Sicherheitslücken in Dell SonicWALL Email Security

Noch ein Blog-Beitrag für Admins in Unternehmen, die SonicWALL-Funktion E-Mail-Sicherheit (Email Security) von Dell verwenden. In dem Produkt gibt es gravierende Sicherheitslücken, die es Angreifern ermöglicht, Kennwörter auszuspähen und eigene Befehle auszuführen.


Werbung


Was ist Dell SonicWall?

SonicWall Sicherheit wird von Dell auf dieser Webseite als “Integration von Hardware, Software und Services für höchste Sicherheit” angepriesen. Die Lösungen sollen ein hohes Maß an Schutz bieten, ohne dass die Netzwerkleistung beeinträchtigt wird. Mit den Lösungen sollen Unternehmen Systeme, Benutzer und Daten effektiv absichern können. Dell bietet kabelgebundene und kabellose SonicWALL Lösungen, die sich für jede Umgebung eigenen – ob für KMUs, Großunternehmen, Behörden, den Point of Sale im Einzelhandel, das Gesundheitswesen oder Serviceanbieter.

Das Produkt Email Security wird von Dell als leistungsstarke Spamschutz-Technologie von SonicWALL angeboten, um E-Mail-Bedrohungen effektiv und auf wirtschaftliche Weise zu blockieren.

Als ich diese Meldung bei heise.de las, klingelte gleich was im Hinterkopf. Im Juli 2016 gab es hier im Blog den Beitrag Hacker-Paradies: Versteckte “Backdoor” in Dell-Sicherheitsoftware SonicWALL, wo auf extreme Sicherheitslücken in den Dell SonicWALL-Funktionen hingewiesen wurde.

Sicherheitslücken in SonicWALL Email Security

Sicherheitsforscher der Firma Digital Defense warnen im Blog-Beitrag Zero-Day Alert: Email Security Platform Details vor der Dell SonicWALL Email Security (virtual appliance),
Version: 8.3.0.6149.

Im Dokument werden insgesamt vier Sicherheitslücken aufgeführt. Über die Sicherheitsanfälligkeit DDI-VRT-2016-69 können Angreifer den Passwort-Hash des Administratorkontos abgreifen. Dieser wird mit SHA1 verschlüsselt und gilt als unsicher (siehe SHA1-Hash bis Ende 2015 geknackt?, und hier sowie hier). Mit dem aus dem Hash ermittelten Administrator-Passwort lässt sich auf die FTP-Backup-Funktion zugreifen, um über eine weitere Schwachstelle Kommandos auszuführen und Geräte zu übernehmen.

Die Sicherheitslücken können z.B. genutzt werden, um Geräte durch Löschen von Dateien lahm zu legen – was Tür und Tor für Erpressungen öffnet. Aber es gibt noch weitere Gefahren: So lassen sich E-Mails mitlesen (wird für Cyber-Angriffe genutzt, um interne Informationen aus Unternehmen zu erhalten. Stichworte sind personalisierte Phishing-Angriffe sowie gefälschte Zahlungsanweisungen des Managements an Buchhalter (siehe FBI warnt vor CEO-Betrugsmasche – 2,3 Milliarden Schaden). Weiterhin warnt die Polizei vor manipulierten Rechnungen, in denen Betrüger bestehende Rechnungen abfangen und diese mit geänderten Kontonummern an die ursprünglichen Empfänger mit einem Hinweis auf eine Kontoänderung schicken. So sollen legale Zahlungen für Rechnungsstellungen auf die Konten der Betrüger umgeleitet werden.

Ob es einen Patch für die Sicherheitslücken von Dell gibt, ist aktuell unbekannt.

Ähnliche Artikel
Hacker-Paradies: Versteckte “Backdoor” in Dell-Sicherheitsoftware SonicWALL
SHA1-Hash bis Ende 2015 geknackt?
Cyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016)
FBI warnt vor CEO-Betrugsmasche – 2,3 Milliarden Schaden


Werbung



Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Sicherheitslücken in Dell SonicWALL Email Security

  1. Nach der von der Sicherheitsfirma untersuchten Version gab es zwischenzeitlich noch
    v8.3.1.6431 (31. Aug 2016 )

    Gepatchte Sicherheitslücken in der aktuellen Version 8.3.2.6531 vom 30. Sep. 2016:

    Resolved Issues
    An upload capability can be abused to retrieve files from the host.
    The vulnerability exists when a certain set of conditions exist for uploading files.
    177413
    Arbitrary files can be deleted.
    Occurs if someone with proper authentication makes the system believe a proper delete
    function is being requested.
    177381
    Remote commands can be executed by substituting values in certain config files.
    Occurs if someone with proper authentication substitutes an executable string in certain
    fields of a config file.
    177368
    Sensitive information may be exposed.
    Occurs if someone with proper authentication opts to leverage a vulnerability to download
    sensitive files.
    177362
    A flaw in a limiting mechanism allows a patient attacker to be able to inject packets into
    client/server session.
    Can occur when a certain rate limit is reached on a long lived connection.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.