Fehlender Zugriffsschutz in Aviras Unternehmenslösung

Aviras Schutzlösung für Firmenkunden weist eine Schwachstelle auf, durch die ein Angreifer die Scanner auf den Client-PCs lahmlegen könnte. Kern des Problems ist die fehlende Authentifizierung des Internet Update Manager (IUM), über den Clients sowohl ihre Signatur-Updates als auch die Produkt-Updates beziehen können. Für den Zugriff auf den Server und die Konfiguration aus der Ferne gibt es ein eigenes, frei verfügbares Frontend. Ein Angreifer im internen Netz könnte auf diese Weise etwa Update-Pakete entfernen oder den Planer zum Verteilen der Pakete ausschalten oder den Zyklus verlängern.

In der Standardeinstellung des Servers genügt es, das IUM-Frontend auf einem beliebigen Rechner zu starten und sich ohne Angabe von Zugangsdaten mit dem Server zu verbinden. Der IUM bietet zwar als Option die Authentifizierung per SSL-Clientzertifikat an. In Tests von heise Security war der Zugriff aber auch mit aktivierter Option ohne Angabe von Zugangsdaten möglich – das Frontend bringt nämlich bereits ein gültiges SSL-Client-Zertifikat mit, das nicht zusätzlich durch ein Passwort gesichert ist.

Avira hat das Problem bestätigt und will es mit der nächsten Version im ersten Quartal 2010 lösen. Dabei soll es unter anderem künftig leichter sein, die bereits mitgelieferten Zertifikate durch eigene zu ersetzen. Zudem sollen die Server (SMC, IUM) dann ein Passwort zur Client-Authentifizierung verlangen. Bis zur Veröffentlichung der neuen Version empfiehlt Avira, den Zugriff auf den IUM-Dienst, der standardmäßig auf den TCP-Ports 7050 und 7051 auf eingehende Verbindungen lauscht, gegen unbefugte Zugriffe abschotten. Der Zugriff sollte lediglich für localhost (127.0.0.1), die LAN-IP des Servers sowie für vertrauenswürdige Administratoren-Rechner, auf denen die Verwaltungsoberfläche IUM-GUI laufen soll, in der Firewall gestattet sein. (dab)