Digitale Souveränität in der Praxis: Mehr Kontrolle, neue Risiken
Wie Sicherheitslücken in Open-Source-Software zu unerwartetem Zugriff auf sensible Inhalte führte und welche Verantwortung daraus entsteht.
Vincent Heinen Abteilungsleiter Offensive Services TL;DR
AWARE7 entdeckte in der Open-Source-Projektmanagementlösung Openproject eine IDOR-Schwachstelle (CVE-2026-22605), die es authentifizierten Nutzern erlaubte, durch Manipulation der leicht erratbaren Meeting-IDs auf Notizen anderer Teams und Abteilungen zuzugreifen. Die Schwachstelle betraf alle Versionen bis 16.6.2 und wurde vom Openproject-Team schnell behoben. On-Premise-Lösungen bieten Datensouveränität, erfordern jedoch dieselben Sicherheitsmaßnahmen wie Cloudlösungen: sicheres Logging, Netzwerksegmentierung und getrennte Anwendungsumgebungen.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).
Inhaltsverzeichnis (3 Abschnitte)
Mit dem Stichwort Digitale Souveränität wächst das Bewusstsein in Europa für die Vorteile eigener Lösungen in der IT. Diese sollen unter anderem mit der Abkehr von Cloudlösungen erreicht werden, jedoch vor allem aus Ländern mit fragwürdigen Regierungen. Ziel dabei ist die Datensouveränität auf den eigenen Servern - denn "die Cloud" ist am Ende des Tages nur ein fremder Rechner. Allerdings bringen auch Alternativen Sicherheitsrisiken mit sich. Ein Beispiel dafür ist die Sicherheitslücke CVE-2026-22605 in Openproject, einer Webapplikation für Projektmanagement. Das Ausnutzen der Schwachstelle ermöglicht Angreifern den unautorisierten Zugriff auf Meeting-Notizen innerhalb der Webapplikation.
CVE-2026-22605 - simples Beispiel für IDOR
CVE steht für Common Vulnerabilities and Exposures, ein Projekt, das 1999 von der US-amerikanischen National Cybersecurity FFRDC und der MITRE Corporation ins Leben gerufen wurde. Ziel dieses Projekts ist es, Schwachstellen in der IT zu kategorisieren und eindeutig zu identifizieren, um eine effektive Kommunikation und Abwehr von Sicherheitsrisiken zu gewährleisten. Durch die Verwendung von CVE-Identifikatoren können Sicherheitslücken und -risiken eindeutig identifiziert und klassifiziert werden, was die Zusammenarbeit zwischen IT- und Sicherheitsexperten erleichtert. Dies ermöglicht eine effiziente Abwehr von Sicherheitsbedrohungen und eine Verbesserung der Gesamtsicherheit von IT-Systemen. Manchmal sind es nicht die komplexen technischen Angriffe, die Sicherheitslücken aufdecken, sondern vielmehr einfache und offensichtliche Schwachstellen. Ein Beispiel dafür ist die von der AWARE7 kürzlich entdeckte Sicherheitslücke CVE-2026-22605, die als mangelhafte Zugriffskontrolle klassifiziert werden kann. Openproject, eine Webapplikation für Projektmanagement, bietet die Möglichkeit, Meetings-Notizen anzulegen. Beim Aufruf einer Notizseite wird die URL in folgendem Format aufgerufen:
https://domain.example/projects/\[projekt\_name\]/meetings/\[meeting\_id\]
Dabei handelt es sich bei [projekt_name] um ein beliebiges Projekt, das einem Nutzer zugewiesen wurde. Die [meeting_id] ist eine Dezimalzahl, die bei 1 anfängt und bei jedem neuen Meeting um eins inkrementiert wird. Dadurch sind die IDs der Meetings leicht erratbar. Bis einschließlich zur Version 16.6.2 war es einem Angreifer möglich, die [meeting_id] zu manipulieren und unautorisierten Zugriff auf andere Meetings zu erlangen. Die Voraussetzung dafür war die Zugehörigkeit zu einem existierenden Projekt. Die Schwere dieser Sicherheitslücke hängt von der Vertraulichkeit der eingetragenen Daten in den Meetingnotizen ab. So konnte ein Angreifer beispielsweise sensible Informationen aus anderen Teams oder Abteilungen erlangen.
Was sollte also beim Hosten von Diensten beachtet werden?
Es ist wichtig zu verstehen, dass on-premise Software, genau wie cloudbasierte Lösungen, anfällig für Sicherheitslücken sind. Bei Sicherheitsvorfällen müssen daher zusätzliche Aspekte beachtet werden. So können Angreifer potenziell Informationen über die eingesetzte Hard- und Software erlangen, oder sich im internen Netz lateral bewegen. Von daher ist es wichtig zusätzliche Sicherheitsvorkehrungen vorzunehmen, beispielsweise:
- sicheres Logging: Es ist wichtig, dass alle Aktivitäten auf den Servern und in den Anwendungen überwacht werden, um potenzielle Sicherheitslücken zu erkennen und zu beheben. Dafür sollten die Logs auf dedizierten Servern gespeichert werden, um diese im Falle einer Kompromittierung zu schützen.
- Netzwerksegmentierung: Durch die Einschränkung auf bestimmte Netzwerksegmente kann der Schaden durch Sicherheitslücken minimiert werden. Dadurch wird es den Angreifern erschwert, sich im internen Netz zu verbreiten und weitere Server, die sonst nicht erreichbar wären, anzugreifen.
- Separate Umgebungen für verschiedene Anwendungen: Separate Umgebungen stellen sicher, dass im Falle eines Sicherheitsvorfalls weitere Angriffe erschwert werden.
Weitere Informationen
An dieser Stelle möchte ich mich für die gute Kooperation und außerordentlich schnelle Antwortzeit bei dem Openproject-Team bedanken.
Ebenfalls bedanke ich mich für die Unterstützung bei dem Melden der Schwachstelle bei der AWARE7.
https://github.com/opf/openproject/security/advisories/GHSA-fq4m-pxvm-8x2j
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst - mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
