Aufgrund einer Schwachstelle in Dells Compellent Integration Tools for VMware (CITV) können Angreifer Log-in-Daten entschlüsseln.
Dells Speicherlösung für Unternehmen Compellent und Storage beinhalten einen statischen Schlüssel, über den Sicherheitsforscher eigentlich geschützte Zugangsdaten entschlüsseln konnten. Bislang hat der Computerhersteller das Sicherheitsproblem noch nicht vollständig gelöst.
Die Sicherheitslücke (CVE-2023-39250) betrifft konkret Compellent Integration Tools for VMware (CITV) und Dell Storage Integration Tools für VMware (DSITV). Die Dell-Software bietet eine Schnittstelle für VMware-Software zum Verwalten von virtuellen Maschinen. Damit das Zusammenspiel klappt, muss Compellent die Zugangsdaten von VMware vCenter kennen. Diese Daten befinden sich verschlüsselt in der Konfigurationsdatei der Dell-Software.
Statischer AES-Schlüssel
Wie ein Sicherheitsforscher von LMG Security herausgefunden hat, setzen Compellent und Storage zur Ver- und Entschlüsselung einen statischen AES-Schlüssel ein, der bei allen Installationen identisch ist. Dieser verschlüsselt die Konfigurationsdatei. Damit ausgestattet, konnte der Forscher die Datei entschlüsseln und die Zugangsdaten für VMware vCenter einsehen.
Ihm zufolge findet sich der Schlüssel in einer JAR-Datei. Verschärfend kommt hinzu, dass Server standardmäßig mit schwachen Zugangsdaten (admin/admin) "abgesichert" sind, sodass Angreifer den Schlüssel vergleichsweise einfach extrahieren können.
Dells Reaktion
Der Sicherheitsforscher gibt an, Dell im April 2023 mit dem Sicherheitsproblem konfrontiert zu haben. Zu diesem Zeitpunkt hat der Hersteller dem Forscher zufolge die Problematik anfangs nicht verstanden. Nach weiter Kommunikation wurde für November 2023 ein Sicherheitspatch angekündigt.
Mittlerweile hat der Computerhersteller eine Warnmeldung veröffentlicht und stuft den Bedrohungsgrad als "hoch" ein. Bis zum Erscheinen des Updates sollen Admins die Standard-Zugangsdaten ändern, um Angreifern den Zugriff zu erschweren. Diese Vorgehensweise schützt Systeme offensichtlich nur vor Fernzugriffen und es bleibt unklar, wie es sich mit lokalen Angreifern verhält.
Quelle; heise
Dells Speicherlösung für Unternehmen Compellent und Storage beinhalten einen statischen Schlüssel, über den Sicherheitsforscher eigentlich geschützte Zugangsdaten entschlüsseln konnten. Bislang hat der Computerhersteller das Sicherheitsproblem noch nicht vollständig gelöst.
Die Sicherheitslücke (CVE-2023-39250) betrifft konkret Compellent Integration Tools for VMware (CITV) und Dell Storage Integration Tools für VMware (DSITV). Die Dell-Software bietet eine Schnittstelle für VMware-Software zum Verwalten von virtuellen Maschinen. Damit das Zusammenspiel klappt, muss Compellent die Zugangsdaten von VMware vCenter kennen. Diese Daten befinden sich verschlüsselt in der Konfigurationsdatei der Dell-Software.
Statischer AES-Schlüssel
Wie ein Sicherheitsforscher von LMG Security herausgefunden hat, setzen Compellent und Storage zur Ver- und Entschlüsselung einen statischen AES-Schlüssel ein, der bei allen Installationen identisch ist. Dieser verschlüsselt die Konfigurationsdatei. Damit ausgestattet, konnte der Forscher die Datei entschlüsseln und die Zugangsdaten für VMware vCenter einsehen.
Ihm zufolge findet sich der Schlüssel in einer JAR-Datei. Verschärfend kommt hinzu, dass Server standardmäßig mit schwachen Zugangsdaten (admin/admin) "abgesichert" sind, sodass Angreifer den Schlüssel vergleichsweise einfach extrahieren können.
Dells Reaktion
Der Sicherheitsforscher gibt an, Dell im April 2023 mit dem Sicherheitsproblem konfrontiert zu haben. Zu diesem Zeitpunkt hat der Hersteller dem Forscher zufolge die Problematik anfangs nicht verstanden. Nach weiter Kommunikation wurde für November 2023 ein Sicherheitspatch angekündigt.
Mittlerweile hat der Computerhersteller eine Warnmeldung veröffentlicht und stuft den Bedrohungsgrad als "hoch" ein. Bis zum Erscheinen des Updates sollen Admins die Standard-Zugangsdaten ändern, um Angreifern den Zugriff zu erschweren. Diese Vorgehensweise schützt Systeme offensichtlich nur vor Fernzugriffen und es bleibt unklar, wie es sich mit lokalen Angreifern verhält.
Quelle; heise
