Die amerikanische Sicherheitsbehörde CISA hat am 8.5.24 eine Sicherheitswarnung für die PowerPanel Business Software von CyberPower herausgegeben, nachdem kritische Sicherheitslücken entdeckt wurden. Diese adressiert mehrere Schwachstellen, die es Angreifern ermöglichen könnten, Systemprivilegien zu erlangen und schädlichen Code auszuführen. Die PowerPanel Business Software ist eine Admin Software zur Verwaltung von unterbrechungsfreien Power Supplies (UPS) und kommt häufig im Server Umfeld zum Einsatz.
Die betroffenen Versionen der PowerPanel Business Software sind bis einschließlich Version 4.9.0. CyberPower empfiehlt dringend, auf die neueste Version 4.10.1 oder höher zu aktualisieren, um die Risiken zu minimieren.
Überblick über die Schwachstellen:
- Hartkodierte Passwörter und Anmeldedaten: Die Software enthält hartkodierte Passwörter und Anmeldedaten, die es einem Angreifer ermöglichen könnten, Authentifizierungsmechanismen zu umgehen.
- Pfadtraversierung: Durch speziell gestaltete Zip-Dateien könnte ein Angreifer beliebige Dateien auf dem Server schreiben und Code ausführen.
- Aktiver Debug-Code und unsichere Speicherung von Passwörtern: In der Produktionsversion der Software wurden Testanmeldedaten gefunden, und Passwörter werden in einem wiederherstellbaren Format gespeichert.
- SQL-Injection: Durch die unsachgemäße Neutralisierung spezieller Elemente in SQL-Befehlen könnten Angreifer SQL-Befehle injizieren.
- Hartkodierte kryptographische Schlüssel: Identische Zertifikate, die auf einem hartkodierten Schlüssel basieren, könnten es Angreifern ermöglichen, sich als beliebige Clients im System auszugeben.
Die Schwere merhrerer dieser Sicherheitslücken wurde mit einem CVSS-Score von 9.8 bewertet, was auf ein kritisches Risiko hinweist.
Empfehlungen für Anwender:
- Aktualisieren Sie die PowerPanel Business Software auf die neueste Version, um die Sicherheitslücken zu schließen.
- Minimieren Sie die Netzwerkexposition aller Kont
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: