Abo
  • Services:
Anzeige
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht.
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht. (Bild: Kerio)

Schwachstelle aus 2014

Die Hacker nutzten außerdem eine Sicherheitslücke in der verwendeten PHP-Version aus (CVE-2014-3515). Diese basiert auf der veralteten Version 5.2.13 und ermöglicht einfachen Nutzern die Umwandlung selbst kontrollierter Daten mit Hilfe der unserialize()-Funktion. Mit unserialize() werden Datenströme in Objekte umgewandelt, nach Angaben der Sicherheitsforscher eine häufige Quelle von Speicherfehlern.

CVE-2014-3515 nutzt eine Type-Confusion-Sicherheitslücke aus, die dann genutzt wird, um einen Use-After-Free-Speicherfehler zu erzeugen, um schließlich beliebigen Code auszuführen. Bei einer Use-After-Free-Lücke wird ein vom Angreifer kontrollierter Speicherbereich im Programmspeicher (Heap) freigegeben, was dann weitere Angriffe ermöglicht. Bei einer Type-Confusion prüft der Programmcode ein übergebenes Objekt nicht korrekt, Angreifer können hierdurch Speicherbereiche gezielt manipulieren und in einigen Fällen Code ausführen.

Anzeige

Das Sicherheitsproblem liegt in der variablen var_hash. Diese speichert Hashwerte, setzt aber den Reference Count nicht wie nötig hoch. Die Sicherheitsforscher nutzen diese Schwachstelle aus, um zwei Variablen mit gleichem Hashwert zu erzeugen. Das führt dann in einem weiteren Schritt dazu, dass der von der ersten Variable belegte Speicherbereich freigegeben wird.

Der Exploit der Lücke ist nicht trivial, weil Kerio Techniken wie Adress Space Layout Randomization (ASLR) einsetzt, die aber von dem SEC-Team umgangen werden konnten. Mit ASLR werden Objekte in zufällige Speicherbereiche platziert, um Angriffe zu erschweren. In einem letzten Schritt musste der als Read-only markierte Heap-Speicher (Programmspeicher) per Return-Oriented-Programming (ROP) als ausführbar gekennzeichnet werden. Beim ROP wird der Aufrufstack manipuliert, um bestimmten Code auszuführen und Sicherheitstechniken wie die Datenausführungverhinderung (Dep) zu umgehen.

Versionen vor 9.1.4 sind betroffen

Der Hersteller hat einige der Lücken gepatcht. Alle Kerio-Control-Versionen vor Version 9.1.4 sind von den gezeigten Angriffen betroffen. Einige der Probleme betrachte der Hersteller gar nicht erst als Sicherheitslücke, etwa die Tatsache, dass der Webserver als Root läuft und dass Administratorenaccounts für eine Remote Code Execution anfällig seien.

Freingruber und Tavakoli empfahlen Herstellern, gerade von Sicherheitsprodukten, Probleme an der Wurzel zu lösen und nicht nur Symptome zu bearbeiten. Kerio hat auch mit den neuen Updates noch keine neue PHP-Version eingeführt, sondern nur einige Function-Calls entfernt, um den aktuellen Exploit zu verhindern. Damit ist das Unternehmen nicht allein, zahlreiche Anbieter von Enterprise-Software arbeiten mit veralteten Komponenten.

Nachtrag vom 17. November 2016, 14:59 Uhr

Kerio hat uns auf das aktuelle Update 9.1.4 hingewiesen, in dem die beschriebenen Sicherheitslücken geschlossen wurden. Der Webserver läuft weiterhin mit Root-Rechten, dazu teilt das Unternehmen Folgendes mit: "Vor einigen Jahren wurde es als best-practice angesehen, den Zugriff der Server-Applikationen zu beschränken, weil verschiedene Business-Dienste wie Mail, Datenbank und Firewall auf einem Server laufen. Als Sicherheitsfeature hat Kerio sich entschlossen, Kerio Control als eigenständigen Server laufen zu lassen. Ein Administrator wäre mit eingeschränkten Rechten nicht in der Lage, den Dienst sachgemäß zu verwalten." Außerdem solle ein ungesicherter Zugriff auf die Admin-Oberfläche generell unterbunden werden.

Wir haben zu Beginn des Artikels einen Hinweis auf die gefixten Sicherheitslücken eingefügt.

 Social Engineering gegen Admins

eye home zur Startseite
Moe479 17. Nov 2016

also doch den rat der weisen alten greisen regieren lassen ... but, we already got that!?! xD

Tigerf 17. Nov 2016

Wir geben einen Haufen Geld aus und betreiben schwer durchschaubare Systeme, deshalb sind...

Tigerf 17. Nov 2016

Je mehr Systeme und Ebenen eingezogen werden, desto größer die Gefahr. Am besten noch...

RipClaw 17. Nov 2016

Das betrachten die nicht als potentielle Sicherheitslücke ? Jeder Systemadministrator der...



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. T-Systems International GmbH, München, Leinfelden-Echterdingen
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen


Anzeige
Top-Angebote
  1. (u. a. Bose Soundlink Mini Bluetooth Speaker II 149,90€)
  2. (alle Angebote versandkostenfrei, u. a. Prey (Day One Edition) PC/Konsole 35,00€, Yakuza Zero PS4...
  3. 44,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Machen wir doch mal die Probe aufs Exempel

    GenXRoad | 04:03

  2. Re: Boah Heiko halt doch endlich deine dumme Fresse

    narfomat | 02:57

  3. Re: Unangenehme Beiträge hervorheben statt zu...

    klaus9999 | 02:44

  4. Warum?

    NeoXolver | 02:38

  5. Re: Jeder redet über FB-Mitarbeiter - keiner über...

    klaus9999 | 01:55


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel