Ga naar inhoud

Kritiek lek in Checkbox Survey actief gebruikt om servers aan te vallen


Aanbevolen berichten

Een kritieke kwetsbaarheid in de software Checkbox Survey wordt actief door aanvallers gebruikt om servers aan te vallen. Checkbox biedt software voor het maken van online enquêtes en onderzoeken. Het bedrijf claimt dat het wereldwijd honderden klanten heeft, waaronder grote bedrijven en organisaties als Microsoft, Philips, de NAVO, Boeing, Vodafone, Pfizer en Unilever.

Checkbox Survey versie 6 en eerder bevatten een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand op kwetsbare servers willekeurige code met de rechten van de webserver kan uitvoeren. Het beveiligingslek wordt veroorzaakt doordat de software niet goed omgaat met ASP.NET View State data. Om aanvallen via malafide gebruikersinvoer te voorkomen kan ASP.NET van een ViewState Message Authentication Code (MAC) gebruikmaken.

In het geval van Checkbox Survey versie 6 en ouder wordt de MAC-instelling op de server genegeerd. Zonder de MAC kan een aanvaller willekeurige data creëren wat tot het uitvoeren van willekeurige code op de server leidt, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De organisatie stelt dat er actief misbruik van het beveiligingslek wordt gemaakt.,

Het CERT/CC meldt dat Checkbox Survey versie 6 niet meer wordt ondersteund, maar het softwarebedrijf laat op de eigen website weten dat de Checkbox Survey versie 6 vanaf 1 juli 2021 pas end-of-life zal zijn. De kwetsbaarheid is niet aanwezig in versie 7 van de software. Het CERT/CC raadt organisaties aan om versie 6, wanneer een update naar versie 7 niet mogelijk is, van systemen te verwijderen.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.