Die Sicherheitssoftware Trellix ePolicy Orchestrator die vor dem Zusammenschluss von McAfee und FireEye als McAfee ePolicy Orchestrator bekannt war, weist mehrere Sicherheitslücken auf. Die Entwickler haben jetzt mit einem Update diese Schwachstellen behoben. Es wird dringend empfohlen, dass IT-Verantwortliche diese Aktualisierung zeitnah durchführen.
Sicherheitslücken in Dritthersteller-Software
Eine Sicherheitsmitteilung von Trellix informiert über die vorhandenen Schwachstellen. Zwei der Schwachstellen stammen aus Software von Drittanbietern. Der Tomcat-Server weist eine kritische Sicherheitslücke auf (CVSS 7.5), während die Java Runtime Environment (JRE) ein moderates Risiko birgt (CVSS 5.1). Beide Komponenten sind in der aktualisierten Version des ePolicy Orchestrators enthalten.
Sicherheitslücken im Programmcode
Aber ebenfalls der eigentliche Programmcode des OnPremise-Version des ePolicy Orchestrators weist Sicherheitslücken auf. Eine Cross-Site-Scripting-Lücke ermöglicht es angemeldeten Benutzern mit niedrigen Rechten, aus der Ferne neue Benutzer mit Administratorrechten auf dem ePO-Server anzulegen. Dies betrifft den Dashboard-Bereich der Benutzeroberfläche. Für einen erfolgreichen Angriff müssten die Angreifer manipulierte HTTP-Anfragen an den Server senden (CVE-2023-5444, CVSS 7.8, Risiko: "hoch").
Eine Sicherheitslücke namens "offene Umleitung" (open redirect) ermöglicht es Benutzern mit niedrigen Rechten, aus der Ferne URLs auf bösartige Websites umzuleiten (CVE-2023-5445, CVSS 5.0, Risiko: "mittel"). In der Sicherheitsmitteilung werden jedoch etwas höhere CVSS-Werte angegeben, nämlich 8.0 statt 7.8 und 5.4 statt 5.0. Dies ändert jedoch nichts an der Einstufung als hohes bzw. mittleres Risiko.
Sicherheitslücken in älteren Versionen
Die genannten Sicherheitslücken befinden sich in der ePolicy Orchestrator "On-Premises" Version vor 5.10.0 SP1 UP2. Diese Version enthält die Updates um die genannten Sicherheitslücken zu beheben. Der Tomcat-Server wurde auf Version 9.0.82 aktualisiert und die Java Runtime Environment auf Version 1.8.0_381.
Bereits im Frühjahr wurden Sicherheitslücken im Trellix-Agent geschlossen die es Angreifern ermöglichten, ihre Rechte im System zu erweitern und die Software lahmzulegen. Essenziell bleibt regelmäßige Updates für Sicherheitssoftware durchzuführen um Schwachstellen zu beseitigen und das System vor potenziellen Angriffen zu schützen.
Kommentare