Sikkerhetseksperter har oppdaget en sårbarhet i Public 360 som de mener er av den mer alvorlige sorten.
Dette er en utbredt sak- og arkivløsning i offentlig sektor, laget av norske Software Innovation, som ble kjøpt opp av finske Tieto for to år siden.
– Vi kunne få adgang til alle dokumenter i systemet, utelukkende ved hjelp av en alminnelig brukerkonto uten særlige rettigheter. Det er ganske alvorlig, sier Claus Vesthammer i sikkerhetsfirmaet Improsec til danske Computerworld.
En lang rekke norske kommuner og etater bruker systemet for dokumenthåndtering, som bygger videre på Microsoft Sharepoint, og som fortsatt utvikles på Fornebu.
– Det er korrekt at sårbarheten ble avdekket i en oppdragsrettet penetrasjonstest i Danmark, som en kunde hadde bestilt. Sårbarheten gjaldt kun et begrenset antall kunder på en konkret versjon av programvaren, utdyper Tietos kommunikasjonssjef Knut Ekern til digi.no.
Public 360 har ifølge danske Computerworld 250.000 brukere i Norden.
Etter det digi.no får opplyst var det en versjon for kundenes eget datarom, en såkalt on-premise løsning, som var berørt av sårbarheten.
– Skyutgaven er ikke berørt, sier Ekern.
– Mulig å laste opp bakdør eller få admin-rettigheter
Feilen var knyttet til muligheten for å laste opp filer. Det skal ordinære brukerkontoer kunne gjøre, men her lå problemet i håndtering av filtypen ASHX. Altså script for rammeverket ASP.net som typisk er kodet i programmeringsspråket C.
Improsec oppdaget at filene ble tolket og kjørt på den bakenforliggende serveren etter opplasting.
– Slik kunne man manipulere systemet til å gjøre stort sett hva man måtte ønske, som å installere enn hemmelig bakdør eller gi seg selv rettigheter som administrator, sier Claus Vesthammer.
Får skryt for kjapp fiks
Etter å ha påvist sårbarheten i august hevder Improsec at det var vanskelig å oppnå kontakt med programvareleverandøren. De berømmer likevel Tieto for kjapp respons når de først fikk tak i rette vedkommende.
– Da vi først kom igjennom var de svært effektive. De hadde en sikkerhetsoppdatering klar i løpet av to dager, sier Vesthammer til den danske avisen.
Tieto opplyser at de jevnlig får sikkerhetstester og penetrasjonstesting utført av tredjepart for å sikre seg mot denne typen hendelser.
– Så fort vi mottok meldingen ble feilen umiddelbart rettet. Relevante kunder ble informert i løpet av 48 timer. Vi er også glade for at vi berømmes for å rette opp raskt. Samtidig har vi skjerpet inn rutinene for å sikre at alle henvendelser kommer til rette vedkommende umiddelbart, sier Ekern til digi.no.