Task #202
closedTask #203: Formbricks-Vulnerability
Re: [TUM#2025121010006932]
0%
Description
Liebe ITO,
wir haben Formbricks jetzt ausgeschaltet, sodass eine Abschaltung des Loadbalancers nicht mehr nötig ist. Allerdings hören wir heute zum ersten Mal von dieser Schwachstelle. Die erste Mail der ITO diesbezüglich hat uns aber nicht erreicht - wir konnten die Mail weder in unserem Issue Tracking noch in unseren Postfächern finden. Wahrscheinlich ist sie nicht zugestellt worden - woran kann das liegen?
Unser Issue Tracking bekommt problemlos Mails von außerhalb, von einer Fehlkonfiguration dort ist also nicht auszugehen.
Mit freundlichen Grüßen
Leopold
From: IT Operations - ITO support@ito.cit.tum.de
Sent: Monday, December 22, 2025 5:39:52 PM
To: ls1.admin@in.tum.de
Cc: linhuber@in.tum.de; kuehnema@cit.tum.de; morrien@cit.tum.de; gai@cit.tum.de; scbe@cit.tum.de; bacan@cit.tum.de; thol@cit.tum.de; hrn@cit.tum.de; kabv@cit.tum.de
Subject: Re: [TUM#2025121010006932]
Hallo zusammen,
die "IT-Sicherheit der TUM" hat uns nun angewiesen, formbricks.aet.cit.tum.de vom Netz zu trennen. Falls ich das richtig sehe, ist das nur ein load balancer für mehrere Dienste, und wir können den nur auf layer 3 sperren - d.h. das würde vmtl. einen größeren Teil eurer Infrastruktur offline nehmen.
Deshalb hier noch einmal die dringende Bitte: kümmert euch darum, oder wir müssen das tatsächlich tun....
Hier nochmal der original Wortlaut der IT-SIcherheit (nachdem die Mail noch weitere vulnerable Systeme enthält, darf ich euch die leider nicht direkt weiterleiten...):
Hallo,
Es schient so, als wären die anderen Systeme weiterhin verwundbar:
[...]
https://formbricks.aet.cit.tum.de
Nach Absprache mit Alex Braun vorhin würde ich die ITO hiermit bitten, die Maschinen umgehend vom Netz zu trennen (entweder durch Herunterfahren, bis diese gepatcht werden, oder durch eine netzseitige Firewall), sowie um eine entsprechende Analyse der Maschinen, wie in der ursprünglichen Mail genannt. Die Ergebnisse der Analyse hätten wir gerne bis zum 14.01.
Vielen Dank
Moritz Göppl
Moritz Göppl
Technische Universität München
Stabsstelle IT-Sicherheit
Arcisstraße 21
80333 München
Tel. 089 289 22295
moritz.goeppl@tum.de
it-sicherheit@tum.de
https://tum.de
https://it.tum.de
...außerdem müsstet ihr bitte eine entsprechende Analyse auf Kompromittierung durchführen und uns zukommen lassen (bzw. der IT-Sicherheit, aber am besten schickt ihr das an uns und wir dann weiter).
Gruß,
Thomas Erbeosdlber
Technische Universität München
School of Computation, Information and Technology
IT Operations
Boltzmannstraße 3
85748 Garching bei München
From: IT Operations - ITO support@ito.cit.tum.de
Sent: 10.12.2025 14:53 (Europe/Berlin)
Subject: Re: [TUM#2025121010006932]
Hallo zusammen,
das "IT-Sicherheit der TUM" hat uns angeschrieben, dass formbricks.aet.cit.tum.de scheinbar eine RCE-Sicherheitslücke besitzt (https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2738). Dafür haben sie nach eigener aussage dieses Skript benutzt: https://github.com/assetnote/react2shell-scanner , und sie empfehlen, eine potentielle Kompromittierung mittels den in https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-304569-1032.pdf?__blob=publicationFile&v=5 beschriebenen Schritten zu prüfen.
Die IP 129.187.125.220 sei deren scanner, d.h. potentielle "Angriffsversuche" von dieser IP seien nicht als Kompromittierung zu werten.
Schaut euch das ganze bitte mal an und schließt die Sicherheitslücke ggf.
Gruß,
Thomas (Erbesdobler)
Technische Universität München
School of Computation, Information and Technology
IT Operations
Boltzmannstraße 3
85748 Garching bei München
LT Updated by Leopold Thomas 2 days ago
Hallo,
Ich melde mich nochmal wegen der Analyse:
Das ganze war ein frisches Testsystem, also waren keine Nutzerdaten vorhanden. Demnach hat es laut unserer Analyse keine Auswirkungen.
Liebe Grüße,
Leopold
SB Updated by Sascha Bacher 2 days ago
- Parent task set to #203