Lücken in AVG Remote Administration bleiben offen

Auf Anfrage teilte die Firma mit, dass sie Angriffe aus dem LAN heraus nicht verhindern könne und deswegen drei Lücken in der Software nicht schließen wolle. Durch die Lücken können Angreifer den Virenschutz einer Organisation von innen abschalten.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Im Fall der offenen Sicherheitslücken in AVGs Verwaltungssoftware Remote Administration hat die Firma jetzt bestätigt, dass sie nicht vorhabe, drei der Lücken zu schließen. Von den vier Sicherheitslücken, die von der Firma SEC Consult vor über vier Monaten an AVG gemeldet wurden, war nur die kritischste am 29. April mit einem Update gestopft worden. Unter anderem ist in der aktuellen Version von AVG Remote Administration die Anmeldung am Server noch verwundbar gegen Angriffe.

Die Client-Server-Kommunikation lässt sich laut den Sicherheitsforschern mit 20 Zeilen Python-Code überlisten

Laut SEC Consult validiert der Server beim Login die Passwörter nicht, was bedeutet, dass ein Angreifer lediglich die Client-Software manipulieren muss, um Administrator-Zugang zum Server zu erhalten. So kann der Angreifer sämtliche im Unternehmen installierten Antiviren-Programme von AVG verwalten und gegebenenfalls abschalten.

Auch die Kommunikation zwischen Clients und dem Server soll ungenügend abgesichert sein. Um die Lücken auszunutzen, muss ein Angreifer allerdings bereits Zugriff zum lokalen Netzwerk haben.

Gegenüber heise Security erklärte ein AVG-Sprecher: "Gegen Angriffe von innen heraus sind die meisten LANs nicht als sicher einzustufen. Deshalb schätzen wir den Sachverhalt nicht als kritischer ein als andere lokale Verwaltungsvorgänge im LAN." Aus diesem Grund sei nicht geplant, weitere Updates zu veröffentlichen. (fab)