Abo
  • Services:
Anzeige
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht.
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht. (Bild: Kerio)

Schwachstelle aus 2014

Die Hacker nutzten außerdem eine Sicherheitslücke in der verwendeten PHP-Version aus (CVE-2014-3515). Diese basiert auf der veralteten Version 5.2.13 und ermöglicht einfachen Nutzern die Umwandlung selbst kontrollierter Daten mit Hilfe der unserialize()-Funktion. Mit unserialize() werden Datenströme in Objekte umgewandelt, nach Angaben der Sicherheitsforscher eine häufige Quelle von Speicherfehlern.

CVE-2014-3515 nutzt eine Type-Confusion-Sicherheitslücke aus, die dann genutzt wird, um einen Use-After-Free-Speicherfehler zu erzeugen, um schließlich beliebigen Code auszuführen. Bei einer Use-After-Free-Lücke wird ein vom Angreifer kontrollierter Speicherbereich im Programmspeicher (Heap) freigegeben, was dann weitere Angriffe ermöglicht. Bei einer Type-Confusion prüft der Programmcode ein übergebenes Objekt nicht korrekt, Angreifer können hierdurch Speicherbereiche gezielt manipulieren und in einigen Fällen Code ausführen.

Anzeige

Das Sicherheitsproblem liegt in der variablen var_hash. Diese speichert Hashwerte, setzt aber den Reference Count nicht wie nötig hoch. Die Sicherheitsforscher nutzen diese Schwachstelle aus, um zwei Variablen mit gleichem Hashwert zu erzeugen. Das führt dann in einem weiteren Schritt dazu, dass der von der ersten Variable belegte Speicherbereich freigegeben wird.

Der Exploit der Lücke ist nicht trivial, weil Kerio Techniken wie Adress Space Layout Randomization (ASLR) einsetzt, die aber von dem SEC-Team umgangen werden konnten. Mit ASLR werden Objekte in zufällige Speicherbereiche platziert, um Angriffe zu erschweren. In einem letzten Schritt musste der als Read-only markierte Heap-Speicher (Programmspeicher) per Return-Oriented-Programming (ROP) als ausführbar gekennzeichnet werden. Beim ROP wird der Aufrufstack manipuliert, um bestimmten Code auszuführen und Sicherheitstechniken wie die Datenausführungverhinderung (Dep) zu umgehen.

Versionen vor 9.1.4 sind betroffen

Der Hersteller hat einige der Lücken gepatcht. Alle Kerio-Control-Versionen vor Version 9.1.4 sind von den gezeigten Angriffen betroffen. Einige der Probleme betrachte der Hersteller gar nicht erst als Sicherheitslücke, etwa die Tatsache, dass der Webserver als Root läuft und dass Administratorenaccounts für eine Remote Code Execution anfällig seien.

Freingruber und Tavakoli empfahlen Herstellern, gerade von Sicherheitsprodukten, Probleme an der Wurzel zu lösen und nicht nur Symptome zu bearbeiten. Kerio hat auch mit den neuen Updates noch keine neue PHP-Version eingeführt, sondern nur einige Function-Calls entfernt, um den aktuellen Exploit zu verhindern. Damit ist das Unternehmen nicht allein, zahlreiche Anbieter von Enterprise-Software arbeiten mit veralteten Komponenten.

Nachtrag vom 17. November 2016, 14:59 Uhr

Kerio hat uns auf das aktuellste Update 9.1.4 hingewiesen, in dem die beschriebenen Sicherheitslücken geschlossen wurden. Der Webserver läuft weiterhin mit Root-Rechten, dazu teilt das Unternehmen Folgendes mit: "Vor einigen Jahren wurde es als best-practice angesehen, den Zugriff der Server-Applikationen zu beschränken, weil verschiedene Business-Dienste wie Mail, Datenbank und Firewall auf einerm Server laufen. Als Sicherheitsfeature hat Kerio sich entschlossen, Kerio Control als eigenständigen Server laufen zu lassen. Ein Administrator wäre mit eingeschränkten Rechten nicht in der Lage, den Dienst sachgemäß zu verwalten." Außerdem solle ein ungesicherter Zugriff auf die Admin-Oberfläche generell unterbunden werden.

Wir haben zu Beginn des Artikels einen Hinweis auf die gefixten Sicherheitslücken eingefügt.

 Social Engineering gegen Admins

eye home zur Startseite
Moe479 17. Nov 2016

also doch den rat der weisen alten greisen regieren lassen ... but, we already got that!?! xD

Themenstart

Tigerf 17. Nov 2016

Wir geben einen Haufen Geld aus und betreiben schwer durchschaubare Systeme, deshalb sind...

Themenstart

Tigerf 17. Nov 2016

Je mehr Systeme und Ebenen eingezogen werden, desto größer die Gefahr. Am besten noch...

Themenstart

RipClaw 17. Nov 2016

Das betrachten die nicht als potentielle Sicherheitslücke ? Jeder Systemadministrator der...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. BRUNATA Wärmemesser GmbH & Co. KG, München
  2. Media-Saturn IT-Services GmbH, Bayern
  3. Katholische Universität Eichstätt-Ingolstadt, Eichstätt
  4. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe


Anzeige
Top-Angebote
  1. (u. a. X-Men Apocalypse, The Huntsman & The Ice Queen, Asterix erobert Rom, The Purge, Shutter...
  2. (-40%) 17,99€
  3. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Re: Was aufrüsten für WoW?

    Moe479 | 07:38

  2. Re: Gut

    NaruHina | 07:33

  3. Re: Mehr macht bei EWE eh keinen Sinn

    NaruHina | 07:22

  4. Re: "Preise und Leistungen der Endprodukte sind...

    Hood-Boy | 07:01

  5. Re: Der Hit ist doch aber der Nachtrag

    blaub4r | 06:17


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel