Gerätemanagement-Software HCL BigFix für Befehle von Angreifern anfällig

HCL BigFix ist verwundbar. Angreifer könnten an drei Sicherheitslücken im Webinterface ansetzen und beispielsweise eigene Befehle ausführen. HCL BigFix ist eine Endgeräte-Verwaltungsplattform, über die Admins etwa die Fehlerbehebung für Firmen-PCs automatisieren können.

Systeme kompromittieren

Aus einer Warnmeldung geht hervor, dass eine Lücke (CVE-2022-29078) als "kritisch" gilt. Der Fehler findet sich im ejs Package 3.1.6 für Node.js. Sind Attacken erfolgreich, könnten Angreifer eigene Befehle ausführen. Wie das im Detail vonstattengehen könnte, ist bislang unklar.

Zwei weitere Schwachstellen (CVE-2021-43138, CVE-2022-24785) sind beide als "hoch" eingestuft. Sie betreffen die Komponenten Async und Moment.js. Durch das erfolgreiche Ausnutzen könnten sich Angreifer etwa höhere Nutzerrechte aneignen.

In der Warnmeldung listen die Entwickler die gegen solche Attacken gerüsteten Versionen auf.

(des)