Eine kritische Sicherheitslücke CVE-2024-42450 wurde in der Standardkonfiguration der Virtualisierungsplattform Versa Director entdeckt. Dieses Problem betrifft die PostgreSQL-Datenbank, die für die Speicherung von Betriebs- und Konfigurationsdaten sowie für die High-Availability-Funktionalität des Systems genutzt wird. Die Schwachstelle kombiniert ein Standardpasswort, das in allen Instanzen von Versa Director verwendet wird, mit einer unsicheren Konfiguration, die PostgreSQL erlaubt, auf alle Netzwerkinterfaces zu lauschen.
Standardmäßig ist PostgreSQL in Versa Director so konfiguriert, dass:
- Ein einheitliches Passwort für die Datenbankverbindung auf allen Instanzen verwendet wird.
- PostgreSQL auf alle Netzwerkinterfaces lauscht, was es Angreifern ermöglicht, remote auf die Datenbank zuzugreifen.
Diese Kombination macht das System anfällig für folgende Angriffe:
- Unbefugte Datenbankverwaltung: Ein nicht authentifizierter Angreifer kann die PostgreSQL-Datenbank direkt administrieren.
- Privilegieneskalation: Durch das Lesen lokaler Dateien über PostgreSQL-Funktionen kann ein Angreifer Systemrechte ausweiten.
Die Sicherheitsanfälligkeit betrifft die folgenden Versionen bis zu 22.1.4 (Release vor dem 11.11.2024)
Die Schwachstelle stellt eine hohe Bedrohung dar, insbesondere in Szenarien, in denen Versa Director öffentlich zugänglich oder innerhalb eines Netzwerks mit potenziellen Angreifern betrieben wird.
Auswirkungen
- Integrität: Unautorisierter Zugriff kann zu Datenmanipulation führen.
- Vertraulichkeit: Datenbankinhalte könnten ausgelesen werden.
- Verfügbarkeit: Ein Angreifer könnte die Datenbank-Operationen stören oder den Dienst komplett lahmlegen.
Empfohlene Maßnahmen
1. Update auf eine sichere Version
Für Benutzer der Version 22.1.4 wird dringend empfohlen, auf die Hotfix-Version ab dem 11. November 2024 zu aktualisieren.
2. Mitigation Steps für ältere Versionen
Wenn ein Upgrade nicht sofort möglich ist, sollten folgende Schritte durchgeführt werden:
- Standardpasswort ändern:
- Aktualisieren Sie das Passwort für die PostgreSQL-Datenbank auf jeder Instanz.
- Stellen Sie sicher, dass das neue Passwort sicher ist und die gängigen Komplexitätsanforderungen erfüllt.
- PostgreSQL-Zugriff einschränken:
- Konfigurieren Sie
postgresql.conf, um PostgreSQL auf das Loopback-Interface (127.0.0.1) oder ein vertrauenswürdiges Interface zu beschränken:listen_addresses = '127.0.0.1' - Überprüfen Sie die Datei
pg_hba.conf, um den Zugriff weiter einzuschränken.
- Konfigurieren Sie
- Firewall-Regeln anpassen:
- Blockieren Sie alle eingehenden Verbindungen zu PostgreSQL-Ports (standardmäßig
5432) von nicht vertrauenswürdigen Netzwerken.
- Blockieren Sie alle eingehenden Verbindungen zu PostgreSQL-Ports (standardmäßig
- Audit und Monitoring aktivieren:
- Aktivieren Sie Protokollierung und Überwachung auf der Datenbank, um unbefugte Zugriffe zu erkennen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: