Bundesamt für Sicherheit in der Informationstechnik

G 5.101 Hacking Lotus Notes/Domino

Die in den Datenbanken eines Lotus Domino Servers gespeicherten Daten können auch für den öffentlichen Zugriff aus dem Internet bereitgestellt werden. Dies stellt besondere Anforderungen an die Sicherheit des dazu benutzten Lotus Domino Servers. Sicherheitslücken können in diesem Fall dazu führen, dass ein Angreifer nicht nur unerlaubt auf den Lotus Domino Server selbst zugreifen kann, sondern unter Umständen auch in der Lage ist, in das dahinter liegende interne Netz einzudringen.

Nachfolgend sind einige Problemfelder und potentielle Sicherheitslücken aufgeführt, die insbesondere beim öffentlichen Zugriff auf einen Lotus Domino-Server aus dem Internet beachtet werden müssen:

  • Ein Lotus Domino Server ist ein komplexes System. Ein Serververbund erhöht die Komplexität weiter. Durch die Komplexität (auch der sicherheitsrelevanten Einstellungen) kann es zu Fehlkonfigurationen und somit auch zu Sicherheitslücken kommen.
  • Durch den großen Funktionsumfang eines Lotus Domino Servers und die mögliche Einbindung in entsprechende Hintergrundsysteme können Sicherheitslücken unter Umständen von einem Lotus Domino Server auf die Hintergrundsysteme durchschlagen. Dabei genügt es in der Regel, eine einzelne Schwachstelle in einem einzelnen Funktionspaket auszunutzen.
  • Ist der Web-Zugriff auf einen Lotus Domino Server aktiviert, betrifft dies immer alle Datenbanken auf dem jeweiligen Server. Dies kann leicht für vorsätzliche Angriffe, insbesondere gegen Standard-Datenbanken, ausgenutzt werden, wenn nicht für jede Datenbank sichere Zugriffsrechte vergeben sind.
  • Ein bekanntes Verfahren zum Hacking eines Lotus Domino Servers ist der Zugriff per HTTP auf names.nsf unter Verwendung eines legitimen Benutzer-Accounts und das Auslesen der Personendokumente inklusive Passwort-Hashes, aus denen mittels entsprechender Crack-Programme die Passwörter ermittelt werden.

Stand: 13. EL Stand 2013