Auf Grund einer Customerportal-Anpassung für vTiger bin ich über folgende Sicherheitsschwachstelle gestolpert.
Die SOAP-Schnittstelle kann auch ohne Authentifizierung genutzt werden.
Bei einer Standardinstallation ist die SOAP-Schnittstelle stets verfügbar, so auch bei der Demoinstallation von vTiger. Die
WSDL Beschreibung der Schnittstelle des Customerportals ist verfügbar. Das entspricht zwar der SOAP üblichen Konventionen (einen Webservice mit Schnittstelle veröffentlichen), zeigt jedoch auch jedem potentiellen Angreifer wie das System anzusprechen ist.
Der Dienst besitzt zwar eine
authenticate_user()-Schnittstelle, diese ist jedoch unabhängig von allen anderen Datenoperationen.
Die Schnittstelle ist auch
hier (aufbereitet) einsehbar.
Betroffen sind auch das
Outlook-Plugin (wie eigentlich alle SOAP-Schnittstellen zu vTiger).
Damit sind alle Kontakte, Organisationen usw. auslesbar und eventuell sogar veränderbar.
Wir werden das weiter untersuchen, bzw. ein technisches Exploit entwickeln um die Schwachstelle zu überprüfen.
Wir raten daher, die SOAP-Schnittstelle komplett zu deaktivieren. Das bedeutet den {vtiger}/soap am besten ganz aus dem System zu entfernen!
