Dell EMC’s vApp Manager for Unisphere for VMAX blijkt meerdere beveiligingsgaten te bevatten
Dell EMC’s vApp Manager for Unisphere for VMAX, een app om EMC’s storage platformen te beheren, blijkt een zestal zero-day kwetsbaarheden te bevatten. De beveiligingsgaten stellen aanvallers in staat de controle over storage apparaten volledig over te nemen of deze zelfs uit te schakelen. De gaten zijn inmiddels door Dell EMC gedicht.
De problemen zijn ontdekt door beveiligingsbedrijf Digital Defense. De kwetsbaarheden stellen aanvallers die toegang weten te verkrijgen tot netwerkopslagapparatuur in staat malafide Adobe Flash Action Message Format (AMF) berichten te sturen naar de web applicatieserver die op het storagesysteem draait. Het probleem zit in de wijze waarop Unisphere for VMAX het AMF protocol gebruikt om berichten te versturen naar de vijf verschillende interfaces binnen de Unisphere Web application server. In sommige gevallen is authentificatie hierbij niet vereist.
Eigen code uitvoeren op systemen
De kwetsbaarheden zijn ernstig en stellen aanvallers in staat met root privileges ongehinderd commando’s te geven aan het systeem. Aanvallers kunnen de controle over het systeem hierdoor volledig overnemen. Zo kunnen zij een nieuw gebruikersaccount aanmaken waarmee zij in het vervolg ongehinderd en eenvoudig kunnen inloggen op het systeem.
De problemen zijn door Digital Defense gemeld bij Dell EMC, die de beveiligingsgaten inmiddels heeft gedicht. Dell EMC heeft hiervoor security advisories beschikbaar gesteld die uitsluitend voor klanten van het bedrijf toegankelijk zijn. De kwetsbaarheden worden hier door Digital Defense uitgebreid beschreven.
Dossiers
Meer over
Lees ook
Google: ‘Beveiligingsvragen zijn onveilig en onbetrouwbaar’
Niet alleen wachtwoorden zijn onveilig, maar ook de beveiligingsvragen waarmee wachtwoorden kunnen worden hersteld. Beveiligingsvragen zijn als een losstaande methode om accounts te kunnen herstellen onveilig en onbetrouwbaar. Dit concludeert Google na honderden miljoenen geheime beveiligingsvragen en en de bijhorende antwoorden te analyseren. Vee1
Android M bevat standaard voor vingerafdrukauthentificatie
Google zet met Android M in op authentificatie via vingerafdrukken. Het Amerikaanse bedrijf biedt in de nieuwe Android-variant een standaard voor vingerafdrukauthentificatie, waar alle Android-apps gebruik van kunnen maken. Dit melden bronnen tegenover Buzzfeed. Al langer voorzien verschillende fabrikanten van Android-apparaten hardware van vingerafdrukscanners. Android ondersteunt deze authentificatiemethode echter niet, waardoor ook maar weinig Android-apps gebruik kunnen maken van de scanners. De nieuwe open standaard moet het gebruik van vingerafdrukken als beveiliging vereenvoudigen. Ont1
‘Terughoudendheid van bedrijven rond patches speelt cybercriminelen in de hand’
Veel bedrijven zijn terughoudend met het installeren van updates en willen voor de installatie eerst uitgebreid controleren of patches geen problemen opleveren. Microsoft waarschuwt echter dat beveiligingsgaten hierdoor langer dan noodzakelijk open blijven staan, terwijl cybercriminelen steeds sneller kwetsbaarheden aanvallen waarvoor patches zijn1