G 5.101 Hacking Lotus Notes
Die in den Datenbanken eines Notes-Servers gespeicherten Daten können auch für den öffentlichen Zugriff aus dem Internet bereitgestellt werden. Dies stellt besondere Anforderungen an die Sicherheit des dazu benutzten Notes-Servers. Sicherheitslücken können in diesem Fall dazu führen, dass ein Angreifer nicht nur unerlaubt auf den Notes-Server selbst zugreifen kann, sondern u. U. auch in der Lage ist, in das dahinterliegende interne Netz einzudringen.
Nachfolgend sind einige Problemfelder und potentielle Sicherheitslücken aufgeführt, die insbesondere beim öffentlichen Zugriff auf einen Notes-Server aus dem Internet beachtet werden müssen.
- Das Kommunikations-Protokoll von Lotus Notes ist zur Zeit nicht offengelegt, so dass keine gesicherten Aussagen über die Sicherheitsmechanismen gemacht werden können. Auch bei entsprechender Konfiguration muss mit einem Restrisiko gerechnet werden.
- Ein Notes-Server ist ein komplexes System. Ein Serververbund erhöht die Komplexität weiter. Durch die Komplexität (auch der sicherheitsrelevanten Einstellungen) kann es zu Fehlkonfigurationen und somit auch zu Sicherheitslücken kommen.
- Durch den großen Funktionsumfang eines Notes-Servers und die mögliche Einbindung in entsprechende Hintergrundsysteme können Sicherheitslücken unter Umständen von einem Notes-Server auf die Hintergrundsysteme durchschlagen. Dabei genügt es in der Regel, eine einzelne Schwachstelle in einem einzelnen Funktionspaket auszunutzen.
- An der Web-Schnittstelle existiert keine Beschränkung für Fehlversuche bei der Authentisierung. Mit Hilfe von Browser-Clients können Angreifer deshalb beliebig oft versuchen, sich mit wechselnden Benutzernamen und Passwörtern an einem Notes-Server anzumelden und auf diese Weise unberechtigt Zugriff zu erlangen.
- Ist der Web-Zugriff auf einen Notes-Server aktiviert, betrifft dies immer alle Datenbanken auf dem jeweiligen Server. Dies kann leicht für vorsätzliche Angriffe ausgenutzt werden, wenn nicht für jede Datenbank sichere Zugriffsrechte vergeben sind.