Sikov - stock.adobe.com

Achtung Bug: Arcserve-Kunden sollten zügig Update unternehmen

Digital Defense rät Arcserve-Kunden zu einem dringenden Update der Backup-Lösung UDP, da hier kürzlich verschiedene Schwachstellen gefunden wurden.

Das Unternehmen Digital Defense gab unlängst eine Warnung bezüglich der Backup-Plattform Arcserve Unified Data Protection heraus und empfahlen diese Software so schnell wie möglich zu aktualisieren, nachdem Experten hier vier Sicherheitslücken entdeckten. Den englischen Bericht von Digital Defense finden Sie hier. Die Schwachstellen wurden bereits vor einigen Tagen entdeckt.

Die Sicherheitslücken erlauben es Angreifern über Phishing-Attacken oder bösartige Webseiten Anmeldeinformationen zu stehlen oder auf Daten zuzugreifen, die im UDP-Datenarchivierungs- und Wiederherstellungssystem über seine Webservice-Komponenten gespeichert sind.

Die Digital Defense-Crew berichtete, dass es sich hier um zwei verschiedenen Fehlern bei der Offenlegung von Informationen handelt:

  • in /gateway/services/EdgeServiceImpl
  • in /UDPUpdates/Config/FullUpdateSettings.xml

Ebenso wurde eine standortübergreifenden Skript-Schwachstelle  gefunden:

  • in /authenticationendpoint/domain.jsp

Die vierte Sicherheitslücke ist ein XML External Entity-Fehler, der die Offenlegung von Daten über /management/UdpHttpService ermöglichen könnte.

Digital Defense erklärte, dass diese Schwachstellen sensible Daten gefährden, da sie über Zugriff auf Anmeldeinformationen, Phishing-Angriffe und die Möglichkeit für einen Hacker, Dateien ohne Authentifizierung durch das Hosting-System zu lesen, angreifbar sind.

Die Sicherheitslücken bestehen nur in den Webservice-Komponenten der UDP-Konsole und des UDP-Gateways. Mit diesen Tools greifen Administratoren auf Backup-Archive zu und verwalten diese. Computer, auf denen der UDP Recovery Point Server und die UDP Agent-Software laufen, sind nicht betroffen.

Der Hersteller reagierte prompt auf die Warnung und hat bereits ein Patch zu Verfügung gestellt und dies auch über seine Kommunikationskanäle verbreitet. Firmen, die UDP 6.5 Update 4 und Update 3 verwenden, können die Korrekturen direkt von Arcserve herunterladen, während Unternehmen, die UDP auf einem eigenständigen Gateway verwenden, den Patch weiterhin manuell auf diesen Geräten installieren müssen.

Erfahren Sie mehr über Datensicherheit