Backup-Software: Dell EMC AppSync kompromittierbar
(Bild: Alfa Photo/Shutterstock.com)
Durch mehrere Sicherheitslücken in der Backup-Software EMC AppSync von Dell hätten Angreifer in betroffene Systeme eindringen und sie manipulieren können.
Dell EMC AppSync ist die Verwaltungssoftware der Backup-Systeme etwa für größere Unternehmen, um Sicherungskopien nicht nur von Nutzerdaten, sondern etwa konsistent auch aus virtuellen Maschinen oder SQL-Datenbanken zu erstellen und verwalten. Durch mehrere Sicherheitslücken darin hätten Angreifer Web-Sitzungen von Nutzern übernehmen, ungebremst Brute-Force-Angriffe auf Nutzerkonten vornehmen oder Nutzer überlisten können, bestimmte Optionen anzuklicken.
Details zu den Lücken
Die EMC AppSync-Software hatte in HTTP-Get-Anfragen sensible Daten eingebettet (CVE-2022-22551, CVSS 8.3, Risiko hoch). Solche Daten können etwa Session-IDs sein. In HTTP-Get-Anfragen übertragene Informationen können in Protokoll-Dateien landen, als Referrer an nachfolgend aufgerufene Webseiten übertragen oder aber von mitschnüffelnden, nicht an AppSync angemeldeten Nutzern im gleichen Netz ausgespäht werden. Handelt es sich um eingebettete Session-IDs, könnten Angreifer etwa die Sitzung übernehmen und beliebige Einstellungen ändern.
Zudem hat die Software exzessive Anmeldeversuche nicht korrekt ausgebremst (CVE-2022-22553 CVSS 8.1, hoch). Angreifer hätten dadurch Brute-Force-Angriffe auf Zugangsdaten ausführen können. Weiterhin hätten Nutzer unbeabsichtigt auf Optionen klicken können, da durch eine sogenannte Clickjacking-Lücke Angreifer etwa unsichtbar HTML-Elemente über die Webseite hätten legen können (CVE-2022-22552, CVSS 6.9, mittel).
Aktualisierungen verfügbar
Weitere Schwachstellen brachten Dritthersteller-Komponenten mit. So enthielten auch die genutzten Pakete von RESTEasy sowie Simple-XML Sicherheitslücken. Insgesamt wertet Dell das Risiko aller Lücken als hoch, sodass Angreifer betroffene Systeme kompromittieren könnten.
Betroffen sind laut der Sicherheitsmeldung von Dell [1] EMC AppSync-Systeme der Version 3.9 bis 4.3. Die Fehler behebt die aktualisierte Fassung 4.4.0.0. Sie steht auf einer Download-Seite von Dell [2] bereit, die jedoch Nutzern mit Konto bei dem Unternehmen vorbehalten ist. Administratoren und IT-Verantwortliche sollten zeitnah das Update einrichten.
Themenseite Backup [3] auf heise online
(dmk [4])
URL dieses Artikels:
https://www.heise.de/-6334745
Links in diesem Artikel:
[1] https://www.dell.com/support/kbdoc/de-de/000195377/dsa-2022-003-dell-emc-appsync-security-update-for-multiple-vulnerabilities
[2] https://dl.dell.com/downloads/DL107581
[3] https://www.heise.de/thema/Backup
[4] mailto:dmk@heise.de
Copyright © 2022 Heise Medien