Persistentes XSS im BigBlueButton-Chat: Risiken für virtuelle Konferenzen frühzeitig erkennen (CVE-2022-27238)
Webkonferenzen sind aus dem Arbeitsalltag vieler Unternehmen nicht mehr wegzudenken. Umso wichtiger ist es, dass die zugrundeliegenden Plattformen wie BigBlueButton höchsten Sicherheitsstandards entsprechen. Im Rahmen einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragten Analyse haben wir eine sicherheitskritische Schwachstelle in Version 2.4.7 und früheren Versionen von BigBlueButton entdeckt.
Durch eine unzureichende Prüfung der privaten Chat-Funktion war es möglich, Schadcode direkt im Benutzernamen zu hinterlegen. Immer wenn der Angreifer dem Opfer eine private Nachricht sandte oder den Raum verließ, wurde der Code im Browser des Opfers ausgeführt. Das bedrohte die Integrität von Konferenzen und brachte die Vertraulichkeit sowie den Schutz sensibler Daten in Gefahr.
Die Meldung ermöglichte eine rasche Behebung der Lücke: Mit BigBlueButton Version 2.5 sowie einem späteren Patch für Version 2.4 wurde das Problem beseitigt. In diesem Beitrag erfahren Sie, wie die Schwachstelle funktionierte, welche Risiken daraus entstanden und welche Maßnahmen jetzt zum Schutz Ihrer Webkonferenzen wichtig sind. Sichern Sie Ihre digitale Zusammenarbeit, wir unterstützen Sie gerne beim Aufbau einer sicheren IT-Infrastruktur.
Beschreibung
BigBlueButton Version 2.4.7 (oder früher) ist anfällig für persistentes Cross-Site Scripting (XSS) in der privaten Chat-Funktion. Ein Angreifer könnte JavaScript-Payload in seinen Benutzernamen einschleusen. Die Payload wird im Browser des Opfers jedes Mal ausgeführt, wenn der Angreifer eine private Nachricht an das Opfer sendet oder wenn eine Benachrichtigung darüber angezeigt wird, dass der Angreifer den Raum verlässt.
Betroffene Komponente: BigBlueButton/Html-5
Angriffstyp: Remote
Angriffsvektoren: Ein Angreifer könnte XSS-Payloads in den privaten Chat einschleusen und beliebigen JavaScript-Code im Browser des Opfers ausführen. Dies ist möglich, wenn sich der Angreifer und das Opfer im selben Konferenzraum befinden.
Referenz: https://github.com/bigbluebutton/bigbluebutton/pull/14755.
Entdecker: mgm security partners hat diese Schwachstelle bei einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebenen Sicherheitsanalyse der Software BigBlueButton entdeckt.
Zeitplan:
17. März 2022: Die Schwachstelle wurde dem Entwicklerteam von BigBlueButton gemeldet.
8. April 2022: Die gemeldete Schwachstelle wurde in BigBlueButton 2.5 behoben.
Mai 2022: Der Patch wurde auf BigBlueButton 2.4 zurückportiert.
