NSIDE hat mehrere, zum Teil kritische Schwachstellen in UC eBanking Prime (Versionen 6.1.0 und 6.2.0) gefunden. Die Schwachstellen ermöglichen Angreifern unter bestimmten Umständen unautorisierten Zugriff zur UC eBanking-Prime-Webanwendung und damit zu sensiblen Daten wie Kontoständen und der Transaktionshistorie. Leider wurden sie bisher nur zum Teil vom Hersteller adressiert.

Technische Details

In einer vorherigen Version des Artikels waren weitere Informationen zu den Schwachstellen enthalten. Auf expliziten Wunsch eines Kunden haben wir uns entschieden, die Veröffentlichung technischer Details auf einen späteren Zeitpunkt zu verschieben. Schauen Sie gerne regelmäßig vorbei, um über alle Updates informiert zu bleiben.

Responsible Disclosure

Wir haben die Schwachstellen in einem Kundenprojekt Ende März 2025 entdeckt und sie mit Zustimmung unseres Kunden am 7. April 2025 an die Hypovereinsbank gemeldet. Nach initialem Zögern hat die Hypovereinsbank die Schwachstellenmeldung am 8. Mai anerkannt. Eine der Schwachstellen wurde anschließend in Version 6.2.0.3 behoben. Für die anderen Schwachstellen ist aktuell noch kein Update verfügbar, allerdings sei eine „Behebung bis Ende Oktober 2025“ geplant. Die Hypovereinsbank wurde am 28. Mai über die für Mitte Juli geplante Veröffentlichung der Schwachstelle nach den üblichen 100 Tagen informiert. Nach einer intialen Veröffentlichung am 28. August wurden die technischen Details am 5. September auf einen Kundenwunsch hin wieder zurückgezogen und deren Veröffentlichung auf einen späteren Zeitpunkt verschoben.

27. März 2025 Schwachstelle im Projekt identifiziert
7. April 2025 Kunde stimmt dem Responsible-Disclosure-Prozess zu, NSIDE kontaktiert die Hypovereinsbank (HVB), sie bittet um eine Meldung durch unseren Kunden
16. April 2025 NSIDE übermittelt Schwachstellendetails und PoC-Code
28. April 2025 Nachfrage der NSIDE, HVB antwortet, dass die Meldung noch nicht gesichtet werden konnte
7. Mai 2025 Erneute Nachfrage der NSIDE, HVB antwortet erneut, dass die Meldung noch nicht gesichtet werden konnte
8. Mai 2025 Hypovereinsbank erkennt Schwachstellenmeldung an
28. Mai 2025 NSIDE informiert HVB über für den 17. Juli geplante Veröffentlichung
25. Juni 2025 HVB veröffentlicht Version 6.2.0.3 mit Behebung für Schwachstelle 5
3. Juli 2025 HVB informiert über Planung, die anderen Schwachstellen „bis Ende Oktober 2025“ zu beheben
28. August 2025 Advisorys und Blogartikel veröffentlicht
5. September 2025 Veröffentlichung technischer Details verschoben