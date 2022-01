Dell EMC AppSync ist die Verwaltungssoftware der Backup-Systeme etwa für größere Unternehmen, um Sicherungskopien nicht nur von Nutzerdaten, sondern etwa konsistent auch aus virtuellen Maschinen oder SQL-Datenbanken zu erstellen und verwalten. Durch mehrere Sicherheitslücken darin hätten Angreifer Web-Sitzungen von Nutzern übernehmen, ungebremst Brute-Force-Angriffe auf Nutzerkonten vornehmen oder Nutzer überlisten können, bestimmte Optionen anzuklicken.

Details zu den Lücken

Die EMC AppSync-Software hatte in HTTP-Get-Anfragen sensible Daten eingebettet (CVE-2022-22551, CVSS 8.3, Risiko hoch). Solche Daten können etwa Session-IDs sein. In HTTP-Get-Anfragen übertragene Informationen können in Protokoll-Dateien landen, als Referrer an nachfolgend aufgerufene Webseiten übertragen oder aber von mitschnüffelnden, nicht an AppSync angemeldeten Nutzern im gleichen Netz ausgespäht werden. Handelt es sich um eingebettete Session-IDs, könnten Angreifer etwa die Sitzung übernehmen und beliebige Einstellungen ändern.

Zudem hat die Software exzessive Anmeldeversuche nicht korrekt ausgebremst (CVE-2022-22553 CVSS 8.1, hoch). Angreifer hätten dadurch Brute-Force-Angriffe auf Zugangsdaten ausführen können. Weiterhin hätten Nutzer unbeabsichtigt auf Optionen klicken können, da durch eine sogenannte Clickjacking-Lücke Angreifer etwa unsichtbar HTML-Elemente über die Webseite hätten legen können (CVE-2022-22552, CVSS 6.9, mittel).

Aktualisierungen verfügbar

Weitere Schwachstellen brachten Dritthersteller-Komponenten mit. So enthielten auch die genutzten Pakete von RESTEasy sowie Simple-XML Sicherheitslücken. Insgesamt wertet Dell das Risiko aller Lücken als hoch, sodass Angreifer betroffene Systeme kompromittieren könnten.

Betroffen sind laut der Sicherheitsmeldung von Dell EMC AppSync-Systeme der Version 3.9 bis 4.3. Die Fehler behebt die aktualisierte Fassung 4.4.0.0. Sie steht auf einer Download-Seite von Dell bereit, die jedoch Nutzern mit Konto bei dem Unternehmen vorbehalten ist. Administratoren und IT-Verantwortliche sollten zeitnah das Update einrichten.

Lesen Sie auch Themenseite Backup auf heise online

(dmk)