Bericht zur Schwachstelle CVE-2021-36981
"Unsichere Java Deserialisierung von nicht vertrauenswürdigen Daten"
- Sachverhalt: Unsichere Java-Deserialisierung von nicht vertrauenswürdigen Daten, die zu Remote Code Execution führt (authentifiziert)
- CVE ID#: CVE-2021-36981
- Versionen: Alle Versionen von verinice/verinice.PRO vor 1.22.2
- Zusammenfassung: Eine Schwachstelle in der Kommunikation zwischen der Client- und der Serverkomponente kann von einem authentifizierten Benutzer zur Ausführung von beliebigem Code auf dem Server genutzt werden.
1. Beschreibung
verinice verwendet Java-Serialisierung für die Kommunikation zwischen Client- und Server-Komponenten. Frank Nusko von der Secianus GmbH hat herausgefunden, dass der verwendete Mechanismus und das Framework anfällig für Exploits sind, die zur Ausführung von beliebigem Code auf der Serverkomponente verwendet werden können. Das verinice.TEAM hat die Sicherheitslücke bestätigt.
Da die Serverkomponente auch im Standalone-Modus von verinice verwendet wird, könnte die Schwachstelle theoretisch auch für einen Angriff auf den Standalone-Client verwendet werden. Beim Angriff können beliebige Befehle auf dem demselben Rechner ausgeführt werden, allerdings mit den Rechten und dem Kontext des verinice-Clients. Diese zweite Angriffsvariante wurde von uns nicht verifiziert, als Vorsichtsmaßnahme empfehlen wir trotzdem allen Benutzer*innen des Standalone-Clients, den verfügbaren Patch ebenfalls zu installieren.
Die Schwachstelle kann ausgenutzt werden, um Zugriff auf das zugrundeliegende Betriebssystem zu erlangen, Dateien zu verändern, zu löschen und Informationen auszulesen, einschließlich aller Daten in der verinice-Datenbank.
2. Verfügbarkeit des Patches
Um das Problem zu beheben, wurde eine aktualisierte Version der verinice-Pakete veröffentlicht. Alle Benutzerinnen und Benutzer sollten die Version 1.22.2 oder eine neuere Version aus den offiziellen Repositories und/oder dem Online-Shop installieren:
Benutzerinnen und Benutzer des verinice.PRO-Servers sollten die verfügbaren RPM-Pakete unter Verwendung des bekannten Update-Verfahrens installieren.
Benutzerinnen und Benutzer der verinice Standalone-Client-Version werden beim Start aufgefordert, die aktualisierte Version zu installieren. Wenn der automatische Update-Mechanismus vom Benutzer deaktiviert wurde, kann das Update manuell über den folgenden Menüpunkt ausgelöst werden:
Hilfe -> Auf Updates prüfen
3. CVSSv3-Berechnung
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (8.8)
4. Workaround und Risikominderung
Zur Ausführung des Angriffs ist ein Benutzer mit gültigen Anmeldedaten für die verinice-Anwendung (d. h. Name und Kennwort) und Netzwerkzugriff auf den HTTP(S)-Port (in der Regel einer der folgenden Ports: 80/443/8080/8443) erforderlich. Der Benutzer benötigt keine administrativen Privilegien oder besondere Rechte innerhalb von verinice, damit der Angriff funktioniert.
5. Zeitleiste
- 2021-07-14 – Frank Nusko von der Secianus GmbH informiert SerNet über den Fehler
- 2021-08-02 – SerNet hat den Patch im Source-Zweig zum Testen bereitgestellt
- 2021-08-12 – Secianus verifiziert den Patch
- 2021-08-30 – verinice 1.22.2 freigegeben, Kundinnen und Kunden benachrichtigt
Berichtet von Frank Nusko, Secianus GmbH.
Hinweis geschrieben vom verinice.TEAM der SerNet GmbH.
Das verinice.TEAM hat den Fix zur Verfügung gestellt.
Fragen oder Probleme mit dem Update?
Senden Sie uns eine E-Mail oder nutzen Sie das verinice-Forum – wir helfen Ihnen weiter!