Update: Die Lücke ist mittlerweie behoben worden, daher habe ich diesen Angriffsvektor wieder veröffentlicht.
IServ – die Software für Schulserver – hat einen Bug bzw. ein Problem, wodurch sich beliebige Instanzen mit sehr wenig Aufwand vollständig vom Netz nehmen lassen. Der Angriff ist nicht auf Real-World-Servern getestet worden, nur auf vom Prinzip her ähnlich konfigurierten Servern.
Und der Angriff ist sehr simpel: Es muss nur ein beliebiger HTTP-Stresstest auf die Login-URL des Servers losgelassen werden. 2-3 Instanzen mit 10-20 parallelen Anfragen genügen hierbei bereits. Es handelt sich hierbei um einen simplen DoS-Angriff, der mit einer Bandbreite von unter 1 MBit/s schon durchgeführt werden kann.
Beispiel mit Siege:
siege -u https://[IServ-Domain]/iserv/login -d1 -r100000 -c50
Sobald hiervon einige Instanzen gestartet werden, ist der Server nicht mehr erreichbar. Diese „Lücke“ (besser gesagt dieses Problem – es ist an sich keine Sicherheitslücke) sollte sich durch eine leicht geänderte Konfiguration am Webserver ohne Probleme beheben lassen.
Zur Zeit suche ich noch nach einer echten IServ-Testumgebung, um das Problem zu verifizieren, ich werde diesen Angriff nicht gegen eine Produktiv-Instanz laufen lassen.