Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (31.01.2017):
Erneute Versendung der Schwachstelleninformation aufgrund von Problemen in
einigen Abonnementkonfigurationen.
Version 1 (30.01.2017):
Neues Advisory
Betroffene Software:
Sophos Web Appliance Software < 4.3.1 Betroffene Plattformen: Sophos Web Appliance Zwei Schwachstellen in der administrativen Weboberfläche von Sophos Web Security Appliances mit der Softwareversion 4.2.1.3 ermöglichen einem entfernten, einfach authentifizierten Angreifer den Zugriff auf die Kommandozeile eines betroffenen Geräts mit den Rechten des privilegierten Benutzers 'spiderman' sowie die Ausführung beliebiger Systemkommandos. Der Hersteller informiert über die Schwachstelle CVE-2016-9553 und stellt Version 4.3.1 als Sicherheitsupdate zur Verfügung, das in den kommenden Wochen ausgeliefert wird (siehe Blogbeitrag). Die Schwachstelle CVE-2016-9554 wird nicht explizit erwähnt. Mit Version 4.3.1 der Systemsoftware ändert sich das 'DNS Lookup'-Verhalten in Sophos Web Appliances, dazu stehen weitere Informationen zur Verfügung. Patch: Release Notes Sophos Web Appliance 4.3.1 http://swa.sophos.com/rn/swa/concepts/ReleaseNotes_4.3.1.html
CVE-2016-9554: Schwachstelle in Sophos Web Appliance ermöglicht Ausführung
beliebigen Programmcodes mit Rechten eines privilegierten Benutzers
In Sophos Web Appliances mit Softwareversion 4.2.1.3 existiert eine
Schwachstelle in der Komponente ‘/controllers/MgrDiagnosticTools.php’, die
über die administrative Weboberfläche Diagnosetests mit Hilfe von ‘wget’
ausführen kann. Diese Komponente maskiert über den Parameter ‘url’
übergebene Informationen nicht ausreichend, bevor diese an
‘$this->dtObj->executeCommand’ weitergegeben werden. Dadurch wird effektiv
die PHP-Funktion ‘exec’ mit ungeprüften Eingabeparametern aufgerufen. Ein
entfernter, einfach authentifizierter Angreifer mit Zugang zu diesem
Diagnosewerkzeug kann die Schwachstelle ausnutzen, um sich entfernten Zugang
zur Kommandozeile eines betroffenen Geräts mit den Rechten des Benutzers
‘spiderman’ zu verschaffen. Dieser Benutzer führt unter anderem den Apache
Web Server auf dem Gerät aus und hat über ‘sudo’ Zugriff auf bestimmte
Befehle mit Administratorrechten.
CVE-2016-9553: Schwachstelle in Sophos Web Appliance ermöglicht Ausführung
beliebiger Systemkommandos
In Sophos Web Appliances mit Softwareversion 4.2.1.3 existieren in der
administrativen Weboberfläche zwei Schwachstellen, welche die Ausführung
beliebigen Programmcodes ermöglichen. Innerhalb von
‘/controllers/MgrReport.php’, mit dem die IP-basierte Zugangskontrolle zu
betroffenen Geräten verwaltet wird, werden an die Variablen ‘unblockip’ und
‘blockip’ übergebene Eingaben nicht geprüft, bevor sie an die Funktion
‘shell_exec’ weitergegeben werden. Ein entfernter, einfach authentifizierter
Angreifer mit Zugang zu dieser Konfigurationsmöglichkeit kann dadurch
beliebige Systemkommandos in ein betroffenes Gerät injizieren und es in der
Folge komplett kompromittieren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0166/
Release Notes Sophos Web Appliance 4.3.1:
http://swa.sophos.com/rn/swa/concepts/ReleaseNotes_4.3.1.html
Schwachstelle CVE-2016-9553 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9553
Schwachstelle CVE-2016-9554 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9554
Sophos Community Blog ‘Release of SWA version 4.3.1’:
https://community.sophos.com/products/web-appliance/b/blog/posts/release-of-swa-version-4-3-1
Sophos Web Appliance: Changes to DNS Lookup behavior in version 4.3.1:
https://community.sophos.com/kb/en-us/125869
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
