Wenn ein CVSS Score von 10.0 ein leeres Bankkonto bedeuten kann!

Auf der jährlichen IT-Sicherheitskonferenz der Fachhochschule St. Pölten (IT-SecX 2018) liegt der Fokus klar auf Industrie 4.0 Security (‚Secure Digitization – Securing the Smart Factory of the Future‘).

Ein besonders gravierendes Problem in der Bankenanwendung ELBA5 zeigten Florian Bogner (Bee IT Security) und Raphael Zoidl (Raiffeisen Software). Über die gefundene Schwachstelle war es möglich, die gesamte Anwendung inkl. Datenbank zu übernehmen. Die Manipulation von Transaktionen war die Folge daraus. Der Angriff war aufwändig, lies sich allerdings automatisieren. Alle Probleme wurden seitens Raiffeisen Software bereits behoben.

Technische Details zum nachlesen: https://bogner.sh/2018/11/0-day-in-elba5s-network-installation-overtaking-your-companys-bank-account/