Empfehlung zu APTARE OpenSSL

Bisherige Aktualisierungen

1.0: 23. Dezember 2020: Erstfassung
1.1: 8. Januar 2021: CVE-ID ergänzt, Abschnitte zur Behebung und zur Gegenmaßnahme überarbeitet.

Zusammenfassung

Veritas hat im Rahmen seines kontinuierlichen Testprozesses ein Problem identifiziert, bei dem Angreifer über Veritas APTARE IT Analytics beliebigen Code mit Administratorberechtigungen ausführen können.

Problem

CVE-ID: CVE-2020-36161
Schweregrad: Kritisch
CVSS v3.1 Base Score: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Beim Start wird mir der APTARE-Anwendung OpenSSL geladen. Mit dieser Bibliothek wird versucht, von den folgenden Speicherorten eine nicht vorhandene Konfigurationsdatei zu laden:

APTARE 10.4 und älter: \apache24\conf\openssl.cnf
APTARE 10.5: \usr\local\ssl\openssl.cnf

Standardmäßig können Benutzer auf Windows-Systemen auf C:\ Verzeichnisse anlegen. Benutzer mit eingeschränkten Berechtigungen für das Windows-System und ohne Berechtigungen für APTARE können an den oben aufgeführten Dateispeicherorten ein Verzeichnis erstellen. Beim nächsten Start des Windows-Systems ist es möglich, dass ein OpenSSL-Schadmodul beliebigen Code als SYSTEM ausführt. Angreifer erhalten so Administratorzugriff auf das System und können dann (standardmäßig) auf sämtliche Daten, alle installierten Anwendungen usw. zugreifen. Daneben steht für Linux-Server eine vergleichbare Sicherheitslücke durch ähnlichen Zugriff über die ausführbaren Openssl-Dateien, die Veritas mit APTARE für Linux-Server verteilt.

Betroffene Versionen

APTARE IT Analytics Versionen 10.5 und 10.4.

Behebung

Kunden mit laufendem Wartungsvertrag können die nachfolgenden Aktualisierungen und Patches herunterladen:

Für APTARE IT Analytics 10.5:

Installieren Sie die APTARE IT Analytics-Wartungsversion 10.5P3.

Für APTARE IT Analytics 10.4:

Installieren Sie die APTARE IT Analytics-Wartungsversion 10.4P9.

Diese Wartungsversionen können automatisch über Veritas Update heruntergeladen und installiert werden.

Wenn Sie APTARE IT Analytics 10.3 oder eine ältere Version nutzen, empfiehlt Veritas die Aktualisierung auf APTARE IT Analytics 10.5.

Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads

Gegenmaßnahme

Erstellen Sie bei Windows-Implementierungen über ein Administratorkonto die oben aufgeführten Verzeichnispfade und sperren Sie in der ACL für das Verzeichnis für alle anderen Benutzer den Schreibzugriff. Angreifer können dann keine OpenSSL-Schadmodule mehr installieren. Löschen Sie außerdem die ausführbare OpenSSL-Datei in Windows C:\opt\apache\bin\openssl.exe und/oder in Linux /opt/apache/ssl/bin/openssl. Eine ausführliche Anleitung mit manuellen Schritten enthält der Supportartikel zu APTARE IT Analytics-Sicherheitslücken.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).