Sicherheitslücke in ePolicy Orchestrator bis Version 4.6.5
Das US-CERT warnt vor Schwachstellen in McAfees Sicherheits-Management-Software, über die sich Angreifer Zugriff auf die Orchestrator-Datenbanken verschaffen oder Code einschleusen und ausführen können.
- Julia Schmidt
Das US-amerikanische Computer Emergency Response Team (US-CERT) hat eine Sicherheitswarnung für McAfees ePolicy Orchstrator (ePO) 4.6.4 und dessen Vorgänger (4.5.-4.5.6, 4.6-4.6.4, laut McAfee-Meldung ist die Lücke allerdings auch noch in Version 4.6.5 vorhanden) veröffentlicht. In den genannten Versionen der Sicherheits-Management-Software hatten Mitarbeiter von Verizon Enterprise Solutions Schwachstellen zur SQL-Injektion und Manipulation von Pfadangaben (Directory Traversal) gefunden. Über diese wäre es Angreifern mit Netzwerkzugang zu McAfees ePolicy Orchestrator Agent-Handlern möglich, beliebige Dateien im Installationsverzeichnis des Orchestrators zu hinterlegen, Lese- und Schreibzugriff auf die zugehörige Datenbank zu bekommen oder eingeschleusten Code im System auszuführen.
Eine genauere Beschreibung der Schwachstellen sind auf den Seiten von CERT und McAfee zu finden:
1. Serverseitige vor-authentifizierte SQL-Injektion in der Agent-Handler-Komponente: Bei der Attacke wird ein fehlerhafter Agent auf dem ePO-Server registriert und eine selbsterstellte HTTP-Anfrage versendet. Erfolgreiche Angriffe ermöglichen es Außenstehenden, sensible Informationen wie administrative Domainanmeldedaten aus der ePO-Datenbank auszulesen, zusätzliche Adminstrator-Accounts für Webkonsolen einzurichten oder per Remote Code mit SYSTEM-Privilegien auszuführen.
2. Serverseitige vor-authentifizierte Pfadangabenmanipulation (Directory Path Traversal) beim Datei-Upload: Der Angriff findet auch hier durch das Registrieren eines schadhaften Agenten auf dem ePO-Server und eine HTTP-Anfrage statt. Bei Erfolg lassen sich per Remote uneingeschränkt Dateien hochladen. Ein typisches Angriffsszenario wäre hier das Ablegen von schädlichen Dateien im Software-Verzeichnis, damit sich über den ePO-Server heruntergeladen werden können.
Da die Software im Unternehmensumfeld verbreitet ist, sollten deswegen schnellstmöglich Schutzmaßnahmen ergriffen werden. Laut Angaben von McAfee sind die Sicherheitslücken in ePO 5.0, 4.6.6 und 4.5.7 geschlossen, sodass sich ein Update auf diese Versionen empfiehlt. Hierbei ist zu beachten, dass ePO 4.5.7 erst ab Mitte Mai erhältlich sein wird – für Nutzer von Version 4.5.6 steht deshalb ein Hotfix zur Verfügung. (jul)
