Task #189
closedFormbricks-Vulnerability
100%
Description
Aus der Mail der ITO:
Hallo zusammen,
die "IT-Sicherheit der TUM" hat uns nun angewiesen, formbricks.aet.cit.tum.de vom Netz zu trennen. Falls ich das richtig sehe, ist das nur ein load balancer für mehrere Dienste, und wir können den nur auf layer 3 sperren - d.h. das würde vmtl. einen größeren Teil eurer Infrastruktur offline nehmen.
Deshalb hier noch einmal die dringende Bitte: kümmert euch darum, oder wir müssen das tatsächlich tun....
Hier nochmal der original Wortlaut der IT-SIcherheit (nachdem die Mail noch weitere vulnerable Systeme enthält, darf ich euch die leider nicht direkt weiterleiten...):
Hallo,
Es schient so, als wären die anderen Systeme weiterhin verwundbar:
[...]
[https://formbricks.aet.cit.tum.de|https://formbricks.aet.cit.tum.de/]
Nach Absprache mit Alex Braun vorhin würde ich die ITO hiermit bitten, die Maschinen umgehend vom Netz zu trennen (entweder durch Herunterfahren, bis diese gepatcht werden, oder durch eine netzseitige Firewall), sowie um eine entsprechende Analyse der Maschinen, wie in der ursprünglichen Mail genannt. Die Ergebnisse der Analyse hätten wir gerne bis zum 14.01.
Vielen Dank
Moritz Göppl
¶
Moritz Göppl
Technische Universität München
Stabsstelle IT-Sicherheit
Arcisstraße 21
80333 München
Tel. 089 289 22295
moritz.goeppl@tum.de
it-sicherheit@tum.de
[https://tum.de|https://tum.de/]
[https://it.tum.de|https://it.tum.de/]
...außerdem müsstet ihr bitte eine entsprechende Analyse auf Kompromittierung durchführen und uns zukommen lassen (bzw. der IT-Sicherheit, aber am besten schickt ihr das an uns und wir dann weiter).
Gruß,
Thomas Erbeosdlber
Technische Universität München
School of Computation, Information and Technology
IT Operations
Boltzmannstraße 3
85748 Garching bei München
[https://ito.cit.tum.de/]
From: IT Operations - ITO support@ito.cit.tum.de
Sent: 10.12.2025 14:53 (Europe/Berlin)
Subject: Re: [TUM#2025121010006932]
Hallo zusammen,
das "IT-Sicherheit der TUM" hat uns angeschrieben, dass formbricks.aet.cit.tum.de scheinbar eine RCE-Sicherheitslücke besitzt ([https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2738]). Dafür haben sie nach eigener aussage dieses Skript benutzt: [https://github.com/assetnote/react2shell-scanner] , und sie empfehlen, eine potentielle Kompromittierung mittels den in [https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-304569-1032.pdf?__blob=publicationFile&v=5] beschriebenen Schritten zu prüfen.
Die IP 129.187.125.220 sei deren scanner, d.h. potentielle "Angriffsversuche" von dieser IP seien nicht als Kompromittierung zu werten.
Schaut euch das ganze bitte mal an und schließt die Sicherheitslücke ggf.
Gruß,
Thomas (Erbesdobler)
Technische Universität München
School of Computation, Information and Technology
IT Operations
Boltzmannstraße 3
85748 Garching bei München
[https://ito.cit.tum.de/]
SB Updated by Sascha Bacher 2 days ago
Obengenannte Mail erreichte uns am 22.12.2025 um 17:39.
Die am 10.12.2025 von der ITO verfasste Mail, die in obiger Mail zitiert wird, scheint uns nicht erreicht zu haben.
Der betroffene Dienst "Formbricks" wurde um 17:49 abgeschaltet.
Die obengenannte Mail wurde um 19:01 beantwortet.
SK Updated by Stephan Krusche 2 days ago
Was für ein Dienst ist das denn? Ich hab noch nie davon gehört
LT Updated by Leopold Thomas 2 days ago
[~ne23kow] Es ist eine Alternative zu Limesurvey, die [~ga58roj] mal testen wollte
SB Updated by Sascha Bacher 2 days ago
- Subtask #188 added