Abo
  • Services:
Anzeige
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken.
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken. (Bild: ERNW)

Einstweilige Verfügung: Fireeye geht juristisch gegen Sicherheitsforscher vor

"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken.
"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken. (Bild: ERNW)

Ein Team von Sicherheitsforschern wollte auf einer Konferenz über Sicherheitslücken in Fireeye-Produkten berichten. Fireeye sah durch die Präsentation Geschäftsgeheimnisse bedroht und hat eine einstweilige Verfügung erwirkt.

Verschiedene Sicherheitsforscher haben in den vergangenen Tagen kritische Sicherheitslücken in Fireeye-Produkten aufgedeckt, die teilweise dazu geeignet sind, Root-Rechte auf den Geräten der Firma zu erlangen. Um zu verhindern, dass Details über die Arbeitsweise von Fireeye-Geräten öffentlich werden, hat der Konzern eine einstweilige Verfügung vor dem Landgericht Hamburg erwirkt. Die Forscher der Firma ERNW konnten bei einer Präsentation auf der Konferenz 44CON nur eine stark eingeschränkte Fassung ihres geplanten Vortrages halten, wofür der Konzern viel Kritik einstecken muss. Der Sicherheitsforscher Kristian Erik Hermansen fordert außerdem von Fireeye ein Bug-Bounty-Programm, das die Entdecker von Sicherheitslücken finanziell entlohnt. Fireeye verkauft Security-Appliances, die vor allem in großen Firmennetzen zum Einsatz kommen und Malware im Netzwerkverkehr analysieren sowie blockieren sollen.

Anzeige

Directory Traversal mit Root-Zugriff

Hermansen veröffentlichte in einer sehr kurzen Mitteilung Informationen über eine Lücke, die offenbar ein PHP-Skript betrifft, das auf Fireeye-Geräten läuft. Durch einen entsprechenden Parameter ermöglicht das Skript das Auslesen von Dateien, die Beispiel-URL zeigt den Zugriff auf die Passwd-Datei des Systems - eine typische Directory-Traversal-Lücke. "Oh cool, die Webserver laufen als Root. Das ist exzellente Sicherheit für einen Sicherheitshersteller", schreibt Hermansen sarkastisch.

Hermansen hat nach eigenen Angaben Fireeye bereits vor 18 Monaten wegen dieser und anderer Sicherheitslücken kontaktiert und offenbar gefordert, ein Bug-Bounty-Programm einzurichten und ihn für das Aufdecken von Sicherheitslücken zu bezahlen. Für jede kritische Lücke wollte er 10.000 Dollar haben.

Derartige Bug-Bounty-Programme sind inzwischen sehr verbreitet. Bei den IT-Größen wie Google, Facebook oder Twitter ist es üblich, dass Sicherheitsforscher eine entsprechende Bezahlung erhalten, wenn sie Sicherheitslücken melden. Allerdings: 10.000 Dollar sind ungewöhnlich viel, von den IT-Größen werden derartige Beträge nur für extrem kritische Lücken bezahlt.

Die Lücke, die Hermansen veröffentlicht hat, betraf laut Fireeye nur alte Modelle aus der HX-Produktserie und ist inzwischen durch ein Update gefixt. Hermansen weiß jedoch nach eigener Aussage von zahlreichen weiteren Sicherheitslücken. Die will er aber nur gegen Bezahlung preisgeben.

Weit freundlicher als Hermansen ging ein anderer Sicherheitsforscher vor. Felix Wilhelm von der Heidelberger Firma ERNW hat nach eigenen Angaben Anfang April zum ersten Mal Kontakt mit Fireeye via E-Mail aufgenommen. Nachdem circa drei Wochen keine Antwort kam, versuchte er es via Twitter - daraufhin reagierte Fireeye.

Funktionsweise von Fireeye-Geräten soll geheim bleiben

Wilhelm hatte mehrere Sicherheitslücken in Fireeyes WebMPS-System gefunden und eine Präsentation für die Konferenz 44CON in London und einen Bericht zur Veröffentlichung vorbereitet. Fireeye hatte offenbar schwere Vorbehalte gegen die Veröffentlichung. Dabei war laut Fireeye nicht das Bekanntwerden der Sicherheitslücken selbst das Problem, sondern einige Erklärungen über die Funktionsweise der Fireeye-Geräte in Wilhelms Präsentation. Laut Fireeye enthielt diese Details über geistiges Eigentum und Geschäftsgeheimnisse der Firma.

In mehreren Telefonkonferenzen versuchten Fireeye und ERNW zu einer Einigung zu kommen. Am 5. August trafen sich beide Seiten persönlich in Las Vegas. Laut den Vertretern von ERNW einigte man sich dort im Detail darauf, wie die Veröffentlichung aussehen sollte. Doch nur wenige Stunden später habe ERNW - in Deutschland - eine Unterlassungsaufforderung erhalten, die innerhalb von wenigen Tagen unterschrieben werden sollte. Einige Tage später folgte eine einstweilige Verfügung, die Fireeye vor dem Landgericht Hamburg erwirkt hatte.

Es bleibt unklar, aus welchem Grund Fireeye die Veröffentlichungen derart vehement verhindern will. Aus dem Kontext der geschwärzten Stellen in der Präsentation lässt sich vermuten, dass es sich bei den gestrichenen Passagen teilweise um außerordentlich triviale Informationen handelt, beispielsweise Verzeichnisnamen, ein Screenshot der Weboberfläche oder eine Liste der unterstützen Dateitypen.

Die Details der Sicherheitslücken selbst zeigen, dass Fireeye offenbar an einigen Stellen nachlässig bei der Sicherheit war.

Buffer Overflows und Symlink-Angriffe ermöglichen Root-Zugriff 

eye home zur Startseite
irata 17. Sep 2015

Security through obscurity? So wie das Voynich-Manuskript? Hat man in 100 Jahren, oder...

M.P. 17. Sep 2015

Also darf auch der ADAC nicht bei Crash-Tests gefundene Schwächen eines Fahrzeuges...

M.P. 17. Sep 2015

Die Einstweilige Verfügung ist aber nicht gegen das "Geld kassieren" erfolgt, sondern...

Anonymer Nutzer 17. Sep 2015

Nach diesem absolut kopfkranken Urteil mal wieder vom LG Hamburg, dürften ja wohl alle...

Anonymer Nutzer 17. Sep 2015

Zitat: "Ein Team von Sicherheitsforschern wollte auf einer Konferenz über...



Anzeige

Stellenmarkt
  1. Stadt Ellwangen, Ellwangen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Haufe Gruppe, Freiburg im Breisgau
  4. über Hays AG, Karlsfeld


Anzeige
Top-Angebote
  1. (u. a. 5€ Gratis-PSN-Guthaben zur PlayStation-Plus-Mitgliedschaft)
  2. Gratis H3 Headset by B&O beim Kauf des LG G5 Smartphones

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Industrial Light & Magic: Wenn King Kong in der Renderfarm wütet
Industrial Light & Magic
Wenn King Kong in der Renderfarm wütet
  1. Streaming Netflix-Nutzer wollen keine Topfilme
  2. Videomarkt Warner Bros. kauft Machinima
  3. Video Twitter verkündet Aus für Vine-App

Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

  1. Re: was soll immer diese schwachsinnige Asymmetrie...

    GodFuture | 00:58

  2. Re: Diese ganzen angeblichen F2P sollte man...

    Lasse Bierstrom | 00:58

  3. Re: Uuund raus

    Bessunger | 00:58

  4. Re: 2-Faktor-Authentifizierung ist die Antithese...

    Bessunger | 00:55

  5. Das Ultimative Update

    ED_Melog | 00:45


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel