Alvorligt sikkerhedshul opdaget på cvr.dk

Det har været muligt at fifle med virksomhedsoplysninger på cvr.dk som følge af persistent cross-site-scriptning, afslører Version2-blogger. Hullet er nu lukket.

Version2 blogger Kræn Hansen har opdaget et sikkerhedshul på hjemmesiden for CVR-registeret, cvr.dk, som Erhvervsstyrelsen står bag. Der er tale om et persistent cross-site-scripting hul, som gør det muligt for en angriber at få siden til at køre javascript, hvis angriberen opretter en virksomhed.

Kræn Hansen, der til dagligt læser Computer Science på DTU, fandt ud af, at hvis der bliver sat særlig HTML-kode ind i et adressefelt i forbindelse med oprettelsen af en virksomhed på cvr.dk, så er det muligt at hive javascript ind på siden fra et eksternt site. Og ad den vej har det været muligt at præsentere vilkårligt indhold på cvr.dk.

Læs også: In data we trust! XSS sårbarhed på CVR.dk

»Det er jo et spørgsmål om at en ondsindet person vil kunne mistbruge den tilid, som folk lægger i de data, som cvr.dk præsenterer,« siger Kræn Hansen.

Et cross-site-scripting angreb kan fungere ved, at en ondsindet person lokker et offer til at klikke på et særligt udført link, der præsenterer ofret for angriberens indhold på en hjemmeside, som angriberen ikke ellers har kontrol over. På den måde kan det se ud som om, det er personen eller organisationen bag hjemmesiden, der er afsender på indholdet.

Persistent cross-site-scripting

Den angrebsvektor, Kræn Hansen er faldet over, er dog på sin vis værre.

For her er der som nævnt tale om et persistent cross-site-scripting angreb. Det persistente består i, at en angriber ikke længere behøver lokke et offer til at klikke på et særligt link, da den ondsindede kode bliver lagret i CVR-registrets database, og dermed automatisk hentet frem, når en bruger besøger siden.

Som Kræn Hansen beskriver i sit blogindlæg, kan det foregå ved, at angriberen opretter en virksomhed på cvr.dk og indtaster HMTL-koden, der hiver javascript ind på siden, i et adresse-felt. Fremover vil alle, der besøger siden med virksomheden, enten ved selv at søge sig frem til den, eller ved at klikke på et direkte link til den, blive præsenteret for en side under cvr.dk, hvor en angriber har fuldstændigt kontrol over indholdet.

Og Kræn Hansen kan sagtens komme i tanke om, hvordan det vil kunne misbruges. Eksempelvis i forhold til antallet af ansatte og dermed virksomheden størrelse, som via cross-site-scriptet vil kunne manipuleres på cvr.dk, hvilket i sidste ende kunne påvirke sådan noget som investeringslysten i virksomheden.

»Det er noget der bliver trukket fra Skat og så videre, det er ikke data, man normalt har skriverettighed til, men det er noget, jeg kan ændre alligevel, når jeg overtager den del af websitet,« siger han.

Kræn Hansen har, som en god whitehat-hacker jo gør, rettet henvendelse til Erhvervsstyrelsen, inden han gik ud med oplysningerne om den potentielle angrebsmulighed. Og det potentielle sikkerhedshul er nu lukket.

Erhvervsstyrelsen er taknemmelig

It-chef i Erhvervsstyrelsen Morten Kildevang Jensen beskriver den sårbarhed, som Kræn Hansen fandt frem til, og som nu er lukket, som alvorlig.

»Denne type fejl har meget høj prioritet i Erhvervsstyrelsen og vurderes til at være i kategorien alvorlig, da brugerne skal kunne stole på data såvel som den kanal som udstiller data,« skriver Morten Kildevang Jensen i en mail.

Det er uvist, hvornår fejlen er opstået, men den kan have eksisteret i længere tid, oplyser Morten Kildevang Jensen. Han fortæller, at Erhvervsstyrelsen løbende overvåger tilstanden på alle selvbetjeningsløsninger.

»Men der er altid den mulighed, at brugerne opdager sikkerhedsproblemer inden Erhvervsstyrelsen. Vi er derfor altid interesseret i at høre fra vores brugere, hvis de oplevere situationer, hvor sikkerheden er truet. Generelt er Erhvervsstyrelsen taknemmelige for, at eventuelle sikkerhedsbrister på cvr.dk, indmeldes direkte til Erhvervsstyrelsen, således at eventuelle fejl kan rettes hurtigt – som det er sket i denne sag,« skriver Morten Kildevang Jensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin R. Ehmsen

En offentlig myndighed som anerkender værdien af at blive gjort opmærksom på sikkerhedshuller, retter dem og som IKKE sender politi og PET afsted mod vedkommende:

»Vi er derfor altid interesseret i at høre fra vores brugere, hvis de oplevere situationer, hvor sikkerheden er truet. Generelt er Erhvervsstyrelsen taknemmelige for, at eventuelle sikkerhedsbrister på cvr.dk, indmeldes direkte til Erhvervsstyrelsen, således at eventuelle fejl kan rettes hurtigt – som det er sket i denne sag,« skriver Morten Kildevang Jensen.

Det må næsten været et "first"?
Måske Erhvervsstyrelsen skule snakke sammen med Datatilsynet om hvordan man håndterer sådannet sager (jf. CPR-lotteri og Søren Louv-Jansen).

  • 28
  • 0
Martin Wolsing

Nu er det også forskel på at gøre offeret opmærksom på et problem, og på at lægge en hel side eller service ned, for at demonstrere sin pointe. Det er klart, at det det sidste er knap så acceptabelt for den det går ud over.

Man kan også sagtens fortælle folk, at deres låse i huset trænger til udskiftning uden nødvendig at bryde ind og stjæle deres ting. De forstår det nok godt alligevel. Gør de ikke efter 3-4 pæne henvendelser, kan man jo altid gøre det alligevel. :-)

  • 0
  • 3
Kræn Hansen

De forstår det nok godt alligevel.


Og dog. Jeg har oplevet at ansvarlige for systemerne har svært ved at vurdere alvorligheden af et sikkerhedshul. Her er eksemplets magt den eneste vej frem - selvfølgelig først et tænkt eksempel. Jeg forklarede Erhvervsstyrelsen hvordan jeg kunne forestille mig at man kunne udnytte hullet, havde de betvivlet dette, ville det selvfølgelig være noget jeg ville forsøge at bevise. Som jeg til dels også gør ved at implementere et proof of concept der er svært at se bort fra.

  • 5
  • 0
Log ind eller Opret konto for at kommentere