Sicherheitsproblem im GURU3

Tl;dr: Jemand fremĀ­des kƶnnĀ­te zufƤlĀ­lig deiĀ­ne Daten bekomĀ­men haben, wenn du heuĀ­te zwiĀ­schen 18:34 und 19:49 Uhr im GURU einĀ­geĀ­loggt warst und du einen TimeĀ­out bekomĀ­men hast.

HeuĀ­te, am 19.12.2020 haben wir eine neue VerĀ­siĀ­on des GURU3 deployĀ­ed, bei der es zu einem SicherĀ­heitsĀ­proĀ­blem kam, wenn zwei Nutzer*innen zum selĀ­ben ZeitĀ­punkt eine belieĀ­biĀ­ge SeiĀ­te im GURU aufĀ­geĀ­ruĀ­fen haben. Es ist reproĀ­duĀ­zierĀ­bar zu der SituaĀ­tiĀ­on gekomĀ­men, dass eine Nutzer*in eine SeiĀ­te anforĀ­derĀ­te und einen TimeĀ­out bekam, wƤhĀ­rend die SeiĀ­te an eine andeĀ­re Nutzer*in ausĀ­geĀ­lieĀ­fert wurĀ­de. Es konnĀ­te somit z. B. eine fremĀ­de Nutzer*in die ƜberĀ­sicht der ExtenĀ­siĀ­ons einer andeĀ­ren Nutzer*in sehen und somit auch an die SIP ZugangsĀ­daĀ­ten und / oder die DECT-Tokens gelanĀ­gen. Wer heuĀ­te zwiĀ­schen 18:34 und 19:49 Uhr im GURU einĀ­geĀ­loggt war und einen TimeĀ­out bekomĀ­men hat muss unbeĀ­dingt seiĀ­ne SIP KennĀ­wƶrĀ­ter von aktiĀ­ven Events (aktuĀ­ell rC3 und EPVPN) Ƥndern, um sicherĀ­zuĀ­geĀ­hen, dass dieĀ­se nicht missĀ­braucht werĀ­den. Dies ist mit dem ā€œRegeĀ­neĀ­raĀ­te PassĀ­wordā€ Knopf beim SchlĆ¼sĀ­selĀ­symĀ­bol in der ExtenĀ­siĀ­ons-ƜberĀ­sicht zu bewerkĀ­stelĀ­liĀ­gen. Bereits genutzĀ­te DECT-Tokens sind ā€œinvaĀ­lidā€. Wer ein neuĀ­es nicht benutzĀ­tes DECT-Token mƶchĀ­te, melĀ­det sich bei poc at eventphone.de oder melĀ­det sein DECT GerƤt an, dadurch wird der Token unbrauchĀ­bar. Eine DECT ExtenĀ­siĀ­on in SIP Ƥndern und dann wieĀ­der zurĆ¼ck in DECT, lƶst das ProĀ­blem auch, da ein neuĀ­es Token geneĀ­riert wird.

Analyse

Die UrsaĀ­che lag in einem Update der DjanĀ­go ChanĀ­nels KomĀ­poĀ­nenĀ­te von kleiĀ­ner 3 auf VerĀ­siĀ­on 3.0.2. In den Release Notes wird erwƤhnt, dass die bisĀ­heĀ­riĀ­ge KonĀ­fiĀ­guĀ­raĀ­tiĀ­on nicht mehr unterĀ­stĆ¼tzt wird und es sollĀ­te auch eine WarĀ­nung ausĀ­geĀ­geĀ­ben werĀ­den, was in unseĀ­rem SetĀ­up jedoch nicht passierte.

./manage.py runserver
Performing system checks...

Libdtmx not found. Barcodes not available!
System check identified no issues (0 silenced).
December 19, 2020 - 17:44:34
Django version 3.0.11, using settings 'guru3.settings'
Starting ASGI/Channels version 3.0.2 development server at http://127.0.0.1:8000/
Quit the server with CONTROL-C.
Performing system checks...

Im DaphĀ­ne GitĀ­Hub RepoĀ­siĀ­toĀ­ry gibt es auch ein geschlosĀ­seĀ­nes Issue das den FehĀ­ler und eine Lƶsung beschreibt.

Zeitlicher Ablauf

2020-12-19 18:34 DeployĀ­ment der proĀ­bleĀ­maĀ­tiĀ­schen Konfiguration
2020-12-19 19:28 PoC MitĀ­glieĀ­der bemerĀ­ken das Problem
2020-12-19 19:44 VerĀ­muĀ­tung, dass die ReponĀ­se an andeĀ­re User ausĀ­geĀ­lieĀ­fert wird
2020-12-19 19:49 AbschalĀ­tung des GURU3
2020-12-19 20:45 ReakĀ­tiĀ­vieĀ­rung des GURU3

Was haben wir gelernt?

  1. Bei allen Updates immer die Release Notes genau durchlesen.
  2. Nicht unter ZeitĀ­druck auf das LiveĀ­sysĀ­tem deployen.
  3. Immer Vier-Augen-PrinĀ­zip.
  4. Im TestĀ­sysĀ­tem ausĀ­gieĀ­big tesĀ­ten und dann erst auf Live deployen.

Bei FraĀ­gen wenĀ­det euch an uns via poc at eventphone.de.

Wir entĀ­schulĀ­diĀ­gen uns fĆ¼r die PanĀ­ne und arbeiĀ­ten darĀ­an, unseĀ­re AbhƤnĀ­gigĀ­keiĀ­ten von KomĀ­poĀ­nenĀ­ten zu verĀ­rinĀ­gern, bei denen wir keiĀ­ne KonĀ­trolĀ­le Ć¼ber die QuaĀ­liĀ­tƤt haben, um das RisiĀ­ko solĀ­cher VorĀ­fƤlĀ­le zu minimieren.

Euer PoC / EventĀ­phone Team