Cyber-Sicherheitsspezialisten des Militärischen Cyberzentrums haben in dem Dateimanager-Programm „Midnight Commander” eine neun Jahre existierende Sicherheitslücke gefunden.
Bei der Entwicklung von Software kommt es immer wieder vor, dass durch Programmierfehler Sicherheitslücken entstehen. In den meisten Fällen werden diese jedoch innerhalb kurzer Zeit gefunden und behoben. Es kommt aber auch vor, dass solche Schwachstellen über mehrere Jahre unentdeckt bleiben. So geschah es beim Dateimanager „Midnight Commander”, bei dem Manfred Kaiser vom „Austrian Military Computer Emergency Readiness Team” (AUT-milCERT) eine seit neun Jahren existierende Schwachstelle gefunden hat.
Das Programm „Midnight Commander” gehört zu den bekanntesten Konsolenanwendungen unter dem Betriebssystem Linux. Dabei handelt es sich um einen visuellen Dateimanager, mit dem es möglich ist, Dateien oder auch ganze Ordnerstrukturen zu kopieren, zu verschieben oder zu löschen – nicht nur lokal auf einem Rechner, sondern auch innerhalb eines Netzwerkes.
Für die Datenübertragung verwendet das Programm ein spezifisches Protokoll, das auf einem verschlüsselten Netzwerkprotokoll basiert. Um dabei zu gewährleisten, dass ein Rechner nur mit einer bestimmten Gegenstelle kommuniziert, wird von diesem zwingend die Überprüfung des sogenannten Fingerabdrucks verlangt. Dieser dient zur Identifizierung von Rechnern innerhalb eines Netzwerkes und setzt sich aus einer eindeutigen Zeichenkette zusammen. Fehlt diese Überprüfung, dann könnte ein Angreifer die Daten auf einen anderen Rechner umleiten, ohne dass der Anwender dies bemerkt.
Die Überprüfung des Fingerabdrucks wurde beim „Midnight Commander” nicht implementiert, weshalb eine Verbindung zu einem anderen Rechner aufgebaut werden konnte, ohne dass dessen Identität überprüft wurde. Dadurch war das Programm gegenüber sogenannten „Man in the Middle”-Attacken anfällig, bei denen ein Angreifer die übertragenen Dateien mitlesen aber auch manipulieren kann.
Das „Austrian Military Computer Emergency Readiness Team” führt regelmäßig Sicherheitsüberprüfungen durch, um Schwachstellen in den eigenen Systemen oder in sogenannter „Open Source Software” zu identifizieren. Während einer solchen Überprüfung wurde die Sicherheitslücke entdeckt und an die Entwickler gemeldet. Der Fehler wurde umgehend behoben, es wird daher empfohlen, die vorhandene Version des „Midnight Commander” zu aktualisieren.
