CA warnt vor Exploit für BrightStor ARCserve Backup

Computer Asscociates warnt wieder einmal vor einer kritischen Lücke in seiner bekannten Backup-Lösung BrightStor ARCserve Backup. Statt eines Patches sehen sich Anwender diesmal allerdings nur mit einem Workaround konfrontiert, der die Lücke behelfsmäßig stopfen soll, da bereits ein Exploit öffentlich verfügbar ist, der eine Shell an einen Netzwerkport bindet. Das Risiko eines Angriffs aus dem Internet ist relativ gering, da die von BrightStor verwendeten Ports in der Regel auf der Firewall blockiert werden. Dies schützt aber nicht vor Angreifern aus dem eigenen Netz.

Ursache des Problems ist offenbar der ungeprüfte Import von Daten aus RPC-Paketen, mit denen sich Daten in den Speicher schreiben und anspringen lassen, um eigenen Schadcode auf dem System auszuführen. Laut Fehlerbericht steckt der Fehler in der Komponente Mediasvr.exe. CA schlägt als Workaround vor, mediasvr.exe umzubenennen, etwa in mediasvc.exe.disable, und den BrightStor-Tape-Engine-Dienst neu zu starten. Dies soll die verwundbare Komponente deaktivieren; allerdings stehen dann die Befehle für die Kommandozeile wie ca_backup, ca_restore und andere nicht mehr zur Verfügung. Sobald ein Patch fertig ist, will der Hersteller Informationen auf seinen Webseiten bereitstellen.

In den vergangenen sechs Monaten hat CA sieben kritische Lücken in Brightstor ARCserve gemeldet, mit denen sich ein System übernehmen ließ. Zuletzt schloß vor rund zwei Wochen ein Update eine Lücke in der Tape Engine. Da damit zu rechnen ist, dass weitere kritische Fehler in ARCserve entdeckt werden, sollten Anwender beim weiteren Einsatz dieses Produkts gegebenenfalls über zusätzliche Sicherheitsmaßnahmen nachdenken.

Siehe dazu auch:

• Computer Associates (CA) Brightstor Backup Mediasvr.exe Remote Code Vulnerability, Fehlerbericht von Shirkdog Security
• CA BrightStor ARCserve Backup Mediasvr.exe vulnerability, Workaorund von CA

(dab)