ISGroup Cybersicherheitsberatung

CVE-2024-48248: NAKIVO Backup and Replication – Unauthentisiertes willkürliches Lesen von Dateien

NAKIVO Backup & Replication ist eine weit verbreitete Datensicherungslösung, die für die Sicherung und Wiederherstellung von virtualisierten und physischen Umgebungen entwickelt wurde. In einigen Versionen der Software wurde eine kritische Schwachstelle entdeckt, die es einem nicht authentifizierten Angreifer ermöglicht, beliebige Dateien auf dem zugrunde liegenden System zu lesen. Diese Schwachstelle wird aktiv in realen Umgebungen ausgenutzt.

ProduktNAKIVO Backup & Replication
Datum27.03.2025 10:35:43
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Die Schwachstelle wird durch eine fehlerhafte Eingabevalidierung in der Funktion STPreLoadManagement verursacht, die vom Benutzer bereitgestellte Daten in JSON-Anfragen verarbeitet. Angreifer können bösartige HTTP-POST-Anfragen erstellen, die spezifische Payloads enthalten, welche die Methode getImageByPath ausnutzen, um sensible Systemdateien zu lesen.

Durch das Senden einer speziell präparierten Anfrage kann ein nicht authentifizierter Angreifer den Inhalt von Dateien wie /etc/passwd auf Linux-basierten Systemen oder C:/windows/win.ini auf Windows-Systemen abrufen. Die Antwort auf diese Anfragen bestätigt die erfolgreiche Ausnutzung, wenn der Inhalt der erwarteten Datei in den zurückgegebenen Daten erscheint.

Diese Schwachstelle stellt ein erhebliches Sicherheitsrisiko dar, da sie es Angreifern ermöglicht, auf vertrauliche Systeminformationen, Anmeldedaten und andere sensible Daten zuzugreifen, was potenziell zu einer Privilegieneskalation oder einer weiteren Kompromittierung des Systems führen kann.

Empfehlungen

Um diese Schwachstelle zu entschärfen, sollten Administratoren die folgenden Maßnahmen ergreifen:

  1. Aktualisierung: Aktualisieren Sie NAKIVO Backup & Replication auf die neueste, vom Hersteller bereitgestellte korrigierte Version.

  2. Zugriffsbeschränkung: Schränken Sie die Netzwerkexposition ein, indem Sie den Zugriff auf die Weboberfläche und die API-Endpunkte begrenzen.

  3. Anwendung von Web Application Firewall (WAF)-Regeln: Implementieren Sie WAF-Regeln, um bösartige Payloads zu erkennen und zu blockieren, die versuchen, diese Schwachstelle auszunutzen.

  4. Überwachung von Ausnutzungsversuchen: Überprüfen Sie regelmäßig die Protokolle auf ungewöhnliche API-Anfragen oder Versuche eines unbefugten Zugriffs.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *