München, Starnberg, 26. Okt. 2018 - Die Zero-Day-Schwachstellen wurden inzwischen identifiziert und geschlossen. Der Patch ist über den Arcserve-Support erhältlich...
Zum Hintergrund: Arcserve, LLC, Anbieter von Lösungen für Datenschutz, hat vier Zero-Day-Schwachstellen in seiner Arcserve Unified Data Protection Plattform geschlossen. Arcserve Unified Data Protection (UDP) schützt Infrastrukturen, indem es Datensicherheit und Disaster Recovery für lokale und Remote-Workloads bietet; unterstützt durch eine heterogene, image-basierte (Enterprise) Data Protection Technologie. Das Unternehmen bedankt sich nach eigenen Angaben dabei bei den Experten von Digital Defense VRT, die die Schwachstellen offengelegt hatten. Arcserve hat nach eigenen Angaben zwischenzeitlich die Probleme behoben. Ein Patch ist über Arcserve-Support erhältlich. (1)
Quellen der Schwachstellen waren eine nicht authentifizierte Offenlegung sensibler Daten über /gateway/services/EdgeServiceImpl, ein nicht authentifiziertes XML External Entity Processing (XXE) in /management/UdpHttpService, eine nicht authentifzierte Offenlegung sensibler Daten über /UDPUpdates/Config/FullUpdateSettings.xml sowie ein reflektierter Cross-Site-Skripting-Angriff über /authenticationendpoint/domain.jsp.
Die beiden nicht authentifizierten Offenlegungen von Daten und die XXE-Lücke könnten danach von einem Angreifer genutzt werden, um Zugriff auf eine Datenbank und andere Anmeldeinformationen zu erhalten und Dateien auf einem System zu lesen, das die UDP-Anwendung ohne Authentifizierung hostet. Der reflektierte Cross-Site-Scripting-Angriff könnte für Phishingzwecke genutzt werden, so Digital Defense.
Querverweis > Link zu Arcserve UDP