Persistentes XSS-Schwachstelle in BigBlueButton Greenlight: Freigabe-Funktionen als Einfallstor (CVE-2022-26497)
Digitale Besprechungsplattformen wie BigBlueButton machen virtuelle Zusammenarbeit einfach und flexibel, stellen aber auch hohe Anforderungen an die IT-Sicherheit. Im Rahmen einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragten Sicherheitsanalyse entdeckten wir in Greenlight, der Frontend-Schnittstelle von BigBlueButton, eine ernstzunehmende Schwachstelle bis Version 2.11.2.
Durch eine unzureichende Überprüfung im Dialogfeld „Share Room Access“ konnte ein Angreifer bösartigen JavaScript-Code über den Benutzernamen einschleusen. Diese sogenannte persistente Cross-Site-Scripting-Attacke (XSS) wurde immer dann aktiv, wenn ein Raumadministrator dem Angreifer Zugriff gewährte und später das Dialogfeld aufrief. Mit dieser Lücke konnten Angreifer Berechtigungen missbrauchen, vertrauliche Informationen abgreifen oder Manipulationen am Browser des Opfers vornehmen.
Dank unserer Meldung wurde die Schwachstelle zügig geschlossen: Seit Greenlight Version 2.12.0 besteht dieser Angriffsvektor nicht mehr. In diesem Beitrag zeigen wir Ihnen, wie die Schwachstelle funktionierte, worin die Risiken für Ihre Online-Meetings liegen und wie Sie sich und Ihr Unternehmen gezielt absichern. Setzen Sie auf geprüfte Lösungen! Wir unterstützen Sie dabei, Ihre digitale Kommunikation wirkungsvoll zu schützen.
Beschreibung
Die Frontend-Schnittstelle Greenlight Version 2.11.2 (oder früher) von BigBlueButton ist anfällig für persistentes Cross-Site Scripting (XSS) im Dialogfeld „Share Room Access“ (Zugriff auf Raum freigeben). Ein Angreifer könnte XSS-Payload in das Feld für den Benutzernamen einschleusen. Die Payload wird im Dialogfeld „Share Room Access“ ausgeführt, wenn das Opfer zuvor den Zugriff auf den Raum für den Angreifer freigegeben hat.
Betroffene Komponente: BigBlueButton/Greenlight
Angriffstyp: Remote
Angriffsvektoren: Um die Schwachstelle auszunutzen, benötigt ein Angreifer ein aktives Benutzerkonto in der Greenlight-Anwendung. Außerdem muss das Opfer dem Angreifer Zugriff auf einen Raum gewährt haben.
Referenz: https://github.com/bigbluebutton/greenlight/releases/tag/release-2.12.0.
Entdecker: mgm security partners hat diese Schwachstelle bei einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebenen Sicherheitsanalyse der Software BigBlueButton entdeckt.
Zeitachse:
4. März 2022: Die Schwachstelle wurde dem Entwicklerteam von BigBlueButton gemeldet.
15. April 2022: Greenlight Version 2.12.0 mit dem Patch für die gemeldete Schwachstelle wurde veröffentlicht.
