Abo
  • Services:

Alte PHP-Versionen: Wenn deine Sicherheitssoftware dich verwundbar macht

Deepsec 2016 Sicherheitssoftware macht die Nutzer sicherer - zumindest in der Theorie. Sicherheitsforscher haben gravierende Sicherheitslücken in einer Firewall-Suite von Kerio aufgedeckt - inklusive einer sechs Jahre alten PHP-Version.

Artikel von veröffentlicht am
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht.
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht. (Bild: Kerio)

Forscher des Unternehmens SEC-Consult haben mehrere Sicherheitslücken in der Sicherheitssuite von Kerio demonstriert. Die Produkte nutzen eine sehr alte Version von PHP, außerdem gibt es mehrere Schwächen im Design der Software. Kerio hat die Sicherheitslücken in der Version 9.1.4 mittlerweile behoben, nur der Webserver läuft weiterhin mit Root-Rechten.

Inhalt:
  1. Alte PHP-Versionen: Wenn deine Sicherheitssoftware dich verwundbar macht
  2. Social Engineering gegen Admins
  3. Schwachstelle aus 2014

Kerio stellt eine ganze Reihe von sicherheitsrelevanten Produkten her, die unter dem Sammelbegriff Kerio Control zusammengefasst werden. Darunter gibt es als Hardware-Appliance umgesetzte Firewalls, Intrusion-Detection- und Prevention-Systeme (IPS), Anti-Virus-Systeme und VPN. Rund 60.000 Unternehmen sollen nach Angaben des Herstellers Kerio-Produkte nutzen.

Die Sicherheitsforscher René Freingruber und Raschin Tavakoli verwiesen auf der Sicherheitskonferenz Deepsec zunächst darauf, dass viele "Sicherheitsprodukte" selbst zum Teil erhebliche Sicherheitsprobleme aufweisen. Googles Sicherheitsforscher Tavis Ormandy hat zahlreiche Lücken in Virenscannern von Norton, Kaspersky, AVG und Comodo gefunden.

Auch in Produkten der Sicherheitsfirma Fireeye wurden schon mehrfach Sicherheitslücken demonstriert, das Unternehmen ging im vergangenen Jahr gegen einen Sicherheitsforscher juristisch vor, nachdem er seine Erkenntnisse veröffentlichen wollte.

Remote Code Execution im Admin-Interface

Stellenmarkt
  1. Deutsche Energie-Agentur GmbH (dena), Berlin
  2. MAHLE Aftermarket GmbH, Stuttgart

Grund genug für die Hacker, sich Produkte des Herstellers Kerio genauer anzuschauen. Kerio verwendet nach Angaben der SEC-Forscher eine sechs Jahre alte, nicht mehr unterstützte Version von PHP (Version 5.2.13), was zu mehreren Fehlern unter anderem im Speichermanagement führte. Die Forscher fanden außerdem eine Anfälligkeit für Remote Code Execution (RCE) in der Kerio-Control-Administrationsoberfläche.

Um diesen Exploit zu triggern, sind jedoch mehrere Schritte notwendig. Bereits im Jahr 2015 hat der Sicherheitsforscher Raschin Tavakoli eine Anfälligkeit für Cross-Site-Scripting, eine Remote Code Execution und eine SQL-Injektion in den Kerio-Produkten gefunden.

Social Engineering gegen Admins 
  1. 1
  2. 2
  3. 3
  4.  
Zu den Kommentaren springen
Meistgelesen
  1. Himo
    Xiaomis E-Bike mit 12-Zoll-Rädern kostet rund 230 Euro
  2. US Space Force
    Planlos im Weltraum
  3. Quellcode
    Diablo als teuflische Reverse-Engineering-Herausforderung
  4. Teradata
    SAPs Hana "ist gestohlen"
  5. Datenschutz
    US-Regierung plant offenbar Gegengewicht zu DSGVO
Anzeige
Top-Angebote
  1. 27,99€ + 5,99€ Versand (Vergleichspreis 44,95€)
  2. 31,50€ (Vergleichspreis ca. 40€)
  3. 30,99€ (Vergleichspreis ca. 40€)
  4. 34,99€/44,99€ (8 GB/16 GB)
Kommentarübersicht
Re: Komponenten aktualisieren stellt sich mancher...
Moe479 17. Nov 2016

also doch den rat der weisen alten greisen regieren lassen ... but, we already got that!?! xD

Gefühlte Sicherheit:
Tigerf 17. Nov 2016

Wir geben einen Haufen Geld aus und betreiben schwer durchschaubare Systeme, deshalb sind...

Meine Rede
Tigerf 17. Nov 2016

Je mehr Systeme und Ebenen eingezogen werden, desto größer die Gefahr. Am besten noch...

Webserver als Root
RipClaw 17. Nov 2016

Das betrachten die nicht als potentielle Sicherheitslücke ? Jeder Systemadministrator der...

Folgen Sie uns
       
Xbox E3 2018 Pressekonferenz - Golem.de Live

Große Gefühle beim E3-2018-Livestream von Microsoft: Erlebt mit uns die Ankündigungen von Halo Infinite, Gears 5, Sekiro, Cyberpunk 2077 und vielem mehr.

Xbox E3 2018 Pressekonferenz - Golem.de Live Video aufrufen
Wissenschaft
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant
E3 2018
Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen
Mars
Mars: Die Staubstürme des roten Planeten
Mars
Die Staubstürme des roten Planeten

Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Dunkle Nacht im Staubsturm auf dem Mars
  2. Mars Insight Ein Marslander ist nicht genug
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /