Sign in Subscribe
Hacking

Diese Website wurde fast gekapert

Chris

2 min read
Diese Website wurde fast gekapert

Es ist schon eine Weile her. Wir schreiben das Jahr 2021. Mir ist im Oktober aufgefallen, dass der Login zum Admin-Bereichs dieses Blogs (basiert auf Ghost) hier nicht mehr funktioniert. Das hat mich zunächst nicht sehr verwundert. Ich habe angenommen, dass es sich um irgendein Problem mit dem Server oder mit Ghost handelt.

Was sagt die Datenbank?

Nachdem ich alle Systeme neu gestartet hatte bestand das Problem noch immer. Also habe ich einen Blick in die Datenbank des Systems geworfen. Mein Account wies eine veränderte Mailadresse auf. Und zwar war die Domain von "steampixel.de" auf "teampixel.de" verändert worden.

Zunächst bin ich tatsächlich von einem Unfall meinerseits ausgegangen. Eventuell hatte ich das versehentlich im Backend verändert und mich so ausgesperrt?

CVSS 6.5: Member account takeover

Nur einen Tag später bekam ich eine Mail vom Ghost-Entwicklungs-Team:

💡
An error in the implementation of the member email change functionality allows unauthenticated users to change the email address of arbitrary member accounts to one they control by crafting a request to the relevant API endpoint, and validating the new address via magic link sent to the new email address.

Wow. Damit hatte ich nun wirklich nicht gerechnet. Ghost hat scheinbar ein sehr stabiles Monitoring aller Blogs, die damit laufen. So wurde auch ich persönlich angeschrieben. Nicht schlecht.

Anscheinend hat bereits irgendwer vorher die Mailadresse meines Accounts auf eine andere Domain verändert. Damit wäre es möglich gewesen mein Passwort zu resetten und Zugriff auf das Ghost-Backend zu erlangen. Das Passwort war jedoch noch nicht verändert worden.

Details zum CVE gibt es hier: https://github.com/TryGhost/Ghost/security/advisories/GHSA-65p7-pjj8-ggmr

Suche in den Logs

Wie sich herausstellte wurde diese Sicherheitslücke bei dieser Website einige Tage zuvor erfolgreich ausgenutzt. In den Logs lassen sich die entsprechenden Requests nachweisen.

Anruf bei United Domains

Nach kurzer Recherche konnte ich den Hoster von teampixel.de ausfindig machen. Der Support war so freundlich mich in diesem Fall zu unterstützen und hat für mich im Maillog von teampixel.de herumgestöbert. Dort konnten keine Hinweise auf eingehende Mails an teampixel.de oder missbräuchliches Verhalten gefunden werden. Ansonsten wurde mir versichert sei der Kunde langjähriger und seriöser Vertragspartner. Na dann ;-) Die restlichen Details dieser Unterhaltung behalte ich besser mal für mich. Es ist nämlich durchaus interessant welche persönlichen Details dort manchmal durch sickern.

Wie weiter machen?

Nach dieser Aktion habe ich Ghost vom Server entfernt und hoste jetzt nur noch eine statische Website. Ghost nutze ich weiterhin lokal als Generator.

Titelbild: DALL-E 2

Sign up for more like this.

Enter your email
Subscribe