Bisherige Aktualisierungen

• 1.0: 16. November 2021: Erste Version
• 2.0: 09. Dezember 2021: CVE-ID ergänzt

Zusammenfassung

Veritas hat ein Problem festgestellt, durch das Veritas Enterprise Vault die Remote-Ausführung von Code auf einem angreifbaren Enterprise Vault Server gestattet.

Problem

• CVE-ID: Siehe oben
• Schweregrad: kritisch
• CVSS v3.1 Base Score: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Beim Start startet die Enterprise Vault-Anwendung mehrere Dienste, die die random .NET Remoting TCP-Ports im Hinblick auf mögliche Befehle von Client-Anwendungen abhören. Diese TCP-Ports können aufgrund von Schwachstellen des .NET Remoting-Diensts angegriffen werden. Böswillige Angreifer können die TCP-Remoting-Dienste und die lokalen IPC-Dienste auf dem Enterprise Vault Server ausnutzen.

Diese Schwachstelle betrifft Enterprise Vault-Server nur, wenn folgende Voraussetzungen zutreffen:

• Der böswillige Angreifer hat RDP-Zugriff auf eine der VMs im Netzwerk. Um RDP-Zugriff zu haben, muss der Angreifer Teil der Gruppe „Remote Desktop Users“ sein.
• Der böswillige Angreifer kennt die IP-Adresse des EV-Servers, die EV-Prozess-IDs (zufällig), die dynamischen EV-TCP-Ports (zufällig) und die remote ausführbaren EV-Objekt-URIs.
• Die Firewall auf dem EV-Server ist nicht richtig konfiguriert.

Durch diese Schwachstelle kann die Remote-Ausführung von Code zugelassen werden, wenn ein Angreifer speziell erstellte Daten an einen angreifbaren EV-Server sendet.

Betroffene Versionen
Alle derzeit unterstützten Enterprise Vault-Versionen: 14.2.1, 14.2, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0, 12.5.3, 12.5.2, 12.5.1, 12.5. 12.4.2. 12.4.1. 12.4, 12.3.2, 12.3.1, 12.3, 12.2.3, 12.2.2, 12.2.1, 12.2, 12.1.3, 12.1.2, 12.1.1, 12.1, 12.0.4, 12.0.3, 12.0.2, 12.0.1, 12.0. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.

Gegenmaßnahme

Durch die Anwendung folgender Richtlinien kann der Enterprise Vault-Server vor derartigen .NET Remoting-Angriffen geschützt werden:

• Stellen Sie sicher, dass nur EV-Administratoren Zugriff auf den Enterprise Vault-Server haben, wie im Administratorhandbuch für Enterprise Vault beschrieben.
• Siehe Verwalten von Administratorsicherheit
• Stellen Sie sicher, dass nur vertrauenswürdige Benutzer Teil der Gruppe „Remote Desktop Users“ sind und RDP-Zugriff auf den Enterprise Vault-Server haben.
• Stellen Sie sicher, dass die Firewall des Enterprise Vault-Servers aktiviert und wie im Administratorhandbuch für Enterprise Vault beschrieben konfiguriert ist.
• Siehe: Firewall-Einstellungen für Enterprise Vault-Programme
• Stellen Sie sicher, dass die neuesten Windows-Updates auf dem Enterprise Vault-Server installiert wurden.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Schwachstellen wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE).

Danksagung

Veritas möchte sich bei Markus Wulftange und Reno Robert von der Zero Day Initiative (ZDI) von Trend Micro für die Benachrichtigung über diese Schwachstellen bedanken.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA