Artikel top billede

Ups: Brugere fik fuld kontrol over dansk nyhedssite

En mystisk fejl betyder, at en række tilfældige besøgende onsdag fik administrator-rettigheder over et af landets store fagblade på nettet.

Fagbladet Journalisten er ramt af et mystisk sikkerhedsproblem på netmediet Journalisten.dk som får sikkerhedseksperter til at rive sig i håret.

Den mulige fejl betyder, at besøgende, der tilfældigt surfer forbi, får fuld administrator-rettighed over netmediet. Uden at logge ind har gæsten frie hænder til at skrive artikler, ændre sidens opsætning, give eller spærre adgang til navngivne brugere og meget andet.

På den måde er det muligt at skrive eller ændre indlæg, blogs, artikler, rettigheder og udgivelsestidspunkt for alle personer eller historier der er listet i cms-systemet.

Journalisten.dk, der drives af Dansk Journalistforbund og er web-udgaven af fagbladet for forbundets knap 14.000 medlemmer, kører på en Apache-server med det anerkendte cms-system Drupal, der anvendes af en række aviser på nettet.

Computerworld blev opmærksom på problemet hos Journalisten.dk onsdag morgen og tog kort efter kontakt til en ekspert fra sikkerhedsfirmaet FortConsult for at få klarlagt årsagen til den mystiske fejl.

Cookie-fejl

Efter timers analyse onsdag er årsagen imidlertid stadig omgærdet af mystik. Foreløbig ligger det fast, at fejlen er relateret til en cookie, der giver administrator-rettigheder.

"Jeg har aldrig set denne type problem tidligere," siger Peter Österberg, der er seniorkonsulent i sikkerhed hos FortConsult.

'Umulig' adgang

Spørgsmålet er nu, hvorfor cms-systemet spytter administratorrettigheder ud til tilfældige besøgende, hvem de tilhører, og om problemet er relateret til andre sites, der benytter samme opsætning.

Det sidste er ikke utænkeligt, idet sandsynligheden for at få tildelt en cookie svarende til netop en administratornøgle er 1 til cifferindholdet i en 128-bit kryptering. Det er med andre ord umuligt at opnå disse rettigheder - med mindre der er tale om en fejl.

Alligevel skete det umulige onsdag morgen, da Computerworld besøgte Journalisten.dk uden at logge på. Vi blev af systemet opfattet som administrator med ubegrænsede rettigheder til fuldt og helt at manipulere indhold og rettigheder på alle niveauer.

En efterfølgende anlyse udført i samarbejde med en specialist fra sikkerhedsfirmaet Fortconsult har afdækket, at Drupal tilsyneladende accepterer samme cookie uanset hvilken platform, der benyttes. Således har det både været muligt at tilgå det udbredte cms-system fra Windows- og Linux-baserede maskiner.

Erkender problemet

Det har endnu ikke været muligt at få en kommentar om det kritiske sikkerhedsproblem hos Jens Jørgen Madsen, som er webredaktør for Journalisten.dk.

Men ifølge Journalistens chefredaktør, Jakob Elkær, er man klar over problemet, som man har gjort alt, hvad man kan, for at lukke.

Natten til torsdag blev der arbejdet intenst på sitet, formentlig som led i at forhindre adgangen fra uvedkommende.

Peter Österberg fra FortConsult vurderer, at man i løbet af torsdagen hos Journalisten.dk på serversiden har forsøgt at spore problemet og i den forbindelse har lukket serveren for at løse problemet.

"Hvis det var mig, der blev klar over, at dette problem eksisterede, ville jeg med det samme lukke hele systemet for ikke at risikere, at brugere uden rettigheder ødelægger eller ændrer sitet," siger Peter Österberg.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datadrevet forretning 2022: Sæt data på den strategiske dagsorden

Lær hvordan du tænker automatisering, data og digitalisering ind i dagligdagen, over for kunderne og hvordan du får skabt ny forretning.

31. maj 2022 | Læs mere


Sådan gør du din forsyningskæde mere robust

Vi sætter fokus på standardværktøjer og tillægsløsninger til Microsoft Dynamics 365 FO i produktionsvirksomheder, som vil planlægge og drive en effektiv supply chain.

31. maj 2022 | Læs mere


Kom hackerne i forkøbet: Sådan gør du din cybersikkerhed kampklar

Kom hackerne i forkøbet. Eksperter deler de bedste erfaring til, hvordan du øger din cybersikkerhed.

01. juni 2022 | Læs mere






CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?