'Novell negeert backdoor in ZENworks'
Deze week onthulde beveiligingsbedrijf Rapid7 een zero-day exploit voor Novell ZENWorks, waardoor aanvallers toegang tot het systeem kunnen krijgen. De software wordt gebruikt voor computerbeheer, van servers tot desktops en van laptops tot tablet. Onlangs werd volledige schijfversleuteling aan ZENworks toegevoegd. Nu blijkt dat het systeem over vaste, 'hard-coded', inloggegevens beschikt.
Wijzigen
Daardoor is het mogelijk om op systeemniveau leestoegang op het bestandssysteem te krijgen. Een groot probleem, aangezien gebruikers van Zenworks de inloggegevens in de Zenworks interface niet kunnen wijzen. "Dat klinkt mij als een backdoor", zegt Tod Beardsley van Rapid7.
Het beveiligingsbedrijf besloot het beveiligingslek niet meteen te openbaren, maar waarschuwde Novell en informeerde tegen het Amerikaanse Computer Emergency Readiness Team (US-CERT).
Update
Beardsley merkt op dat de meeste fabrikanten binnen een paar maanden een patch kunnen ontwikkelen nadat ze zijn ingelicht. In het geval van Novell is er nog altijd geen update beschikbaar, terwijl het probleem toch al enige tijd geleden is gemeld. Daarom werd besloten het probleem wereldkundig te maken en is het nu mogelijk om de backdoor via hackertoolkit Metasploit uit te proberen.
https://www.kb.cert.org/vuls/id/332412
Daar wordt gewezen op het instellen van rules in de Firewall voor trusted users.
Appropriate firewall rules should be put in place so only trusted users can access the web interface.
De vermelding van volledige schijfversleuteling (nieuw in versie 11) heeft ook totaal niets te maken met het Asset Management onderdeel van versie 7.5 waar het probleem in gevonden is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.