Sicherheitslücke in diversen zebNet-Produkten entdeckt (Feb. 2022)

Publiziert am 20. Februar 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Beim Hersteller zebNet hat in diversen Produkten eine kritische Sicherheitslücke entdeckt, die einen Man-in-the-Middle-Angriff (MITM) im Update-Prozess der betroffenen Anwendung ermöglichen. Die Nacht wurde ich dann vom Hersteller per Mail kontaktiert und gebeten, das Ganze hier im Blog zu veröffentlichen. Der Hintergrund: Die Information von Kunden über die Schwachstelle gestaltet sich schwierig.

Anzeige

Wer ist zebNet?

zebNet ist ein in East Sussex in Großbritannien ansässiger Software-Hersteller, der eine Vielzahl an Softwareprodukten anbietet. Dazu gehören Datensicherungslösungen für alle gängigen und wichtigen Webbrowser sowie E-Mail-Anwendungen. Weiterhin gibt es die seit 2014 veröffentlichte NewsTurbo Produktfamilie (Newsletter-Software) für E-Mail-Marketing. Seit dem Jahr 2017 kam noch die MailShelf Produktfamilie zur der E-Mail-Langzeitarchivierung hinzu. Details finden sich auf der Unternehmensseite.

Eine Mail von zebNet …

Ich habe dann doch über die E-Mail gestaunt, die am Sonntag-Früh in meinem Postfach von zebNet eintraf. Der Hersteller schrieb:

Sehr geehrter Herr Born,

wir haben in einigen unserer Produkte eine Sicherheitslücke entdeckt, wodurch beim Kundensystem ein dringendes Update der betroffenen Anwendung erforderlich ist.

Da wir lediglich von einem Bruchteil unserer Kunden das Einverständnis zum E-Mail-Versand haben und die Zustellquote bei den E-Mail-Anbietern durch deren vermeintlichen Anti-Spam-Maßnahmen ohnehin sehr niedrig ist, bitten wir Sie um Veröffentlichung der nachfolgenden Informationen, so dass möglichst viele Nutzer von den Updates erfahren können.

Ist ein Novum, dass ein Hersteller mich als Blogger kontaktiert (funktioniert also). Um was geht es nun genau?

Sicherheitslücke in zebNet-Produkten

In der E-Mail legte der Anbieter mehr Details offen. Am 18.02.2022 wurde eine Sicherheitslücke in verschiedenen zebNet Produkten entdeckt, mit welcher durch fehlenden bzw. unzureichenden Verschlüsselungsmaßnahmen ein so genannter Man-in-the-Middle-Angriff (MITM) im Update-Prozess der betroffenen Anwendung ermöglicht werden kann. Der Hersteller schreibt dazu:

Dadurch könnte ein Angreifer zumindest in der Theorie den Update-Prozess der betroffenen Anwendung so manipulieren, dass durch diesen auf dem Zielsystem eine nicht legitime Update-Datei mit beliebigen Code eingeschleust und ausgeführt werden kann, welche es unter Umständen erlaubt Malware oder anderen schädlichen Code auf dem Zielsystem mit Administratorrechten auszuführen.

In Folge dieser Entdeckung hat zebNet für sämtliche betroffene Produkte, welche sich in der Unterstützung befinden, am 19.02.2022 (d.h. binnen 24-Stunden) fehlerbereinigte Versionen bereitgestellt. Der Hersteller weist darauf hin, dass diese Updates umgehend von allen Kunden, die ein betroffenes Produkt einsetzen, installiert werden sollten.

Die fehlerbereinigten Versionen enthalten unter anderem verstärkte Verschlüsselungs- sowie neue Signaturprüfungsverfahren, mit welcher eine solche oder ähnlich gelagerte Sicherheitslücke vermieden werden kann. Eine aktive Ausnutzung dieser Sicherheitslücke ist zebNet nicht bekannt, so dass es sich hierbei um eine reine Vorsichtsmaßnahme handelt.

Auf seiner Webseite listet der Anbieter folgende Produkte als betroffen auf:

  • MailShelf Basic
  • MailShelf Standard
  • MailShelf Pro
  • MailShelf Server
  • MailShelf Client
  • Backup for Chrome 5.0
  • Backup for Chrome 6.0
  • Backup for Firefox 5.0
  • Backup for Firefox 6.0
  • Backup for Internet Explorer 5.0
  • Backup for Internet Explorer 6.0
  • Backup for Opera Browser 5.0
  • Backup for Opera Browser 6.0
  • Backup for Pale Moon 6.0
  • Backup for SeaMonkey 5.0
  • Backup for SeaMonkey 6.0
  • Backup for IncrediMail 5.0
  • Backup for IncrediMail 6.0
  • Backup for Live Mail 5.0
  • Backup for Live Mail 6.0
  • Backup for Outlook 5.0
  • Backup for Outlook 6.0
  • Backup for Postbox 5.0
  • Backup for Postbox 6.0
  • Backup for Thunderbird 5.0
  • Backup for Thunderbird 6.0
  • Backup for eM Client 5.0
  • Backup for eM Client 6.0
  • Backup for Mailbird 5.0
  • Backup for Mailbird 6.0
  • Backup for The Bat 5.0
  • Backup for The Bat 6.0
  • Backup for Vivaldi 5.0
  • Backup for Vivaldi 6.0
  • Backup for Waterfox 6.0
  • Sämtliche Produkte der Generation 2011
  • Sämtliche Produkte der Generation 2012
  • Sämtliche Produkte der TNG-Generation (Version 4.0)

Neben meinem kleinen Blog wurden auch die Redaktionen von heise online, Golem.de sowie diverse andere zeitgleich mit dieser Mitteilung mit der Bitte um Veröffentlichung kontaktiert.

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Sicherheitslücke in diversen zebNet-Produkten entdeckt (Feb. 2022)

  1. ibbsy sagt:
    20. Februar 2022 um 17:40 Uhr

    Schöne Sache, das.
    Dass ein Hersteller den Blogger nicht als vermeintlichen "Feind", weil womöglich "bösen" Kritiker sieht, sondern dessen Potential als Informationsaussender nutzt.
    Macht mir die Firma, die ich bislang nicht mal kannte, gleich sehr sympathisch!

    So sollte Internet, also Vernetzung, funktionieren und genutzt werden!
    Ein schönes Beispiel für miteinander, nicht gegeneinander.

    Antworten
  2. Quodlibeth sagt:
    20. Februar 2022 um 19:10 Uhr

    Ich finde das auch sehr freundlich und kundenorientiert.

    Ich nutze schon einige Jahre ihre Programme zur Browser-Sicherung. Sie funktionieren tadellos, es wird ein Volume Shadow Copy-Dienst installiert, der sicherstellt, dass dann die Daten auch problemlos ins Backup geschrieben werden.
    Die Programme sind auch recht preiswert. Zusätzlich gibt es auch immer wieder Aktionen mit bis zu 70% Rabatt und Payback (anfang des Jahres 200%). Die Lizenzen können/sollten jährlich zum ermäßigten Preis erneuert werden, da bei Browser-Updates ihre Programme dann u.U. nicht mehr aktuell sind und dann den Dienst verweigern.

    Disclaimer: Ich habe nichts mit Zebnet zu tun, mir gefallen die Programme einfach :-)

    Antworten
  3. viebrix sagt:
    21. Februar 2022 um 16:14 Uhr

    Eine bittere Nachricht mit einem guten Nachgeschmack…
    Diese Meldung hinterlässt einen wirklich guten Eindruck vom Hersteller. Wenn ich da an andere Hersteller denke wie diese Druck ausüben sobald Blogger und Newsseite kritische News verbreiten. Dass nenne ich wirklich Verantwortung übernehmen.
    Es ist aber meiner Meinung nach gleichzeitig aber auch als eine Auszeichnung an Herrn Born und an die anderen ausgewählten Newsseiten zu sehen.

    Antworten
  4. Pohlmann sagt:
    27. Januar 2023 um 12:09 Uhr

    Ich habe den Eindruck, dass es sich bei den Anbieter um eine eher fragwürdige Firma handelt.
    Ich habe ein Produktcode für eine andere Person bei denen gekauft und trotz Abbuchung keinen Key erhalten.
    Kontaktaufnahme via E-Mail bleiben unbeantwortet, telefonisch ist niemand erreichbar.

    Das ist in gewiss erweise auch eine Sicherheitslücke.

    Zum Glück gibt es Linux Betriebssysteme bei denen die Zeit nicht in den 90er Jahren zurückgeblieben ist.

    Antworten
  5. Hans Peter Hoffmann sagt:
    3. Juni 2023 um 09:40 Uhr

    Ich habe einige Fragen in Bezug auf die Software (OE-Backup) 04/2023 gekauft und bekomme leider keinerlei Antwort auf meine E-Mails. Es ist unverschämt so mit Kunden umzugehen. Werde innerhalb meines Bekanntenkreises (bin Amateurfunker) und dementsprechend viele Bekannte solch eine Praxis diskutieren!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.