• IT-Karriere:
  • Services:

Schwachstelle aus 2014

Die Hacker nutzten außerdem eine Sicherheitslücke in der verwendeten PHP-Version aus (CVE-2014-3515). Diese basiert auf der veralteten Version 5.2.13 und ermöglicht einfachen Nutzern die Umwandlung selbst kontrollierter Daten mit Hilfe der unserialize()-Funktion. Mit unserialize() werden Datenströme in Objekte umgewandelt, nach Angaben der Sicherheitsforscher eine häufige Quelle von Speicherfehlern.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. HerkulesGroup Services GmbH, Meuselwitz, Siegen

CVE-2014-3515 nutzt eine Type-Confusion-Sicherheitslücke aus, die dann genutzt wird, um einen Use-After-Free-Speicherfehler zu erzeugen, um schließlich beliebigen Code auszuführen. Bei einer Use-After-Free-Lücke wird ein vom Angreifer kontrollierter Speicherbereich im Programmspeicher (Heap) freigegeben, was dann weitere Angriffe ermöglicht. Bei einer Type-Confusion prüft der Programmcode ein übergebenes Objekt nicht korrekt, Angreifer können hierdurch Speicherbereiche gezielt manipulieren und in einigen Fällen Code ausführen.

Das Sicherheitsproblem liegt in der variablen var_hash. Diese speichert Hashwerte, setzt aber den Reference Count nicht wie nötig hoch. Die Sicherheitsforscher nutzen diese Schwachstelle aus, um zwei Variablen mit gleichem Hashwert zu erzeugen. Das führt dann in einem weiteren Schritt dazu, dass der von der ersten Variable belegte Speicherbereich freigegeben wird.

Der Exploit der Lücke ist nicht trivial, weil Kerio Techniken wie Adress Space Layout Randomization (ASLR) einsetzt, die aber von dem SEC-Team umgangen werden konnten. Mit ASLR werden Objekte in zufällige Speicherbereiche platziert, um Angriffe zu erschweren. In einem letzten Schritt musste der als Read-only markierte Heap-Speicher (Programmspeicher) per Return-Oriented-Programming (ROP) als ausführbar gekennzeichnet werden. Beim ROP wird der Aufrufstack manipuliert, um bestimmten Code auszuführen und Sicherheitstechniken wie die Datenausführungverhinderung (Dep) zu umgehen.

Versionen vor 9.1.4 sind betroffen

Der Hersteller hat einige der Lücken gepatcht. Alle Kerio-Control-Versionen vor Version 9.1.4 sind von den gezeigten Angriffen betroffen. Einige der Probleme betrachte der Hersteller gar nicht erst als Sicherheitslücke, etwa die Tatsache, dass der Webserver als Root läuft und dass Administratorenaccounts für eine Remote Code Execution anfällig seien.

Freingruber und Tavakoli empfahlen Herstellern, gerade von Sicherheitsprodukten, Probleme an der Wurzel zu lösen und nicht nur Symptome zu bearbeiten. Kerio hat auch mit den neuen Updates noch keine neue PHP-Version eingeführt, sondern nur einige Function-Calls entfernt, um den aktuellen Exploit zu verhindern. Damit ist das Unternehmen nicht allein, zahlreiche Anbieter von Enterprise-Software arbeiten mit veralteten Komponenten.

Nachtrag vom 17. November 2016, 14:59 Uhr

Kerio hat uns auf das aktuelle Update 9.1.4 hingewiesen, in dem die beschriebenen Sicherheitslücken geschlossen wurden. Der Webserver läuft weiterhin mit Root-Rechten, dazu teilt das Unternehmen Folgendes mit: "Vor einigen Jahren wurde es als best-practice angesehen, den Zugriff der Server-Applikationen zu beschränken, weil verschiedene Business-Dienste wie Mail, Datenbank und Firewall auf einem Server laufen. Als Sicherheitsfeature hat Kerio sich entschlossen, Kerio Control als eigenständigen Server laufen zu lassen. Ein Administrator wäre mit eingeschränkten Rechten nicht in der Lage, den Dienst sachgemäß zu verwalten." Außerdem solle ein ungesicherter Zugriff auf die Admin-Oberfläche generell unterbunden werden.

Wir haben zu Beginn des Artikels einen Hinweis auf die gefixten Sicherheitslücken eingefügt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Social Engineering gegen Admins
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Mobile-Angebote
  1. 499,90€
  2. 326,74€
  3. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

Moe479 17. Nov 2016

also doch den rat der weisen alten greisen regieren lassen ... but, we already got that!?! xD

Tigerf 17. Nov 2016

Wir geben einen Haufen Geld aus und betreiben schwer durchschaubare Systeme, deshalb sind...

Tigerf 17. Nov 2016

Je mehr Systeme und Ebenen eingezogen werden, desto größer die Gefahr. Am besten noch...

RipClaw 17. Nov 2016

Das betrachten die nicht als potentielle Sicherheitslücke ? Jeder Systemadministrator der...


Folgen Sie uns
       


Xbox Series X - Hands on

Golem.de konnte die Xbox Series X bereits ausprobieren und stellt die Konsole vor. Außerdem zeigen wir, wie Quick Resume funktioniert - und die Ladezeiten.

Xbox Series X - Hands on Video aufrufen
Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
Star Wars
Darth-Vader-Darsteller Dave Prowse ist tot

Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
Ein Nachruf von Peter Osteried

  1. Spaceballs Möge der Saft mit euch sein
  2. The Mandalorian Erste Folge der zweiten Staffel ist online
  3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen

    •  /