Start Nachrichten Backup-Software: Dell EMC AppSync kompromittierbar

Backup-Software: Dell EMC AppSync kompromittierbar

21
0


Dell EMC AppSync ist die Verwaltungssoftware der Backup-Systeme etwa für größere Unternehmen, um Sicherungskopien nicht nur von Nutzerdaten, sondern etwa konsistent auch aus virtuellen Maschinen oder SQL-Datenbanken zu erstellen und verwalten. Durch mehrere Sicherheitslücken darin hätten Angreifer Web-Sitzungen von Nutzern übernehmen, ungebremst Brute-Force-Angriffe auf Nutzerkonten vornehmen oder Nutzer überlisten können, bestimmte Optionen anzuklicken.

Die EMC AppSync-Software hatte in HTTP-Get-Anfragen sensible Daten eingebettet (CVE-2022-22551, CVSS 8.3, Risiko hoch). Solche Daten können etwa Session-IDs sein. In HTTP-Get-Anfragen übertragene Informationen können in Protokoll-Dateien landen, als Referrer an nachfolgend aufgerufene Webseiten übertragen oder aber von mitschnüffelnden, nicht an AppSync angemeldeten Nutzern im gleichen Netz ausgespäht werden. Handelt es sich um eingebettete Session-IDs, könnten Angreifer etwa die Sitzung übernehmen und beliebige Einstellungen ändern.

Zudem hat die Software exzessive Anmeldeversuche nicht korrekt ausgebremst (CVE-2022-22553 CVSS 8.1, hoch). Angreifer hätten dadurch Brute-Force-Angriffe auf Zugangsdaten ausführen können. Weiterhin hätten Nutzer unbeabsichtigt auf Optionen klicken können, da durch eine sogenannte Clickjacking-Lücke Angreifer etwa unsichtbar HTML-Elemente über die Webseite hätten legen können (CVE-2022-22552, CVSS 6.9, mittel).

Weitere Schwachstellen brachten Dritthersteller-Komponenten mit. So enthielten auch die genutzten Pakete von RESTEasy sowie Simple-XML Sicherheitslücken. Insgesamt wertet Dell das Risiko aller Lücken als hoch, sodass Angreifer betroffene Systeme kompromittieren könnten.

Betroffen sind laut der Sicherheitsmeldung von Dell EMC AppSync-Systeme der Version 3.9 bis 4.3. Die Fehler behebt die aktualisierte Fassung 4.4.0.0. Sie steht auf einer Download-Seite von Dell bereit, die jedoch Nutzern mit Konto bei dem Unternehmen vorbehalten ist. Administratoren und IT-Verantwortliche sollten zeitnah das Update einrichten.


(dmk)

Zur Startseite



Quelle

Vorheriger ArtikelDie ewig vertagte Reform der Elementarbildung
Nächster ArtikelVW zeigt „Elektro-Bulli“ ID. Buzz in Teaser-Video

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein