Braz
08.09.2015, 12:17
Die verschiedenen Sicherheits-Appliances von FireEye sollen das Netz des Kunden vor Angriffen schützen, auf Grund einer schwerwiegenden Sicherheitslücke könnten sie jetzt selbst zu Opfern von Hackern werden.
Sicherheits-Appliances von FireEye enthalten eine schwere Sicherheitslücke, die es Angreifern erlaubt, die Geräte von außen komplett zu übernehmen.
Sicherheitsforscher Kristian Erik Hermansen hat nach eigenen Angaben über 18 Monate lang ohne Erfolg versucht, die Sicherheitsfirma zum Schließen dieser und weiterer Lücken zu bewegen.
Da nichts passiert sei, mache er die erste Lücke nun öffentlich, schreibt er in einem Pastebin-Post (http://pastebin.com/ExXFZhDM).
Laut Hermansen kann man unter Kenntnis der richtigen URL mit Root-Rechten auf das Dateisystem der Systeme zugreifen.
Das sei möglich, da der Webserver der Software mit Root-Rechten läuft.
Der Angreifer kann so die Passwörter für das zu Grunde liegende Unix-System auslesen und die Kontrolle übernehmen.
Dazu muss man die Appliance freilich erreichen können.
FireEye bald unter Feuer?
Bis jetzt gibt es keinen Patch. FireEye bestätigte gegenüber heise Security die Lücke, gab aber zu bedenken, dass sie bis jetzt nicht aktiv für Angriffe ausgenutzt werde. Man informiere seine Kunden nur dann über Lücken, wenn diese bereits in freier Wildbahn genutzt werden.
Welche FireEye-Produkte die Lücke im Detail aufweisen, lies der Entdecker der Schwachstelle offen. FireEye stellt eine Reihe von Appliances zum Absichern von E-Mail-Systemen, von Endbenutzer-Rechnern und von ganzen Netzwerken her. Zum Teil sind die Systeme dabei als erste Verteidigungslinie direkt den Angriffsvektoren ausgesetzt und somit Primärziele. (fab (fab@heise.de))
Hier zu finden:
https://pfadzurfireeye/script/NEI_ModuleDispatch.php?module=NEI_AdvancedConfig&function=HapiGetFileContents&name=../../../../../../../../../../../etc/passwd&extension=&category=operating%20system%20logs&mode=download&time=...&mytoken= (https://fireeyeapp/script/NEI_ModuleDispatch.php?module=NEI_AdvancedConfig&function=HapiGetFileContents&name=../../../../../../../../../../../etc/passwd&extension=&category=operating%20system%20logs&mode=download&time=...&mytoken=)...
Für mich macht die Meldung wenig Sinn.
Mittlerweile wurden mehrere Upgrades der FireEye-Software rausgebracht, welche nicht mehr vulnerabel sind.
Einen Flash-Player patcht man doch auch nicht, er wird auch nur aktualisiert.
Viel Wind um nix.
Eure Meinungen?
Beste Grüße,
Braz
Sicherheits-Appliances von FireEye enthalten eine schwere Sicherheitslücke, die es Angreifern erlaubt, die Geräte von außen komplett zu übernehmen.
Sicherheitsforscher Kristian Erik Hermansen hat nach eigenen Angaben über 18 Monate lang ohne Erfolg versucht, die Sicherheitsfirma zum Schließen dieser und weiterer Lücken zu bewegen.
Da nichts passiert sei, mache er die erste Lücke nun öffentlich, schreibt er in einem Pastebin-Post (http://pastebin.com/ExXFZhDM).
Laut Hermansen kann man unter Kenntnis der richtigen URL mit Root-Rechten auf das Dateisystem der Systeme zugreifen.
Das sei möglich, da der Webserver der Software mit Root-Rechten läuft.
Der Angreifer kann so die Passwörter für das zu Grunde liegende Unix-System auslesen und die Kontrolle übernehmen.
Dazu muss man die Appliance freilich erreichen können.
FireEye bald unter Feuer?
Bis jetzt gibt es keinen Patch. FireEye bestätigte gegenüber heise Security die Lücke, gab aber zu bedenken, dass sie bis jetzt nicht aktiv für Angriffe ausgenutzt werde. Man informiere seine Kunden nur dann über Lücken, wenn diese bereits in freier Wildbahn genutzt werden.
Welche FireEye-Produkte die Lücke im Detail aufweisen, lies der Entdecker der Schwachstelle offen. FireEye stellt eine Reihe von Appliances zum Absichern von E-Mail-Systemen, von Endbenutzer-Rechnern und von ganzen Netzwerken her. Zum Teil sind die Systeme dabei als erste Verteidigungslinie direkt den Angriffsvektoren ausgesetzt und somit Primärziele. (fab (fab@heise.de))
Hier zu finden:
https://pfadzurfireeye/script/NEI_ModuleDispatch.php?module=NEI_AdvancedConfig&function=HapiGetFileContents&name=../../../../../../../../../../../etc/passwd&extension=&category=operating%20system%20logs&mode=download&time=...&mytoken= (https://fireeyeapp/script/NEI_ModuleDispatch.php?module=NEI_AdvancedConfig&function=HapiGetFileContents&name=../../../../../../../../../../../etc/passwd&extension=&category=operating%20system%20logs&mode=download&time=...&mytoken=)...
Für mich macht die Meldung wenig Sinn.
Mittlerweile wurden mehrere Upgrades der FireEye-Software rausgebracht, welche nicht mehr vulnerabel sind.
Einen Flash-Player patcht man doch auch nicht, er wird auch nur aktualisiert.
Viel Wind um nix.
Eure Meinungen?
Beste Grüße,
Braz