Eine Sicherheitswarnung des US-amerikanischen Computer Emergency Response Teams (US-CERT) betrifft McAfees ePolicy Orchstrator (ePO) Versionen 4․6․4 und frühere (4.5.-4.5.6, 4․6-4.6.4). Laut einer Meldung von McAfee ist die Lücke ebenfalls in Version 4․6․5 vorhanden.
Über diese wäre es Angreifern mit Netzwerkzugang zu McAfees ePolicy Orchestrator Agent-Handlern möglich, beliebige Dateien im Installationsverzeichnis des Orchestrators zu hinterlegen, Lese- & Schreibzugriff auf die zugehörige Datenbank zu bekommen oder eingeschleusten Code im System auszuführen.
Eine genauere Beschreibung der Schwachstellen sind auf den Seiten von CERT und McAfee zu finden:
1. Serverseitige vor-authentifizierte SQL-Injektion in der Agent-Handler-Komponente: Bei der Attacke wird ein fehlerhafter Agent auf dem ePO-Server registriert und eine selbsterstellte HTTP-Anfrage versendet. Erfolgreiche Angriffe ermöglichen es Außenstehenden, sensible Informationen wie administrative Domainanmeldedaten aus der ePO-Datenbank auszulesen, zusätzliche Adminstrator-Accounts für Webkonsolen einzurichten oder per Remote Code mit SYSTEM-Privilegien auszuführen.
2. Serverseitige vor-authentifizierte Pfadangabenmanipulation (Directory Path Traversal) beim Datei-Upload: Der Angriff findet auch hier durch das Registrieren eines schadhaften Agenten auf dem ePO-Server und eine HTTP-Anfrage statt. Bei Erfolg lassen sich per Remote uneingeschränkt Dateien hochladen. Ein typisches Angriffsszenario wäre hier das Ablegen von schädlichen Dateien im Software-Verzeichnis, zu diesem Zweck sich über den ePO-Server heruntergeladen werden können.
Da die Software im Unternehmensumfeld verbreitet ist, sollten deswegen schnellstmöglich Schutzmaßnahmen ergriffen werden. Laut Angaben von McAfee sind die Sicherheitslücken in ePO 5․0, 4․6․6 und 4․5․7 geschlossen, sodass sich ein Update auf diese Versionen empfiehlt. Hierbei ist zu beachten, dass ePO 4․5․7 erst ab Mitte Mai erhältlich sein wird ? für Nutzer von Version 4․5․6 steht deswegen ein Hotfix zur Verfügung.
Kommentare