SYSS-2019-002: "Robotic Process Automation"-Software anfällig für Rechteeskalation

Ein Security Advisory von IT Security Consultant Dr. Benjamin Heß

Die Software "Robotic Porcess Automation" (RPA) von Blue Prism wird zur Verwaltung von sogenannten Software-Robotern verwendet, die automatisiert einprogrammierte Aufgaben erledigen. Dies kann die Abfrage von E-Mails aus Postfächern oder auch das Tätigen von Überweisungen sein.

Um Missbrauch zu unterbinden, ermöglichen verschiedene Rollen in der Software ein Vier-Augen-Prinzip. Zum Beispiel kann ein Entwickler die gewünschten Aktionen programmieren, die Verteilung der Programmierung erfolgt jedoch durch einen speziellen Manager. Dieser kann zuvor die Programmierung kontrollieren, selbst aber nicht ändern.

Bei der Untersuchung der RPA-Software entdeckte IT Security Consultant Dr. Benjamin Heß eine Schwachstelle in der Überprüfung der Rechte. Diese Schwachstelle ermöglicht einem Angreifer, seine Rechte zu eskalatieren. Im Endeffekt kann jeder Benutzer der Applikation unabhängig davon, welche Rolle er innehat, durch Manipulation der Software auf seinem eigenen System beliebige Progammierungen an die Software-Roboter verteilen.

Dies ermöglicht diverse Angriffsszenarien. Zum einen könnten Kontonummern angepasst werden, um den Geldfluss auf Konten des Angreifers zu lenken. Zum anderen könnten die Passwörter auf Systemen, auf die die Roboter Zugriff haben, derart geändert werden, dass der Angreifer vollen Zugriff auf diese Systeme erhält.

Detaillierte Informationen zur gefundenen Schwachstelle finden Sie in unseren Security Advisory/You will find detailed information about this security issue in our Security Advisory:

SYSS-2019-002 (CWE-284) (CVE-2019-11875)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.


Termine

12.09.2019
Secu3: IPv6-Security
17.09.2019 - 19.09.2019
Hack3: Angriffe auf Windows-basierte Netzwerke
24.09.2019
Hack6: Mobile Device Hacking
25.09.2019
Secu4: IT-Recht und Datenschutz für IT-Verantwortliche