Fortra FileCatalyst Workflow: Hintertür macht Angreifer zu Admins

Die Webportal-Software zum Austausch von großen Dateien FileCatalyst Workflow von Fortra weist eine Hintertür auf. Angreifer können sich mit vergleichsweise wenig Aufwand zum Admin machen.

Kritische Admin-Lücke

In einer Warnmeldung führen die Entwickler aus, dass die HyperSQL-Datenbank (HSQLDB) ein statisches Passwort enthält. Damit ausgerüstet können Admins unter anderem Admin-Nutzer anlegen und so das System kompromittieren.

Fotra weist darauf hin, dass HSQLDB die Installation erleichtern soll und nicht für den Produktivbetrieb vorgesehen ist. Haben Nutzer aber keine alternative Datenbank konfiguriert, sind sie angreifbar. Die Sicherheitslücke (CVE-2024-6633) ist als "kritisch" eingestuft.

Sicherheitsforscher von Tenable erläutern, dass HSQLDB standardmäßig auf dem TCP-Port 4406 lauscht. Daran sollen entfernte Angreifer ohne Authentifizierung ansetzen können. Bislang gibt es noch keine Informationen zu laufenden Attacken. Fortra führt auch nicht aus, an welchen Stellen Admins bereits erfolgte Angriffe erkennen können. Es liegt aber nahe, dass sie nach verdächtigen Admin-Konten Ausschau halten müssen.

Jetzt patchen!

Die Forscher geben an, Fortra Anfang Juli 2024 über die Sicherheitslücke informiert und immer wieder den aktuellen Status abgefragt zu haben. Der Sicherheitspatch ist erst jetzt erschienen.

Die Entwickler versichern, die Schwachstelle in FileCatalyst Workflow 5.1.7 geschlossen zu haben. Es gibt derzeit keinen Workaround, um Systeme zu schützen und man kann den Forschern zufolge das statische Kennwort nicht ändern. Demzufolge sollten Admins die gegen die geschilderte Attacke abgesicherte Version zeitnah installieren.

(des)