Ga naar inhoud

Kwetsbaarheid in Vembu BDR Suite maakt remote code execution mogelijk


Aanbevolen berichten

Verschillende kwetsbaarheden in de Vembu BDR Suite, software die door bedrijven wordt ingezet voor het maken van back-ups en disaster recovery, maken remote code execution mogelijk. De beveiligingslekken, die inmiddels in de nieuwste versies zijn verholpen, werden gevonden door de Nederlandse beveiligingsonderzoeker Wietse Boonstra van het Dutch Institute for Vulnerability Disclosure (DIVD).

Het lukte de onderzoeker om slechts via een browser toegang tot een kwetsbaar Vembu-systeem te krijgen. "Een kwetsbaarheid in dit soort software is ernstig. Backup en recovery-software grijpt per definitie diep in op het systeem van gebruikers van van Vembu", aldus het DIVD. Volgens Vembu maken wereldwijd meer dan zestigduizend bedrijven gebruik van de oplossingen die het biedt, waaronder NASA, Fujitsu, Kawasaki, Samsung en Epic Games.

In totaal ontdekte Boonstra vier kwetsbaarheden, waarvan er drie remote code execution mogelijk maken. Via het vierde beveiligingslek is server-side request forgery (SSRF) mogelijk en kan de toegangscontrole tot een systeem worden omzeild.

De Nederlandse onderzoeker rapporteerde de kwetsbaarheden bij Vembu, maar kreeg volgens het DIVD aanvankelijk geen respons. Halverwege februari slaagde het DIVD erin om Vembu wel te benaderen. De leverancier liet weten dat de kwetsbaarheden al waren opgelost in de laatste versies van de software. "Klanten kregen echter alleen een update als ze er actief om vroegen", zo stelt het DIVD. Na aandringen van het instituut is een gepatchte versie sinds april online te vinden.

Het DIVD meldt dat uit nader onderzoek blijkt dat de kwetsbaarheden mogelijk ook in andere door Vembu gemaakte oplossingen aanwezig zijn. In het geval van de SSRF-kwetsbaarheid zouden zelfs veel van de producten hiermee kampen.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...