Im Rahmen eines Penetrationstests für einen Kunden fielen Fachleuten von G DATA Advanced Analytics einige Sicherheitslücken in einer weit verbreiteten Logistik-Webanwendung auf. Die Schwachstellen im e-TMS (TMS = Transportation Management System) des Herstellers Andsoft ermöglichten unter anderem das Ausführen von Code ohne Authentisierung und damit den Zugriff auf sämtliche verarbeitete Daten. Dazu gehören neben Daten zu Sendern und Empfängern sowie Inhalt einer Sendung auch GPS-Daten und Informationen zu den jeweiligen Fahrern.
Neben dem Ausführen von Code waren auch SQL-Injections möglich, sowie der Lesezugriff auf den Inhalt verschiedener Verzeichnisse. Auch für Cross Site Scripting ist das Webportal anfällig. Die Tatsache, dass Passwörter mit dem seit längerem als unsicher geltenden md5-Algorithmus gehasht sind, ist an dieser Stelle kaum noch eine Überraschung.
Eine Auflistung aller Schwachstellen und der zugehörigen CVEs findet sich auch der INCIBE-CERT-Webseite.
Enttäuschende Reaktion
Die Reaktion des Herstellers, ein in Andorra ansässiges Unternehmen namens „Andsoft“, lässt in diesem Falle einiges zu wünschen übrig. Auch auf mehrfache Versuche der Kontaktaufnahme erfolgte seitens Andsoft keinerlei Reaktion - und dass trotz der Tatsache, dass deren Produkte in Unternehmen zum Einsatz kommen, die jährliche Milliardenumsätze zu verzeichnen haben, wie die Herstellerwebseite nicht ganz ohne Stolz proklamiert.
Patches? Updates? Keine Information!
Die kritischsten Lücken in den Instanzen, die beim Penetrationstest untersucht wurden, sind inzwischen behoben – die anderen sind (Stand Anfang Mai 2025) jedoch noch immer vorhanden. Ob die Schwachstellen flächendeckend behoben sind, war zum Zeitpunkt des Erscheinens dieses Artikels unklar, ebenso ob es eine bestimmte Version von e-TMS gibt, in der die Lücken adressiert sind.
Complianceprobleme entlang der Lieferkette
Dieser Fall weist auch auf potenzielle weitere Schwierigkeiten hin: Da die Logistikbranche zu den kritischen Infrastrukturen zählt, gelten für deren Lieferkette im Rahmen der NIS-2-Direktive potenziell strenge Sicherheitsvorgaben – und basierend auf dem hier beobachteten Verhalten gibt es hier noch großen Nachholbedarf. Wer Software für kritische Anwendungsbereiche herstellt, ist unter Umständen direkt von der NIS-2 betroffen – vor allem dann, wenn es sich um den einzigen Anbieter einer bestimmten Komponente handelt.
Alle technischen Details zu den gefundenen Sicherheitslücken finden Sie im Artikel von G DATA Advanced Analytics auf cyber.wtf (Artikel in Englischer Sprache).
