Artikel top billede

Ups: Brugere fik fuld kontrol over dansk nyhedssite

En mystisk fejl betyder, at en række tilfældige besøgende onsdag fik administrator-rettigheder over et af landets store fagblade på nettet.

Fagbladet Journalisten er ramt af et mystisk sikkerhedsproblem på netmediet Journalisten.dk som får sikkerhedseksperter til at rive sig i håret.

Den mulige fejl betyder, at besøgende, der tilfældigt surfer forbi, får fuld administrator-rettighed over netmediet. Uden at logge ind har gæsten frie hænder til at skrive artikler, ændre sidens opsætning, give eller spærre adgang til navngivne brugere og meget andet.

På den måde er det muligt at skrive eller ændre indlæg, blogs, artikler, rettigheder og udgivelsestidspunkt for alle personer eller historier der er listet i cms-systemet.

Journalisten.dk, der drives af Dansk Journalistforbund og er web-udgaven af fagbladet for forbundets knap 14.000 medlemmer, kører på en Apache-server med det anerkendte cms-system Drupal, der anvendes af en række aviser på nettet.

Computerworld blev opmærksom på problemet hos Journalisten.dk onsdag morgen og tog kort efter kontakt til en ekspert fra sikkerhedsfirmaet FortConsult for at få klarlagt årsagen til den mystiske fejl.

Cookie-fejl

Efter timers analyse onsdag er årsagen imidlertid stadig omgærdet af mystik. Foreløbig ligger det fast, at fejlen er relateret til en cookie, der giver administrator-rettigheder.

"Jeg har aldrig set denne type problem tidligere," siger Peter Österberg, der er seniorkonsulent i sikkerhed hos FortConsult.

'Umulig' adgang

Spørgsmålet er nu, hvorfor cms-systemet spytter administratorrettigheder ud til tilfældige besøgende, hvem de tilhører, og om problemet er relateret til andre sites, der benytter samme opsætning.

Det sidste er ikke utænkeligt, idet sandsynligheden for at få tildelt en cookie svarende til netop en administratornøgle er 1 til cifferindholdet i en 128-bit kryptering. Det er med andre ord umuligt at opnå disse rettigheder - med mindre der er tale om en fejl.

Alligevel skete det umulige onsdag morgen, da Computerworld besøgte Journalisten.dk uden at logge på. Vi blev af systemet opfattet som administrator med ubegrænsede rettigheder til fuldt og helt at manipulere indhold og rettigheder på alle niveauer.

En efterfølgende anlyse udført i samarbejde med en specialist fra sikkerhedsfirmaet Fortconsult har afdækket, at Drupal tilsyneladende accepterer samme cookie uanset hvilken platform, der benyttes. Således har det både været muligt at tilgå det udbredte cms-system fra Windows- og Linux-baserede maskiner.

Erkender problemet

Det har endnu ikke været muligt at få en kommentar om det kritiske sikkerhedsproblem hos Jens Jørgen Madsen, som er webredaktør for Journalisten.dk.

Men ifølge Journalistens chefredaktør, Jakob Elkær, er man klar over problemet, som man har gjort alt, hvad man kan, for at lukke.

Natten til torsdag blev der arbejdet intenst på sitet, formentlig som led i at forhindre adgangen fra uvedkommende.

Peter Österberg fra FortConsult vurderer, at man i løbet af torsdagen hos Journalisten.dk på serversiden har forsøgt at spore problemet og i den forbindelse har lukket serveren for at løse problemet.

"Hvis det var mig, der blev klar over, at dette problem eksisterede, ville jeg med det samme lukke hele systemet for ikke at risikere, at brugere uden rettigheder ødelægger eller ændrer sitet," siger Peter Österberg.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere