Zum Hauptinhalt springen

CVSS 9.6 im Senat von Rumänien

Stefan-Lucian Deleanu

CVSS 9.6 im Senat von Rumänien
Foto von Amir Alsharif / Unsplash

Im Laufe der Jahre haben wir Dutzende von kritischen Schwachstellen bei verschiedenen öffentlichen Institutionen in Rumänien gemeldet. Während die meisten schnell behoben wurden, haben einige entweder Monate (oder sogar über ein Jahr) angedauert oder sind aufgrund der mangelhaften Herangehensweise der Beamten wieder aufgetreten.

Eine der schwerwiegendsten wurde kürzlich im Senat Rumäniens identifiziert: Eine Schwachstelle von Remote Code-Ausführung (RCE) Generierung durch die mangelhafte Konfiguration des Systems der legislativen Meinungen.

Was bedeutet CVSS 9.6?

CVSS (Common Vulnerability Scoring System) ist der internationale Standard zur Bewertung der Schwere von Sicherheitsanfälligkeiten. Die Skala reicht von 0 bis 10.

  • 0,0 - 3,9: Niedrig
  • 4,0 - 6,9: Mittel
  • 7,0 - 8,9: Hoch
  • 9,0 - 10,0: Kritisch

Ein Score von 9,6 bedeutet, dass ein Angreifer die vollständige Kontrolle über den Server übernehmen kann, ohne Authentifizierung, aus der Ferne und mit minimalem Aufwand.

Praktisch könnte ein Angreifer alles ändern, was die Website 'senat.ro' betrifft, oder was für den Benutzer zugänglich ist, der darauf zugreift.

Während wir das tatsächliche Risiko, dem der Senat Rumäniens ausgesetzt war, nicht kennen, da eine solche eingehende Analyse gegen das Gesetz verstoßen hätte, ist es fast sicher, dass, wenn jemand diese Schwachstelle genutzt hätte, um eine dauerhafte Aufenthaltsgenehmigung zu erhalten, sie verwendet werden könnte, um den rumänischen Staat durch einen koordinierten, parallelen Angriff zu destabilisieren.

Stellen Sie sich vor, wenn gleichzeitig 10-20 kritische Institutionen ihre Funktion einstellen, mit einer terroristischen Botschaft/Manifest auf der Hauptseite, um die Wirtschaft des Landes zu destabilisieren.

Leider sind wir dort, und unser Glück hängt nur davon ab, dass die Spannungen im Norden noch tolerierbar sind und wir nicht das Hauptziel in der Welt der Cyberangriffe sind.

Was wir entdeckt haben:

Die Plattform des Senats ermöglicht die Einreichung von öffentlichen Stellungnahmen zu Gesetzesentwürfen, einschließlich Anhängen. Das Upload-Formular validiert die hochgeladenen Dateitypen.

Ich habe es so getestet:

  1. Ich habe das öffentliche Meinungsformular aufgerufen
  2. Ich habe meine echten Daten ausgefüllt, einschließlich des Grundes so transparent wie möglich: "Test Verdacht auf ein Problem mit der Webserver-Konfiguration", der für den Seitenbetreiber (den Beamten, der die Meinungen genehmigt) sichtbar war.
  3. Ich habe eine Datei hochgeladen .aspx (cod executabil pe serverele Windows/IIS)
  4. Ein Beamter hat die Stellungnahme zusammen mit dem vollstreckbaren Anhang genehmigt und mir eine Registrierungsnummer gegeben, die jetzt zugänglich ist. Hier ist es.
  5. Durch den Zugriff auf die Meinungsseite, die Datei .aspx Die Datei wird direkt auf dem Server ausgeführt, die ein Upload-Tool war. Die Datei wurde inzwischen gelöscht.

Der IIS-Server des Senats führte jeden von Benutzern hochgeladenen .NET-Code aus. Ohne Validierung. Ohne Sandbox. Direkt in der Produktion.

Potenzielle Auswirkungen:

Mit dieser Schwachstelle konnte ein böswilliger Akteur:

  • Lade ein Web-Shell und erhalten Sie vollständigen Zugriff auf den Server
  • Datenbankexfiltration von legislativen Dokumenten / Unterlagen des Senats.
  • Installiere Ransomware die Infrastruktur des Senats
  • Den Server als drehen für spätere Angriffe im Netzwerk der Institution, indem es als Proxy verwendet wird.
  • Ändern Sie den Inhalt der offiziellen Website des Senats.
  • Nutzen Sie den Server für verschiedene komplexe Angriffe, um die Glaubwürdigkeit der öffentlichen Behörden zu untergraben.

Wir sprechen über ein fundamentale demokratische InstitutionEin erfolgreicher Angriff hätte ein Vertrauensvakuum in die staatlichen Institutionen erzeugen können, insbesondere wenn er mit dieser Absicht von einem staatlichen Akteur durchgeführt worden wäre.

Leider ist es im Falle von Cyberangriffen sehr schwierig, den Akteur hinter den Handlungen zu identifizieren, was die Gefahr erhöht und selbst individuelle Akteure, die "vorsichtiger" sind, schwer zu sanktionieren macht und sie somit davon abhält, böswillige Handlungen vorzunehmen.

Deshalb ist ein proaktiver Ansatz im Bereich des Blue Teams (Defensive) erforderlich.

Zeitachse:

  • 24.11.2025Das Laden des Dienstprogramms und die Übermittlung der 'Meinung'.
  • 25.11.2025Genehmigung der Belastung, Identifizierung von Schwachstellen durch mich, sofortige Meldung an DNSC und CYBERINT (SRI)
  • 26.11.2025 (~2:00 Uhr morgens)Die Hauptanfälligkeit wurde innerhalb weniger Stunden behoben
  • GeschenkMeine Testdatei (amCharts.png) încă există pe server, dovadă că remedierea a fost superficială

Die Datei ist weiterhin zugänglich: https://www.senat.ro/uploads/amCharts.png

Archiviert:

Wayback Machine

Wann wird es gelöscht?

Warum bestehen diese Probleme weiterhin?

DNSC und SRI haben nicht die rechtliche Kompetenz Sie können nicht direkt in die Systeme der Institutionen eingreifen. Sie können nur den lokalen IT-Teams Anweisungen geben, die ihr Bestes tun, wissen und tun wollen. In der Regel das Minimum, da sie gegenüber den verursachten Risiken gleichgültig sind.

Was ich kann und weiß, sieht man: Sie haben die Codeausführung behoben, aber nicht überprüft, welche Dateien auf dem Server verbleiben.

Die Lösung ist gesetzlich:

  1. Cyber-Sicherheitsexperten Sie müssen strafrechtlich für die Qualität der Prüfungen verantwortlich gemacht werden: Dienstpflichtverletzung oder intellektueller Betrug, wenn sie unvollständige Prüfungen unterzeichnen, in ihrer Eigenschaft als gleichgestellte öffentliche Bedienstete.
  2. DNSC Es sind umfassende Kompetenzen erforderlich, um direkt in kritische Infrastrukturen einzugreifen, insbesondere in Notfällen, vor allem in Bezug auf kritische öffentliche Einrichtungen. Zum Schutz der Autonomie der unterstützten Institutionen muss dieser Zugang unbedingt protokolliert werden.
  3. Technische Standards müssen zwingend für jedes Informationssystem öffentlicher Institutionen vorgeschrieben werden.
  4. Kurzfristig die Entwicklung passiver Mechanismen mit schneller Installation, die öffentlichen Institutionen zur Verfügung gestellt werden können, um Gefahren automatisch zu filtern (z.B. WAFs).

Trilemma:

Entweder geben wir den Geheimdiensten mehr Macht (und das will die Gesellschaft nicht), oder wir übernehmen institutionelle Verantwortung, oder wir warten darauf, dass wir ohne Strom oder Trinkwasser dastehen, wenn ein staatlicher Akteur oder ein gelangweilter Jugendlicher die nächste Sicherheitslücke findet.

Wir wählen uns selbst, oder die Realität wählt für uns, leider.