Veritas Enterprise Vault: Kritische Codeschmuggel-Lücken in Archivsoftware

In Veritas Enterprise Vault können Angreifer kritische Lücke zum Einschleusen von Schadcode missbrauchen.

(Bild: Zoomik/Shutterstock.com)

19.11.2024, 11:00 Uhr

Lesezeit: 3 Min.

Von

Dirk Knop

Die E-Mail-Archivierung- und Datenaufbewahrungssoftware Veritas Enterprise Vault ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen. Ein Update ist offenbar erst später im kommenden Jahr geplant ("third quarter of CY25", vermutlich für Calendar Year 25). IT-Verantwortliche sollten bis dahin temporäre Gegenmaßnahmen ergreifen, um den Missbrauch der Schwachstellen weniger wahrscheinlich zu machen.

In einer Sicherheitsmitteilung weist Veritas auf die Softwarefehler hin. Insgesamt sieben als kritisches Risiko eingestufte Sicherheitslecks hat demnach Trend Micros Zero-Day-Initiative (ZDI) an Veritas gemeldet. Ohne die extern gemeldeten Ergebnisse zu würdigen, schreibt Veritas darüber: "Veritas hat ein Problem entdeckt, bei dem Veritas Enterprise Vault das Ausführen von Code aus dem Netz auf verwundbaren Enterprise Vault Servern erlaubt".

Noch keine CVE-Schwachstelleneinträge

CVE-Schwachstelleneinträge gibt es derzeit noch nicht. Jedoch schreibt Veritas, dass die Lücken einen CVSS-Wert von 9.8 erreichen und damit als kritisches Sicherheitsrisiko gelten. Beim Starten der Enterprise-Vault-App startet diese wiederum Dienste, die auf zufälligen .Net-Remoting-TCP-Ports auf Befehle von Client-Apps lauschen. Diese TCP-Ports lassen sich missbrauchen aufgrund von Schwachstellen, die vom .Net-Remoting-Dienst stammen. Angreifer können sowohl TCP-Remoting-Dienste als auch lokale IPC-Dienste auf dem Enterprise-Vault-Server attackieren. Der Schwachstellentyp lautet "Ausführung von Schadcode aus dem Netz aufgrund Deserialisierung von nicht vertrauenswürdigen Daten".

Es müssen einige Bedingungen erfüllt sein, damit die Lücken angreifbar sind: Angreifer müssen RDP-Zugriff auf eine VM im Netzwerk haben. Dazu müssen sie einen Zugang mit einem Konto erlangen, das Mitgleid der RDP-Nutzergruppe ist. Zudem müssen Angreifer die IP-Adresse des Enterprise-Vault-Servers kennen, die zufälligen Prozess-IDs davon, die dynamisch vergebenen TCP-Ports sowie "Remotable Object"-URIs des Servers. Als weitere Hürde müsse die Firewall auf dem Server unzureichend konfiguriert sein. Sind diese Voraussetzungen gegeben – der CVSS-Wert spricht dafür, dass das schwerer klingt, als es praktisch ist –, können bösartige Akteure durch das Senden präparierter Anfragen aus dem Netz Schadcode einschleusen und ausführen.

Betroffen sind alle derzeit unterstützten Versionen von Enterprise Vault: 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1 und 14.0. Ältere Versionen können ebenfalls angreifbar sein, sie erhalten aber keinen Support mehr.

Abhilfe soll Enterprise Vault 15.2 schaffen. "Allgemeine Verfügbarkeit wird im dritten Quartal CY25 erwartet" – CY wird unter anderem als Kürzel für Calendar Year genutzt. Veritas nennt jedoch temporäre Gegenmaßnahmen, die Admins ergreifen sollen. Ausschließlich Enterprise-Vault-Admins sollen Zugriff auf den Server erhalten. Nur vertrauenswürdige Nutzerinnen und Nutzer sollen MItglied in der RDP-Nutzergruppe sein. Außerdem sollen sie sicherstellen, die Firewall ordentlich zu konfigurieren und zu aktivieren. Anleitungen dafür verlinkt Veritas in der Mitteilung. Wichtig sei zudem, die Windows Updates auf dem Entperise Vault Server zu installieren.