiv und konstruktiv, was darauf hindeutet, dass die Systemsicherheit für die Organisation eine hohe Priorität hat.

Diese Analyse unterstreicht die Bedeutung regelmäßiger, gründlicher Sicherheitsaudits und robuster Zugriffskontrollrichtlinien. Es ist auch ein positives Beispiel dafür, wie der Einsatz von Open-Source-Software unabhängige Sicherheitsforschung erleichtern und letztlich zu einer stärkeren und sichereren digitalen Infrastruktur für öffentliche Einrichtungen führen kann.