Wazzup? Naives Admin-Login in What's Up
Ein Design-Fehler in der What's-Up-Anmeldefunktion führt dazu, dass Angreifer ohne Angaben von Daten auf die Administratorkonsole der Monitoring-Software zugreifen können.
In der Netzwerk-Monitoring-Lösung What's Up haben die Entwickler die Anmeldeprozedur sehr naiv programmiert. Angreifer können durch den Designfehler mittels geänderten User-Agent- und User-Application-Einträgen ohne weitere Angaben von Daten auf die Administratorkonsole zugreifen.
Der Sicherheitsdienstleister Franklin Technologies United erläutert in einer Sicherheitsmeldung, dass zur Ausnutzung der Lücke genügt, beispielsweise mit einem Webproxy wie WebScarab den User-Agent auf Ipswitch/1.0 sowie den User-Application-String auf NmConsole oder WebArchive umzustellen. Daran erkennt die Authentifizierungsfunktion die Administratorkonsole und lässt den Browser passieren.
Eine aktualisierte What's-Up-Version ist noch nicht verfügbar. Als Umgehungsmaßnahme könnten Administratoren den Zugriff auf das Monitoring-System auf vertrauenswürdige Rechner beschränken.
Siehe dazu auch: (dmk)
- What's Up Professional Spoofing Authentication Bypass, Sicherheitsmeldung von Franklin Technologies United
- Quellcode-Auszug (PDF) der betroffenen Funktion in NmConsole\StandardIncludes\ApplicationContext.inc
