Artikel top billede

Ups: Brugere fik fuld kontrol over dansk nyhedssite

En mystisk fejl betyder, at en række tilfældige besøgende onsdag fik administrator-rettigheder over et af landets store fagblade på nettet.

Fagbladet Journalisten er ramt af et mystisk sikkerhedsproblem på netmediet Journalisten.dk som får sikkerhedseksperter til at rive sig i håret.

Den mulige fejl betyder, at besøgende, der tilfældigt surfer forbi, får fuld administrator-rettighed over netmediet. Uden at logge ind har gæsten frie hænder til at skrive artikler, ændre sidens opsætning, give eller spærre adgang til navngivne brugere og meget andet.

På den måde er det muligt at skrive eller ændre indlæg, blogs, artikler, rettigheder og udgivelsestidspunkt for alle personer eller historier der er listet i cms-systemet.

Journalisten.dk, der drives af Dansk Journalistforbund og er web-udgaven af fagbladet for forbundets knap 14.000 medlemmer, kører på en Apache-server med det anerkendte cms-system Drupal, der anvendes af en række aviser på nettet.

Computerworld blev opmærksom på problemet hos Journalisten.dk onsdag morgen og tog kort efter kontakt til en ekspert fra sikkerhedsfirmaet FortConsult for at få klarlagt årsagen til den mystiske fejl.

Cookie-fejl

Efter timers analyse onsdag er årsagen imidlertid stadig omgærdet af mystik. Foreløbig ligger det fast, at fejlen er relateret til en cookie, der giver administrator-rettigheder.

"Jeg har aldrig set denne type problem tidligere," siger Peter Österberg, der er seniorkonsulent i sikkerhed hos FortConsult.

'Umulig' adgang

Spørgsmålet er nu, hvorfor cms-systemet spytter administratorrettigheder ud til tilfældige besøgende, hvem de tilhører, og om problemet er relateret til andre sites, der benytter samme opsætning.

Det sidste er ikke utænkeligt, idet sandsynligheden for at få tildelt en cookie svarende til netop en administratornøgle er 1 til cifferindholdet i en 128-bit kryptering. Det er med andre ord umuligt at opnå disse rettigheder - med mindre der er tale om en fejl.

Alligevel skete det umulige onsdag morgen, da Computerworld besøgte Journalisten.dk uden at logge på. Vi blev af systemet opfattet som administrator med ubegrænsede rettigheder til fuldt og helt at manipulere indhold og rettigheder på alle niveauer.

En efterfølgende anlyse udført i samarbejde med en specialist fra sikkerhedsfirmaet Fortconsult har afdækket, at Drupal tilsyneladende accepterer samme cookie uanset hvilken platform, der benyttes. Således har det både været muligt at tilgå det udbredte cms-system fra Windows- og Linux-baserede maskiner.

Erkender problemet

Det har endnu ikke været muligt at få en kommentar om det kritiske sikkerhedsproblem hos Jens Jørgen Madsen, som er webredaktør for Journalisten.dk.

Men ifølge Journalistens chefredaktør, Jakob Elkær, er man klar over problemet, som man har gjort alt, hvad man kan, for at lukke.

Natten til torsdag blev der arbejdet intenst på sitet, formentlig som led i at forhindre adgangen fra uvedkommende.

Peter Österberg fra FortConsult vurderer, at man i løbet af torsdagen hos Journalisten.dk på serversiden har forsøgt at spore problemet og i den forbindelse har lukket serveren for at løse problemet.

"Hvis det var mig, der blev klar over, at dette problem eksisterede, ville jeg med det samme lukke hele systemet for ikke at risikere, at brugere uden rettigheder ødelægger eller ændrer sitet," siger Peter Österberg.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere