Cross-Site-Scripting in Monitoringsoftware PRTG erlaubt Sessionklau
Mit einem präparierten Link können Angreifer PRTG-Nutzer in die Irre führen und die Authentifizierung umgehen. Ein Update schafft Abhilfe.
Die Netzwerk-Monitoringlösung PRTG leidet unter einer Sicherheitslücke, die – mit etwas unfreiwilliger Hilfestellung eines angemeldeten Nutzers – ungebetene Gäste auf die Web-Konsole lässt, ohne sie nach ihren Zugangsdaten zu fragen.
Ein Parameter namens htmclass in der Datei error.htm wird von PRTG nicht ausreichend geprüft und ein geschickter Angreifer kann dort JavaScript einbauen. Den so präparierten Link muss er nun einem Nutzer der angegriffenen PRTG-Instanz unterschieben, etwa per E-Mail oder über Link-Verkürzer verschleiert in einer Textnachricht. Klickt dieser auf den manipulierten Link, kann der Bösewicht seine Session übernehmen.
6 Monate alte LĂĽcke erst jetzt bekannt gemacht
Die Sicherheitslücke wurde bereits im vergangenen Juni entdeckt und über die Zero Day Initiative nun veröffentlicht. Mit einem CVSS-Punktwert von 8,8/10 ist ihr Schweregrad immerhin "hoch". Der PRTG-Hersteller Paessler gibt an, Version 23.4.90.1299 und früher seien von dem Fehler betroffen. Die reparierte Version 24.1.90.1306 steht über die Update-Kanäle bereit und wird – sofern aktiviert – auch per automatischem Update auf anfälligen Systemen installiert.
In den letzten Wochen hatten Administratoren von Monitoring-Lösungen einiges Ungemach mit Sicherheitslücken. Erst kürzlich traf es innerhalb weniger Tage cacti, checkmk und Splunk, nun war PRTG an der Reihe.
(cku)