Offizielle Stellungnahme von Untis zu Sicherheitslücken in WebUntis

Die Firma Untis hat inzwischen mit einer offiziellen Stellungnahme auf eine Nachfrage im Untis Forum reagiert. Durch die Sichtung meiner Serverlogs bin ich frühzeitig auf den Post aufmerksam geworden.

Den nachfolgenden Text habe ich als Reaktion meinerseits auf den entsprechenden Beitrag im Untis Forum gepostet. Da die von Untis gemachten Angaben teilweise unvollständig sind, muss ich an dieser Stelle korrigierend eingreifen.

Ich danke Ihnen für die klaren Aussagen in Ihrer Stellungnahme. Ein Teil Ihrer Aussagen in der jetzigen Form war mir bisher leider unbekannt. Ich war während der gesamten Behebungsphase stets erreichbar und habe grundsätzlich Kompromissbereitsschaft gezeigt. So habe ich Ihnen beispielsweise die Verzögerung des Veröffentlichungszeitpunkts unter bestimmten Bedingungen eingeräumt. Jedoch habe ich Sie auch zeitweise um klare Antworten gebeten und grundsätzlich klare Aussagen erwartet. Zum aktuellen Zeitpunkt muss ich leider feststellen, dass eine differenziertere Veröffentlichung unter Berücksichtigung aller mir jetzt bekannten Informationen möglich gewesen wäre. Jedoch muss ich auch feststellen, dass ein Teil Ihrer Stellungnahme derzeit leider fachliche und inhaltliche Fehler aufweist. Diese möchte ich nachfolgend gerne korrigieren.

Beginnen möchte ich zunächst mit einer Klarstellung des Punktes Cross-Site-Scripting. Hier gilt, wie auch bereits im ersten Proof-of-Concept demonstriert, dass diese Schwachstelle aufgrund der beschriebenen Cross-Site-Request-Forgery Problematik auch ohne einen gültigen Login ausgenutzt werden konnte. Für einen erfolgreichen Angriff gelten die beschriebenen Bedingungen.

Fortfahren möchte ich mit einer Richtigstellung zum Thema Bug Bounty. Es ist korrekt, dass mir ein Bug Bounty angeboten wurde. Dies wurde entgegen Ihrer Ausführung auch in meinem Blogpost genannt. Ergänzend zu Ihren Ausführungen gilt zudem, dass Sie das Bug Bounty an die Bedingung der Unterzeichnung eines NDA geknüpft haben. Im Umkerschluss hätte die Annahme dieses Angebots jedoch als Erpressung angesehen werden können. Daher habe ich aus Selbstschutz auf das Angebot verzichtet. Dabei gilt auch, dass ich der Untis GmbH einen derartigen Vorsatz ausdrücklich nicht unterstelle.

Damit möchte ich auch bereits zum Punkt Hat die Untis GmbH jemandem gedroht? kommen.

Ich selbst bin kein Nutzer von WebUntis. Entsprechend sind mir die verfügbaren grafischen Oberflächen und Funktionen nicht im Detail bekannt. Ich kann die angegebenen Gründe, aus denen Sie mit einer Veröffentlichung von Aufnahmen der neuen UI nicht einverstanden waren, zum aktuellen Zeitpunkt, durchaus nachvollziehen.

Bitte verstehen Sie jedoch auch, dass mir lange Zeit nicht bekannt war, dass es sich dabei um eine unveröffentlichte Version handelt. Unbegründete Verbote und Androhungen juristischer Konsequenzen stoßen bei mir jedenfalls eher auf Unverständnis, als auf die Bereitschaft einer Bitte oder gar einer Forderung nachzukommen.

Fakt ist auch, dass Sie mir am 11.02.2020 mitteilten, dass über die Schwachstellen in der Nachrichtenfunktion hinaus keine weiteren XSS Schwachstellen bekannt seien. Vor dem Hintergrund der am 21.02.2020 erfolgten Ergänzungsmeldung weiterer Schwachstellen, wirft diese Aussage Fragen auf. Sie erscheint mir nach wie vor leider entweder als Falschaussage oder als eine nicht ausreichenden Prüfung der gesamten Anwendung. Des weiteren gilt, dass ich in den veröffentlichten Bildschirmaufnahmen meinen Weg zur Identifikation der Schwachstellen beschreibe. Selbstverständlich ist es möglich, dass weitere Wege existieren. Welche Endpunkte dabei in welcher UI eingebunden sind, ist mir nicht in allen Details bekannt. Eine kurze Erklärung der Zusammenhänge wäre jedoch als Begründung für Ihren Standpunkt unterstützend gewesen und hätte eine Nachvollziehbarkeit Ihres Standpunkts geschaffen.

Für diesen Aspekt komme ich daher zu dem Schluss, dass eine Übereinkunft durchaus möglich gewesen wäre. Jedoch war mir ein Teil der Aspekte in dieser Form bisher nicht bekannt.

Leave a Reply

Your email address will not be published. Required fields are marked *