Sicherheitsforscher des texanischen Anbieters Digital Defense haben mehrere Schwachstellen in Dells Security-Management-Lösung SonicWall Global Management System (GMS) gefunden. Von den sechs Lücken stufen sie in einer Warnmeldung vier als kritisch ein. Von den beiden anderen geht ein hohes beziehungsweise mittleres Risiko aus.
SonicWall GMS ist eine weit verbreitete Lösung zur zentralen Überwachung und Verwaltung von Security-Appliances wie SSL-VPNs oder Firewalls im Unternehmensnetzwerk. Mit ihr lassen sich alle verknüpften SonicWall-Produkte steuern. Auch Reporting-Funktionen sind enthalten.
Eine der von Digital Defense entdeckten kritischen Schwachstellen resultiert aus einem versteckten Standardkonto mit einem einfach zu erratenden Passwort. Angreifer könnten darüber andere Nutzer anmelden, die anschließend in der Lage wären, das Admin-Kennwort zu ändern und sich so letztlich Administratorrechte zu verschaffen. Dadurch erhielten sie die vollständige Kontrolle über das GMS-Interface und alle verknüpften SonicWall-Appliances.
Zwei Command-Injection-Lücken erlauben zudem das Ausführen von Befehlen aus der Ferne mit Rootrechten, was ebenfalls zur vollständigen Kompromittierung des Systems führen kann. Die vierte kritische Schwachstelle, die ohne Authentifizierung ausgenutzt werden kann, führt zu demselben Ergebnis.
Den Sicherheitsforschern zufolge gibt es aber keine Anzeichen dafür, dass die Anfälligkeiten bereits von Angreifern aktiv ausgenutzt wurden. Sie raten Administratoren dennoch dringen dazu, die Lücken schnellstmöglich zu patchen.
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Dell selbst räumt in einem Security-Advisory ein, dass die jüngsten Ausgaben von SonicWall GMS und Analyzer, also die Versionen 8.0 sowie 8.1, von den Problemen betroffen sind. Es hat bereits Updates bereitgestellt, welche die Sicherheitslecks beseitigen. Nutzer sollten schnellstmöglich den Hotfix 174525 installieren.
Die Security-Tochter SonicWall gehört zu dem Teil von Dells Software-Geschäfts, von dem es sich im Vorfeld der 67-Milliarden-Dollar-Fusion mit EMC trennt. Letztere wurde gerade erst von EMCs Anlegern genehmigt.
[mit Material von Zack Whittaker, ZDNet.com]
Neueste Kommentare
Noch keine Kommentare zu Kritische Lücken in Security-Management-Lösung von Dell entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.