Sårbarheter i Minridskola: möjligt att ladda ned andras fakturor och SQL-injection

Flera allvarliga säkerhetshål i Xenophons Minridskola gör det möjligt att enkelt ladda ned andra användares fakturor. Dessutom finns det flera sårbarheter i mjukvaran som kan leda till stulna personuppgifter eller dataförstörelse.

Fakturor
När fakturor öppnas av en användare i Minridskola skapas en temporär PDF-fil på servern som användaren får åtkomst till. Namnet på den temporära filen är ett till synes slumpartat 26-siffrigt nummer följt av filändelsen .pdf, där t.ex. PDF:en i bilden nedan har URL:en;

https://www.minridskola.se/App_TempData/78446265990020230411104520.pdf

Dock är denna URL inte slumpartad över huvud taget, utan första halvan består av ridklubbens ID (”Licensnummer”) som går att finna lite varstans på minridskola.se, och den andra halvan är enbart klockslaget då PDF:en genererades. Ingen av dessa två halvor är svåra att få tag på.

URL:en för den temporära PDF:en följer då följande format;

https://www.minridskola.se/App_TempData/<licensnummer><klockslag>.pdf

Känner jag då till licensnumret och håller koll på klockan så kan jag mycket enkelt skicka massvis med webbförfrågningar till minridskola.se för att försöka få tag på en giltig URL, vilket gör att jag enkelt kan ladda ned vilka fakturor som helst.

Till exempel tog det mig max tre minuter att skapa följande skript som ”lyssnar” på URL:en efter nya fakturor genom att skicka ett anrop en gång i sekunden;

_dateTime=""
_LicNr="28429800901"

while :
do
  _dateTime=$(date -d "10 seconds ago" +%Y%m%d%H%M%S)
  wget "https://www.minridskola.se/App_TempData/$_LicNr$_dateTime.pdf"
  sleep 1
done

där datumet skrivs på formatet %Y%m%d%H%M%S. Genom att använda mig av detta skript kan jag då hämta alla fakturor som genereras för den specifika klubben. Det går därför även enkelt att ändra licensnumret alternativt köra fler licensnummer samtidigt för att lyssna på fler klubbars URL:er.

Kortfattat: Det går att ladda ned fakturor från andra användare utan att ens vara inloggad. Av någon anledning skyddas inte dessa URL:er med varken autentisering eller andra skyddsåtgärder.

SQL-sårbarheter

För att göra det ännu lite värre så visar det sig att hela Minridskola.se inte kan hantera specialtecken särskilt bra. Skriver jag in ”fel” tecken så får jag på vissa sidor tillbaks följande meddelande;

medans på andra sidor så ger det lite värre felmeddelanden…………

Felmeddelandet ovan är ett SQL error som visar att sidan inte kan hantera specialtecken, vilket medför att hela tjänsten är sårbar för SQL-injection attacker. Det går troligtvis mycket enkelt att få åtkomst till hela databasen med all dess användarinformation, alternativt redigera eller förstöra data eller få åtkomst till hela servern där databasen ligger.

Utdaterad mjukvara

Minridskola kör på webbservern IIS 7.5 med ASP.NET version 4.0. IIS 7.5 hade End of Life (EOL) 2020*, och ASP.NET 4.0 gick ut i januari 2016.
*Utan ESU. Med ESU upp till 3 års uppdateringar efter 2020

Dessa versioner är föråldrade och får inte längre säkerhetspatchar, vilket medför ett antal sårbarheter och CVEs för både IIS och ASP.NET.

Slutsats

Tjänsten Minridskola.se / Xenophon Cloud Edition är ej säker att använda då det finns ett flertal allvarliga säkerhetshål vilket kan leda till personuppgiftsincidenter med stulna personuppgifter eller förlorad data.

Om ni betalar för denna tjänst, byt till något annat system som uppfyller kraven för GDPR och som faktiskt respekterar användarnas rättigheter.


Jag har inte fått svar från Prosperous AB (som driver Minridskola) angående säkerhetsbristerna i deras tjänst, och då de helt struntar i att fixa säkerhetshålen så publicerar jag istället dessa inlägg för att öka medvetenheten hos användarna och deras betalande kunder.

OBS: Det är inte tillåtet att använda sig av dessa brister för att (försöka) få åtkomst till databasen, servern eller liknande! Fakturan i bilden ovan är min egen, och all känslig data är censurerad eller manipulerad.

Fler inlägg om den bristande IT-säkerheten och problemen kring Minridskola/Xenophon:
Säkerhetsbrister i MinRidskola kvarstår ett år senare”, ”Säkerhetsbrister inom MinRidskola.se” samt ”Personuppgiftsläcka hos Xenophon.se”.

Detta är troligtvis mitt sista inlägg om problemen med Minridskola. Nu orkar jag inte bry mig längre. Tack för att du har läst.

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *