Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit der Münchner Firma MGM Security Partners die Open-Source-Dienste Matrix und Mastodon auf Herz und Nieren geprüft – und dabei gravierende Schwachstellen entdeckt. Im Rahmen des Projekts Caos 2.0, das seit 2021 läuft, werden beliebte Open-Source-Softwarelösungen untersucht, die häufig von Behörden oder Privatnutzern eingesetzt werden. Ziel ist es, die Sicherheit dieser Programme zu erhöhen und Entwicklerteams bei der Erstellung von sicherem Code zu unterstützen.

Mastodon: Mehr als nur eine Twitter-Alternative?

Die Analyse von Mastodon, der beliebten Twitter-Alternative, brachte einige alarmierende Schwachstellen ans Licht. Besonders brisant: Zwei dieser Sicherheitslücken wurden als hoch riskant eingestuft. Dabei handelt es sich um sogenannte Cross-Site-Scripting-Schwachstellen (CVE-2023-46950 und CVE-2023-46951), die Angreifern ermöglichen könnten, über eine manipulierte Nutzlast auf vertrauliche Informationen zuzugreifen. Nicht gerade das, was man sich von einer Plattform erwartet, die vor allem wegen ihrer dezentralen und sicheren Struktur gefeiert wird.

Aber das war noch nicht alles. Die Experten fanden eine umgehbare Durchsatzratenbegrenzung (Rate-Limitierung), die es potenziellen Angreifern erleichtern könnte, trivial Passwörter zu erraten oder gültige Nutzernamen zu ermitteln. Auch die Abhängigkeit von 22 anderen Open-Source-Bibliotheken mit bekannten Sicherheitslücken sorgt nicht gerade für ein Gefühl der Sicherheit.

Matrix: Dezentrales Messaging mit Sicherheitsdefiziten

Auch beim dezentralen Messenger-Server Matrix Synapse, der unter anderem die Grundlage für den BwMessenger der Bundeswehr und den neuen BundesMessenger bildet, wurden einige Schwachstellen entdeckt. Besonders kritisch ist die Tatsache, dass hochgeladene Dateien, die nicht Ende-zu-Ende verschlüsselt sind, ohne Authentifizierung heruntergeladen werden können – sofern die ID des Uploads bekannt ist. Das ist ein ernsthaftes Problem für eine Plattform, die gerade in sicherheitsrelevanten Bereichen eingesetzt wird.

Darüber hinaus stellten die Prüfer eine überlange Gültigkeit von Sessions fest, was die Gefahr von Missbrauch erhöht. Normale Nutzer konnten außerdem Umfragen anderer User beenden, und eine Schwachstelle (CVE-2023-32683) ließ sich umgehen.

Der Teufel steckt im Detail – und im Quellcode

Ein weiteres Problem, das bei beiden Projekten deutlich wurde, ist die „gewachsene“ und unaufgeräumte Code-Basis. Code-Duplizierungen und das Fehlen eines strukturierten, toolgestützten Vorgehens zur regelmäßigen Identifikation und Behebung von Schwachstellen deuteten darauf hin, dass hier noch einiges an Nacharbeit nötig ist. Die Experten empfehlen daher ein gründliches Refactoring des Codes, um die Sicherheit und Erweiterbarkeit der Projekte langfristig zu gewährleisten.

Open-Source – Transparenz mit Herausforderungen

Das Projekt Caos 2.0 zeigt eindrucksvoll, dass auch Open-Source-Software, die häufig als besonders sicher und transparent gilt, nicht vor Schwachstellen gefeit ist. Gerade weil solche Projekte von vielen genutzt werden, ist es umso wichtiger, dass Sicherheitslücken schnell aufgedeckt und behoben werden.

Mit Blick auf die Ergebnisse lässt sich sagen: Sicherheit ist ein Prozess, kein Zustand. Die Entwickler von Mastodon und Matrix haben bereits reagiert und arbeiten an der Behebung der gefundenen Schwachstellen. Für Nutzer bleibt zu hoffen, dass diese Probleme in zukünftigen Versionen der Software Geschichte sind. Bis dahin gilt: Augen auf und regelmäßig updaten!