Gravierende Lücke in Finanz-Software der Schweizer BPC Group

Die amerikanische Security-Firma Rapid7 hat auf eine Lücke in der E-Commerce- und Finanz-Software der Schweizer BPC Group hingewiesen. Die Firma sei bereits im Mai dieses Jahres auf die Schwachstelle in ihrem Produkt SmartVista hingewiesen worden. Ab Juli habe es weitere Versuche der Kontaktaufnahme gegeben, auch seitens der amerikanischen Cybersecurity-Behörde US CERT und des Zertifikationsservice SwissCert. Bislang sei keine Antwort von BPC erfolgt, schreibt Rapid7 in einer Mitteilung.
 
In zwei Feldern der Transaktions-Eingabemaske von SmartVista lassen sich laut Rapid7 SQL-Befehle ausführen. Wer Zugang zum Interface habe, könne somit in den Besitz von sensiblen Nutzerdaten wie Username und Passwort gelangen. Die Lücke ist in einem Blogbeitrag der Security-Firma detailliert beschrieben.
 
Es gebe keine Hinweise auf einen geplanten Patch, der die genannte Schwachstelle adressiert, so Rapid7. Wer SmartVista im Einsatz habe, solle BPC kontaktieren, um weitere Informationen zu erhalten. In der Zwischenzeit solle der Zugriff auf SmartVista so eng wie möglich begrenzt und regelmässig die erfolgreichen wie auch fehlgeschlagenen Anmeldungen überprüft werden. Zudem könne eine Webapplication-Firewall helfen, einen Exploit abzuschwächen oder immerhin schwieriger zu machen.
 
BPC gibt auf seiner Homepage einen Hauptsitz in Baar an. Die Gruppe nennt 188 Kunden in 66 Ländern, darunter Telered aus Panama, Sberbank aus Russland, BT Bank of Transilvania, SBM auf Mauritius sowie die russische Alfa-Bank. Die Firma war für eine Anfrage von inside-it.ch nicht zu erreichen. (ts)