In der Software Arcserve Unified Data Protection (UDP) Version 9.2 wurden mehrere schwerwiegende Sicherheitslücken identifiziert, die ernsthafte Bedrohungen für die IT-Sicherheit darstellen.
CVE-2024-0799 – Authentifizierungsumgehung:
Eine kritische Schwachstelle ermöglicht es, die Authentifizierung zu umgehen, indem beim Login-Prozess ein NULL-Passwort übergeben wird, woraufhin eine UUID zur Authentifizierung verwendet wird. Angreifer können diese Lücke ausnutzen, indem sie eine HTTP-POST-Nachricht ohne Passwort-Parameter an den Endpunkt /management/wizardLogin senden. Nach erfolgreicher Authentifizierung können die Angreifer dann Aufgaben ausführen, die normalerweise eine Authentifizierung erfordern.
CVE-2024-0800 – Authentifizierte Pfadtraversierung:
Eine weitere Sicherheitslücke betrifft die Möglichkeit, über eine Pfadtraversierung beliebige Dateien in jedem Verzeichnis auf dem Dateisystem, auf dem die UDP-Konsole installiert ist, hochzuladen. Diese Operation wird unter dem Sicherheitskontext des SYSTEM-Benutzers ausgeführt, was bedeutet, dass ein Angreifer potenziell schädliche Dateien an kritische Orte verschieben könnte.
CVE-2024-0801 – Unauthentifizierte DoS-Attacke:
Diese Schwachstelle befindet sich in der ASNative.dll und wird durch spezielle Benutzernamen während des Login-Prozesses ausgelöst. Wenn der Benutzername mit einem Backslash () oder einem Schrägstrich (/) beginnt, führt dies zu einem unerwarteten Abbruch des Prozesses und einem Denial-of-Service (DoS).
Es wird dringend empfohlen, die von Arcserve bereitgestellten Patches anzuwenden. Für Arcserve UDP 8.1 ist der Patch P00003059 verfügbar, während für die Version 9.2 der Patch P00003050 bereitgestellt wurde. Diese Patches adressieren die genannten Sicherheitslücken und sollten umgehend installiert werden, um potenzielle Risiken zu minimieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: