Barracuda RMM: Kritische Sicherheitslücken erlauben Codeschmuggel
In Barracudas Service Center RMM klaffen kritische Sicherheitslücken, durch die Angreifer beliebigen Code ausführen können.
(Bild: Sashkin/Shutterstock.com)
IT-Verantwortliche, die ihre IT mit Barracuda RMM – ehemals unter dem Namen Managed Workplace bekannt – verwalten, sollten schleunigst den bereitstehenden Hotfix 2025.1.1 installieren, sofern das noch nicht geschehen ist. Er schließt mehrere Sicherheitslücken, von denen gleich drei die Höchstwertung CVSS 10 erhalten und damit ein großes Risiko darstellen.
Barracuda selbst veröffentlicht ein PDF zur Ankündigung des Hotfixes und bleibt darin sehr nebulös. „Der Zweck dieses Hotfixes ist es, proaktiv Sicherheitsprobleme rund um Schadcode-Schmuggel und -Ausführung aus der Ferne anzugehen“ schreibt Barracuda und ergänzt: „Diese Schwachstellen wurden nicht missbraucht“. Man empfehle allen Nutzern, ihr Barracuda RMM mit dem Hotfix zu aktualisieren.
Sicherheitslücken mit höchster Risikoeinstufung
In der Nacht zum Donnerstag dieser Woche sind jedoch Schwachstelleneinträge zu den einzelnen Lücken erschienen. So überprüft Barracuda RMM vor der Hotfix-Version 2025.1.1 die URL in einer von Angreifern kontrollierbaren WSDL-Anfrage nicht, die später von der App geladen wird. Das kann zum Schreiben beliebiger Dateien und dem Ausführen beliebigen Codes über einen Webshell-Upload führen (CVE-2025-34392, CVSS4 10.0, Risiko „kritisch“). Außerdem prüft die Software den Namen von Angreifer kontrollierten WSDL-Diensten nicht, was zu unsicheren Reflexionen führen kann. Diese wiederum können zur Ausführung von Schadcode aus dem Netz führen durch das Aufrufen beliebiger Methoden oder der Deserialisierung unsicherer Datentypen (CVE-2025-34393, CVSS4 10.0, Risiko „kritisch“).
Barracuda RMM ermöglicht zudem Zugriff auf einen .Net-Remoting-Dienst, der unzureichend gegen die Deserialisierung beliebiger Datentypen gesichert ist. Auch das lässt sich zur Ausführung von Schadcode aus dem Netz missbrauchen (CVE-2025-34394, CVSS4 10.0, Risiko „kritisch“). Nicht angemeldete Angreifer können zudem eine Path-Traversal_Lücke zum Auslesen beliebiger Dateien in einem exponierten .Net-Remoting-Dienst missbrauchen – das Abgreifen von .Net-Maschinen-Keys ermöglicht das Ausführen von aus dem Netz eingeschleusten Schadcode (CVE-2025-34395, CVSS4 8.7, Risiko „hoch“).
Videos by heise
Während Barracuda einen eher nichtssagenden Hinweis auf den Hotfix veröffentlicht hat, liefern die IT-Sicherheitsforscher von watchTowr ein amüsantes Lesestück zu der Grundlage zumindest einer der Schwachstellen bei der WSDL-Verarbeitung (CVE-2025-34392).
Mitte 2023 fiel Barracudas Email Security Gateway (ESG) durch Sicherheitslücken auf, die sich nicht ohne Weiteres schließen ließen. Die Appliances mussten komplett ausgetauscht werden.
(dmk)
