Independent. Dynamic. Involved.
nlen

Kwetsbaarheden binnen de operationele mappen van Safenet

Door Martin Kaszuba. Security Engineer Traxion Security B.V. 

Een onderwerp wat vaak onderbelicht blijft is het updaten van externe software die koppelt tussen IT omgeving en dienst. Vaak blijven deze kleine stukjes software buiten de updatecycli binnen de omgevingen waar zij geïnstalleerd staan, vooral als er geen automatische update functionaliteit aanwezig is. Hierdoor blijven gevonden kwetsbaarheden vaak bestaan omdat de agents, eenmaal werkend, onaangeraakt blijven functioneren. Wanneer automatische updates niet van toepassing zijn blijven kwetsbaarheden, hoe licht ook, onder de beveiligingsradar. Een voorbeeld in deze is de veelgebruikte Safenet Authentication Agent van Gemalto, een van de leiders op het gebied van multi-factor authenticatie oplossingen. Afhankelijk van de applicatie komt deze agent, wanneer benodigd, altijd op de serverzijde voor. Op de bestaande agent zijn kwetsbaarheden vastgesteld binnen de operationele mappen van het programma.

De officiële melding staat geregistreerd in de onderstaande tabel:

 

De kwetsbaarheid

Deze kwetsbaarheden kunnen een opening bieden voor kwaadwillende gebruikers om toegang tot deze mappen te krijgen en daarmee rechten te verkrijgen in het netwerk welke normaal gesproken alleen niet verstrekt zouden worden. Permissies en rechten kunnen binnen de operationele mappen verkregen worden middels een “Privilege Escalation” waarmee vervolgens IT-onderdelen bereikt kunnen worden die normaliter niet toegankelijk zouden moeten zijn.

Hoe kan de kwetsbaarheid misbruikt worden?

Als voorbeeld kunnen we uitgaan van de situatie dat een werkend netwerkaccount in staat is geweest om aan te kunnen loggen op de server waar deze agent geïnstalleerd staat. Bij een ongecontroleerde situatie zal de gebruiker, met een werkend account als reguliere gebruiker in kunnen loggen. Vervolgens zijn de mappen van deze Safenet Agent schrijfbaar door dit lek, wat betekent dat de reguliere gebruiker programma’s kan uitvoeren. Dit bevat dus ook uitvoerbare kwaadwillende programmatuur waarmee de reguliere netwerkgebruiker zich op deze server voor kan doen als Administrator. Op het moment dat dit kan, zijn alle beheerdersprivileges toegankelijk en kan het gehele systeem daar mee uitgelezen, bewerkt en gecomprimeerd worden.

Oplossingen: beschermende maatregelen zodat kwetsbaarheid niet meer gebruikt kan worden

Door Gemalto zijn patches vrijgegeven die deze mappen van de correcte rechten voorzien en deze gedocumenteerd hoe dit lek na te lopen. Ook zijn alle aanpassingen meegenomen in de updates voor de lokale agents. Daarom is het aan te raden externe programmatuur werkend als koppeling tussen applicatie en server ook op te nemen in het patchcycli van de server. Uiteraard is het aan te bevelen op server zijdes permissies te controleren en up to date te houden voor correcte toegang tot lees-, schrijf- en bewerkrechten.

De onderstaande tabel is de officiële lijst van patches met documentatie vrijgegeven door Gemalto met betrekking tot deze client.

 

Meer informatie is terug te vinden in de officiële support portal van Gemalto viahttps://supportportal.gemalto.com/csm/

Wilt u weten of uw applicaties deze of andere kwetsbaarheden bevatten?
Neem contact op met Traxion voor een penetratie test of security audit.