Acronis: Updates dichten Sicherheitslecks in mehreren Produkten ab

Acronis hat insgesamt zwölf Sicherheitsmeldungen zu Schwachstellen in mehreren Produkten veröffentlicht. Sie beschreiben Sicherheitslecks, für die teilweise schon länger aktualisierte Software bereitsteht, die sie abdichten. Nutzerinnen und Nutzer sollten prüfen, ob die eingesetzten Produkte bereits auf dem aktuellen Stand sind.

Von den zwölf Sicherheitsmeldungen behandeln vier als hochriskant eingestufte Schwachstellen, sieben drehen sich um Lücken mittleren Bedrohungsgrads und eine Meldung befasst sich mit einer als niedriges Risiko eingestuften sicherheitsrelevanten Lücke.

Acronis: Hochriskante Lücken

Die schwerwiegendste Lücke schließen die Windows-Versionen Acronis Cyber Protect 15 Update 6, Cyber Protect Home Office Build 40278 sowie der Agent Update C23.02, die inzwischen seit drei bis sieben Monaten bereitstehen. Diese sowie neuere Fassungen dichten ein Leck aufgrund unsicherer Rechte eines Treiber-Kommunikations-Ports, das Angreifern die Ausweitung ihrer Rechte ermöglicht (CVE-2023-41743, CVSS 8.8, Risiko "hoch"). Aufgrund unzureichender Filterung von übergebenen Daten können bösartige Akteure Acronis Cloud Manager für Windows vor Build 6.2.23089.203 Befehle unterschieben (CVE-2023-41746, CVSS 8.0, hoch).

Die Rechte im System ausweiten gelang auch dadurch, dass Acronis Cybver Protect 15 vor Update 6 sowie der Agent vor 22.10 jeweils unter macOS nicht signierte Bibliotheken geladen hat, wodurch Angreifer eigenen Code mit höheren Rechten einschleusen können (CVE-2023-41744, CVSS 7.8, hoch). Während der Installation ging Cyber Protect Home Office für Windows vor Build 40278 falsch mit Softlinks um, wodurch ebenfalls die Ausweitung der Rechte im System möglich war (CVE-2022-46869, CVSS 7.3, hoch).

Weitere weniger riskante Schwachstellen haben die Entwickler mit den Versionen Acronis Cyber Protect 15 für Linux, macOS und Windows) Build 35979 und Acronis Agent für Linux, macOS und Windows) Build 35433 geschlossen. Ältere Versionen sollten Acronis-Nutzerinnen und -Nutzer nicht mehr installieren, sondern idealerweise auf die aktuell verfügbaren Software-Versionen aktualisieren.

Die Liste der Sicherheitslücken:

Local privilege escalation due to insecure driver communication port permissions (CVE-2023-41743, CVSS 8.8, hoch)
Remote command execution due to improper input validation (CVE-2023-41748, CVSS 8.0, hoch)
Local privilege escalation due to unrestricted loading of unsigned libraries (CVE-2023-41744, CVSS 7.8, hoch)
Local privilege escalation during installation due to improper soft link handling (CVE-2022-46869, CVSS 7.3, hoch)
Local privilege escalation during recovery due to improper soft link handling (CVE-2022-46868, CVSS 6.7, mittel)
Sensitive information disclosure due to improper input validation (CVE-2023-41747, CVSS 6.5, mittel)
Sensitive information disclosure due to improper token expiration validation (CVE-2023-41751, CVSS 6.3, mittel)
Sensitive information disclosure due to excessive collection of system information (CVE-2023-41745, CVSS 6.1, mittel)
Sensitive information leak through log files (CVE-2023-4688, CVSS 4.4, mittel)
Sensitive information disclosure due to excessive collection of system information (CVE-2023-41749, CVSS 4.4, mittel)
Excessive attack surface due to binding to an unrestricted IP address (CVE-2023-41742, CVSS 4.3, mittel)
Sensitive information disclosure due to missing authorization (CVE-2023-41750, CVSS 3.3, niedrig)

Wer noch ältere Versionen der Software einsetzt, sollte umgehend die aktualisierten bereitstehenden Fassungen herunterladen und installieren.

Zuletzt fiel im Februar eine Schwachstelle in Acronis True Image 2021 auf. Angreifer konnten dadurch ihre Rechte im System ausweiten, was der Hersteller teils als hohes und teils als mittleres Risiko einstufte.

(dmk)