Sicherheitsrisiko in Versa Director: Standardpasswort und PostgreSQL-Fehlkonfiguration

Table of Contents

Eine kritische Sicherheitslücke CVE-2024-42450 wurde in der Standardkonfiguration der Virtualisierungsplattform Versa Director entdeckt. Dieses Problem betrifft die PostgreSQL-Datenbank, die für die Speicherung von Betriebs- und Konfigurationsdaten sowie für die High-Availability-Funktionalität des Systems genutzt wird. Die Schwachstelle kombiniert ein Standardpasswort, das in allen Instanzen von Versa Director verwendet wird, mit einer unsicheren Konfiguration, die PostgreSQL erlaubt, auf alle Netzwerkinterfaces zu lauschen.

Standardmäßig ist PostgreSQL in Versa Director so konfiguriert, dass:

  1. Ein einheitliches Passwort für die Datenbankverbindung auf allen Instanzen verwendet wird.
  2. PostgreSQL auf alle Netzwerkinterfaces lauscht, was es Angreifern ermöglicht, remote auf die Datenbank zuzugreifen.

Diese Kombination macht das System anfällig für folgende Angriffe:

  • Unbefugte Datenbankverwaltung: Ein nicht authentifizierter Angreifer kann die PostgreSQL-Datenbank direkt administrieren.
  • Privilegieneskalation: Durch das Lesen lokaler Dateien über PostgreSQL-Funktionen kann ein Angreifer Systemrechte ausweiten.

Die Sicherheitsanfälligkeit betrifft die folgenden Versionen bis zu 22.1.4 (Release vor dem 11.11.2024)

Die Schwachstelle stellt eine hohe Bedrohung dar, insbesondere in Szenarien, in denen Versa Director öffentlich zugänglich oder innerhalb eines Netzwerks mit potenziellen Angreifern betrieben wird.

Auswirkungen

  1. Integrität: Unautorisierter Zugriff kann zu Datenmanipulation führen.
  2. Vertraulichkeit: Datenbankinhalte könnten ausgelesen werden.
  3. Verfügbarkeit: Ein Angreifer könnte die Datenbank-Operationen stören oder den Dienst komplett lahmlegen.

Empfohlene Maßnahmen

1. Update auf eine sichere Version

Für Benutzer der Version 22.1.4 wird dringend empfohlen, auf die Hotfix-Version ab dem 11. November 2024 zu aktualisieren.

2. Mitigation Steps für ältere Versionen

Wenn ein Upgrade nicht sofort möglich ist, sollten folgende Schritte durchgeführt werden:

  1. Standardpasswort ändern:
    • Aktualisieren Sie das Passwort für die PostgreSQL-Datenbank auf jeder Instanz.
    • Stellen Sie sicher, dass das neue Passwort sicher ist und die gängigen Komplexitätsanforderungen erfüllt.
  2. PostgreSQL-Zugriff einschränken:
    • Konfigurieren Sie postgresql.conf, um PostgreSQL auf das Loopback-Interface (127.0.0.1) oder ein vertrauenswürdiges Interface zu beschränken: listen_addresses = '127.0.0.1'
    • Überprüfen Sie die Datei pg_hba.conf, um den Zugriff weiter einzuschränken.
  3. Firewall-Regeln anpassen:
    • Blockieren Sie alle eingehenden Verbindungen zu PostgreSQL-Ports (standardmäßig 5432) von nicht vertrauenswürdigen Netzwerken.
  4. Audit und Monitoring aktivieren:
    • Aktivieren Sie Protokollierung und Überwachung auf der Datenbank, um unbefugte Zugriffe zu erkennen.

Related Posts

Exploit für unpatchte Citrix-Sicherheitslücke bekannt geworden

Anfang November 2024 hat Watchtowr Labs Details zu einer noch nicht gepatchten Sicherheitslücke in Citrix’ Remote-Zugriffs-Lösung veröffentlicht. Diese Schwachstelle betrifft speziell Citrix Virtual Apps and Desktops, eine Lösung, die häufig für sicheren Remote-Zugang zu Desktop-Anwendungen verwendet wird – etwa in Call-Center-Umgebungen.

Read More

Kritische RCE Sicherheitslücke in GitHub CLI (CVE-2024-52308)

Am 14. November 2024 wurde eine schwerwiegende Sicherheitslücke in der GitHub CLI (GH CLI) bekannt gegeben, die Angreifern unter bestimmten Umständen Remote Code Execution (RCE) ermöglicht. Die Schwachstelle betrifft die Funktionen gh codespace ssh und gh codespace logs, wenn diese mit einem bösartigen Codespace-SSH-Server interagieren.

Read More

Kritische Sicherheitslücke in Nexus Repository 2 – Remote Code Execution (CVE-2024-5082)

Sonatype hat eine schwere Sicherheitslücke in Nexus Repository Manager 2.x entdeckt, die potenziell gefährliche Auswirkungen auf Nutzer dieser Software haben könnte. Die Schwachstelle CVE-2024-5082 ermöglicht es Angreifern, durch das Veröffentlichen speziell präparierter Maven-Artefakte auf betroffene Systeme Remote Code Execution (RCE) auszuführen. Die Lücke betrifft alle Versionen von Nexus Repository 2.x bis einschließlich Version 2.15.1.

Read More