Schwachstelle in VW-Autohaus-Software: Datenbank mit fest kodiertem Passwort

Die Software EVA (Elektronischer Verkäuferarbeitsplatz) des VW-Konzerns ist eine Windows-Anwendung, die lokal auf PCs läuft und von den Verkäufern zur Kundenpflege eingesetzt wird. EVA greift auf eine Oracle-Datenbank zu, die ebenfalls lokal auf dem Client läuft. Im November 2023 kontaktierte mich ein Leser meines Blogs mit dem Hinweis, dass es in der EVA-Software von VW eine Schwachstelle gebe.

Das Zugangspasswort für die Oracle-Datenbank sei fest im Programmcode hinterlegt, erklärte er. Als Passwort hatte der Entwickler der Software offenbar einen gebräuchlichen Begriff aus der Welt des Fußballs verwendet, der auch auf gecrackten Passwortlisten hoch im Kurs steht.

Nach Aussage des Bloglesers wurde das Kennwort seit 20 Jahren nicht mehr geändert. Zudem merkte er an, dass die Anwendung sämtliche Benutzerpasswörter im Klartext in einer Datenbanktabelle (Advisor) speichere.

Verantwortlich für den Einsatz der EVA-Software sind die Autohäuser, die vor Ort die Kundendaten verarbeiten. Dort lassen sich zwar geeignete Maßnahmen treffen, um den Zugriff auf den betreffenden Rechner zu begrenzen.

Fest in der Software kodierte Kennwörter beziehungsweise Zugangsdaten stellen aber ein Sicherheitsproblem dar. Personen, die Zugriff auf den Rechner haben und das Passwort kennen, könnten beispielsweise eine Kopie der Kundendatenbank des Autohauses aus EVA auf einen USB-Stick ziehen.

Meldung an VW und schnelle Reaktion

Angesichts des Modern-Solution-Falls wollte der Blogleser das Problem nicht selbst melden. In diesem Fall hatte ein Softwareentwickler ein festes Passwort für den Datenbankzugriff aus dem Programmcode extrahiert und meldete die Schwachstelle an den Hersteller.

Im Modern-Solution-Fall bekam der Entwickler eine Strafanzeige, inzwischen gab es ein Urteil des Amtsgerichts Jülich, in dem der Entdecker der Schwachstelle mit 5.000 Euro Geldstrafe wegen Verstoßes gegen StGB § 202c (Vorbereiten des Ausspähens und Abfangens von Daten) belegt wurde.

Ich übernahm die Rolle des Mittlers, um einen Verantwortlichen im VW-Konzern zu suchen und auf Abhilfe zu drängen. Da unklar war, wer für die Pflege der Software verantwortlich ist, setzte ich am 18. Januar 2024 eine Meldung auf der VW-Cybersecurity-Seite ab. Bereits wenige Stunden später, am 19. Januar, kam eine Bestätigung des Meldungseingangs mit der Information, dass man thematisch zwar nicht zuständig sei, die Meldung aber an die zuständigen Stellen im Hause weiterleite.

Einen Tag später meldete sich der Cybersecurity-Verantwortliche von Volkswagen Financial Services AG telefonisch bei mir und bestätigte, dass die Problematik bereits kürzlich bei einem Audit aufgefallen sei. Es gab die Zusage, die gemeldete Problematik zeitnah zu korrigieren.

Dabei waren nicht nur Korrekturen in der Software erforderlich, die revidierte Version musste auch in allen betroffenen Autohäusern aktualisiert und gegebenenfalls die Sicherheit der verwendeten Passwörter überprüft werden.

Die Schwachstelle ist geschlossen

Wie ich erfuhr, waren die Korrekturen der EVA-Software Anfang März 2024 geplant, es bedurfte aber mehrerer Schritte, bis die Software Mitte April 2024 umgestellt war und wieder wie geplant funktionierte. Am 19. April 2024 kam die Rückmeldung von Volkswagen Financial Services AG, telefonisch und später auch per E-Mail, dass die gemeldete Auffälligkeit im EVA-Client behoben sei.

Meine Quelle bestätigte, dass umfangreiche Änderungen vorgenommen worden seien. Die Benutzerpasswörter werden nicht mehr in die Datenbanktabelle Advisor geschrieben und VW kommunizierte, dass die Passwörter der EVA-Datenbankbenutzer EVA, EVA_USER und EVAST zukünftig regelmäßig erneuert werden.

Weiterhin mussten alle EVA-Benutzer in den Autohäusern auf Geheiß von VW ihr Log-in-Passwort ändern und wurden angewiesen, die Passwörter der Admin-User SYS und SYSTEM eigenverantwortlich zu ändern. SYS ist der Benutzername des jeweiligen Autohauses, in dem die Software zum Einsatz kommt, während der EVA-Client intern eigene Benutzerkennungen verwendet.

Zunächst konnte der EVA-Client nach Änderung des Passworts keine Updates mehr durchführen. Dieses Problem ist nach Aussage des Bloglesers seit dem 22. April 2024 behoben, Updates funktionieren nun auch mit geänderten Kennwörtern.

Die Schwachstelle war nur begrenzt ausnutzbar – es brauchte den direkten Zugang auf den EVA-Client – und betraf nur die jeweiligen Autohäuser. Das Problem sollte nun behoben sein.

Hervorzuheben ist in diesem Fall die professionelle Reaktion von VW, wo nach der Meldung nicht nur die verantwortliche Stelle zeitnah ermittelt, sondern auch zügig an einer Lösung gearbeitet wurde. Der Fall zeigt aber auch, dass es in Sachen Cybersicherheit bei Software noch einiges zu tun gibt.