Lek in back-upsoftware Nakivo laat aanvaller back-ups en wachtwoorden stelen

[Captain Kirk]

Een kwetsbaarheid in de back-upsoftware van Nakivo maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand back-ups en inloggegevens te stelen waar de software gebruik van maakt. De fabrikant heeft de kwetsbaarheid inmiddels stilletjes gepatcht, aldus onderzoekers van securitybedrijf watchTowr die het probleem ontdekten.

Het beveiligingslek (CVE-2024-48248) maakt het mogelijk om willekeurige bestanden op het back-upsysteem te lezen. Het kan dan gaan om back-ups, maar ook alle inloggegevens waar de back-upsoftware gebruik van maakt. WatchTowr waarschuwde Nakivo op 13 september maar kreeg geen reactie. Op 2 oktober volgde een tweede poging.

Pas op 29 oktober bevestigde het bedrijf de kwetsbaarheid. Het probleem werd op 4 november met versie 11.0.0.88174 verholpen, maar nergens in de release notes wordt het beveiligingslek vermeld. WatchTowr spreekt dan ook van 'silent' patching. Het bedrijf heeft vandaag details over de kwetsbaarheid openbaar gemaakt.

 

bron: https://www.security.nl